Discussion :

[AlternantOracle]

Bonjour,

J'ai plusieurs questions pour vous les experts.

Voici mon projet:
- Créer un fichier/dossier portable afin de pouvoir auditer mes clients (audits BDD).
=> J'ai testé pyinstaller qui marche relativement bien pour mon code python 3.5. Qu'en pensez-vous ?
- Faire en sorte que mon code ne soit pas lisible (meilleurs techniques d’offuscation par exemple)
- Est-il possible de rendre un exe généré depuis Python auto-destructible ?
- dernière question: Mes scripts sql sont lancés depuis des fichiers .sql ce qui me permet de m'adapter a n'importe quel besoin.
=> comment puis-je les cacher efficacement sans les mettre en dur dans mon code ?

Voici ce que je pensais faire dites moi si je fais fausse route:
1 - Transformer mon programme en .Exe
2 - Offusquer mon code.

Le but est d'auditer mes clients sans leur donner une partie de mon expertise qui est au final mon gagne pain :).

Merci d'avance.

Cordialement.

[wiztricks]

Le but est d'auditer mes clients sans leur donner une partie de mon expertise qui est au final mon gagne pain .

Vous vous simplifieriez la vie en divisant le boulot en collecte de données d'un côté (un programme qui peut s'installer sur les machines clientes et être inspectées/auditées parce que codées en clair) et analyse de ces données de l'autre (un autre programme qui ne sort pas de vos machines à vous).

- W

[AlternantOracle]

Bonjour Wiz,

Effectivement je me simplifierais grandement la vie .

Vous vous simplifieriez la vie en divisant le boulot en collecte de données d'un côté (un programme qui peut s'installer sur les machines clientes et être inspectées/auditées parce que codées en clair) et analyse de ces données de l'autre (un autre programme qui ne sort pas de vos machines à vous).

- W

Mais justement je ne veux pas qu'il puisse récupérer une seule miette .
La partie de mon programme qui analyse fournit entre autres toutes mes requêtes d'audits et mes traitements.

Je ne partagerais mon expertise qu'au moment du compte rendu d'audit (pour lequel il me demande d'intervenir et il me paie).
Souvent mes clients ont déjà des DBA dans leur entreprise et je ne veux pas qu'ils aient ou utilisent mes outils perso.

Cordialement.

[wiztricks]

Mais justement je ne veux pas qu'il puisse récupérer une seule miette .
La partie de mon programme qui analyse fournit entre autres toutes mes requêtes d'audits et mes traitements.

Récupérer des tas de données sans expliciter à quoi elles vont bien pouvoir servir ne vous empêche pas de faire dessus les traitements que vous voulez par la suite. Et c'est la seule façon simple de protéger votre savoir faire.

A vous de voir.

- W

[ABD-Z]

Yo,

Pour transformer ton programme python en exécutable, tu peux le faire avec Py2exe ou cx_freeze. Ces deux logiciels ne sont pas disponibles par défaut avec l'installation de Python, il faudra les télécharger.

Ensuite, quand tu dis "offusqué", tu souhaites crypter ton programme? Est-ce bien cela?

[tyrtamos]

Bonjour,

Une fois converti en .exe, un programme n'est plus diffusé avec ses sources Python en clair, mais seulement avec son code compilé en "bytecodes", et c'est ce code qui est directement exécuté par l'interpréteur.

Quelqu'un a-t-il déjà essayé de faire du "reverse engineering" pour retrouver du code source Python à partir du code compilé?

[AlternantOracle]

Récupérer des tas de données sans expliciter à quoi elles vont bien pouvoir servir ne vous empêche pas de faire dessus les traitements que vous voulez par la suite. Et c'est la seule façon simple de protéger votre savoir faire.

A vous de voir.

- W

Je suis bien d'accord avec toi sinon ils ne me demanderaient pas de les auditer.
Je penses que je vais tout simplement intégrer mes requêtes dans le .Exe du coup.

Yo,

Pour transformer ton programme python en exécutable, tu peux le faire avec Py2exe ou cx_freeze. Ces deux logiciels ne sont pas disponibles par défaut avec l'installation de Python, il faudra les télécharger.

