[WD8] Information lisible dans l'exécutable?

> Comme je n'ai encore réalisé que de petits projets avec Windev 8, je n'ai
pas pu examiner toutes les possibilités. En tous cas, je ne vois rien
d'évident dans l'exécutable de Windev, contrairement à d'autres langages
où
on arrive à lire directement en texte clair le contenu de certaines
variables et des champs utilisés dans le fichier .exe.

Si tu charges l'exe avec un éditeur de texte tu ne verras rien que des
caractères bizarres ... normal, par contre si tu utilises un désassembleur
alors tu as accès à d'autres informations, plus lisibles. D'où la nécessité
comme le signalait un jour Michael F (je crois) de ne pas mettre les mots de
passes en clair dans ton programme mais sous forme haché.

Aussi même si certaines informations ne sont pas disponibles dans l'exe,
elle le le sont lors de l'exécution et un simple dump de mémoire peut
révéler un mot de passe & autre si tu n'as pas pris la peine de nettoyer la
place. Et encore, d'après ce que je sais la mémoire vive est un peu comme le
cache disque çà se fragmente et certains emplacements ne sont réellement
nettoyés qu'après réécriture à la même adresse ...

Comme je commence maintenant un projet important en WD, j'aimerais savoir
s'il y a des trucs avec lesquels il faut faire attention dans ce sens, ou
si
tout est vraiment bien protégé aux regards indiscrets dans l'exécutable?

Tout n'est jamais réellement protégé, le meilleur exemple est Windev qui est
cracké dans toutes ces versions !

Mais pour reprendre une discussion récente sur la protection d'application
il faut non pas raisonné en terme de hacking mais en terme de rapport coût /
temps. Si piraté ton appli prends un temps non réaliste par rapport aux
bénéfices escompté alors tu as gagné ! Et pas besoin de méthode très
compliqué, simplement des règles de bases comme le cryptage, le hachage
éventuellement. Mais un utilisateur landa n'ira ni ne pourra rien faire ni
voir. Si ton appli est exceptionnellement bien protégé encore faut-il qu'un
hacker digne de ce nom s'y intéresse ! Mais là à moins d'atteindre les
100.000 téléchargements sur download.com y'a peut de chance que cela arrives
...

Alors je penses que tu peux y aller sans problèmes en appliquant qq règles
simples.

"Phil" <pasdespam_info@ultra.ca> a écrit dans le message de
news:f_o%c.29352$fU6.224005@wagner.videotron.net...

Bonjour,

Toute application complexe a ses petits secrets qu'il est nécessaire de
garder hors d'atteinte des usagers curieux et parfois des hackers.
Particulièrement lorsqu'il s'agit de modules de débridages ou d'accès par
mots de passe.

Certains langages offrent la possibilité d'encrypter ou non le fichier

.exe

justement dans ce but.

Les quelques vérifications que j'ai faites dans l'exécutable de Windev
semblent indiquer que toutes les informations; comme le contenu des
variables, les mots de passe, les informations sur l'analyse ou tout autre
texte, sont automatiquement encrypté dans l'exécutable.

Comme je n'ai encore réalisé que de petits projets avec Windev 8, je n'ai
pas pu examiner toutes les possibilités. En tous cas, je ne vois rien
d'évident dans l'exécutable de Windev, contrairement à d'autres langages

où

on arrive à lire directement en texte clair le contenu de certaines
variables et des champs utilisés dans le fichier .exe.

Comme je commence maintenant un projet important en WD, j'aimerais savoir
s'il y a des trucs avec lesquels il faut faire attention dans ce sens, ou

si

tout est vraiment bien protégé aux regards indiscrets dans l'exécutable?

Réal Phil

Bonjour Phil

Aujourd'hui, la plupart des "hackers" et autres individus "malfaisants" de
ce genre utilisent d'autres outils et ne perdent plus leur temps à examiner
le contenu des fichiers composant les programmes.
Ainsi lorsque, pour quelque raison que ce soit, un logiciel les intéresse,
ils le font tourner dans ce que l'on peut, en gros, appeler un débogueur
virtuel.
Ils peuvent ainsi faire fonctionner le logiciel tout en suivant à la trace
toutes les variables crées et utilisées par celui-ci de façon à découvrir
celles qui, par exemple, sont utilisées pour des procédures de codage,
décodage, bridage, débridage, d'accès par mots de passe, etc ...

