Discussion :

[sp2308]

Bonjour

il y a quelques mois je vous demandais conseils quant à la protection que je souhaitais utiliser. Aujourd hui mon projet etant finalisé et pret à être distribué, la question de la protection devient indispensable.

Cela va paraitre futile à certain mais il s agit d un logiciel de jeu PMU.

Donc voici mon idée :
S agissant de mon appli, son coeur est 'un calcul'. Mon idée est donc de verifier en ligne si l enregistrement est correct et si oui retourner la valeur 1 pour cette variable et 0 si non enregistré puis de prendre cette valeur pour multiplier le resultat affiché qui sera donc 0 si le logiciel n est pas enregistré, rendant son utilisation non pas 'physiquement' impossible mais inutile.


Postulat :
-le logiciel est compilé pour chauqe utilisateur avec un numero de serie different (ou autre selon vos conseils)
-connexion permanente à internet
-enregistrement on line depuis le logiciel d installation qui s efface une fois l install terminée + transmission du n° de serie du disque sur lequel est installé le soft le tout stocké dans une bdd.

a l ouverture du soft
on envoi le numero de serie du disque dur, l ID utilisateur (email tres certainement mais pas encore fixé, selon vois conseils) et la version du soft. un test sur la bdd et retour de la valeur que j utiliserais lors des calculs.

ou

on les calculs s effectuent sur le site et sont recuperes par l exe apres un test (mais cette solution est lourde car lors de simulations, même en limitant une serie à 1000 coups, ça fait tout de même 1000 pages generées)


donc mes questions :
est il possible de :
voir que je fais une requete sur bdd,
contourner cela en par exemple testant plusieurs valeurs de retour en collant dans l exe une fois decompilé un variable=1 par exemple

est il utilie de creer un soft specialement pour l install et qui s effacerait apres (pour ne pas voir les infos enregistrees) etant donné que j imagine qu un hacker peut decompresser une archive et etudier dans le detail chacuns de ses composants

enfin, concernant le numero de serie, comment recuperer la version du fichier (toutes mes recherches sur google ne me retourne que les version de l ide delphi !!!)

bon je suis peut etre excessif mais quitte à se proteger autant le faire de façon correcte des le debut...

merci pour votre aide et vos conseils

[Paul TOTH]

1) ta solution est piratable en 1/4h
2) et elle fera suer tous les utilisateurs légaux
deux bonnes raisons de ne pas prendre ton soft

que les choses soient claires, aucun soft ne résiste au piratage !

alors au lieu de te casser la tête, utilise simplement un site web pour enregistrer le soft à partir d'une clé et enregistre tout cela dans la base de registre.

il faudra là encore pas longtemps pour pirater la chose mais c'est la solution la moins emmerdante pour l'utilisateur légal et suffisante pour empêcher un piratage par un utilisateur lambda.

[sp2308]

merci pour ta réponse

J ai decidement une facheuse tendance à vouloir reinventer la roue...

Mais là en plus je m etais creusé la tête alors 1/4 h pour contourner ma geniale protection... Ils sont trop fort ces hackers...

mais je ne vois pas trop comment ils peuvent contourner l appel avec les bonnes infos au site sinon en testeant toutes les valeurs possibles....
auquel cas il y aurait certainement une parade à mettre en place sur le site non ?

Mais comment fonctionne alors l identification sous seven, identification qui pour certains soft se fait via un serveur distant ?

merci

[Paul TOTH]

merci pour ta réponse

J ai decidement une facheuse tendance à vouloir reinventer la roue...

Mais là en plus je m etais creusé la tête alors 1/4 h pour contourner ma geniale protection... Ils sont trop fort ces hackers...

mais je ne vois pas trop comment ils peuvent contourner l appel avec les bonnes infos au site sinon en testeant toutes les valeurs possibles....
auquel cas il y aurait certainement une parade à mettre en place sur le site non ?

