Discussion :

[freestyler]

Bonjour,
Mon client est en contrat avec un éditeur de logiciel qui lui vend une application (logiciel d'assurance). Le client est très dépendant de l'éditeur dans la mesure où l'application présente encore des bugs et l'éditeur - seul propriétaire du code - est le seul à pouvoir y accéder et fixer les bugs. Il est aussi chargé de mettre à jour le logiciel fonctionellement.

Mon client souhaite s'émanciper totalement de l'éditeur, mais il semble avoir "peur" de ce que pourrait faire l'éditeur pour saboter le logiciel intentionnellement. A noter que l'éditeur n'héberge ni données, ni rien du tout, et n'a accès à la production que après autorisation de mon client.

L'application marche aujourd'hui à 80%, çàd mon client meut très bien survivre avec cette version de l'application pendant au moins 6 mois.
Admettons que l'on coupe tout accès aux serveurs de production à l'éditeur de logiciel, qu'est ce que ce dernier pourrait faire?
Y a ti l une forme de virus à retardement qu'il pourrait laisser là au cas où? quoi d'autre ? Nous cherchons à explorer toutes les pistes pour être prêt au besoin.

Pour info: petit résumé de l'application:
Langage de développement Dotnet
Type d'architecture Client serveur
Serveur d'application Windows Sever 2003
Type de base de données SQL Server 2005
Mode de connexion Citrix

[gangsoleil]

Bonjour,

Il faut voir quels sont les conditions d'utilisations du logiciel : est-ce un achat ou une location (ie : ton client ne peut utiliser le logiciel que s'il paye un montant regulier a l'editeur).

Apres, en prenant un cas d'achat de logiciel, l'editeur ne peut rien faire de legal contre le client : si celui-ci decide de rompre le contrat, la collaboration s'arrete, et puis c'est tout.

Toute action menee de la part de l'editeur contre un ancien client serait assimile a du piratage, et est donc reprehensible (et cher). Donc ton client ne craint rien.

[freestyler]

C'est un achat, et le montant a été totalement du envers l'éditeur.

Nous avons formulé la même réponse à notre client, mais l'aspect légal ne lui suffit pas.

La société est totalement dépendante de ce logiciel, et si par malheur le logiciel s'arrête, toute la production s'arrête et l'action en Justice va traîner (en cas de recours à des procédures non légales)

Je serai intéressé de savoir ce que l'éditeur pourrait faire de non légal en fait..

Merci

[gangsoleil]

Je serai intéressé de savoir ce que l'éditeur pourrait faire de non légal en fait..

Penetrer les machines de prod pour corrompre les donnees qu'elles hebergent (que ce soient des donnees utilisateur ou son logiciel).

Ce risque de piratage externe ne change pas que ton client quitte un editeur ou non.

J'avoue que je ne comprends pas bien ses craintes... Il va juste rompre un contrat avec un fournisseur ! A moins que ce fournisseur ne soit la mafia, je ne vois vraiment pas ce qu'il craint... Il ne sera pas le premier ni le dernier, et ca n'a jamais pose de problemes a personne !

[freestyler]

Alors..
Par exemple, je viens d'apprendre que cet éditeur a mis une espèce de trigger dans le code, qui arrête la production tous les 3 mois.
Comme le rythme des mises à jour est très élevé, il pourrait donc activer ou désactiver ces triggers à chaque fois qu'il le souhaite.
Comme le client n'a pas du tout accès au code, une fois la production bloquée, il n'est plus possible de la débloquer

[GR3lh442kR]

ça ne semble pas très légal comme technique à partir du moment ou le logiciel est acheté, ton client ne devrait pas se laisser faire, dès lors qu'il a découvre la mise en place de ce genre de procédé il devrait faire pression pour les retirer.

n'est il pas possible de développer l'application destinée a remplacer celle que ton client souhaite supprimer, tout en conservant cette dernière et son éditeur ? et le jour ou s'est prêt, il ne dépend plus du-tout de l'application gênante.

[Aniki]

C'est quoi ce délire ?
Si le client a effectivement laisser quelques "sécurités" pour eviter que vous ne puissiez le quitter si facilement, alors il faut saisir la justice dès maintenant.

Vous pouvez faire comme si vous leur faisiez encore confiance en demandant à la justice d'envoyer un expert pour contrôler tout ça.
Après, si les soupçons s'avèrent ne pas être fondés, il faudra payer tous les frais.

Enfin je dis ça, mais je ne sais pas si c'est faisable.

[freestyler]

Justement .. je ne sais pas si c'est faisable. Je ne sais pas combien de temps cela peut prendre, et j'ai même peur que ce ne soit limite légal ! Tout porte à croire que c'est illégal (l'éthique, l'intention, ...) mais personne n'est sûr. J'ai même appelé un avocat mais il paraît que j'aurais besoin d'un spécialiste ...

En tant que consultant, je ne peux m'engager dans des spéculations de ce genre sans avoir une certitude totale que je peux sécuriser le divorce à 100%.

[gangsoleil]

:En tant que consultant, je ne peux m'engager dans des spéculations de ce genre sans avoir une certitude totale que je peux sécuriser le divorce à 100%.

Je comprends bien ta position.

Ce qui est legal :

• Vendre un logiciel, et de la maintenance. Si le contrat de maintenance est rompu, arreter de fournir les mises a jour.
• Louer un logiciel: necessite de fournir un code tous les X, sinon le logiciel se desactive

Ce qui est illegal :

• Vendre un logiciel avec backdoor (acces possible depuis l'exterieur) sans consentement du client (qui peut autoriser un acces securise par exemple)
• Vendre un logiciel capable de s'arreter, sans que le client soit au courant.

