Discussion :

[progfou]

La question est dans le sujet .
Je voulais savoir quel(les) logiciels(techniques) permettent de se prémunir au mieux du reverse engineering ?

Merci d'avance de vos réponses

[mat.M]

Tout dépend du langage , si c'est natif ou pas ;
sous Java il y a des "code obsfucators" voir le forum Java
En code natif ( C++, Delphi...) il ya des logiciels payants qui assurent un verrouillage logiciel

[larryb]

Pour le php, http://www.ioncube.com/ présente le meilleur rapport qualité/prix.

[JackBeauregard]

C'est quoi le reverse engineering ?

[hiko-seijuro]

générer du code à partir d'un exécutable

[JackBeauregard]

Qu'est ce que tu appelles un exécutable ? A quoi cela sert-il de s'en protéger, par exemple pour un site en php ?

[RV80]

un éxecutable c'est un binaire, (genre .exe), c'est compréhensible par la machine mais pas par des être humains,
on se protege du reverse engineering pour eviter qu'un programme ne soit cracké ...

[progfou]

Ce serait du C ou du C++.
S'il y a des noms de logiciels, je suis interessé .

[JackBeauregard]

un éxecutable c'est un binaire, (genre .exe), c'est compréhensible par la machine mais pas par des être humains,
on se protege du reverse engineering pour eviter qu'un programme ne soit cracké ...

ça veut dire que pour qu'un visiteur puisse utiliser un site en php dont le code est transformé en binaire par un exécutable, il doit exécuter un .exe ?

Genre il arrive sur une page blanche, qui lui dit "si vous voulez utiliser le forum, cliquer sur ce lien qui ouvrira un exécutable" ?

[Eusebius]

ça veut dire que pour qu'un visiteur puisse utiliser un site en php dont le code est transformé en binaire par un exécutable, il doit exécuter un .exe ?

Genre il arrive sur une page blanche, qui lui dit "si vous voulez utiliser le forum, cliquer sur ce lien qui ouvrira un exécutable" ?

Je suis pas sûr que la question initiale concernait le PHP, ni qu'elle y soit particulièrement adaptée...

[JackBeauregard]

D'accord, mais qu'en penses-tu, toi Eusébius ?

[Admin]

Bon ce que vous chercher s'appelle un obfuscateur ou obfuscator en anglais, une recherche sur google va vous permettre de trouver votre bonheur.

Attention cependant l'utilisation d'un obfuscateur brouille le code source et compile n'importe comment (c'est justement le but ) avec des renvois sur des segments mémoires de partout pour compliquer la tache des crackeurs, par contre, l'envers de la médaille c'est que le code peut etre plus lent à l'execution.

Edit :

ça veut dire que pour qu'un visiteur puisse utiliser un site en php dont le code est transformé en binaire par un exécutable, il doit exécuter un .exe ?

Genre il arrive sur une page blanche, qui lui dit "si vous voulez utiliser le forum, cliquer sur ce lien qui ouvrira un exécutable" ?

Dans le cas de Php ce n'est pas du code source compilé, donc un obfuscateur se borne a renommer toutes les variables, virer tout les commentaires, mettre des sauts partout, remplacer les chaines par leurs valeurs ASCII.....

[JackBeauregard]

Dans le cas de Php ce n'est pas du code source compilé, donc un obfuscateur se borne a renommer toutes les variables, virer tout les commentaires, mettre des sauts partout, remplacer les chaines par leurs valeurs ASCII.....

Ok, je vois, merci. Mais coté client, cela est-il transparent, le site fonctionne-t'il comme n'importe quel site ? Ou bien le client doit-il exécuter un .exe pour que le site s'ouvre, s'affiche et fonctionne ?

[Admin]

Ok, je vois, merci. Mais coté client, cela est-il transparent, le site fonctionne-t'il comme n'importe quel site ? Ou bien le client doit-il exécuter un .exe pour que le site s'ouvre, s'affiche et fonctionne ?

non c'est completement transparent coté client....heureusement.....je vois mal le client lancer un exe a chaque page parcourue

[Mike85]

Bonjour à tous
Jadis, j'ai trouvé une page web qui montrait comment sécuriser son code source pour que si quelqu'un prend votre code et prétent que c'est son code, vous pourrai le dénoncer devant le juge. Même si ca ne correspond pas beaucoup au sujet du Topic, je donnerai le lien si je le trouve. On ai jamais trop prudent.

[RV80]

Attention cependant l'utilisation d'un obfuscateur brouille le code source et compile n'importe comment (c'est justement le but ) avec des renvois sur des segments mémoires de partout pour compliquer la tache des crackeurs, par contre, l'envers de la médaille c'est que le code peut etre plus lent à l'execution.

Le plus drôle c'est que ton application sera bien "sale" au niveau binaire (tu compare avec un éditeur hex le code avec et sans ), mais par contre il ne sera pas incrackable pour autant (cf un des challenge securitech 2006 et une epreuve de reverse sur un code "obfusqué" <= (ça existe ça en Français ??? )) ... Donc à toi de voir tes obligations, maximum de rapidité ou maximum de sécurité, si c'est les deux ... bon courage

[Admin]

Oui comme le dit RV80 il faut s'avoir qu'un obfuscateur n'est pas une solution miracle, et pour cause, il n'existe pas de solution miracle. Si ton ordinateur peut interpreter un programme, avec un peu de patience un crackeur aussi.

L'obfuscateur rend juste l'opération de lecture du code désassemblée largement plus chiante et fastidieuse, ce qui décourage les petit-malins, mais quelqu'un d'assez motivé peut quand même casser le code.

[JackBeauregard]

non c'est completement transparent coté client....heureusement.....je vois mal le client lancer un exe a chaque page parcourue

Ok mais cela préserve-t'il les sécurités de bases genre mysql_real_escape_string() pour la BD ? Si oui cela veut dire que le pirate a double travail, une fois qu'il s'est dépatouillé avec le code du site en binaire il n'a plus qu'a se débrouiller de nouveau pour essayer de pirater le site.

Mais je me demande si j'ai tout pigé : Le fait de transformer le code source en binaire empêche-t'il le pirate d'effectuer une attaque par xss ou injection sql ?

[RV80]

oulà tu parles de deux choses différentes il y a le RE(reverse engineering) de binaire (fichier executable écrit à l'origine en C/C++ ou autre) et le piratage de site en PHP ...
Les protection des sites en PHP c'est juste rendre le code plus illisible, mais sinon le fonctionnement reste le même, le code PHP est interprété par le serveur qui renvoye du code HTML au client ...

[Admin]

Mais je me demande si j'ai tout pigé : Le fait de transformer le code source en binaire empêche-t'il le pirate d'effectuer une attaque par xss ou injection sql ?

Je pense qu'il y a confusion de terme. transformer le code source en binaire s'apelle la compilation. Ca n'a rien à voir avec l'obfuscation.

compiler un programme c'est juste le rendre compréhensible par la machine.
obfuscer un code c'est juste le rendre assez peu compréhensible pour un etre humain.

le résultat de l'obfuscation d'un code source reste un code source.

Dans le cas de php, il n'y pas de compilation a proprement parlé. Lorsque tu appelle ta page index.php, Apache sait qu'il doit donner le fichier index.php au programme php.exe qui va executer ton code puis renvoyer à apache le résultat, qui a son tour va le renvoyer à ton navigateur. Donc dans php il n'existe pas de compilation.