Mais comment fonctionne alors l identification sous seven, identification qui pour certains soft se fait via un serveur distant ?

merci

bon je sais pas si 1/4h suffit, ça dépend de ton code

mais si ton programme attend toujours la même réponse du serveur il est facile d'intercepter le dialogue une première fois puis de détourner l'appel vers une réponse locale pour les fois suivantes ou les nouvelles installations

pour l'exemple tu peux regarder la super protection de assassin creed II qui était pénible pour les joueurs légaux et n'a pas résisté au piratage.

[sp2308]

ok merci c est vrai que finalement rien n est definitif en matiere de protection et que la moindre des choses et de livrer une appli dont on ampute pas une partie de l ergonomie au profit d une protection qui sera cassée...

[GoustiFruit]

Ça dépend, si tu gères bien côté serveur, tu peux fortement limiter les risques, puisque c'est côté serveur que seront exécutés les "calculs":

1- une BDD côté serveur contenant les numéros de licence de tes clients -> identification nécessaire pour pouvoir accéder aux résultats des calculs -> même si quelqu'un crée un keygen pour faire fonctionner l'application côté client, lors de la connexion au serveur sa clé ne sera pas reconnue, donc le client ne recevra pas les résultats des calculs
2- à chaque lancement, connexion au serveur pour récupérer le numéro de licence (régénéré selon le nom du client: si pas client, marche pas)
3- à chaque connexion au serveur, vérification que le même "client" n'est pas connecté depuis plusieurs IP (ou instances du logiciel, ou machines, ...)

Ça pourrait fonctionner un peu comme une "session" web. Le inconvénients avec ce genre de protection, c'est le jour où il y a un problème réseau, que ce soit chez toi ou chez le client, le client ne peut plus utiliser le logiciel; et si un jour tu dois baisser le rideau pour ton service, tes clients se retrouvent avec un logiciel payé devenu inutilisable -> dans ce cas, prévoir: 1- une distribution gratuite d'une version "complète" du logiciel ne nécessitant pas d'accès internet après la mort commerciale; ou 2- un fonctionnement par abonnement renouvelable par ex. de mois en mois, ainsi le jour où tu veux arrêter le service, tu avertis les clients, poursuis le service pendant un mois maxi, et refuse tout nouvel abonnement.

[Paul TOTH]

Ça dépend, si tu gères bien côté serveur, tu peux fortement limiter les risques, puisque c'est côté serveur que seront exécutés les "calculs":

1- une BDD côté serveur contenant les numéros de licence de tes clients -> identification nécessaire pour pouvoir accéder aux résultats des calculs -> même si quelqu'un crée un keygen pour faire fonctionner l'application côté client, lors de la connexion au serveur sa clé ne sera pas reconnue, donc le client ne recevra pas les résultats des calculs
2- à chaque lancement, connexion au serveur pour récupérer le numéro de licence (régénéré selon le nom du client: si pas client, marche pas)
3- à chaque connexion au serveur, vérification que le même "client" n'est pas connecté depuis plusieurs IP (ou instances du logiciel, ou machines, ...)

Ça pourrait fonctionner un peu comme une "session" web. Le inconvénients avec ce genre de protection, c'est le jour où il y a un problème réseau, que ce soit chez toi ou chez le client, le client ne peut plus utiliser le logiciel; et si un jour tu dois baisser le rideau pour ton service, tes clients se retrouvent avec un logiciel payé devenu inutilisable -> dans ce cas, prévoir: 1- une distribution gratuite d'une version "complète" du logiciel ne nécessitant pas d'accès internet après la mort commerciale; ou 2- un fonctionnement par abonnement renouvelable par ex. de mois en mois, ainsi le jour où tu veux arrêter le service, tu avertis les clients, poursuis le service pendant un mois maxi, et refuse tout nouvel abonnement.

et sa suppose aussi d'avoir un serveur qui supporte la charge du calcul de tous les clients