créer clef d'enregistrement

Question

bonjours a tous, voila j'ai créé un logiciel de gestion des stocks pour ma boite et j'aimerais mettre un place un système de licence pour la distribution, or je ne sais vraiment pas comment faire. Quelqu'un peut-il m'aider ou me donné des liens ou il y est expliquer la démarche, ou encore un peut de code si sa n'est pas trop demandé? merci cordialement zuddap

Mayzz · Answer

Bonjour,

Il te suffit de faire une recherche il y a des sources traitant ce sujet ici.

Mayzz.

cs_lilj · Answer

mais ces sources sont en VB6, je cherche en VB10. De plus, les sources sont un peu complexe.

Mayzz · Answer

Déjà il faut savoir une chose: La protection parfaite n'existe pas.

Après c'est à toi de voir ce que tu veux faire, aujourd'hui avec un simple hébergement à 60€/an tu peu faire un site de vente pour ton logiciel avec une gestion des clients + un service d'activation en ligne via les services web...

Tout dépend de ce que tu cherches à faire au juste. Si c'est une protection simple alors une simple InputBox avec un algo de génération des clés suffisent mais ca sera cassé par le premier qui touche un peu, alors vois si ca vaut le coup, si ton logiciel mérite que tu passe plus de temps à le protéger, si il se vendra et si tes clients sont des "experts en informatique" ou non.  

Si le déboguage est l'art d'enlever les bogues, la programmation doit être l'art de les créer.

cs_lilj · Answer

Justement, je sais que mon logiciel ne sera pas connu par le grand public et sera utilisé par des partenaires (pas spécialement pourvu d'un service informatique ou d'expert), en plus avec mon niveau d'étudiant je ne prétend pas non plus à fournir une sécurité accru. Mais je cherche un minimum de sécurité. 
je veux simplement un code permettant de générer un code d'activation à partir d'un nom d'organisation.
Comme ça, avec mon app A je génère une code d'activation à partir d'un nom d'organisation, puis j'enregistre ces infos dans ma base de donnée.
Enfin, lors de la 1ere exécution ou lors de l'installation de mon app B, il envoie le code d'activation ainsi le nom d'organisation entré par l'utilisateur. Le serveur vérifie l'existence et la cohérence ( c'est à dire le couple licence/nom) de ces infos. Si c'est ok alors le logiciel s'exécute normalement, sinon il se ferme.
que pensez-vous de ce mode opératoire ?
Je sais que avec ce mode opératoire, il sera possible pour l'utilisateur de réutilisé la même licence plusieurs fois mais bon.
Avez-vous un code permettant de générer une clé d'activation de cette manière ?

Mayzz · Answer

Tu es sur vbfrance et ton logiciel est codé en vb, ma réponse va donc porté unniquement sur les technologies Microsoft sachant que l'on peut faire l'équivalent en PHP/MySQL gratuitement.

Voila comment je procède :

Lors ce que je termine un produit. J'inclus une classe contenant les infos de licence et qui sera sérialisé/crypté sur le disque en me servant du numéro de volume du disque et de la clé de windows hashé comme base pour ma clé de cryptage (on peut prendre n'importe quel infos du moment qu'elle est fixe). A démarrage mes soft vérifient l'existance du fichier, et la validité de l'activation (par rapport une propriété de la classe, la date par exemple). Si ce n'est pas le cas alors le formulaire d'activation s'affiche, demande la clé de licence et le nom de la société ou d'utilisateur. Le formulaire consulte alors un service web situé sur l'hébergeur en lui envoyant la clé de licence. Le service web recherche dans la base de données l'existance de la clé, si il la trouve il renvoi une réponse positive à l'application Winform, celle-ci replie les propriétés de la classe et enregistre les infos sur le disque.

Coté Web, je crée une page d'aministration pour gérer la table "Activation" de ma base. Et éventuellement si le soft est commercialiser une page de génération pour les clients. En gros :

L'utilisateur se connecte au site et achète le soft, une clé aléatoire est générée et insérer dans la base de données. Le client reçoit une copie de sa clé d'activation par email. Il installe le logiciel et lors de l'activation le service web définie cette clé comme étant activé (donc plus utilisable) mais ne la supprime pas de la base. De cette façon coté administration je sais que M.DURAND à acheté mon soft aujourd'hui à 14h15 et qu'il l'a enregistré à 14h25.

Pour gérer un tel processus ce n'est pas si compliqué il suffit de toucher un peu aux base de données  et à l'ASP.Net.

