Discussion :

[kisitomomotene]

je veux bien ta doc si tu me casse un truc comme ca en 30 seconde ou 3 jour http://cat.inist.fr/?aModele=afficheN&cpsidt=5053511

rienque le 3DSmax ( 2007 si ma memoire me fait pas defaut ) a resister 9mois en beaucoup moins complexe et la c'etait pas du crackeur de bac a sable , mais la ca devait etre plus pour l'ego et le challenge intellectuel qu'autres choses .

Juste une question de bon sens: S'il existait véritablement une methode robuste pour protéger des softs du "crackage", les développeurs de MS et ses ingenieurs devraient être au courant non? pourquoi on crack chaque version Window quelques jours seulement près leur sortie?

[_skip]

Juste une question de bon sens: S'il existait véritablement une methode robuste pour protéger des softs du "crackage", les développeurs de MS et ses ingenieurs devraient être au courant non? pourquoi on crack chaque version Window quelques jours seulement près leur sortie?

Parce que plein de gens s'acharnent dessus pour faire la nique à l'ami Bill. Plein de gens se sont retrouvés avec des versions crackées et ohhhh surprise, les mises à jour ne se font pas, des erreurs bizarres surviennent, et hop premier service pack c'est cuit. Déjà il existe pas des millions de versions crackées sans point faible.

Il est évident que ce n'est pas 3 ou 4 clowns qui ne paient pas les licences qui mettent en danger microsoft, windows, ça se limite pas au PC du petit Kevin qui fait son h4x0rz dans sa chambre, faut penser à toutes les grosses structures d'entreprise qui investissent des millions là-dedans chaque année. On pourrait dire la même chose d'un grand nombre d'outils, sitôt que ceux-ci concernent le milieu professionnel.

Pour ce qui est des plus petits logiciels, dont le ROI est capital pour la survie d'une société, il est normal que l'on ait recours à des protections. Même si elles sont imparfaites, elles ont au moins le mérite de décourager les abus.

[Garulfo]

Code polymorphique ou non, toute protection est inutile.
Ca se cracke soit en 30 secondes, soit en 3 jours, mais aucune ne peut résister à un simple debugger.

Le but n'est pas de résister éternellement, mais de résister suffisamment longtemps pour que le logiciel soit rentable — coût de la crypto contre coût des pertes — et, si possible, suffisamment longtemps pour que la prochaine version sorte

C'est une problématique commerciale avant tout.
Sinon il est vrai qu'avec patience et temps, on peut arriver à tout.
On peut aussi arriver à décomposer un nombre premier d'un milliard de chiffres... pas tout seul, et pas dans cet univers probablement

[epsilon68]

Que pensez-vous des clefs sentinelles hardwares ?

[_skip]

Du genre HASP aladdin en USB? Si c'est de cela que tu parles, celles dans lesquelles on peut écrire des données sont très intéressantes, elles permettent aussi de limiter le nombre d'application qui tournent au sein du réseau (une tâche assez difficile à gérer soi-même).

De plus, vis à vis du client c'est très peu contraignant, une seule clé pour son réseau, pas 6 millions de license key par postes, surtout si l'application est modulaire.

C'est une solution qui a pas mal pour plaire mais en revanche les modèles puissants (qui font ce que j'ai cité) sont plutôt couteux.

[weed]

Je suis pas sûr que la question initiale concernait le PHP, ni qu'elle y soit particulièrement adaptée...

je ne sais pas si quelqu'un a deja repondu à cette question.
En effet c'est tres rapidemment indispensable de proteger son code en PHP mais par exemple, l'éditeur qui vend le forum le plus rapide de tous les temps que j'ai nommé MesDiscussion n'aimerait pas que l'on fouille dans son code. Le forum est une veritable prouesse technologique et je pense pas qu'il apprécirais que l'on reproiduise le meme forum gratuitement.

[chicobra]

Bonjour,

Perso je suis d'accord avec _skip.

Je pense qu'on néglige un peu le piratage industriel.
Dans certains secteurs très concurentiels, les vols de portables contenant des applications stratégiques sont par exemple monnaie courante.

Les concurrents des pays émergents (Inde, Chine) sont sans pitié sur ce sujet, sans parler des grandes entreprises américaines qui possèdent des départements entiers dédiés...

Parfois l'objectif n'est de récupérer qu'un seul bout de bout de code ou un module en particulier, sur lequel toute la différence se fait.

Salut _skip,

Bien que je suis pas complètement d'accord avec ton point de vue, je le respecte et je comprends ce que tu veux dire. On est des programmeurs ici, on vit du code que l'on écrit et se le faire voler est chien en sacrament.

Celà dit, j'aimerais adresser un point, celui du concurrent déloyal qui prend le code source, le recompile sous son nom et l'offre à un moindre prix. Il y a un recours contre celà: une poursuite en justice.

