Discussion :

[BBouille]

Bonjour à tous,
Développant de petits logiciels que je ne donne qu'à des connaissances je voulais tout de même les protéger pour éviter qu'ils ne s'éparpillent trop.
Je voulais pour les plus simples d'entre eux ne pas adjoindre de base de données où les codes seraient mémorisés.
Je voyais donc les choses comme ça:
L'utilisateur lance le programme, il lui est demandé d'introduire son adresse mail, un message m'est envoyé.
Je renvoie par mail un code. L'utilisateur l'introduit dans une case dédiée.
La clef reçue est comparée à un code mémorisé dans le programme.
Si les deux coïncident le programme tournera à chaque lancement.
Si par exemple je ne joins pas de base de données mais un simple fichier texte, le code sera lisible et n'importe qui pourrait l'utiliser.
Si je joins une base de données (SQL) je ne sais même pas si en fait les données sont protégées ou peuvent être protégées.
Peut-être peut-on aussi jouer sur la date. Si l'utilisateur introduit trop tard le bon code, le programme ne sera pas exécutable.
Je voulais vous demander comment vous procéderiez ou ce qui se fait le plus couramment?
En espérant que c'est assez clair et en vous remerciant.

[Flodelarab]

Bonjour

Développant de petits logiciels que je ne donne qu'à des connaissances je voulais tout de même les protéger pour éviter qu'ils ne s'éparpillent trop.

Je ne comprends pas cette phrase. Si une personne à qui tu as donné ton logiciel le donne à tout le monde, que fais-tu ?

D'expérience, tes histoires de codes ne marchent pas.

Tu développes quoi ? Des exécutables 64 bits sous Windows ?

[BBouille]

La personne qui a reçu le programme d'une de mes connaissances ne pourra le faire fonctionner que si elle m'envoie un mail enfin c'est ce que j'espère pouvoir faire.
Je développe des exécutables 32 bits sous Windows.

[BBouille]

J'ai oublié d'ajouter que je cherche à récupérer l'ID du PC de l'utilisateur et le code final que je renverrais contiendrait cet ID plus un code.
Donc le programme ne marcherait pas sur un autre PC.
Je rame pour trouver une fonction API ou une autre méthode pour récupérer cet ID.

[Flodelarab]

Je le répète. Quelqu'un qui veut contourner ta protection changera juste un JZ en JNZ dans le code assembleur et ta protection va sauter.

Je développe des exécutables 32 bits sous Windows.

Merci . C'était plus pour connaître la méthode. Delphi ? Visual C++ ? Java.jar ? Autre ? (préciser)

Je rame pour trouver une fonction API ou une autre méthode pour récupérer cet ID.

L'ID du pc, cela n'existe pas.

[BBouille]

J'utilise depuis quelques temps Xojo (ex RealBasic) et de temps en temps encore Delphi.
Quand tu regardes les informations système tu trouves quand même le nom du PC, l'ID de périphérique et l'ID de produit, non?
Et ces 3 éléments sont propres à chaque PC.
Donc si le code contient ses informations le "pirate" ne pourra pas l'utiliser sur son PC comme ses caractéristiques système ne seront pas les bonnes.
Il devrait comprendre le codage du code pour introduire le bon.
Enfin c'est ce que je pense sinon as-tu une solution fiable ou comment font les pros?

[tbc92]

Admettons qu'on trouve l'API en question... ça y est, tu as réussi à mettre en place ta protection.
Tu autorises une personne X à utiliser ton programme.
Un an après, elle te dit qu'elle a changé de PC et elle veut un nouveau code (en fait, elle n'a pas changé de PC, elle veut juste donner une copie de ton programme à une autre personne).
Comment tu te protèges contre ça ?

Dans les faits, si tu mets en place une protection de ce type, tu vas beaucoup t'embêter, à cause des changements de PC, des détails de ce genre, pénibles au possible.
Tu vas dépenser une énergie énorme pour protéger ton application, alors que personne n'avait l'intention de la pirater.
Et de toutes façons, les rares personnes qui ont l'intention de pirater ton application, ils vont être suffisament débrouillards, et ils vont réussir à la pirater.

Tu auras embêté 100% de tes utilisateurs, tu te seras bien embêté toi-même, et ta protection va sauter au 1er pirate un peu motivé.

[valentin03]

Moi, ce que je comprends pas, c'est ça: cite: "éviter qu'ils ne s'éparpillent trop."
Il faut savoir pourquoi on fait les choses; soit on les fait pour le plaisir de les faire, et dans ce cas qu'importe que l'oeuvre soit diffusée, récupérée, monnayée et plus par des tiers. Soit on les fait pour en tirer bénéfice,et dans ce cas on adopte les procédures courantes (licence..;ect...).
Où te situe tu ? Explique toi.