Voila les liens qui t'aideront
 
Pour la sérialisation => ici

Pour les services web => ici

Voila, c'est un minimum, biensur cette méthode peut être grandement améliorée. J'utilise une connexion sécurisé pour mes services web, je crée une page permettant aux client d'obtenir une nouvelle licence en cas de changement de matériel etc... Mais ça c'est tout autre chose.

Si le déboguage est l'art d'enlever les bogues, la programmation doit être l'art de les créer.

cs_lilj · Answer

j'avais aussi pensé au service web. Mais pour l'instant, je pense me contenté de ce que j'ai expliqué plus haut. Cependant, si mon logiciel devrait être utilisé à plus grande ampleur ou si la méthode actuelle ne sera plus adapté, alors je basculerai vers le service web.

CerberusPau · Answer

Bonjour à vous,

J'ai exactement eu le même besoin, mais j'ai procédé un peu différemment compte tenu de conditions bien particulières.

J'ai développé en VBA (Excel 2003) un programme de gestion de sauvegardes de programmations d'automates assez lourd, spécifique à la société de maintenance dans laquelle je travaillais, dont les responsables domaine n'autorisaient QUE la suite bureautique Office 2003... Donc le problème de la "licence" est vite devenu un voeux pieu!

On peut tout imaginer: A commencer déjà par cacher le menus Excel, verrouiller les touches de raccourci, générer des clés sur listes, etc... cela se contourne avec une facilité évidente, et même dans le cas d'Excel, sans le chercher! Par exemple, il suffit d'ouvrir un fichier, puis de lancer une macro qui "par hasard" plante en mode arrêt, et les macros ne pouvant plus tourner, le fichier "verrouillé" ne l'est plus!

En fait, il faut savoir ce que l'on veut faire. Dans mon cas, j'ai joué franc-jeu et demandé à l'entreprise qu'elle le joue aussi, et donc je n'ai PAS protégé de la sorte, mais j'ai quand même mis une petite surprise.

Si un petit malin copiait le programme sur un autre serveur sans m'en avertir, il ne décelait a priori aucun problème : ça tournait, donc il ne se méfiait pas qu'en fait cette installation était tracée sur le serveur souche et donc visible pour moi lors des opérations de mise à jour et/ou de maintenance que j'avais "offertes pendant 1an". 

A ce niveau il est alors possible d'intervenir pour défendre son dû, sinon, la décommentation d'une ligne de code "suicidait" le fichier en effaçant , à la fermeture, toutes les macros, les formules, les mises en formes, etc... à l'exception des valeurs des données existantes.

En fait je n'ai eu à conduire une telle vindicte qu'une seule fois, car avec les sociétés qui demandent un programme spécifiquement adapté pour elles, le seul vrai problème est de se protéger des mauvaises manipulations des utilisateurs. 

On ne peut pas faire grand chose contre de la malveillance, surtout si elle est interne ; au moins peut-on essayer de la tracer ; sachant qu'on ne pourra rien contre une VRAIE attaque 


Je n'encombrerais pas ce post (déjà bien long!) des bouts de code développés à cette occasion...

Cordialement
Rataxes64

Mayzz · Answer

Comme ça, avec mon app A je génère une code d'activation à partir d'un nom d'organisation, puis j'enregistre ces infos dans ma base de donnée. 
Enfin, lors de la 1ere exécution ou lors de l'installation de mon app B, il envoie le code d'activation ainsi le nom d'organisation entré par l'utilisateur. Le serveur vérifie l'existence et la cohérence ( c'est à dire le couple licence/nom) de ces infos. Si c'est ok alors le logiciel s'exécute normalement, sinon il se ferme. 
que pensez-vous de ce mode opératoire ? 

J'avoue vraiment ne pas comprendre. Comment peux-tu faire autrement que de passer par les services web avec un tel procédé ?
Ne me dis pas que tu souhaite intégrer tes identifiants de SQL Server (ta chaine de connexion) au sein de ton logiciel quand même parce que la c'est plus de la protection mais l'inverse, du suicide !

Ce qu'il faut bien comprendre lors ce que l'on parle de relation client/serveur c'est que cette relation nécessite deux ordinateurs physiques l'ordinateur client et serveur et deux logiciels le logiciel client (ton produit fini) et un logiciel serveur (démon). Alors après, il ne te reste guerre de choix si tu ne souhaite pas utiliser les services web à part développer toi même un programme serveur qui bien entendu nécessitera la location d'un serveur d'application dédié (beaucoup plus chère que l'hébergement mutualisé vu plus haut) et beaucoup plus de temps de développement que les 3 lignes d'un service web... En passant par un service web. Car c'est IIS le serveur Web de Windows qui devient le démon, de plus il te permet d'utiliser des protocoles sécurisés sans avoir à saisir une ligne de code alors que si tu code ton application serveur, je te laisse deviner ce que te donnera comme boulot l'implémentation du SSL...

