Discussion :

[Danyel]

Bonsoir All,

Je suis en train de me renseigner sur l'obfuscation, et n'ayant encore jamais pratique ni utilise, je me demande lequel est actuellement le meilleur (point de vue securite)

En vous remerciant.
Danyel.

[guillaumemarques]

Je pense que le mieux c'est celui que l'on écrit soit même... Car je crois que tous ont été "craqués"...

Bon courage

Guillaume MARQUES

[smyley]

La sécurité du code en .NET c'est vraiment une grosse lacune. Quand ce n'est pas obfusqué on peut lire le code source directement avec un outil comme Reflector et avec un code obfusqué, on prend peut être 30mn à 1h pour chercher ce que l'on veut, et l'affaire est gagnée. Je pense que la solution la plus "sûre" en .NET serait d'écrire l'Interface Utilisateur en .NET et le code "sensible" en C++ natif car sinon l'application est un livre ouvert pour les crakers ... ( le C++ compilé en asm éttant beaucoup plus difficile à décompiler que le MSIL )

Celà dit le choix des obfuscateurs est vaste et personellement j'avais trouvé que Dotfuscator n'était pas mal ...

[guillaumemarques]

En effet,

Dotfuscator est pas mal, mais si l'on souhaite une solution réellement sécurisé, cela ne convient pas...

Le mieux (et le plus sûr) est de créé un exe en C++ qui décryptera des dlls .Net pour en lancer l'exécution.

Cordialement.

Guillaume MARQUES

[smyley]

Le mieux (et le plus sûr) est de créé un exe en C++ qui décryptera des dlls .Net pour en lancer l'exécution.

ah tu crois ? et où l'exe en C++ décrypte-t-il les dlls ?
- sur le disque ? et il suffit de logguer les accès au disque pour trouver la dll en clair ...
- en mémoire ? et dans ce cas un cracker peut quand même trouver la dll ... et de plus pour un gros logiciel tu te vois tout mettre en mémoire et devoir tout décrypter au startup ? ça va devenir une usine à gaz rien que pour démarrer ... et donc utilisateur non insatisfait : son programme qu'il a acheté 10 K € prend 20 ans pour démarrer et utilise toutes les ressources de son pc pour rien ...

[guillaumemarques]

Tu as bien de la chance si tu arrives à vendre des logiciels 10K€...

Par contre, je suis d'accord avec toi, tout ce qui s'exécute peut se craquer (même en assembleur s'il le faut )...

Une des seules solutions un peu plus "sécurisée" que les autres, faire appel à des systèmes externes (type Dongle/Clé Aladin ou toute autre marque. Mais comme cela à un coût, il faut savoir si le jeu en vaut la chandelle

Cordialement

Guillaume MARQUES

[smyley]

Tu as bien de la chance si tu arrives à vendre des logiciels 10K€...

c'était un exemple

Par contre, je suis d'accord avec toi, tout ce qui s'exécute peut se craquer (même en assembleur s'il le faut )...

sauf que cracker de l'assembleur prend beaucoup, beaucoup plus de temps que de cracker du MSIL et c'est pour celà que j'ai proposé d'écrire le code sensible directement en C++ natif...

Une des seules solutions un peu plus "sécurisée" que les autres, faire appel à des systèmes externes (type Dongle/Clé Aladin ou toute autre marque. Mais comme cela à un coût, il faut savoir si le jeu en vaut la chandelle

voilà, là, je commence a être d'accord avec toi mais franchement, protection du code source en .NET c'est léger léger ...

[Danyel]

Tout cela n'est guere encourageant ...

[Piotrek]

Il est peut etre simple de desoffusquer une petite DLL, mais la protection devient efficace si on applique une politique globale

En mettant tes assemblies dans le GAC et en te creant tes propres licences pour tes composants tu ecarte deja les curieux potentiels et force les perseverants a refaire a partir de zero toute ton application

Pour ces derniers qui utiliseraient une procedure automatisee, tu insere un systeme d'enregistement automatique de l'application lorsque l'application demarre pour la toute premiere fois (qui envoie un mail, lance une url sur le site du createur) Si l'application est consequante, il y a de fortes chances que ceci soit traduit par inadvertance

[smyley]

Pour ces derniers qui utiliseraient une procedure automatisee, tu insere un systeme d'enregistement automatique de l'application lorsque l'application demarre pour la toute premiere fois (qui envoie un mail, lance une url sur le site du createur) Si l'application est consequante, il y a de fortes chances que ceci soit traduit par inadvertance

Tu serai juste parce que si je vois une application qui me dit ça ( genre McAfee qui me dit que cette application tente d'accéder à Internet alors qu'elle ne le devrai pas ) je crie au spyware et peut être que celà découragera certains utilisateurs sceptiques ...

[Danyel]

Voici les 2 liens de Piotrek pour vs2005, framework2 et en francais

- http://msdn2.microsoft.com/fr-fr/lib...41(vs.80).aspx
- http://msdn2.microsoft.com/fr-fr/lib...h9(vs.80).aspx

[akecoocoo]

Piocher dans le génie des dingues qui ont pondu ça : http://www.es.ioccc.org

Parce qu'un hello world écrit de cette manière : http://www.es.ioccc.org/1986/wall.c c'est vraiment la classe....

(et quand tu ajoutes du style : http://www.es.ioccc.org/1984/laman.c c'est encore plus beau !)

[Piotrek]

Tu serai juste parce que si je vois une application qui me dit ça ( genre McAfee qui me dit que cette application tente d'accéder à Internet alors qu'elle ne le devrai pas ) je crie au spyware et peut être que celà découragera certains utilisateurs sceptiques ...

Je parlais d'une appli d'entreprise sencee etre achetee, pour le shareware grand public je suis d'accord avec toi