Discussion :

[molini_a]

Bonjour,

Je ne savais pas dans quelle catégorie placer ce message, donc le voici : j'ai développé un soft, qui doit rester en interne. ET je recherche une solution pour proteger le programme. Une protection qui empeche un individu lambda de recupérer les fichiers du disque dur et de les utiliser sur un autre poste ou autre...

L'avantage, est que le soft est fait pour fonctionné sur des PCs prédéfinis des le début, et normalement, il ne devrai pas y en avoir d'autre.

Quelle est la meilleur solution à vos yeux ???

[ShaiLeTroll]

Avoir le contrôle permanent sur les fichiers, hum difficile, un service (on peut l''arrêter) qui garderait les fichiers ouvert, cela éviterait la suppression, mais pas la copie

le cryptage, pas besoin d'un cryptage savant (tu écris chaque octet en mettant la valeur au carré, et tu ajoute allez, un xor sur un word, bon cela double le volume des données, mais si tu n'as pas un expert en cryptage et en programmation fichier, c'est bon, personne ne comprendra les fichiers, n'importe quel TXT subbissant cela devient un binaire incompréhensible )

Toutes données devra être écrite et lu par chiffrement, ainsi seul ton programme peut lire les données ... exemple KeepPassWord, un logiciel qui stocke dans un fichier l'ensemble de tes mots de passe, avec une clé privée, et une clé publique (le seul mot de passe à ne pas oublier et à faire volontairement complexe)

Sinon tu joue, la carte du pourrissage de vie, tu utilise un cryptage XOR avec comme clé, le numéro de série de la carte mère, ainsi même entre deux machines avec le programme cela ne se partage pas !

prévois-toi quand même dans tous les cas, une sorte de porte de secours (en gros une faille de sécurité), pour récupérer les fichiers si un ordi crame !

[Clorish]

Tout a fait d'accord avec toi. Un simple cryptage XOR sur clefs suffisement longue est tres dificilement (voir impossible) a dechiffrer sans la clefs.

A ceci pres :

prévois-toi quand même dans tous les cas, une sorte de porte de secours (en gros une faille de sécurité), pour récupérer les fichiers si un ordi crame !

N'est ce pas un moyen de donner la possibilité aux "pirates" de decouvrir cette faille et acceder aux données ?

[ShaiLeTroll]

N'est ce pas un moyen de donner la possibilité aux "pirates" de decouvrir cette faille et acceder aux données ?

Tout dépend le niveau qu'il veut de sécurité, si les fichiers ne doivent même pas être partagé entre la même application mais sur différents PC, il faudrait une clé par utilisateur (machine), donc mieux vaut noter quelque part la liste des clé par machine ou écrire celle-ci crypté avec une clé commune à tous pour dévérouiller les données, le problème c'est cela, le choix entre la maintenance et la paranoïa ...

[Clorish]

je comprends ce que tu veux dire .... mais ca me fait penser a une autre problematique proche de celle la : La gestion des numeros de licences.

On a beau chercher des solutions les plus complexes possibles, on en reviens toujours plus ou moins a un simpel test "Si Valide Alors Debloque".

Rien ne sert de trop proteger tes donnees si de toutes facon, tu met en place un systeme generique ou une backdoor pour recuperer tes donnees "au cas ou".

En gros .... tu peux toujours mettre une porte en titane, mais bon si tes murs sont en briques je vois pas trop l'interet. C'est toujours plus simple de defoncer le mur que la porte :p

[Cl@udius]

Salut

C'est toujours plus simple de defoncer le mur que la porte

Je ne participe pas en général à ce type de dicussion, mais Clorish viens de résumer en une simple phrase toute la difficulté de protéger son soft.
euh, j'ai pas non plus de solution miracle...

@+ Claudius

[molini_a]

Hum, pas mal d'idées, mais je retient celle de récupération du numéro de la carte mère. Mais savez vous si il est possible en Delphi de la récupérer ???

[Jipété]

récupération du numéro de la carte mère

sans perdre de vue qu'une carte-mère ça crame, des fois, et que donc ça se change...
Tu vois où je veux en venir ?
(idem pour les procs, les disques, les cartes réseau, etc.)

--
jp

[molini_a]

oui, je sais mais ce que je pensais, c'est faire un keygen en fonction du numéro de la carte mère ?!?

[Clorish]

Nous on utilise ExeCryptor (payant) ou alors cmxProtector (composant gratuit).

Mais au fait : Tu sais qu'un Keygen .... ca se recrée ?

J'ai lu quelque par que l'un des cryptages des plus sur est le cryptage de a base XOR avec un masque au moins aussi long que les données a crypter.

D'autre part, le principe d'un cryptage XOR a clef tournante est que sans la clef, il est impossible de retrouver les données d'origine. A moins d'utiliser la force brute.

Or la force brute n'est pas toujorus facile a mettre en place (du moins pour decrypter les données) car si tu code un numeros de serie : AMX-23E et que par force brut tu essaye toutes les combinaisons possibles, tu peux tomber sur : ZA3-45F, QW3-5TU, AAA-BBB, ... Comment savoir si c'est un bon resultat ? mis a part le tester .....
Autant tenter directement toutes les combinaisons possibles ....