Bref, enfin moi je dis ça pour conseiller après si tu connais d'autre méthode sécurisé et demandant moins de boulot je suis preneur n'hésite pas à poster =)

Si le déboguage est l'art d'enlever les bogues, la programmation doit être l'art de les créer.

cs_lilj · Answer

qu'entend tu par Ne me dis pas que tu souhaite intégrer tes identifiants de SQL Server (ta chaine de connexion) au sein de ton logiciel quand même parce que la c'est plus de la protection mais l'inverse, du suicide !  ?

Mayzz · Answer

Ben c'est simple, le logiciel que tu distribus au client tu souhaite qu'il se connecte à SQL Server directement ?

Donc il faudra bien au sein même du programme spécifier une chaine de connexion contenant l'adresse du serveur, l'identifiant et le mot de passe du compte. Et ça c'est la pire des chose, autant ne rien faire que de stocker au sein d'un programme. C'est comme ce que j'explique dans le tuto sur les service web. Ceux qui veulent s'envoyer un email d'activation il faut automatiquement entrer des paramètres de compte mail et tôt ou tard y'a toujours un p'tit malin qui tombe dessus et va pirater la boite mail. Un coup de wireshark et c'est trouvé si la connexion n'est pas over SSL, ca prend 30 secondes.

Alors tu me dira, il te reste la possibilité de créer un compte en "lecture seule" sous SQL Server, de ce fait même avec l'ID et le passe la personne mal intentionné pourra seulement consulter ta base, mais d'une c'est pas joli ni sécurisé par rapport au client (si il y a les noms des entreprises et autres infos, ce qui me semble quand même obligatoire pour que tu puisse distinguer à qui appartient telle ou telle licence lors ce que tu ouvres ta base). Et de plus ton application ne pourra alors pas écrire dans la base pour préciser qu'elle est activé, alors la seule solution est la consultation de ta base à chaque démarrage de l'application pour voir si la clé est bien présente, donc ce qui revient à dire que tu dispose d'un hébergement SQL Server (Avec IP Fixe) dont l'accès n'est pas limité par une IP comme c'est le cas pour les hébergements mutualisé ou l'accès n'est possible que depuis le serveu web.

Si le déboguage est l'art d'enlever les bogues, la programmation doit être l'art de les créer.

cs_lilj · Answer

Hum, le truc c'est que mon logiciel client doit se connecter à un serveur sql server pour pouvoir travailler.
J'ai mes 2 logiciels (serveur et client) qui exploitent la même base de données. 
Exemple: mes logiciels permettent de consulter des informations qui sont stockées dans la base de données sql server. Comme je l'ai dit, il s'agira d'une sorte de réseau extranet dans lequel des partenaires devront y être intégrées pour pouvoir utiliser l'application. Il sera donc je pense possible d'attaquer le serveur depuis l'extérieur. Du coup, la chaîne de connexion comment la faire ?
Sachant que l'application cliente doit avoir le droit d'écrire dans des tables précises de la base de donnée.

Mayzz · Answer

Comment ça tes 2 logiciel ? Je pige pas !

A quoi il sert ton serveur au juste ? Et c'est quoi un programme conçu en VB ? Si t'as un serveur alors pourquoi le client se connecte à SQL Serveur ??? C'est flou la d'un coup je ne suis plus...

Si le déboguage est l'art d'enlever les bogues, la programmation doit être l'art de les créer.

cs_lilj · Answer

je vais essayer d'être plus clair.
Voilà j'ai un serveur qui possède SQL Server. Ensuite, j'ai développé 2 logiciels VB dont le but est d'exploité la base de donnée SQL Server du serveur du réseau. Mon 1er logiciel permet de gérer l'ensemble de la base de donnée, il a accès (lecture/écriture) à toutes les tables. Il s'agit en faite d'un logiciel administrateur, il existera en un seul exemplaire (une seule installation). Mon 2nd logiciel est un logiciel qui sera installé un peu partout dans le réseau local. Mais cette version n'a pas accès à toutes les tables. C'est-à-dire qu'il aura des droits de lectures et d'écritures sur certaines tables mais pas toutes. Comme il sera installé un peu partout, il faudra au préalable obtenir le droit de l'installer d'où l'utilisation d'une licence. Si on a le logiciel sans licence, impossible de l'utiliser dans le réseau local.