Ce que le client peut faire :

• Demander un audit externe de securite du logiciel, notamment sur le cote (des)activation automatique ou acces a distance
• Aller voir un concurrent de l'editeur, et lui demander un devis pour le transfert des donnees
• Developper un logiciel concurrent

Dans tous ces cas, il n'est pas oblige d'arreter le contrat de suite.

[freestyler]

Merci beaucoup

L'idée de l'audit à demander est intéressante et représente déjà un bon commencement. Je vais essayer d'appuyer cette décision auprès du client..

Dans le même contexte, je voudrais bien savoir comment fonctionnent les alertes similaires aux version démos d'un logiciel quelconque? Un fichier de registre ? Un fichier de configuration ? Est il possible que ces fichiers soient visibles et non cryptés ? Comment tout ça fonctionne ?
De plus: techniquement comment on peut instaurer une alerte à chaque clic dans une application ?

[gangsoleil]

Dans le même contexte, je voudrais bien savoir comment fonctionnent les alertes similaires aux version démos d'un logiciel quelconque? Un fichier de registre ? Un fichier de configuration ? Est il possible que ces fichiers soient visibles et non cryptés ? Comment tout ça fonctionne ?

Je suppose que ce que tu veux savoir, c'est comment un logiciel peut ne rester actif que 30 jours (par exemple) ?
Il n'y a pas de bonnes solution.
Solution 1 : tu "caches" la date d'installation quelque part. Par exemple dans le registre sous Windows, ou dans un fichier cache sinon. A chaque demarrage de l'application, et toutes les X heures, tu compares la date actuelle a cette valeur.
Contournement : modifier la valeur dans le registre/fichier, changer la date de la machine
Solution 2 : se connecter a l'internet. Lors de l'installation, tu prends une empreinte de la machine, ou alors chaque binaire a un code unique, que tu envoies a un serveur distant. Ensuite, a chaque lancement et toutes les X heures, tu demandes au serveur si la clef a toujours le droit d'executer le logiciel ou non.
Contournement : pas de contournement simple, mais necessite une connexion pour lancer le logiciel, ce qui peut etre problematique.
Contournement complexe : derouter le paquet de demande, forger la reponse, et injecter la reponse comme si c'etait le sereveur qui la renvoyait.

De plus: techniquement comment on peut instaurer une alerte à chaque clic dans une application ?

Un clic, dans une application, c'est un evenement qui est gere, comme d'autres. Il suffit donc qu'a chaque clic, en plus de faire l'appel au bouton, tu inscrives le clic quelque part.
Cela permet, par exemple, de compter le nombre de clics.

[freestyler]

On vient de porter à ma connaissance que les alertes disparaissent par le biais d'un fichier de licence (en .bin qui m'a tout l'air d'être crypté) qui est livré au client tous les mois.
Il n'y pas du tout de licence à payer mais c'est quand même la procédure utilisée.

On appréhende donc maintenant que si on coupe tout accès de l'éditeur à l'application, le client sera totalement bloqué sans ce fichier de licence.

Des moyens de contourner cela?
Peut être que le fichier de licence est décryptable.
Je peux envoyer le fichier .bin au cas où quelqu'un s'y connait bien en décryptage peut être?

Merci

[freestyler]

Il parait que c'est du NaN à décoder (si je raconte pas des betises), mais je n'arrive pas à trouver sur le net un logiciel pour au moins essayer de décrypter .. des pistes ou des URLs à proposer ?

[gangsoleil]

Hum, legalement, ca se corse...

Que le fichier soit crypte ou non, tu as le droit de l'ouvrir avec un editeur hexadecimal pour en lire le contenu ; ca te donnera toujours une idee.

Ensuite, il faudrait demander a l'editeur ce que fait exactement ce fichier, et pourquoi il doit etre mis a jour tous les mois. On peut, par exemple, invoquer de nouvelles directives de securite de la part de la direction, qui demande a connaitre le contenu du fichier pour verifier qu'il n'est pas une potentielle source de problemes (ce qui est bien le cas).

Quant au fait de le decrypter s'il est chiffre, je ne sais pas si c'est legal ou non, meme si l'editeur etait en tort.

[MiaowZedong]

Ce qui est illegal :

• Vendre un logiciel avec backdoor (acces possible depuis l'exterieur) sans consentement du client (qui peut autoriser un acces securise par exemple)

J'ai comme un doute là: sachant que la différence technique entre un backdoor et un service de mise à jour automatique n'est pas énorme, et que le "consentement" du client peut venir d'une ligne dans un CLUF de 200 pages, je n'irais pas jusqu'à dire que le client est automatiquement au courant s'il y a un backdoor légal.

[gangsoleil]

J'ai comme un doute là: sachant que la différence technique entre un backdoor et un service de mise à jour automatique n'est pas énorme, et que le "consentement" du client peut venir d'une ligne dans un CLUF de 200 pages, je n'irais pas jusqu'à dire que le client est automatiquement au courant s'il y a un backdoor légal.

S'il y a une explication d'une demi-ligne dans le CLUF, ca suffit pour etre legal : le client l'a accepte.
En revanche, mettre ce genre de mise a jour automatique sans le consentement du client n'est pas legal, ne serait-ce que parce qu'un client peut acheter un logiciel pour un reseau interne, sans connexion au net.

[jmnicolas]

Désolé de pas faire avancer la discussion, mais tu bosses en France ou au Far-West ?