Et si tu change regulierement de systeme de cryptage (en fait de clefs) les donnéees ne seront pas regient par la meme clef. Donc une fois (par force brut) le bon code trouvé, une 2e force brute peut permettre de decouvrir la clef ... qui de toute facon ne servira peut etre jamais plus

Une des solutions que j'ai trouvée est de creer un tableau de 255 bytes, (de 0 a 255) ordonné aleatoirement.
Le cryptage est basé sur une combinaison XOR byte par byte, en changeant de clefs a chaque byte, en prenant la clefs qui suis dans le tabelau.
Un entier (entre 1 et 255) permet de definir l'index de la clefs de depart dans le tableau. LEs autres suivant, et bouclant (via le modulo).

On peut aussi envisager une matrice 255x255, 255x255x255, 255x255x255x255, composée d'autant de combinaisons de succession de clefs differentes que de cellules dans la matrice ... les indices etant defini par les 2, 3, 4 octets d'un entier ....

Bref a toi de choisir entre une pagaille, un bordel ou un sacre merdier

[CapJack]

Je soumets modestement une idée à laquelle personne ne semble avoir pensé : outre un cryptage afin d'éviter le désassemblage, on peut imaginer que le soft envoie un id unique (composé à partir des composants hardware ou non) à un utilitaire situé sur le serveur intranet. Ainsi, d'une part, si quelqu'un essaie de faire tourner le soft à l'extérieur de l'entreprise, il en sera pour ses frais, puisque non connecté, et d'autre part, on peut imaginer que le soft serveur en question gère les clefs de décryptage, donc on garderait l'initiative, niveau du serveur, de débloquer ou pas un soft sur un poste qui aurait été modifié.

[Clorish]

On peut tres bien modifier l'exe pour envoyer un ID different de celui calculé et ainsi debloquer les données

Comme dit souvent, il n'existe pas de solutions "miracle"
Par contre la version server avec identification base sur une sorte de serial lié a un materiel tombe sous une autre jurispudence : La penetration illegale de serveur privé et usurpation d'identitée. Et la ..... c'est pas les memes peines que le piratage !

Ca protege pas plus ... mais ca rassure

C'est pour ca que tous les jeux basent maintenant le gros de l'interet sur une connection serveur et version multijoueur

[jcbremond]

Le petit truc tout bête du fileExists(MonfichierCache) fct pas mal non plus ...

Il suffit d'être malin sur le nom du fichier et le répertoire de stockage et de ne pas afficher l'exception

[Clorish]

Bhoa ..... le B-A-BA du cracker et d'analyser la BdR et le disque Dur pour verifier les changements entre la version validée et celle pas encore validée.

Deja, tous fichiers/entrees en plus, en moins, modifiée, est suceptible d'intervenir dans le processus de verification et de validation

[molini_a]

Nous on utilise ExeCryptor (payant) ou alors cmxProtector (composant gratuit).

Est ce que quelqu'un aurait l'install et pourrait me la filer svp ???

[Clorish]

Exectypor (demo complete telechargeable)
TMxprotector

[molini_a]

Merci beaucoup, j'ai opté pour TMxprotector, et ca fonctionne à merveille.

[hepha1970]

Je soumets modestement une idée à laquelle personne ne semble avoir pensé : outre un cryptage afin d'éviter le désassemblage, on peut imaginer que le soft envoie un id unique (composé à partir des composants hardware ou non) à un utilitaire situé sur le serveur intranet. Ainsi, d'une part, si quelqu'un essaie de faire tourner le soft à l'extérieur de l'entreprise, il en sera pour ses frais, puisque non connecté, et d'autre part, on peut imaginer que le soft serveur en question gère les clefs de décryptage, donc on garderait l'initiative, niveau du serveur, de débloquer ou pas un soft sur un poste qui aurait été modifié.

Bonjour,

Peut-être pas trop l'idéal pour une entreprise cette solution...

Si jamais le serveur tombe en rade, le soft ne tourne plus...!

Je vois mal la tête du client

Amitiés Hepha1970

[RamDevTeam]

Bonjour,

Peut-être pas trop l'idéal pour une entreprise cette solution...

Si jamais le serveur tombe en rade, le soft ne tourne plus...!

Je vois mal la tête du client

Amitiés Hepha1970

De mon côté j'ai retenu le principie suivant :

1-> fourniture d'une clé au client avec nécessité de l'activer
2-> Au lancement du soft, si non activé, procédure d'activation par contre-code (manuel ou dans le futur automatique via un serveur web)
si le contre-code est ok, récupération d'info sur le pc (signature du matériel) et formation d'une clé de cryptage pour l'algo Xor afin de crypter les fichiers sensibles (fichiers de données)

Le système du contre-code, permet de vérifier si un client "fraude" puisqu'on le connait à l'avance

Dans le futur, transmission de l'identifiant machine pour désactiver les version qui ne sont plus valides.