Imagine, par exemple, que tu planques un mot de passe crypté dans un fichier
HF protégé par un mode de passe.
Bon, difficile d'aller le trouver, c'est vrai.
Cela étant, lorsque ton logiciel ira lire cette donnée dans le fichier HF et
qu'elle sera utilisée par le programme ... elle sera visible dans le
débogueur virtuel de l'individu.

Hummm ... je ne voudrais pas te décourager mais tu auras beau coder ou
encrypter tes données, ces outils sont imparables et, pour nous
auteur/développeur, il n'y a absolument rien à faire pour y remédier.
A la rigueur, tu peux simplement retarder le crackage de ton logiciel en
installant, en début de projet des instructions destinées à arrêter ton
programme si l'un des logiciels utilisés comme débogueur virtuel est chargé
en mémoire.
Tu peux par exemple, dans le code Init par exemple, placer des Si
Exelance("xxxxx") = vrai alors finprogramme, sachant bien sur que xxxxx est
le nom du programme exécutable utilisé par le crackeur.
Bien sur, lorsque l'individu aura compris ce qu'il se passe, il lui suffira
de renommer son programme exécutable pour passer à travers ce dispositif de
blocage, d'où le fait que tu ne peux que retarder le crackage et pas
l'empêcher.

Il y a quelques mois, l'un de mes logiciels comportait un code spécial de
débridage.
Bien que celui-ci était crypté et "caché" puisque pour partie visible via
l'instruction ..NOTE et pour partie via l'instruction ..AIDE de 2 champs
d'une fenêtre, il a été découvert et publié par l'individu qui se faisait
appeler "LE MIAOU" sur plusieurs sites de Warez et de cracks logiciels.
A cette époque (Octobre 2001), ce félin était particulièrement efficace
puisqu'il avait à son tableau de chasse une quantité très importante de
logiciels (dont une partie de la gamme des logiciels édités par CIEL) dont
il publiait les codes de débridage sur divers sites "spécialisés".

Lorsque j'avais découvert cela, je m'étais bien sur empressé de changer le
code de débridage et de faire disparaître toutes les données sensibles
placées à l'intérieur du logiciel.
J'avais également placé plusieurs pièges du genre utilisation dans une
chaine numérique du caractères "O" à la place du chiffre "0" ou du caractère
"l" au lieu du chiffre "1", etc ... de façon à faire en sorte que le
logiciel se comporte "bizarrement" ou produise des effets "indésirables"
s'il avait été débridé avec ces codes piégés.
Peine perdue puisque 2 ou 3 semaines seulement après cela, le nouveau code
de débridage se promenait sur divers groupes de discussion spécialisés.
Pour le découvrir, il m'avait suffit de parcourir les groupes de discussion
spécialisés. Ainsi, un matin je découvre un message d'une certaine Julie et
qui lance un appel généreux à celui ou celle qui lui fera passer une
solution pour cracker mon logiciel. J'ai aussitôt répondu, dans un style
très "djeune et SMS" à cette Julie en lui disant que j'étais moi aussi
intéressé par un crack du logiciel et que si elle avait une solution, ce
serait cool de me la faire passer. A cet effet, je lui ai laissé une adresse
sur yahoo.fr pour me répondre. Et bien ... 4 jours plus tard, cette Julie
m'a communiqué la solution pour cracker mon logiciel. En plus, dans la
solution, elle me précisait à force de détails ce que je devais faire et,
surtout, ne pas faire au risque de tomber dans les pièges mis en place par
l'auteur ... c'est-à-dire moi.

Aujourd'hui, je ne sais pas si ce "LE MIAOU" sévit toujours. Cela étant,
croyez-moi et même si j'aime beaucoup les chats (j'en ai 2 à la maison) je
ne serais absolument pas peiné si j'apprenais qu'il s'est fait écrabouiller
par une voiture ou éclater contre un mur par un gamin.
En tout cas, depuis que j'ai vécu cette expériencen, je laisse des petits
messages à son attention dans mes programmes du genre "Si tu me lis, vas te
faire voir Miaou"

A+

val

> Aujourd'hui, je ne sais pas si ce "LE MIAOU" sévit toujours. Cela étant,
croyez-moi et même si j'aime beaucoup les chats (j'en ai 2 à la maison) je
ne serais absolument pas peiné si j'apprenais qu'il s'est fait
écrabouiller
par une voiture ou éclater contre un mur par un gamin.
En tout cas, depuis que j'ai vécu cette expériencen, je laisse des petits
messages à son attention dans mes programmes du genre "Si tu me lis, vas
te
faire voir Miaou"

Y'a un film tout fait pour alors au cinéma en ce moment :)

"Steph" <steph@free.fr> a écrit dans le message de
news:413eae42$0$11851$79c14f64@nan-newsreader-06.noos.net...

