Discussion :

[Mast3rMind]

Bonjour à tous,

Je constate que les exécutables C# sont facilement décompilables et que n'importe qui disposant d'un logiciel de décompilation ou de rétro-ingénierie peut accéder librement à du code afin d'en étudier le contenu.

Je pose donc la question légitime suivante: quelle est la meilleure façon de protéger mon code C# contre la décompilation?

Je connais un peu la méthode d'obfuscation, mais j'ai un peu de crainte à l'utiliser car cela semble pouvoir engendrer d'autres problèmes reliés à la réflection, entre autre.

Les alternatives du type: "Utiliser un autre langage comme C++" ne sont bien entendu pas une option.

Pour infos, cet article de Microsoft France est bien intéressant: Visual Studio 2005 et l'obfuscation

Si quelqu'un a de bonnes idées, elles sont les bienvenues! Merci!

[Thomas Lebrun]

Obfuscation est la réponse à ta question: à toi de chercher plus d'infos à ce sujet

[theMonz31]

salut

une autre alternative testé ici (dans un cours ou un test , je ne sais plus), serait d'utiliser l'outil Xenocode qui a pour effet de te produire un executable ou une dll entierement au format natif (code x86).. ce qui veut dire qu'ensuite que seul au debuggueur assembleur tu pourras analyser le code... par contre, l'effet négatif est que ton programme va bien grossir car l'outil va intégrer dans ton exe l'ensemble des librairies utilisées compilées en natif....

genre : 40 Ko pour ton prg initiale devient 2 Mo apres traitement

L'outil n'est pas gratuit, mais pour une entreprise, il ne coute pas cher et je pense qu'une telle solution est un super alternative à l'utilisation d'un obfuscateur qui ne fait que rentre "moins" lisible ton code

The Monz, Toulouse

[cinemania]

pour les 2mo au lieu des 40kg..; si tu as l'habitude comme moi des programmes écrits en C++ builder... tu as l'habitude des exe qui explosent en terme de taille

par contre c'est vrai que Xenocode32 est payant, mais bon... comme deja dit... si ta société investi dans Visual Studio... c'est pas Xenocode qui va la ruiner, et puis au moins comme cela tu es tranquil.

[Mast3rMind]

Merci pour les conseils.

Je suis en train d'essayer la version d'évaluation de Xenocode, c'est vraiment un outil puissant. Il fonctionne beaucoup mieux chez moi que Dotfuscator.

[Thomas Lebrun]

salut

une autre alternative testé ici (dans un cours ou un test , je ne sais plus), serait d'utiliser l'outil Xenocode qui a pour effet de te produire un executable ou une dll entierement au format natif (code x86).. ce qui veut dire qu'ensuite que seul au debuggueur assembleur tu pourras analyser le code... par contre, l'effet négatif est que ton programme va bien grossir car l'outil va intégrer dans ton exe l'ensemble des librairies utilisées compilées en natif....

genre : 40 Ko pour ton prg initiale devient 2 Mo apres traitement

L'outil n'est pas gratuit, mais pour une entreprise, il ne coute pas cher et je pense qu'une telle solution est un super alternative à l'utilisation d'un obfuscateur qui ne fait que rentre "moins" lisible ton code

The Monz, Toulouse

L'outil Xenocode a été présenté sur Dvp lors d'un test. Je le sais, c'est moi qui ait fait le test Et je peux te garantir que cet outil fait de l'obfuscation de code, à moins que cela n'ait changé dans les versions récentes

[theMonz31]

salut

beh disons thomas que j'ai testé Xenocode il y a 1 mois environ et que le code produit n'était pas déssassemblable avec un outil comme reflector puisqu'il considerait que l'executable n'était pas du CLR.... donc, j'aurais tendance à penser au vue de la documentation fournie par le fabricant de ce produit que c'est réellement un assemblage natif qui est généré et non du MSIL

The Monz, Toulouse

[Louis-Guillaume Morand]

pour avoir testé les deux, moi j'ai eu une préférence pour {smartassembly}
http://lgmorand.developpez.com/dotnet/smartassembly/

il obfusque mais ca reste du MSIL et surtout c'est son reporting de bug qui est super bien foutu. Fini log4net, ou plein de try catch au niveau de l'IHM, ca pete, mais ca envoi le rapport sur un serveur et là tout est géré: regroupement, analyse, etc.
c'est créé par un seul codeur et c'est du super boulot pour le prix

[Thomas Lebrun]

salut

beh disons thomas que j'ai testé Xenocode il y a 1 mois environ

Ah vi

Tandis que la version que j'ai testé date de .... Janvier 2005 (http://morpheus.developpez.com/xenocode/) donc il est pas étonnant qu'il y ait eu des MAJ/changements

[ced600]

Mais même avec tout cela, si une entreprise concurrente y met les moyens, il y a toujours la possibilité de déterminer l'architecture d'un software.
A la rigueur les, il y a bien quelques algos super complexe à protéger, mais sinon pour l'archi, il y a toujours moyen de la comprendre.
Et une fois l'archi récupéré, bah un développeur en C#.net te erfait la même application !!!
Bref pour les algos il y a le brevetage de ceci afin de faire payer un jour les entreprises qui ont dépouillés ton soft.
Pour protéger l'archi, bah je pense que l'obfuscation fournis par MS est suffisante.
Après si le but est de protéger du code, qui n'est pas poussé au point d'être un algo à breveter, bah cela sert à rien, parce que n'importe quel dev en C# sera le refaire.
Après si c'est une question de retarder l'échéance d'un an pour profiter pendant 1 an de non conccurence et de s'installer sur le marché, alors oui l'utilisation des outils payants peut se justifier je pense

[Louis-Guillaume Morand]

Pour protéger l'archi, bah je pense que l'obfuscation fournis par MS est suffisante.

laquelle? dotfuscator? c'est gratuit ca maintenant?