[BBouille]

Tout d'abord ma question était d'ordre général à savoir comment on fait?
J'aime bien le principe des logiciels qu'on trouve sur le net où on doit se déclarer pour pouvoir les utiliser.
L'auteur sait comme ça comment circule son programme.
Jusqu'à présent je n'ai eu que des critiques (comme souvent dans les forums mais rien de constructif).
Comme le spécialiste du début il voulait simplement savoir en quoi je programmais j'imagine.
"D'expérience, tes histoires de codes ne marchent pas." mais alors avec TON expérience qu'est-ce qui marche?
tbc92 : Je suis tout à fait d'accord avec toi pour les inconvénients et les problèmes que ça engendrerait mais ces programmes ne sont donnés qu'à 3-4 personnes.
J'ai trouvé comment récupérer les données d'un PC avec "WMI System Classes".
La clef ne fonctionnerait que sur le PC qui a émis le mail (donc avec ses caractéristiques) et endéans un certain laps de temps.
Le code renvoyé en retour est crypté.
Valentin : Je me situe pile au milieu.

[Galet]

Bonjour BBouille,
Quelques remarques pour avoir effectué le même chemin:
- Aucun système n'est fiable, pour preuve, certains arrivent à entrer dans le système du Pentagone ou pirater des logiciels Microsofts.
- Plus tu ajouteras de protection, plus tu susciteras l'intérêt ne serait-ce que par jeu ou par défi.
- Plus un système de protection sera flexible, plus il deviendra facilement contournable (émail pour obtenir une clef...)

Personnellement, je n'ai jamais trouvé qu'un système a peu prêt blindé c'est le Dongle (hardware).

Cela dit, j'ai commencé à "protéger" mon code en écrivant le nom de la personne à qui je le confiais, directement dans le code, avec checksomme pour éviter les petits malins qui modifiait le code Hexa.
Ensuite, j'ai codé en dur, le numéro de carte mère ainsi que le numéro de disque, encore une fois avec checksomme. Pour rendre encore plus compliqué le déverrouillage (Tu remarqueras que je n'ai pas écrit "empêcher"), je ne bloque
pas le code en cas d'échec, mais je limite les fonctionnalités. Pas non plus de code de défaut ou autre message bien trop facile à détecter.

Enfin,l' expérience m'a appris que le code n'a pas vraiment de valeur (Je croise très souvent des personnes bien plus douées que moi...), il n'est donc pas souvent utile de le verrouiller. Ce qui a de la valeur, ce sont tes idées et les méthodes
que tu utilises pour les réaliser.
C'est sur cette base que se développe l'Open source.
En travaillant et en apprenant, tu proposeras de plus en plus rapidement des programmes innovants et performants. Il sera, dans ce cas, bien plus intéressant de te contacter plutôt que de pirater ou copier.

Belle journée,

[Flodelarab]

J'aime bien le principe des logiciels qu'on trouve sur le net où on doit se déclarer pour pouvoir les utiliser.

Sans doute aimerais-tu faire un cardware ? C'est-à-dire un logiciel qui demande d'envoyer une carte au créateur du logiciel. Ou plus sournois, un logiciel qui t'envoie un mail si le logiciel est démarré. Ainsi tu connaîtras précisément l'engouement pour ton logiciel.

mais alors avec TON expérience qu'est-ce qui marche?

Rien. Et les professionnels se battent avec le cracking de leurs logiciels. C'est pour cela qu'il faut mieux définir ton besoin que vouloir faire de la coercition.

[valentin03]

Cite: BBouille: "L'auteur sait comme ça comment circule son programme."
D'accord, mais ça avance à quoi de savoir comment circule un soft ?
Si tu sais ce que tu fais tu n'a pas besoin de critique/retours.
Quand à ça: "Je me situe pile au milieu.", c'est une façon de ne pas répondre ou de dire que tu ne sais pas où tu en es ?
Quand on ne donne pas les "sources", on reste à tout jamais le concepteur, après, ce n'est qu'une question de traçabilité (poster en anonyme ou laisser une trace).
Si c'est de la reconnaissance que tu veux, c'est facile: Ouvre un site mets tes productions dedans et tu n'a plus qu'à t'assoir devant ton compteur de visite avec une bière.

[Galet]

Cite: BBouille: "L'auteur sait comme ça comment circule son programme."
D'accord, mais ça avance à quoi de savoir comment circule un soft ?
Si tu sais ce que tu fais tu n'a pas besoin de critique/retours.
Quand à ça: "Je me situe pile au milieu.", c'est une façon de ne pas répondre ou de dire que tu ne sais pas où tu en es ?
Quand on ne donne pas les "sources", on reste à tout jamais le concepteur, après, ce n'est qu'une question de traçabilité (poster en anonyme ou laisser une trace).
Si c'est de la reconnaissance que tu veux, c'est facile: Ouvre un site mets tes productions dedans et tu n'a plus qu'à t'assoir devant ton compteur de visite avec une bière.

