Reverse engineering et décompilation...

[invite7d411dcd]

Salut à tous !

Entrons dans le vif du sujet. Je code un soft en C++ dans le câdre de mon travail et on m'a chargé de créé un système de license de mon choix. J'ai donc codé une classe (appelons là licensekey) qui contient des méthodes pour générer et vérifier des license et en sortr certaines informations comme la date de validité de celles-ci.

Quand je compile mon code pour un release, je commente la partie de mon code qui contient les méthodes pour générer la clef (j'ai toujours besoin de la partie vérification dans le release client).

Ma question est donc : Je sais bien qu'on peut "reverse-engineerer" mon code et s'arranger pour passer par dessus la vérification de la license (c'est pourquoi j'en ai mis plein à différents endroits de mon code... ) mais est-ce qu'on peut par je ne sais quelle magie noire avoir accès au code commenté et donc récupérer le code qui génére les licenses, id est être capable de créer un keygen qui marcherait parfaitement ? Parce que si oui, je le supprime et basta !!

Je vous souhaite une bonne journée !
-----

[Stan_94]

Bonjour,
le code compilé ne contient pas les commentaires mais une analyse en reverse engineering permettra toujours à quelqu'un de motivé et compétent de trouver comment ça marche
Et surtout, il faut bien codé d'une façon sécurisée pour éviter par exemple qu'un simple buffer overflow permet de bypasser le contrôle de la clé.

[invite7d411dcd]

Merci ! Bien sûr qu'un gars motivé peut cracker n'importe quoi, faut juste que ça coûte plus cher de payer cette personne que d'acheter la license du programme !

[Deedee81]

Salut,

Ce qu'on peut faire (ce qu'on faisait quand je travaillais à Mons) est générer une clef combinant une clef aléatoire et des données liées à la machine (nous on utilisait le numéro de série du disque dur).
Et en utilisant une technique de cryptage considérée comme sûr et connue. L'algorithme est alors connu et un reverse engineering n'apporte rien de plus, la difficulté n'étant pas là.
On fournissait alors une clef d'accès que les utilisateur devait introduire et permettant le fonctionnement uniquement sur UNE machine.

Mais ces techniques ne sont pas toujours utilisables ou pas toujours aussi facilement.

[A voir en vidéo sur Futura]

[invite2d7144a7]

Bonjour,

On fournissait alors une clef d'accès que les utilisateur devait introduire et permettant le fonctionnement uniquement sur UNE machine..

Désolé, mais ce genre de protection est très simple à contourner ...

[Garion]

En effet, on peut mettre le système de code qu'on veut, il arrive un moment où le programmeur devra tester si la fonction a renvoyé que le code était valide ou pas, et là, il suffit de modifier le test.

[invite473b01b1]

En effet, on peut mettre le système de code qu'on veut, il arrive un moment où le programmeur devra tester si la fonction a renvoyé que le code était valide ou pas, et là, il suffit de modifier le test.

Pas nécessairement, par exemple si une clé est nécessaire pour initialiser des éléments, il faut avoir eu au moins une fois une clé valide...

[Deedee81]

Salut,

En effet, on peut mettre le système de code qu'on veut, il arrive un moment où le programmeur devra tester si la fonction a renvoyé que le code était valide ou pas, et là, il suffit de modifier le test.

Je confirme. Je l'ai fait (légalement) pour un client sur un autre programme (le changement de disque dur provoquait un refus d'accès et la société ayant conçu le programme avait fait faillite quelque temps avant).

Dans le programme qu'on utilisait, il y avait toute une série d'astuces rendant infiniment plus difficile cette méthode. Je ne connais pas les détails car je ne m'occupais pas de l'implémentation de la sécurité, mais je sais qu'il y avait plusieurs mécanismes : celui indiqué par Sebdraluorg (une série de données propre au client et nécessaire au bon usage du programme étaient dans la clef), des contrôles multiples et synchronisés entre thread et je ne sais plus quoi. Le patron avait beaucoup d'imagination pour ça Il profitait aussi du fait que le programme était très volumineux (dans le "hacking" dont je parle ci-dessus j'avais eut de la chance : le contrôle était tout au début du code).

Mais évidemment aucun système n'est infaillible. D'ailleurs nous avons bien été victime au moins une fois d'un piratage (mais je ne sais pas comment le fraudeur avait procédé....).

Mais il existe aussi peut-être des méthodes plus simples qu'accumuler les astuces !!!! Je ne suis pas spécialiste (ma spécialité c'est plutôt la gestion comptable, pas vraiment la même chose ).

[invite9dc7b526]

Et faire exécuter le test sur une machine de l'éditeur via internet? en faisant en sorte comme suggéré par Sebdraluorg que certaines variables soient initialisées en fonction du résultat du test. Bon ça rendrait le programme dépendant d'une connection internet, et de la pérénnité de l'entreprise.

[Deedee81]

Et faire exécuter le test sur une machine de l'éditeur via internet? en faisant en sorte comme suggéré par Sebdraluorg que certaines variables soient initialisées en fonction du résultat du test. Bon ça rendrait le programme dépendant d'une connection internet, et de la pérénnité de l'entreprise.

Tout dépend de l'application et de son usage. Certaines applications de par leur usage sont plus faciles à sécuriser que d'autres.