Protéger un mot de passe dans un executable [Résolu]

Messages postés
221
Date d'inscription
dimanche 7 septembre 2003
Dernière intervention
7 avril 2007
- - Dernière réponse : Super_Mat
Messages postés
37
Date d'inscription
jeudi 2 septembre 2004
Dernière intervention
31 août 2005
- 8 oct. 2004 à 14:46
Bonjour,

Lorsqu'un malin s'amuse à regarder dans un executable, il peut y trouver des choses interessantes...
J'ai besoin de garder un mot de passe au chaud et je le déclare de la manière suivante (pour connexion FTP) :
char* server="ftp.voila.fr",* password="grizzly7Ü}";
en regardant quelques secondes dans l'exe, le mot de passe est BIEN EN EVIDENCE!

Comment contourner ce problème?
Merci d'avance.
LiBe444
Afficher la suite 

Votre réponse

16 réponses

Meilleure réponse
Messages postés
16
Date d'inscription
mercredi 26 novembre 2003
Dernière intervention
14 mars 2008
3
Merci
code ton pass en AES (successeur de 3DES) par exemple, c un cryptage qui n'autorise pas de reverse, il faudra alors a la personne qui veut trouver ton mot de passe tester tous les mots de passe possible pour trouver le tient. Si tu le met suffisement long, il ne devrait pas y avoir de probleme.

voila voila voila

ps: ecoute pas les autres, j'ai lu trop de conneries sur ce thread :p

Dire « Merci » 3

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

Codes Sources a aidé 98 internautes ce mois-ci

Commenter la réponse de testtestiop
Messages postés
21054
Date d'inscription
jeudi 23 janvier 2003
Dernière intervention
7 novembre 2014
0
Merci
suffit de fomer ta string de connexion a l'execution.

ciao...
BruNews, Admin CS, MVP Visual C++
Commenter la réponse de BruNews
Messages postés
241
Date d'inscription
mardi 29 octobre 2002
Dernière intervention
23 janvier 2006
0
Merci
C est un probleme sans solution!!
meme si tu codes le mot de passe il suffit de desassembler ton exe pour trouver le code de decrypatge :-(.
C est un des nombreux problemes de securite helas......
Commenter la réponse de MetalDwarf
Messages postés
2674
Date d'inscription
vendredi 25 janvier 2002
Dernière intervention
6 février 2013
0
Merci
La solution la plus sure est de demander a l'utilisateur de rentrer le pass a chaque utilisation du programme.
Ou alors tu peux tout aussi bien sauvegarder le mot de passe sous une forme crypté.

Sinon comme Brunews te la conseillé, tu peux tout simplement creer ta string au depart ou encore créer un algorythme qui te genere le mot de passe a chaque execution du programme ce qui est un peu plus sure.

A++ et bonne continuation

Samir
Commenter la réponse de DeAtHCrAsH
Messages postés
688
Date d'inscription
jeudi 26 décembre 2002
Dernière intervention
19 mai 2005
0
Merci
utilise UPX !!!

UPX COMPRESSE TON EXE est cache tout("c un moyen pour crypter ton exe comme a dit sami-DeAtHCrAsH -") personellement je l'utilise
Life is Short 8-)
Commenter la réponse de xarier
Messages postés
2674
Date d'inscription
vendredi 25 janvier 2002
Dernière intervention
6 février 2013
0
Merci
Salut cousin,

Le probleme d'UPX c'est que lors du désassemblage, il est indiqué en en-tete que le fichier a été compressé avec UPX.

Avec un simple désassemblage tu ne verras pas les "Strings Reference" mais il sera indiqué que l'executable a été compréssé avec UPX.

Le gars aura plus qu'a décompréssé avec UPX puis désassembler l'executable.
Il aura des lors accès a toutes les "Strings Reference".

A++ et bonne continuation

Samir
Commenter la réponse de DeAtHCrAsH
Messages postés
539
Date d'inscription
vendredi 6 juin 2003
Dernière intervention
14 juillet 2010
0
Merci
au cas il me semble que sur ce site tu as FU-FILE ou un truc dans le genre un truc ki cache des fichiers dans des images,...
le code est pas terrible, mais il montre comment tu peux lire les exes ou fichiers, tu te creer un petit prog ki une fois ke ton prog initial est compresser sous upx, il le lise pour virer les en tete upx...