@Valentin03:
Pardon Valentin03, mais il me semble que nous sommes sur un forum d'entraide (et d'encouragements), et ta réponse ne semble pas très constructive, voir même un chouilla moraliste.
BBouille n'est peut-être pas aussi sûr, professionnel et compétent... que toi (ou il l'est mais il se pose tout de même des questions), c'est pourquoi il se connecte au forum.
La méthode :

n'est pas très cool sur un forum

@BBouille
Pour positiver l'idée de Valentin03, ajoute, sur ton site, la possibilité, pour l'utilisateur, de mettre ses coordonnées, ainsi qu'un champs "Commentaire" pour qu'il formule des propositions. Cela te permettra de mieux le connaitre ainsi que ses besoins.
Tu peux aussi, dans ton soft, mettre directement le lien vers ton site.
L'important est de définir ton objectif :
- te faire connaitre
- connaitre les utilisateurs
- connaitre leurs besoins ou celle du marché cible de tes programmes
- vendre tes développements
- faire partie d'une communauté

Chaque besoin à une réponse, plus ou moins facile à mettre en oeuvre, plus ou moins fiable....

Belle soirée à tous,

[valentin03]

@Valentin03:
Pardon Valentin03, mais ta réponse ne semble pas très constructive, voir même un chouilla moraliste.

Point de moralisme, je voudrais juste comprendre ses motivations.
Et pardon si elles me paraissent absurdes.

[BBouille]

Merci aux avis et personnes positifs.
Je vais prendre un exemple simple comme ça Valentin comprendra et en plus il me donnera la solution comme il est intervenu si perspicacement.
Un gars recopie le contenu d'un dictionnaire papier sur format informatique après l'avoir scanné et "océrisé".
Il le donne à 3 personnes, le lendemain une de ces trois le donne à un ami et le surlendemain le monde entier a ce dictionnaire.
Et 3 jours après le pauvre concepteur se ramasse les éditeurs de dictionnaires sur le dos voyant qu'ils ne vendront plus leurs dictionnaires papier.
Je n'ai aucun esprit mercantile mais le pauvre gars ça pourrait être moi alors qu'au départ je voulais simplement donner à 2-3 amis un programme du célèbre jeu de mots.
Donc si j'ai posté c'était uniquement pour savoir ce qu'il était possible de faire pour protéger un programme et sa base de données par exemple.
Je n'ai pas approfondi le cryptage mais si ça existe c'est que ça doit être difficile à pirater.
Et comme dernière question j'ai lu qu'un programme décompilé restait quasi illisible et inexploitable, est-ce correct?

[valentin03]

Un gars recopie le contenu d'un dictionnaire papier sur format informatique après l'avoir scanné et "océrisé".

Et comme dernière question j'ai lu qu'un programme décompilé restait quasi illisible et inexploitable, est-ce correct?

Oui, la décompilation ne donne rien d'exploitable, sauf à passer des mois (voire années) à tenter de comprendre le pourquoi du comment, avec de solides connaissances en ASM (langage machine).

Pour le premier point: Si tu pompe un truc in extenso, quoi que tu en fasse tu reste un "voleur" passible de poursuites.
Mais il suffit de quelques modifs pertinentes pour sortir du cadre.

[Flodelarab]

Oui, la décompilation ne donne rien d'exploitable,

Ne dis pas n'importe quoi. Comme je l'ai dit dès le début de mon deuxième message, il suffit de changer le code hexadécimal de JZ, "saut conditionnel si" par son opposé, le code hexadécimal de JNZ, "saut conditionnel si ne pas".

sauf à passer des mois (voire années) à tenter de comprendre le pourquoi du comment,

Tu confonds la protection cryptographique avec le fait de ne pas parler la langue ou le langage. Tu confonds codage et chiffrement. Le codage est une traduction, accessible à tous ceux qui parlent la langue. Le chiffrement n'est accessible que des personnes autorisées, même si tout le monde connaît la langue.

[tu en fasse tu reste un "voleur" passible de poursuites.

Là, BBouille, on ne peut que donner raison à Valentin03. Tu voles le travail protégé d'un autre, et tu voudrais protéger ton larcin. T'es sacrément gonflé. J'ai envie de te dire que tu seras autant protégé que celui que tu as dépouillé.

Je n'ai aucun esprit mercantile

Toi, non. Mais celui qui a financé la construction du dictionnaire pour que tu puisses en jouir, oui ! Paie-le ou passe ton chemin, ou construis ton propre dictionnaire à partir de rien.