Mayzz · Answer

Ah ok, la je comprends mieux =) Tu n'as donc pas deux logiciel mais plutôt un produit à protéger et ce produit se décompose en deux entêtées.

Alors déjà pour faire simple. Ce n'est pas parce que ton logiciel est un logiciel de données qu'il devra se connecter directement à une base de données pour sa protection. Ca il est obligatoire  que la base qui contienne les numéros de licence de tes produit ne soit pas celle des clients, c'est tout à fait logique. Donc dans ce cas cela implique que tu devras disposer d'un serveur de données distant (hébergement SQL Serveur avec IP Fixe et connexion distante). Et pour que tes programmes s'y connectent ils devront avoir l'adresse du serveur, ainsi qu'un couple login/pass pour l'authentification (logique la encore car tu ne vas pas laisser ton serveur ouvert à tous). 

Au niveau d'un hébergement SQL tu as 3 possibilités: 

 - Prendre un serveur dédié (plus chère) et dans ce cas tu es libre d'installer ce que bon te semble mais tu devras posséder une licence (acheter) de SQL Server.

- Prendre un hébergement SQL Server directement (Chère aussi mais pas de licence SQL Server à acheter)

- Prendre un hébergement ASP.Net + SQL Server (Moins chère mais le problème c'est que l'accès au serveur de données ne peut se faire que depuis l'IP de l'espace hébergement, il faut donc une application ASP.Net pour accéder à la base et que celle-ci se trouve sur le serveur de l'hébergeur).

Voila pourquoi je te proposais la solution du service web. Car le service web est une application Web et donc la 3ème solution, la moins onéreuse est alors de mise. De plus c'est le service web qui accède aux données et de ce fait la chaine de connexion aux données (qui contient les IDs) est au sein du code source de celui-ci, donc totalement inaccessible à l'utilisateur. Et quand bien même un utilisateur mal veillant arriverait à connaitre les IDs il ne pourrait se connecter de puis une IP extérieur à celle de l'espace hébergement. Donc il faudrait qu'il découvre tes IDs FTP ou de connexion à l'administration de ton espace hébergement.

Voila, pour moi ça reste la solution la plus simple, la moins couteuse et la plus rapide à mettre en place.

Je pense faire un tuto la dessus un jour si j'ai le temps.

++

Si le déboguage est l'art d'enlever les bogues, la programmation doit être l'art de les créer.

Mayzz · Answer

Sorry, correction :

Ah ok, la je comprends mieux =) Tu n'as donc pas deux logiciels mais plutôt un produit à protéger et ce produit se décompose en deux entités. 

Si le déboguage est l'art d'enlever les bogues, la programmation doit être l'art de les créer.

cs_lilj · Answer

alors :

Car il est obligatoire que la base qui contienne les numéros de licence de tes produit ne soit pas celle des clients, c'est tout à fait logique.
Est-ce que tu veux dire que ma base de données qui est exploité par mes logiciels (où sont mes tables produits par exemple), ne doit pas être la même base de données que celle qui contient les licences ? Si c'est bien ce que tu veux dire, je comprends beaucoup mieux.

Enfin, dans mes logiciels, il y a obligatoirement une chaîne de connexion (avec l'adresse du serveur, ainsi qu'un couple login/pass pour l'authentification) qui permet de consulter mes tables (ma table produit par exemple). cela ne pose pas problème a contrario à ce que tu avais dit :
Ne me dis pas que tu souhaite intégrer tes identifiants de SQL Server (ta chaine de connexion) au sein de ton logiciel quand même parce que la c'est plus de la protection mais l'inverse, du suicide ! 

Au sujet de l'hébergement SQL, je comprends tout à fait ce que tu veux dire. Je compte installer un service web plus tard. Mais pour l'instant, je vais me contenter de l'utilisation de notre serveur Win2008 qui est dans le même réseau local où seront installés mes logiciels.

Mayzz · Answer

Mais pour l'instant, je vais me contenter de l'utilisation de notre serveur Win2008 qui est dans le même réseau local où seront installés mes logiciels. 
 
Heu... Je ne capte plus la non plus...

Donc je résume, tu veux protéger ton application alors que tu ne vends ta licence qu'à un seul client ? Qui plus est en utilisant le serveur de ce client pour stocker tes données personnelles de licence ? Si ton logiciel n'est installé que sur un seul parc alors il n'y a plus d'intérêt à le protéger ? Fais juste en sorte à vérouiller la chaine de connexion vers le serveur 2008 de sort à ce que si un employer embarque le logiciel chez lui, il ne puisse pas se connecter sur un autre serveur, point barre.

