Discussion :

[lupin78]

Bonjour,

J'ai compris que si on veut récupérer des données d'une base de données distante à partir d'une application Android, il faut utiliser un Web Service.

Mais je me pose une question. Ce Web Service est facilement accessible et détectable donc beaucoup de personnes un peu geek peuvent facilement y accéder et a fortiori récupérer une grosse partie de mes donnée (celles que me retournent le Web Service).

Juridiquement par quoi sont protégés ces Web Services ? Si je vois un concurrent me piquer mes données, par quoi sont elles protégées ?

Merci d'avance.

[UbuntuMan]

la sécurisation des WS (soap, rest) ça existe ;-)

[lupin78]

Tu le sécurises comment ? en limitant le nombre d'accès pour chaque mobile ? Comme le code des appli android sont facilement décompilables, on peut dans tous les cas trouver comment accéder au WS, trouver les identifiants et tout et tout...
Et dans le sens inverse, si une appli ne protège pas son WS et que je lui prends toutes ses données pour mon appli, qu'est-ce qu'ils peuvent dire ?

[chpil]

Sécuriser ton web service, ça peut se faire simplement par un login/mdp, ou par des mécanismes plus complexes (WS-Security pour les WS par ex.). Mais dans tous les cas, ton authentification doit être liée à l'utilisateur, et pas unique à l'application avec un login/mdp en dur dans l'appli par ex. (sinon, ça reviendrait à avoir une super serrure sur ta porte d'entrée, tout en laissant la clef sous le pot de fleur, avec un écriteau pour dire où elle se trouve...)
Pour le côté juridique, je ne suis pas juriste, je ne saurais dire exactement, mais récupérer des données d'un service qui ne l'autorise pas expressément (ou qui l'inderdit), ça doit s'apparenter à du vol (de données), et ça doit pouvoir coûter cher
Mais le plus simple, avant d'en arriver au juridique, c'est encore d'avoir une protection de ton service (authentification) qui ne permet d'y accéder qu'à tes utilisateurs

[Laurent.B]

Bonjour,

Donc, revenons à la question de départ qui est "par quoi sont protégés ces Web Services ?"

Déjà, Web Service ou pas, le problème n'est pas là, ce serait du JDBC ça reviendrait au même.

Lupin78 a bien compris la problématique qui impose d'essayer de se protéger juridiquement plutôt que techniquement puisque dans ce dernier cas, cela reste impossible ou alors très compliqué (et il a expliqué pourquoi !).

Il faut tout d'abord évaluer si le jeu en vaut la chandelle et s'adapter en fonction de ça, c'est-à-dire en évaluant jusqu'où on est prêt à aller pour ne pas se faire déposséder.

Techniquement, empêcher quelqu'un de pomper ses données de manière parfaitement classique, comme si on utilisait le service légalement, implique de commencer par évaluer le comportement d'un utilisateur normal, afin de mettre en place des mécanismes de blocage s'il y a détection de comportements suspects (fréquence de requêtage, régularité...).
Il y a certainement tout un tas d'astuces qui peuvent décourager les petits hackers débutants mais celui qui veut obtenir les données, les obtiendra.

Ensuite, juridiquement, il faut au minimum indiquer dans la licence d'utilisation comment le service doit être utilisé et que toute utilisation qui sort de ce cadre pourra entrainer l'interruption du service pour l'utilisateur concerné, ainsi que des poursuites.
Evidemment, le service doit au minimum mettre en place des mécanismes d'authentification/cryptage pour se protéger contre un accès trop direct à la base mais ça ne garantit rien.

Et pour finir, au cas où l'on aurait constaté un vol de données, hé bien il ne reste plus qu'à porter plainte en le prouvant. C'est-à-dire, en démontrant que les données disponibles sur un service concurrent ne peuvent être issues que de sa propre base. Là, ça peut être plus ou moins facile mais c'est de cette manière que l'on peut entamer une procédure en justice.

A noter qu'il est possible de démarrer des poursuites à partir du moment où l'on est en mesure de démontrer qu'il y a eu vol ou tentative de vol (qui sont punissables au même "tarif").

Voilà, je ne suis pas juriste, j'ai simplement quelques notions, donc tout ceci est à vérifier.
Si d'autres veulent proposer des solutions techniques (efficaces) ou des compléments juridiques, qu'ils ne se gênent pas