[ced600]

laquelle? dotfuscator? c'est gratuit ca maintenant?

Je n'ai fait aucun effort de vérification, mais lorsque tu achète la version standard de visual studio, l'outil n'est pas fournis avec ?
Après il est vrai que je n'ai pas pensé au version express.

[Louis-Guillaume Morand]

standard ou pas, je sais qu'il est "fourni" mais à l'époque (2003) il était fourni en tant que trial (dotfuscator n'est pas du M$ il me semble). il semblerait effectivement que ce soit des versions CE gratuites maintenant.(sauf dans les versions express où ce n'est pas présent)

[cinemania]

De toute façon utiliser Dotfuscator ne sert à rien...

Reflector est modulaire et il existe un module qui lui permet de lire le code obfusqué... bref... pour la sécurité il y a mieux.

A ce jour aucun obfuscateur n'a réussi a bien protégé un code .NET ou natif contre un décompilateur fourni avec des desobfuscateurs. A la limite tu va protéger ton code 2 ou 3 semaines, voir 1 mois maximum.

Quand a l'interet d'utiliser l'obfuscation ou la compilation native... c'est une question évidente non ? une entreprise peut développer du code en préférant que celui ci reste closed source like microsoft ou n'importe quel géant de l'industrie du logiciel.
Je doute que si demain tu pond un moteur 3D révolutionnaire, tu apprécie particulièrement qu'un charlot vienne lire le code juste en cliquant sur un bouton et fasse un jeu avec ton moteur... Générallement un code compilé en natif, même s'il est débogable (bien qu'il existe des traps pour faire planter les deboggueurs communs) en assembleur reste moins accessible qu'un code .NET en clair ... et le ptit malin qui l'a décompilé devra le mériter...
La protection absolue n'existe pas !

Actuellement même les sections de code critiques chiffrées/// déchifrable seulement si tu install la bonne licence, sont "cassable" meme si cela reste la rolls de la protection de code...

On sens pas l'ancien hackeur... oui je le réprime, mais les vieux reflexes ont la vie dure

[ced600]

Des personnes de confiance m'ont expliqués que ce soft changez le nom des classes, des methodes, des arguments par des nom super générique, rendant le code illisible.
On obtiendrais un truc du genre (dans l'idée) :
class 1348526394
class 1348526395
....

Cela n'est il pas suffisant pour le rendre illisible ?

[cinemania]

bof... pa pire que le code natif... là ta des adresses ou pire, des adresses relatives et pourtant on s'y retrouve quand meme.

[ced600]

ok c bon a savoir.

[Mast3rMind]

Je suis en train de tester Dotfuscator et Xenocode...

Une version gratuite "light" de Dotfuscator vient avec MS Visual Studio 2005. Je n'ai malheureusement pas réussi à obfuscater mon code avec cette appli... et je n'aime pas l'interface graphique. J'ai demandé la version d'évaluation pro et je suis en cours de testing, le support technique semble assez bien foutu.

Quant à Xenocode, ça marche super bien, et pour répondre aux questions, oui ça fait de l'obfuscation ET la compilation en mode natif. De plus, il y a une option qui permet d'empêcher la décompilation par un programme de rétro-ingénierie. Ça semble bien fonctionner, Reflector n'a pas pu même décompiler mon exécutable avec cette option.

Je vais tester aussi smartassembly...

[ppphil]

J'ai testé plusieurs soft :
Xenocode :
peu convivial, cher (>500€)
Smartassembly :
le top, peut être lancé en ligne de commande : dans vs 2005 on peut le lancer via la prop. PostBuildEvent d'un projet d'installation. Cher (>500€). Rend le code illisible dans Relfector
Dotfuscator :
version free intégrée dans vs 2005. A part changer les noms de variables, il ne fait pas grand chose... J'ai pas essayé la version complète.
Eazfuscator :
free, un peu meilleur que la version free de Dotfuscator

Si vous en avez d'autre en free je suis preneur...

Bonne journée à tous !!

[Ainelle]

Je cherche aussi un outil efficace pour protéger du code source C#.

Malheureusement, tous ceux qui vous avez proposés sont impuissants devant un deobfuscateur open source (donc gratuit) très répandu. Mais si vous ne connaissez pas cet outil, je ne souhaite surtout pas dévoiler son nom sur un forum aussi visité.

Voici néanmoins la liste des obfuscateurs qui deviennent obsolètes à ce jour :
Agile.NET (CliSecure)
Babel.NET
CodeFort
CodeVeil
CodeWall
CryptoObfuscator
DeepSea Obfuscator
Dotfuscator
.NET Reactor
Eazfuscator.NET
Goliath.NET
ILProtector
MaxtoCode
MPRESS
Rummage
Skater.NET
SmartAssembly
Spices.Net
Xenocode