Mais pour reprendre une discussion récente sur la protection d'application
il faut non pas raisonné en terme de hacking mais en terme de rapport coût

/

temps. Si piraté ton appli prends un temps non réaliste par rapport aux
bénéfices escompté alors tu as gagné ! Et pas besoin de méthode très
compliqué, simplement des règles de bases comme le cryptage, le hachage
éventuellement. Mais un utilisateur landa n'ira ni ne pourra rien faire ni
voir. Si ton appli est exceptionnellement bien protégé encore faut-il

qu'un

hacker digne de ce nom s'y intéresse ! Mais là à moins d'atteindre les
100.000 téléchargements sur download.com y'a peut de chance que cela

arrives

...

Alors je penses que tu peux y aller sans problèmes en appliquant qq règles
simples.

Bonjour

Tu sais, mon logiciel auquel je faisais allusion dans un post précédent et
piraté par "LE MIAOU" était vendu 15 Euros et sa diffusion n'était pas
exceptionnelle puisque les "scores" sur télécharger.com variaient entre 200
et 300 téléchargement tous les 7 jours.
Donc, ce n'était pas un logiciel exceptionnel et intéressant à pirater du
fait de son prix modique et de sa faiblesse si l'on raisonne en "part de
marché"
Malheureusement, il est tombé entre les pattes du hacker qui lui l'a jugé
intéressant et cela a suffit.

Donc, aujourdhui, même un logiciel dont la diffusion est confidentielle et
dont le prix de vente est très bas peut être piraté.

Concernant le portait type du hacker ... faut pas non plus croire ce que
disent certains car il ne faut plus être bardé de diplôme et avoir bossé
plusieurs années dans l'informatique pour savoir comment pirater un
logiciel.
En fait, un gosse de 10 ans qui sait manier sa souris, et nous en
connaissons tous, peut faire tout ce qu'il veut avec les moyens disponibles
aujourd'hui.

Et oui, je sais, c'est triste mais c'est comme cela et nous devons faire
avec.

A+

val

> En fait, un gosse de 10 ans qui sait manier sa souris, et nous en
connaissons tous, peut faire tout ce qu'il veut avec les moyens
disponibles
aujourd'hui.

Faut quand même qu'il est un bon QI ton p'tiot ... :)

C'est vrai que dans ton cas MIAOU à du flasher sur ton logiciel pour prendre
la peine de le cracker, menfin même si c'est chiant tu peux toujours te dire
qu'a moins 1 personne l'a bien apprécier !

C'est le lot de nous tous qui créons des programmes, avec l'avènement du
tout gratuit plus personne ne comprends le fait de payer pour récompenser le
travail des développeurs que nous sommes, alors par dépit soit on diffuse en
freeware, soit en shareware, plus ou moins bien protégé, mais pas cher. Et
encore même 10 ou 20 ? en regard du travail que demandes certains programmes
est trop cher pour certains.

Ce faire cracker est aujourd'hui la récompense d'un bon petit logiciel !

Merci Steph et Val pour vos réponses super instructives.
Et bien, même après 25 ans dans le métier on en apprend toujours.

Val, ton histoire est tout à fait fascinante... malheureusement.

Ce n'est pas mon style, mais j'ai connu un de mes compétiteurs qui plaçait
quelques "bugs" volontaires dans ses programmes pour forcer le client à lui
téléphoner au bout de 6 mois d'utilisation. Je ne trouve pas ça honnête du
tout mais je commence à me demander s'il ne l'a pas fait en réaction après
s'etre fait piraté. Quoi qu'il en soit, c'est certain que je ne prendrai pas
cette voie pour régler le problème.

D'une part je crois que tous les développeurs devraient connaître les
adresses des sites qui offrent des logiciels piratés. Ne serait-ce que pour
vérifier de temps à autre si notre logiciel est dans leurs listes.
J'ai trouvé cette adresse http://cracks.thebugs.ws/pages/A/1.shtml mais
c'est tout. Il y en a sûrement de nombreuses autres.
As-tu quelques adresses à me fournir de Newsgroups et de sites qui offrent
ces logiciels?
Ou encore les mots-clefs qui permettent de les trouver.

