Discussion :

[Shinzel]

Bonjour,
je suis étudiant en DUT informatique. Actuellement je suis en stage et on me demande de sécuriser des codes sources PHP.
J'ai commencé mes recherches.
Il y a plusieurs "outils" qui reviennent souvent dans les forums comme "Zend Guard", "IonCube", "Bcompiler".

Concernant Bcompiler, j'ai notamment lu cet article:
http://maxime-ohayon.developpez.com/...els/bcompiler/

Si j'ai bien compris Bcompiler transforme un fichier source en Bytecode. Donc il utilise pour cela la technique de l'encodage.
Or pour la définitionde l'encodage j'ai lu ceci:

'Encoding transforms data into another format using a scheme that is publicly available so that it can easily be reversed. It does not require a key as the only thing required to decode it is the algorithm that was used to encode it.
The goal is not to keep information secret, but rather to ensure that it's able to be properly consumed.'

>> L'encodage transforme une donnée dans un autre format en utilisant un système qui est accessible au public donc il peut être facilement "inversé". Il ne nécessite pas de clé et la seule chose nécessaire pour le décoder est l'algorithme qui a été utilisé pour l'encodage.
Le but n'est pas de garde les informations secrètes...

Je lis un peu partout "protection de code source avec de l'encodage". Mais selon cette définition cela ne me va pas du tout. Dans le cas d'un encodeur tel que Bcompiler, il ne ferai pas qu'encoder mais autre chose?? (obfuscation?)

Peut-être que la définition de l'encodage que j'ai lue est inexacte.
Ma question est donc peut-on sécuriser un code source avec uniquement de l'encodage?
La définition que j'ai trouvée est-elle juste?


J'aimerais que l'on m'éclaircisse à ce sujet.

Merci d'avance.

[Benjamin Delespierre]

Je ne connais pas particulièrement bien bcompiler mails ils semble bien qu'il s'agisse d'un encodage et non d'un cryptage.

http://fr2.php.net/manual/fr/intro.bcompiler.php

En somme, ce n'est pas vraiment protégé mais c'est déjà beaucoup plus complexe pour le propriétaire de la plateforme de le modifier.

De toute façon, même un cryptage des sources ne protège pas contre le reverse engineering. De la même façon, quand tu fournis un logiciel Java ou C/C++, tu est toujours exposé à la décompilation.

La protection des sources revêt finalement plus un aspect juridique que technique. Si ton client veut vraiment savoir ce qu'il se passe dans l'appli, il y arrivera toujours quoi que tu fasses.

[Shinzel]

Oui bien sûr je comprends qu'on ne pourra jamais sécuriser totalement le but étant au moins de faire perdre le plus de temps possible à la personne afin peut-être de la décourager.