Ensuite, quand tu dis "offusqué", tu souhaites crypter ton programme? Est-ce bien cela?

Merci pour les informations, oui tout a fait comme le font les éditeurs logiciel :
https://www.sstic.org/media/SSTIC201...es_guelton.pdf

Mais je ne sais pas quelle méthode serait la plus efficace et vu que ce n'est pas mon cœur de métier je me réfère à des experts .

[AlternantOracle]

Bonjour,

Une fois converti en .exe, un programme n'est plus diffusé avec ses sources Python en clair, mais seulement avec son code compilé en "bytecodes", et c'est ce code qui est directement exécuté par l'interpréteur.

Quelqu'un a-t-il déjà essayé de faire du "reverse engineering" pour retrouver du code source Python à partir du code compilé?

Je te l'accorde c'est un peut extrême ^^.
Selon toi seulement le compilé suffit alors ?

[wiztricks]

Quelqu'un a-t-il déjà essayé de faire du "reverse engineering" pour retrouver du code source Python à partir du code compilé?

Le plus simple est de regarder les tests des sources d'un byte code "decompiler". En général, on a des .py de référence et leur .pyc en face. Le test passe lorsque qu'on retrouve le .py de référence. Par défaut, on retrouve les noms de variables, les docstrings,... et comme le script est exploitable on peut même ajouter des "print" pour voir ce qu'on ne comprend pas.

L'effort n'a rien à voir avec le reverse engineering d'un code C à partir du code machine.

- W

[tyrtamos]

Le test passe lorsque qu'on retrouve le .py de référence. Par défaut, on retrouve les noms de variables, les docstrings,... et comme le script est exploitable on peut même ajouter des "print" pour voir ce qu'on ne comprend pas.

Merci wiztricks, mais dans le cas d'un exe créé par cx_freeze, par exemple, l'utilisateur n'a pas le source .py. Qu'est-il possible de trouver dans ce cas?

[wiztricks]

Merci wiztricks, mais dans le cas d'un exe créé par cx_freeze, par exemple, l'utilisateur n'a pas le source .py. Qu'est-il possible de trouver dans ce cas?

Tout.

- W
note: Le .py de référence dans les tests ne sert qu'à vérifier que le .pyc se décompile bien (par simple comparaison). Ce qui est intéressant, c'est les "constructions" Python que c'est capable de reconstruire. Vous avez un répertoire de tests ici.

[tyrtamos]

Tout

Et donc, le fait de ne pas donner les codes sources Python ne suffit pas à cacher les algorithmes.

Peut-être que les endroits les plus sensibles du code peuvent être traduites en C par Cython?

[BufferBob]

salut,

pour autant que je sache, py2exe ou cx_freeze ne font finalement qu'embarquer un interpréteur Python à coté du code source dans l'exécutable créé, il est tout à fait possible de retrouver le code Python originel, y'a que Nuitka à ma connaissance qui traduit le programme python en C ou C++ puis le compile, ça reste très expérimental et dans tous les cas il ne faut pas se leurrer; il y a des gens qui se font une spécialité de faire de la rétro-ingénierie sur des binaires, il y en a même énormément, c'est tout le propos du cracking

on parle ici de faisabilité technique, pas de défiance probable des clients, lesquels sont en général très loin d'une telle technicité d'une part, et sont légalement tenus par la licence et le droit français d'autre part qui limitent grandement les cas légitimes de rétro-ingénierie

[tyrtamos]

Bonjour,

... y'a que Nuitka à ma connaissance qui traduit le programme python en C ou C++ puis le compile ...

Cython le fait aussi. On peut choisir entre le C et le C++, le traitement crée le code source du C ou du C++, et on peut même choisir le compilateur C si on en a plusieurs (Windows).

L'avantage de Cython pour un programmeur en Python, c'est qu'on utilise directement le code Python avec seulement quelques aménagements nécessaires au compilateur C (par ex. la déclaration des variables avec leur type).

Mais, bien sûr, le code obtenu par Cython est spécifique à l'OS, contrairement au code Python .py qui peut facilement être multiplateforme.