En cherchant avec Google j'ai aussi trouvé ce site qui semble offrir une
protection software dans ce sens.
Le site est http://www.exeshield.com/ . Il faudrait commencer par voir s'il
n'est pas lui-même dans la liste des logiciels piratés ;-(
Quelqu'un connait ce logiciel? Un avis à émettre?
En tout cas, ce logiciel - qui modifie l'exécutable - prétend qu'il déjoue
la plupart des débuggeurs sur le marché. C'est un bon départ.
Serait-ce une solution à envisager?

Je frisonne en pensant qu'un hacker a pris la peine de pirater ton logiciel
à 15 euros alors que je vend un logiciel entre 400 et 1700 euros selon la
version. Et je commence la version en Windev... Belle perspectives!

En fait, l'idéal serait de connaître un bon hacker à qui soumettre notre
logiciel pour voir si nos trouvailles lui causent des difficultés.

Un problème de plus à régler..!

Cordialement,

Réal Phil

> Val, ton histoire est tout à fait fascinante... malheureusement.

C'est vrai que quand on voit ce que théoriquement Winzip par exemple
pourrait rapporter ...

Ce n'est pas mon style, mais j'ai connu un de mes compétiteurs qui plaçait
quelques "bugs" volontaires dans ses programmes pour forcer le client à
lui
téléphoner au bout de 6 mois d'utilisation. Je ne trouve pas ça honnête du
tout mais je commence à me demander s'il ne l'a pas fait en réaction après
s'etre fait piraté. Quoi qu'il en soit, c'est certain que je ne prendrai
pas
cette voie pour régler le problème.

Oui j'ai connu un consultant aussi, en plus dans une appli Windev, qui avait
volontairement désactivé une ligne de code :) sauf qu'il ne devait pas
savoir que je connaissais Windev alors on l'a pas rappelé le moment voulu :)

D'une part je crois que tous les développeurs devraient connaître les
adresses des sites qui offrent des logiciels piratés. Ne serait-ce que
pour
vérifier de temps à autre si notre logiciel est dans leurs listes.

Pas tout a fait d'accord, on peut vivre sans connaitre ses adresses !

J'ai trouvé cette adresse http://cracks.thebugs.ws/pages/A/1.shtml mais
c'est tout. Il y en a sûrement de nombreuses autres.
As-tu quelques adresses à me fournir de Newsgroups et de sites qui offrent
ces logiciels?
Ou encore les mots-clefs qui permettent de les trouver.

Là c'est pas l'objet du forum, un peu d'imagination de ta part :)

En cherchant avec Google j'ai aussi trouvé ce site qui semble offrir une
protection software dans ce sens.
Le site est http://www.exeshield.com/ . Il faudrait commencer par voir
s'il
n'est pas lui-même dans la liste des logiciels piratés ;-(
Quelqu'un connait ce logiciel? Un avis à émettre?
En tout cas, ce logiciel - qui modifie l'exécutable - prétend qu'il déjoue
la plupart des débuggeurs sur le marché. C'est un bon départ.
Serait-ce une solution à envisager?

En général pour chaque packer tu trouves le UNpacker qui va avec :), çà peut
ralentir ou dépiter un amateur seulement. Mais à sur-ajouter des protections
tu pénalise aussi ton EXE !

Je frisonne en pensant qu'un hacker a pris la peine de pirater ton
logiciel
à 15 euros alors que je vend un logiciel entre 400 et 1700 euros selon la
version. Et je commence la version en Windev... Belle perspectives!

Variable, qq. soit le prix de ton logiciel, faut-il qu'un hacker trouves un
intérêt à le cracker et là oui il en fera profiter la communauté ! Sinon
beaucoup de bon logiciels pro ne sont pas crackés parce que majoritairement
utiliser en entreprise par exemple et de ce coté là, elles sont un peu +
respectueuse, surtout si elles veulent les MAJ & le ST :)

En fait, l'idéal serait de connaître un bon hacker à qui soumettre notre
logiciel pour voir si nos trouvailles lui causent des difficultés.

Un bêta-crackeur :) t'auras du mal à en trouver un ...

Un problème de plus à régler..!

Cordialement,

Réal Phil