sinon comme les autres te l'ont di tu le crypte, il en a des correct sur ce site....
Commenter la réponse de youpiyoyo
Messages postés
241
Date d'inscription
mardi 29 octobre 2002
Dernière intervention
23 janvier 2006
0
Merci
Et oui mais le probleme reste et restera le meme. En fait si tu veux te proteger contre des personnes qui ne connaissent que les editeurs hexa, pas les desassembleurs et l ASM les solutions precedentes peuvent s appliquer. Par contre si ce que tu as a proteger est important, le probleme devient beaucoup plus ardu dans la mesure ou ton programme doit etre capable de retrouver le mot de passe lui meme. Donc le code pour retrouver ce mot de passe doit etre contenu dans l executable, et par desassemblage il est possible de le retrouver...
Par contre si tu souhaites faire du controle d acces a une ressource il y a une solutions : au lieu de stocker le mot de passe en clair tu stockes son empreinte MD5 par exemple (methode utilisee sous la plupart des Unix pour les mots de passe). En effet a partir d une signature MD5 il est impossible (en theorie) de retrouver la chaine initiale. Tu peux aussi utiliser un systeme de challenge-reponse mais je m eloigne de ton probleme.
Par contre la solution UPX + modification de l EXE "a la main" devrait pouvoir te proteger relativement bien (attention au debogage en cours d execution dans ce cas :-(...).
Commenter la réponse de MetalDwarf
Messages postés
688
Date d'inscription
jeudi 26 décembre 2002
Dernière intervention
19 mai 2005
0
Merci
salut j'ai une autre idée mais je c pas si ca va te servir

ta dit que ton programme contient un mot de passe je pense a la place de faire ca dit a ton prog de prendre le serial du beos (car il n y a k'un pour chaque pc ;) ) et de le comparé avec le tien alors si c le bon il passe sinon il quitte) et crypte le pswd :à)

See U
Life is Short 8-)
Commenter la réponse de xarier
Messages postés
688
Date d'inscription
jeudi 26 décembre 2002
Dernière intervention
19 mai 2005
0
Merci
pardon bios pas beos :)
Life is Short 8-)
Commenter la réponse de xarier
Messages postés
221
Date d'inscription
dimanche 7 septembre 2003
Dernière intervention
7 avril 2007
0
Merci
C'est un mot de passe "FIXE" pour acceder a un serveur FTP...

Merci quand même du conseil ! :)
Commenter la réponse de cs_LiBe444
Messages postés
539
Date d'inscription
vendredi 6 juin 2003
Dernière intervention
14 juillet 2010
0
Merci
sinon tu le crypte et tu met le résultat dans la base de registre....
Commenter la réponse de youpiyoyo
Messages postés
688
Date d'inscription
jeudi 26 décembre 2002
Dernière intervention
19 mai 2005
0
Merci
je pense pas car la les cracker peuvent voir que le prog a ecrie sur une racine de la regedit la il partiront chercher et voila .
moi je pense qunil faut mettre un generateur de mot de passe la tu met un sdran(time()) et qui te creé des clé par raport a la date et tu dit au prog qu'il change la date du bios a une date fix qui permetera au generateur de generé le mot de passe exacte alors la le crackeur va pas savoir qu'il faut qu'il faut que la date soit par ex : 12:00
Life is Short 8-)
Commenter la réponse de xarier
Messages postés
221
Date d'inscription
dimanche 7 septembre 2003
Dernière intervention
7 avril 2007
0
Merci
C'est une sorte de cryptage RSA ? Dans ce cas là oui je crois que c'est la meilleure solution.
Commenter la réponse de cs_LiBe444
Messages postés
16
Date d'inscription
mercredi 26 novembre 2003
Dernière intervention
14 mars 2008
0
Merci
tout a fait
Commenter la réponse de testtestiop
Messages postés
37
Date d'inscription
jeudi 2 septembre 2004
Dernière intervention
31 août 2005
0
Merci
Même en chiffrant à fond, cachant le code , etc, on est confronté à un problème :

Depuis quelques siècles, il est considéré qu'un système de protection d'information ne peut pas être (totalement) basé sur la méthode elle-même de protection.

Ca veut dire qu'on ne peut pas se fier au fait que le code est bien planquer, ou que le pirate sera trop con pour comprendre l'algorithme de cryptage utilisé. Généralement, on utilise une clef qui n'est connue que des "amis" pour que la sécurité du système soit sûre.

Alors, évidement on peut chiffrer la chaine de caractère et de stocker le résultat. Mais la chiffrer avec quelle clef ??? Cette clef DOIT être introduite par l'utilisateur, ou au moins ne pas être accessible par le programme lui-même. On peut par exemple envisager de mettre la clef sur disquette. Le programme ne peut alors déchiffrer la chaîne que si la disquette est introduite.
Commenter la réponse de Super_Mat

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.