[AlternantOracle]

salut,

pour autant que je sache, py2exe ou cx_freeze ne font finalement qu'embarquer un interpréteur Python à coté du code source dans l'exécutable créé, il est tout à fait possible de retrouver le code Python originel, y'a que Nuitka à ma connaissance qui traduit le programme python en C ou C++ puis le compile, ça reste très expérimental et dans tous les cas il ne faut pas se leurrer; il y a des gens qui se font une spécialité de faire de la rétro-ingénierie sur des binaires, il y en a même énormément, c'est tout le propos du cracking

on parle ici de faisabilité technique, pas de défiance probable des clients, lesquels sont en général très loin d'une telle technicité d'une part, et sont légalement tenus par la licence et le droit français d'autre part qui limitent grandement les cas légitimes de rétro-ingénierie

Bonjour merci pour ces infos du coup ça confirme ce que je pensais . Et du coup tu me conseillerais quoi comme technique d'obfuscation ?

Bonjour,

Cython le fait aussi. On peut choisir entre le C et le C++, le traitement crée le code source du C ou du C++, et on peut même choisir le compilateur C si on en a plusieurs (Windows).

L'avantage de Cython pour un programmeur en Python, c'est qu'on utilise directement le code Python avec seulement quelques aménagements nécessaires au compilateur C (par ex. la déclaration des variables avec leur type).

Mais, bien sûr, le code obtenu par Cython est spécifique à l'OS, contrairement au code Python .py qui peut facilement être multiplateforme.

Faudrait que je test tout ça et comparer les résultats

[BufferBob]

du coup tu me conseillerais quoi comme technique d'obfuscation ?

difficile à dire sans savoir ce qu'on cherche à protéger concrètement, mais si on part du principe que malgré une certaine innovation ce qui sous-tend l'application reste assez commun, perso j'aurais tendance à me contenter d'un coup de cx_freeze ou Cython comme le dit tyrtamos je pense

après si vraiment les données en questions sont à ce point "sensibles" ou un risque pour mon coeur de métier, j'envisagerais probablement de tourner l'application en client-serveur

[fred1599]

- dernière question: Mes scripts sql sont lancés depuis des fichiers .sql ce qui me permet de m'adapter a n'importe quel besoin.
=> comment puis-je les cacher efficacement sans les mettre en dur dans mon code ?

Je n'ai pas compris, que voulez-vous dire par "mettre en dur dans mon code" ?

[AlternantOracle]

difficile à dire sans savoir ce qu'on cherche à protéger concrètement, mais si on part du principe que malgré une certaine innovation ce qui sous-tend l'application reste assez commun, perso j'aurais tendance à me contenter d'un coup de cx_freeze ou Cython comme le dit tyrtamos je pense
après si vraiment les données en questions sont à ce point "sensibles" ou un risque pour mon coeur de métier, j'envisagerais probablement de tourner l'application en client-serveur

Ok bon et bien je vais partir sur la simplicité qui m'a été proposé au début merci.

Je n'ai pas compris, que voulez-vous dire par "mettre en dur dans mon code" ?

Bonjour,
Je veux dire écrire mes requêtes SQL sous forme de string ou autre intégré directement dans mon script python.

[ABD-Z]

Merci pour les informations, oui tout a fait comme le font les éditeurs logiciel :
https://www.sstic.org/media/SSTIC201...es_guelton.pdf

Article intéressant AlternantOracle, mais codes-tu de cette manière, comme cela par exemple :

Une boucle normal :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
# o r i g i n a l  loop
for  expr0  in expr1:
    work()

Tu la fais comme ça pour l’offusquer comme décrit dans le pdf:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
from  __builtin__  import iter as  my_iter
# obfuscated  loop
var = my_iter(expr1)
while 1:
    try:
        expr0 = var.next()
    except  StopIteration:
        break
    work()

Codes-tu de cette manière-là?
As-tu compris l'intérêt de cette complication?

[fred1599]

Tu la fais comme ça pour l’offusqué comme décrit dans le pdf:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
from  __builtin__  import iter as  my_iter
# obfuscated  loop
var = my_iter(expr1)
while 1:
    try:
        expr0 = var.next()
    except  StopIteration:
        break
    work()

Oui mais on verra tout de même ses requêtes sql, non ?