Si tu cherches une version informatique de l'ODS, il y en a une qui circule depuis des années sur internet. C'est la version 5, aujourd'hui périmée. Mais la langue française n'a pas tant changé.
Si tu es attaqué en justice, tu auras du mal a justifier que les entrées de ton dictionnaire ne dépassent pas 15 lettres.

Et comme dernière question j'ai lu qu'un programme décompilé restait quasi illisible et inexploitable, est-ce correct?

C'est faux. Comme dit et répété. Amusez-vous, chez vous, à compiler un petit programme avec un code et crackez-le. C'est instructif.

Enfin, BBouille, tu confonds la protection des données (protéger un dictionnaire) avec la protection d'un outil (protéger un logiciel). La cryptographie peut protéger une donnée, car cette dernière est inerte. La protection de l'outil est plus délicate car l'outil même protégé doit pouvoir servir. Les chercheurs travaillent actuellement à des systèmes de cryptographie homomorphe (auxquels je ne crois pas du tout) pour travailler avec des données chifrées.

[valentin03]

il suffit de changer le code hexadécimal de JZ, "saut conditionnel si" par son opposé, le code hexadécimal de JNZ, "saut conditionnel si ne pas".

Des sauts conditionnels, il peut y en avoir un gros paquet, s'il faut les traiter un par un et recompiler, pour chaque bonjour le taf.

[WhiteCrow]

Bonjour,
je m’immisce dans votre discussion, mais pas très longtemps et uniquement parce qu'elle me rappelle d'autres discussions que j'ai pu avoir il y a maintenant presque 40 ans déjà. Malheureusement je constate qu'il n'y a pas eu de réelle évolution sur le sujet, et il y a toujours les mêmes méconceptions de certains termes.
Comme le rappelle Flodelarab, il y a protection dans le sens protection de la propriété intellectuelle et protection dans le sens «utilisable uniquement par des personnes autorisées».

La propriété intellectuelle est régie en France par un code, le code de la propriété intellectuelle (ouaips, mon côté captain obvious). Il y a des règles, des lois, etc. C'est pour cela qu'on ne peut pas (moralement et légalement) copier sans vergogne le travail d'un autre. Je ne pourrais pas commercialiser l'ODS (5, 6, 7 ou 8, avec une petite exception/faille pour le 4 ^_^) sans accord des ayants droits. Sans accord je suis dans l'illégalité et de fait les éditions Larousse pourraient me poursuivre en justice. Bon pour les lexiques c'est un poil plus délicat et en effet c'est pas pour rien que des sites comme Listes de Mots fournissent le dernier ODS augmenté des flexions manquantes de longueur supérieur à 15. Il y en a suffisamment, légalement, pour éviter toute poursuite qui pourrait aboutir.
Donc, la propriété intellectuelle est toujours garantie et tu pourras toujours te retourner contre ceux qui en font fi.

Quant à la «propriété/ autorisation d'utilisation» elle est bien différente. À moins d'avoir une situation de quasi monopole (Microsoft Windows/Apple MacOS) ou d'avoir un logiciel unique de niche, en gros être incontournable, ça ne te servira pas à grand chose. Tout d'abord parce que ça va demander une dépense folle d'énergie, d'argent, de temps pour un résultat qui ne le méritera pas. Ce n'est pas étonnant d'ailleurs que les revenus générés par les applications ces derniers temps sont soit dus à la pub soit aux services collatéraux. Le libre a fait tomber le modèle économique de la suite office …

La protection par chiffrement ? Quel intérêt, il faudra de toute façon que tu déchiffres pour pouvoir y accéder … compliquer les choses n'est jamais bon.

[Galet]

Merci aux avis et personnes positifs.
...
Je n'ai aucun esprit mercantile mais le pauvre gars ça pourrait être moi alors qu'au départ je voulais simplement donner à 2-3 amis un programme du célèbre jeu de mots.
Donc si j'ai posté c'était uniquement pour savoir ce qu'il était possible de faire pour protéger un programme et sa base de données par exemple.
Je n'ai pas approfondi le cryptage mais si ça existe c'est que ça doit être difficile à pirater.
Et comme dernière question j'ai lu qu'un programme décompilé restait quasi illisible et inexploitable, est-ce correct?

On ne peut que se ranger derrière les remarques de Flodelarab.
En plus des lois rappelées (merci à WhiteCrow), il y a aussi la déontologie.

Le "gars désintéressé" se donne tout de même du mal pour recopier un dictionnaire, et l’intégrer dans un programme alors que des applications officielles et respectueuses, probablement plus fiables, existent.
Les douaniers de Vintimille (Célèbre pour son marché de la contrefaçon) devraient être en mesure de répondre aux interrogations du"gars'.

Bien l'bonjour...