Si on fait une analogie avec les livres, on pourrait dire que comme les mots du livre sont directement accessibles à tous, un auteur peu scrupuleux pourrait reprendre le scénario, changer le titre, peut-être le nom des personnages et le publier. Évidemment, ça prendrait peu de temps avant qu'il se fasse amener en court.

(...)

En enlevant la possibilité (facile) à des personnes peu scrupuleuses de voler le code source, on enlève également la possibilité à d'autres programmeurs d'arranger le code pour leur environnement. J'imagine que la différence d'opinion dépend de ce qu'on considère comme la possibilité la moins agréable.

[el_slapper]

Là, on a plus affaire à des problématiques techniques, mais à de la simple négligence. Je me rapelle, quand j'étais stagiaire, avoir été dans le tramway juste derrièrre quelqu'un qui a ouvert un dossier, avec le logo du concurrent n°1 de la boîte ou j'étais en stage, marqué "CONFIDENTIEL". J'aurais été un cadre important et non pas un stagiaire, j'aurais vraiment fait gaffe au contenu.....

un vol de portable, ça n'est pas par du cryptage de code que l'on va le régler. Mais en évitant que des portables qui, par définition se baladent, ne contiennent des informations utiles à la concurrence.....

[_vince_]

On dit aussi aux hommes cadres en voyage d'affaires à l'étranger de se méfier des femmes qui les draguent...

[HanLee]

Oui, à mon école, on a eu une conférence sensibilisation à l'espionnage industriel, c'était assez captivant.

Le mec était un ancien du Renseignement, un truc comme ça.

On nous a raconté que faire un portrait sur les intérêts personnels, la personnalité, son cercle relationnel était relativement courant. Après on peut jouer sur ça...
Exemple avec une femme qui te drague en voyage d'affaires, ça va plus loin, on prend des photos compromettantes, et des menaces pour faire pression, comme envoyer les photos à ta femme.
C'est arrivé au conférencier.

Les vols d'ordinateurs portables, c'est monnaie courante, et ça n'est pas anodin. C'est souvent délibéré. C'est pour ça qu'en voyages d'affaires, il faut se balader avec le strict minimum, et le mieux c'est d'avoir un truc style clé USB.

Le fait de ne pas fermer son bureau à clé, ne pas locker avec mot de passe l'ordinateur de travail sont des mauvaises habitudes, alors que les gestes à faire sont simples.

Les entreprises qui payent des employés genre femme de ménage pour faire un truc tout con : les déchets papiers, au lieu de les jeter dans la poubelle, on lui demande de mettre le paquet à côté de la grande poubelle. L'entreprise n'avait plus qu'a récupérer, et fouiner dedans.

Bref, des erreurs humaines principalement.

[_solo]

L'espionnage de maniere detourner faites comme moi avec un modem GPRS activer la reeplication du traffic vers votre laptop et mettez le reseaux ouvert quand vous voyager en premiere classe TGV , on apprends meme de la vie privee des gens (cadre sup de societe du CAC) et je vous parle pas des mots de passe VPN et certificat numerique

[_skip]

Normalement n'importe quel VPN ne passe pas les mots de passe en clair...

[_solo]

Normalement n'importe quel VPN ne passe pas les mots de passe en clair...

ca se dump les MDP et trafiic crypter

[_skip]

Je dois être naif mais j'ai appris que de l'encryption par SSL ou IPSec c'était extrêmement solide... A aucun moment une info vitale est passée en clair. Donc j'aimerai en savoir plus sur cette faille que tu soulèves.

[Monstros Velu]

Je doute qu'un ordinateur portable utilisable dans le TGV soit capable de casser du SSL...

[heid]

Certains développeurs sont une arme redoutable contre le reverse engineering, ils pondent naturellement du code obfusqué :

http://fr.thedailywtf.com/Articles/J...maths-(T).aspx

[pi-2r]

Je doute qu'un ordinateur portable utilisable dans le TGV soit capable de casser du SSL...

Je pense qu'avec les live CD dit de "pentest" tout est possible....
Et si jamais la version SSL n'est pas mise à jour alors là je ne vous parle même pas des conséquences....

[Sn1pa]

Concernant des clés de protection, les clés CodeMeter de WIBU-SYSTEMS n'ont pas encore de solution de contournement existant à ce jour.. contrairement au clé Sentinel.

[Jimmy_]

Si on prend l'exemple du java qui est très facilement décompilable, il faut agir à 3 niveaux :

1. Une offuscation.
2. Une programmation hérmétique des portions sensibles.
3. Ajout massif de code inutile dans le source de base pour brouiller les pistes.

Le but est de faire perdre le plus de temps possible à l'attaquant, pour que son attaque au final ne serve à rien.

[souviron34]

1. Une offuscation.

oBfuscation