Si le déboguage est l'art d'enlever les bogues, la programmation doit être l'art de les créer.

cs_lilj · Answer

Enfaite, tout n'est pas encore fixé. Mon entreprise compte investir dans un serveur dédié (en faisant appel à un prestataire sur internet). Mais je dois effectuer des recherches pour savoir si en louant un serveur dédié windows server 2008 avec SQL server, toutes installations de mon application pourront via internet accéder à ce serveur ou s'il faut passer par un réseau VPN (je parle pas de la gestion des licences mais de mes tables dont mon programme a besoin). Si oui, la licence servira. Et selon ce que j'ai compris, c'est que la gestion des licences se fera avec une base de données différentes que celle exploitée par mon programme.
Mais pour l'instant, on doit effectuer des tests qu'en local.
Pour te répondre, non il sera vendu à plusieurs clients.

Mayzz · Answer

Donc alors si je comprends bien le serveur dédié est loué par ta boite.

C'est donc ta boite qui vendre le logiciel et non toi (j'espère car si tu n'est pas 100% possesseur du serveur qui héberge tes données je crains pour toi). 

Autre chose, si ta boite vend un logiciel de gestion, et qu'elle loue un serveur de données pour héberger les bases de données c'est extrêmement risqué ! En effet une gestion de données se doit d'être 100% fiable, si admettront l'hébergeur vous plante, perd les données, se fait piraté ou encore est indisponible durant plusieurs jours, tes clients seront bloqués pour travailler et alors ne manquerons pas de vous coller un énorme procès demandant des dommages et intérêts pour combler les pertes et bien plus, c'est un coup à faire couler ta boite...

Franchement je ne sais pas trop dans quoi tu t'engage la, lors ce que l'on vend un logiciel de données, on ne vend pas l'hébergement avec, toi tu vends ton logiciel, "le logiciel client", le client achète une licence et doit acheter ou louer un serveur pour l'hébergement de ses données et c'est une prestation que tu peu proposer de mettre en place en supplément. Comme lors ce que l'on fait un site web (quoi que on peut aussi héberger via un dédié mais avec de gros risques).

Ou alors sinon tu devras louer un hébergement SQL Server spécifique qui coute très chère et gérer les comptes de ceux-ci, aussi ton programme devra gérer une base par client et non la même base pour tous avec de filtres par table.

Enfin bon personnellement pour moi ce que tu cherches à faire est infaisable à moins de s'appeler Microsoft et de posséder un DataCenter... C'est trop risqué sur le plan juridique...

Après je ne sais pas ce que ton logiciel gère mais je suppose que si c'est un logiciel de gestion, c'est fait pour être fiable et pour pouvoir y stocker des données importantes.

Pour répondre à ta question plus haut sinon, oui avec un serveur dédié et SQL Server tu fais ce que tu veux, tu peux configurer des comptes SQL Server, donc te connecter vers celui-ci depuis n'importe quelle PC du moment que tu t'authentifie. 

Si le déboguage est l'art d'enlever les bogues, la programmation doit être l'art de les créer.

cs_lilj · Answer

D'accord même depuis internet sans passer par un VPN ou encore sans être dans un même réseau local, je pourrais attaquer ma base avec mes applications ?
Pas de manip précise à faire dans mes applications (sécurisé ma chaine de connexion) ?
Si on loue un serveur dédié avec un prestataire, c'est qu'il doit d'abord hébergé le serveur dans un datacenter sécurisé non ? Et puis, je pense que juridiquement, s'il y a un souci de sécurité, la responsabilité incombe à l'hébergeur vu qu'il a faillit à son obligation de sécurité (obligation qu'il énnonce lors de la présentation de ses prestations). enfin, je ne sais pas trop non plus dans ce domaine.
Et puis, comme j'ai expliqué le logiciel sera déployé chez des partenaires.
Le logiciel ne sera pas le système d'information mère de l'entreprise qui l'installe. Il va simplement faire le lien entre ma boîte et le partenaire. Il va agir un peu comme un site internet. 
exemple (en gros c'est ça):
Mon logiciel "client" permet uniquement aux partenaires qui le possède de passer des commandes à ma boîte et de consulter un genre d'historique des commandes passées.
Mon logiciel "serveur" (app A) permet lui de réceptionner les commandes et de les traiter. je sais dans ce cas la autant utiliser un site internet (e-commerce) mais bon, le responsable voulait des LOGICIELS :).

Créer clef d'enregistrement

30 réponses

Votre réponse

Discussions similaires