Comment j'ai économisé environ 1 200 € sur la signature de code Windows OV

Cet article repose sur les erreurs et réussites que j’ai réellement vécues en préparant le lancement d’une application de bureau Windows. J’avais d’abord publié des éléments de cette histoire sur une communauté coréenne de développeurs avant de les réorganiser ici. Les prix et politiques peuvent changer à tout moment — vérifiez toujours les pages officielles avant de payer.

0. Comment tout a commencé

Je suis un ancien consultant qui ne connaissait rien à la programmation — incapable d’afficher Hello World!, je ne connaissais que Ctrl+C / Ctrl+V dans Excel. Après mon licenciement, je me suis lancé dans le « vibe coding » assisté par IA et j’ai décidé que mon premier projet serait une ambitieuse application de bureau.

Quand j’ai enfin voulu la partager avec des amis pour la tester sur MacBooks et PCs Windows, tout le monde s’est heurté au même problème : impossible de l’installer. C’est là que j’ai découvert que les applications installables nécessitent une signature de code et une notarisation — une preuve que le fichier n’a pas été altéré entre le développeur et l’utilisateur final.

Le processus et le coût se sont révélés bien plus complexes que prévu.

1. Ce que la signature et la notarisation m’ont réellement coûté

Le côté Mac s’est avéré étonnamment fluide.

• L’inscription Apple Developer coûte environ 85 € par an ($99 USD).
• Après l’inscription, l’enchaînement packaging → signature → notarisation s’est déroulé plus facilement que prévu.
• L’installation et les mises à jour automatiques via electron-updater ont fonctionné de manière fiable dès le début.

Dans mon cas, après l’inscription et la connexion à Codex, toute la chaîne — packaging, signature, soumission au serveur Apple, notarisation — s’est exécutée presque comme un pipeline unique. L’installateur a fonctionné sans problème sur le MacBook d’un ami : pas d’avertissement « Développeur non identifié » et les mises à jour automatiques opérationnelles d’emblée.

Mais côté Windows, c’était une tout autre histoire.

• Les certificats de signature de code OV sont chers d’emblée.
• Via un revendeur local, le prix grimpe encore.
• Certains fournisseurs imposent l’achat d’une clé USB physique (comme YubiKey).
• Devoir brancher du matériel à chaque signature rend l’automatisation CI/CD pénible.

2. Pourquoi la signature de code Windows OV est si difficile pour les développeurs indépendants

Pour éviter les avertissements SmartScreen et les blocages d’installation sous Windows, il faut un certificat de confiance — ce qui implique de passer une vérification d’entreprise, que l’on soit auto-entrepreneur ou société. Lors de mes recherches, les certificats existaient en niveaux IV / OV / EV, et OV était le minimum réaliste pour la distribution.

Le problème était le modèle de revendeurs. Ils demandent des certificats auprès de CA comme SSL.com ou DigiCert en votre nom, mais avec une marge aberrante. Le certificat était déjà cher, l’automatisation difficile, et en plus ils facturaient la clé physique.

Pour quelqu’un comme moi — incapable d’écrire une seule ligne de code sans agent IA — devoir brancher une clé USB et signer manuellement chaque build était rédhibitoire.

J’ai donc d’abord posé la question à la communauté.

• Faut-il vraiment dépenser plus de 700 $ pour un certificat de signature de code OV/EV pour distribuer une application Windows ? (Clien)

La réponse générale était « oui, c’est comme ça » — mais je refusais de l’accepter.

3. L’alternative trouvée sur Reddit : achat direct SSL.com + Cloud eSigner

L’indice décisif est venu des communautés anglophones de développeurs. L’IA donnait souvent des réponses trop génériques, mais sur Reddit, des gens ayant réellement distribué des applications Windows partageaient des alternatives bien plus concrètes.

Au départ, le service Azure Trusted Signing de Microsoft semblait prometteur — bon prix et bonne automatisation. Mais à ce moment-là, il n’était disponible que pour les développeurs individuels au Canada et aux États-Unis, donc pas une option pour moi.

J’ai finalement opté pour la combinaison SSL.com achat direct + Cloud eSigner.

Les prix que j’ai trouvés à ce moment-là :

• Avec la configuration USB traditionnelle, le coût total s’élevait à environ 500 $.
• Mais le pack certificat OV 128 USD + Cloud eSigner 20 USD/mois semblait être un plan plus récent et flexible.
• C’était l’option la moins chère et la mieux adaptée à l’automatisation.

Trois raisons pour lesquelles cette approche m’a convaincu :

1. La marge du revendeur était entièrement éliminée.
2. Pas d’attente de plusieurs semaines pour une clé USB physique.
3. La porte était ouverte pour automatiser le processus de signature avec Codex.

4. Le vrai obstacle lors de l’émission du certificat SSL.com

Cloud eSigner en soi est un service attrayant. L’abonnement mensuel peut sembler superflu à première vue, mais il supprime le besoin de clés physiques et s’intègre parfaitement à l’automatisation.

La vraie difficulté, c’était le processus d’émission :

• Documents d’enregistrement d’entreprise
• Vérification d’identité personnelle
• Preuve que je suis une personne réelle
• Preuve que mon entreprise existe

Après avoir tout validé, SSL a ajouté une exigence supplémentaire : fournir un numéro D-U-N-S pour vérifier mon adresse, numéro de téléphone et email.

