protéger un mot de passe dans un executableRésolu

Question

Bonjour,

Lorsqu'un malin s'amuse à regarder dans un executable, il peut y trouver des choses interessantes...
J'ai besoin de garder un mot de passe au chaud et je le déclare de la manière suivante (pour connexion FTP) :
char* server="ftp.voila.fr",* password="grizzly7Ü}";
en regardant quelques secondes dans l'exe, le mot de passe est BIEN EN EVIDENCE!

Comment contourner ce problème?
Merci d'avance.
LiBe444

testtestiop · Accepted Answer

code ton pass en AES (successeur de 3DES) par exemple, c un cryptage qui n'autorise pas de reverse, il faudra alors a la personne qui veut trouver ton mot de passe tester tous les mots de passe possible pour trouver le tient. Si tu le met suffisement long, il ne devrait pas y avoir de probleme.

voila voila voila

ps: ecoute pas les autres, j'ai lu trop de conneries sur ce thread :p

BruNews · Answer

suffit de fomer ta string de connexion a l'execution.

ciao...
BruNews, Admin CS, MVP Visual C++

MetalDwarf · Answer

C est un probleme sans solution!!
meme si tu codes le mot de passe il suffit de desassembler ton exe pour trouver le code de decrypatge :-(.
C est un des nombreux problemes de securite helas......

DeAtHCrAsH · Answer

La solution la plus sure est de demander a l'utilisateur de rentrer le pass a chaque utilisation du programme.
Ou alors tu peux tout aussi bien sauvegarder le mot de passe sous une forme crypté.

Sinon comme Brunews te la conseillé, tu peux tout simplement creer ta string au depart ou encore créer un algorythme qui te genere le mot de passe a chaque execution du programme ce qui est un peu plus sure.

A++ et bonne continuation

Samir

xarier · Answer

utilise UPX !!!

UPX COMPRESSE TON EXE est cache tout("c un moyen pour crypter ton exe comme a dit sami-DeAtHCrAsH -") personellement je l'utilise
Life is Short  8-)

DeAtHCrAsH · Answer

Salut cousin,

Le probleme d'UPX c'est que lors du désassemblage, il est indiqué en en-tete que le fichier a été compressé avec UPX.

Avec un simple désassemblage tu ne verras pas les "Strings Reference" mais il sera indiqué que l'executable a été compréssé avec UPX.

Le gars aura plus qu'a décompréssé avec UPX puis désassembler l'executable.
Il aura des lors accès a toutes les "Strings Reference".

A++ et bonne continuation

Samir

youpiyoyo · Answer

au cas il me semble que sur ce site tu as FU-FILE ou un truc dans le genre un truc ki cache des fichiers dans des images,...
le code est pas terrible, mais il montre comment tu peux lire les exes ou fichiers, tu te creer un petit prog ki une fois ke ton prog initial est compresser sous upx, il le lise pour virer les en tete upx...

sinon comme les autres te l'ont di tu le crypte, il en a des correct sur ce site....

MetalDwarf · Answer

Et oui mais le probleme reste et restera le meme. En fait si tu veux te proteger contre des personnes qui ne connaissent que les editeurs hexa, pas les desassembleurs et l ASM les solutions precedentes peuvent s appliquer. Par contre si ce que tu as a proteger est important, le probleme devient beaucoup plus ardu dans la mesure ou ton programme doit etre capable de retrouver le mot de passe lui meme. Donc le code pour retrouver ce mot de passe doit etre contenu dans l executable, et par desassemblage il est possible de le retrouver...
Par contre si tu souhaites faire du controle d acces a une ressource  il y a une solutions : au lieu de stocker le mot de passe en clair tu stockes son empreinte MD5 par exemple (methode utilisee sous la plupart des Unix pour les mots de passe). En effet a partir d une signature MD5 il est impossible (en theorie) de retrouver la chaine initiale. Tu peux aussi utiliser un systeme de challenge-reponse mais je m eloigne de ton probleme.
Par contre la solution UPX + modification de l EXE "a la main" devrait pouvoir te proteger relativement bien (attention au debogage en cours d execution dans ce cas :-(...).

xarier · Answer

salut j'ai une autre idée mais je c pas si ca va te servir 

ta dit que ton programme contient un mot de passe je pense a la place de faire ca dit a ton prog de prendre le serial du beos (car il n y a k'un pour chaque pc ;) ) et de le comparé avec le tien alors si c le bon il passe sinon il quitte) et crypte le pswd :à)

See U
Life is Short  8-)

xarier · Answer

pardon bios pas beos :)
Life is Short  8-)

cs_LiBe444 · Answer

C'est un mot de passe "FIXE" pour acceder a un serveur FTP...

Merci quand même du conseil ! :)

youpiyoyo · Answer

sinon tu le crypte et tu met le résultat dans la base de registre....

xarier · Answer

je pense pas car la les cracker peuvent voir que le prog a ecrie sur une racine de la regedit la il partiront chercher  et voila .
moi je pense qunil faut mettre un generateur de mot de passe la tu met un sdran(time()) et qui te creé des clé par raport a la date et tu dit au prog qu'il change la date du  bios a une date fix qui permetera au generateur de generé le mot de passe exacte alors la le crackeur va pas savoir qu'il faut qu'il faut que la date soit par ex : 12:00 
Life is Short  8-)

cs_LiBe444 · Answer

C'est une sorte de cryptage RSA ? Dans ce cas là oui je crois que c'est la meilleure solution.

testtestiop · Answer

tout a fait

Super_Mat · Answer

Même en chiffrant à fond, cachant le code , etc, on est confronté à un problème :

Depuis quelques siècles, il est considéré qu'un système de protection d'information ne peut pas être (totalement) basé sur la méthode elle-même de protection.

Ca veut dire qu'on ne peut pas se fier au fait que le code est bien planquer, ou que le pirate sera trop con pour comprendre l'algorithme de cryptage utilisé. Généralement, on utilise une clef qui n'est connue que des "amis" pour que la sécurité du système soit sûre.

Alors, évidement on peut chiffrer la chaine de caractère et de stocker le résultat. Mais la chiffrer avec quelle clef ??? Cette clef DOIT être introduite par l'utilisateur, ou au moins ne pas être accessible par le programme lui-même. On peut par exemple envisager de mettre la clef sur disquette. Le programme ne peut alors déchiffrer la chaîne que si la disquette est introduite.

Protéger un mot de passe dans un executable

16 réponses

Votre réponse

Discussions similaires