Je n’ai pas pu m’empêcher de penser : si c’était une étape obligatoire, pourquoi ne pas l’avoir mentionné dès le départ ?

5. La percée : demander un D-U-N-S via Apple Developer

Obtenir un numéro D-U-N-S de manière indépendante peut impliquer des frais et des formalités supplémentaires. Je me suis à nouveau retrouvé bloqué et j’ai commencé à me demander si mon « achat direct économique » ne finirait pas par coûter plus cher que la solution du revendeur.

Mais Reddit m’a de nouveau tiré d’affaire. Quelqu’un a partagé ce conseil :

Si vous êtes déjà inscrit comme Apple Developer, Apple peut vous mettre en relation avec D&B pour demander un numéro D-U-N-S à des fins de vérification d’entreprise.

Le document officiel que j’ai consulté :

• Guide D-U-N-S d’Apple Developer pour les membres

C’est important car les développeurs qui commercialisent déjà des apps dans l’écosystème Apple peuvent réutiliser les mêmes informations d’entreprise. Dans mon cas, j’ai pu obtenir un numéro D-U-N-S au nom de « K-garoo Works » relativement rapidement par cette voie.

Sans exagérer, c’est ce qui m’a évité de dépenser encore plus d’argent en cherchant la voie la moins chère pour le certificat Windows.

6. Obtenir le D-U-N-S n’était pas la fin

Grâce à Apple, j’ai reçu mon numéro D-U-N-S assez rapidement. Mais ce n’était toujours pas terminé.

Quand j’ai transmis le numéro à SSL, ils ont indiqué ne pas pouvoir le vérifier de leur côté. J’ai vérifié moi-même sur des sites de consultation publics et constaté que les entreprises non américaines n’étaient souvent pas correctement répertoriées — les liens semblaient actifs, mais la vérification réelle échouait.

Voici la situation :

• Visible dans mon compte Apple ✓
• Visible sur le tableau de bord D&B de l’entité émettrice ✓
• Mais les liens publics de vérification par des tiers étaient hors service ou instables ✗

Si le numéro existe mais ne peut pas être vérifié publiquement, à quoi sert-il vraiment ?

7. Trouver la dernière voie de vérification et obtenir le certificat

J’ai appris plus tard que depuis fin décembre de l’année précédente, un désaccord entre les politiques européennes de partage de données et les opérations américaines avait bloqué de nombreuses consultations publiques D&B — même quand les liens semblaient actifs.

J’ai passé trois jours à communiquer avec le support SSL, testant chaque piste, jusqu’à ce que — avec un agent de support — nous trouvions une voie de vérification encore fonctionnelle. Certains chemins de vérification d’entreprise liés au commerce supportaient encore les requêtes basées sur D-U-N-S, et c’était le dernier fil que j’ai tiré.

• Dun & Bradstreet Support / Soumettre un cas

Après trois jours d’échanges avec le support SSL, j’ai enfin reçu le certificat et pu configurer Cloud eSigner. Avec l’aide de Codex.

À qui cette approche convient-elle le mieux ?

Ce guide est particulièrement pertinent si vous :

• Avez déjà une adhésion Apple Developer et la distribution Mac est globalement réglée
• Êtes un développeur indépendant ou une petite équipe devant distribuer un installateur Windows
• Trouvez les frais des revendeurs déraisonnables et souhaitez postuler directement
• Voulez automatiser la signature dans votre pipeline CI/CD

En revanche, si votre structure d’entreprise est complexe ou si les exigences de vérification varient fréquemment selon les pays, il peut être plus rapide de communiquer directement avec le support officiel dès le départ.

Conclusion essentielle

Si je devais résumer tout ce parcours en une phrase :

Le plus difficile dans la signature de code Windows OV n’est pas de savoir où acheter le certificat — c’est de trouver comment passer la vérification d’entreprise et le D-U-N-S de la façon la plus économique et efficace possible.

La séquence que j’ai réellement suivie :

1. Régler d’abord le côté Mac avec Apple Developer.
2. Pour Windows, ne pas aller directement chez un revendeur, mais explorer les options d’achat direct.
3. Évaluer la combinaison SSL.com achat direct + Cloud eSigner.
4. Utiliser la voie Apple Developer pour demander un D-U-N-S.
5. Si nécessaire, passer par le support D&B pour la vérification finale.

Liens de référence rapide

Questions fréquentes

Faut-il obligatoirement acheter un certificat de signature de code Windows OV via un revendeur ?

D’après mon expérience personnelle, non — pas obligatoirement. Mais comme les politiques de vérification et d’émission peuvent évoluer, vérifiez toujours la page officielle juste avant de payer.

Puis-je obtenir un D-U-N-S gratuitement avec un compte Apple Developer ?

La méthode que j’ai utilisée s’adresse aux membres Apple Developer existants qui demandent une vérification d’entreprise pour la commercialisation d’applications. Cela ne s’applique pas automatiquement à tous les cas — consultez les guides d’Apple et de D&B avant de commencer.