Vous êtes sur la page 1sur 6

Lespiratagesinformatiquesfrquentsetleurs contreattaques

Guidedeprotectiondesproduitsinformatiquescontre les7principalesmesuresdepiratage

LIVREBLANC

PRESENTATIONGENERALE
Pouravoirlacertituded'trecorrectementpayspourl'utilisationdeleursapplications,les distributeursindpendantsdelogicielsdoiventmettreenplaceuncertaintypedeprotection informatique.Unesolutiondeprotectioninformatique,quellequ'ellesoit,apourobjectifdelimiter l'utilisationd'unlogicieldemanirerespectercertainesdispositionsspcifiquesprvuesdansla licence.Celapeutsefairel'aidedejetons(galementappelsdongles),delicencesportant uniquementsurunlogicieloud'uncodeinterne. Lessolutionsfaisantappelunmatrielextrieuroffrentactuellementlameilleurescurit. Malheureusement,lespiratesreprsententunenuisanceconstantequicotedesmilliardsde dollarsdepertesderevenusauxdistributeursdelogicielsdumondeentier.Ilestimportantde s'assurerquelasolutionmatriellequevouschoisissezetvotremiseenuvredecettedernire bloquenttotalementlespointshabituelsd'entredespirates.Celivreblancexamineunlarge ventaildestechniquesdepiratagelesplusfrquentesetdesmeilleurescontreattaquesdontvous disposezpourprotgervotreapplicationcontrelepiratage.

COMPARAISONENTRELESPIRATAGESGENERIQUESETLES PIRATAGESSPECIFIQUES
Lespiratagess'attaquantauxdonglesdeprotectioninformatiqueappartiennentl'unoul'autre destypessuivants:lepremierestgnriqueetledeuximeestspcifique.Lorsd'unpiratage gnrique,ledongleproprementditestcompromis.Lamiseenuvred'amliorations,quelle qu'ensoitl'envergure,nepermetpasdecontrerunpiratagegnrique.Touteslesapplications protgesparledonglepiratsontenfaitmenaces.Lespiratagesspcifiquesnedtruisent qu'unemiseenuvrespcifiquedudongle,etcepouruneapplicationinformatiquebien prcise.Ilsneposentaucunrisquepourd'autresfournisseursdelogicielsemployantlemme dongle.

PERCEMENTDETUNNELSSECURISES
Desjetonsdeprotectioninformatiquesontintgrsdesapplicationsenfaisantappelunebote outilslogiciels.Pourquelelogicielfonctionne,ilfautrattacherlejetonl'ordinateurouaurseau del'utilisateur.L'applicationprotgevrifielaprsencedelaclpendantlefonctionnementpour s'assurerquel'utilisationdulogicielestautoriseetpourconfirmerlerespectdel'accorddelicence. Lorsdeladfensecontreuneattaque,ilfautdfendrelacommunicationentrelejetonet l'applicationinformatiquecarc'estpotentiellementlepointleplusvulnrable.Pourscurisercette communication,certainsjetonsmatrielsutilisentdesalgorithmesdecryptagepourcreruntunnel scurisetl'preuvedupiratage,d'uneextrmitl'autre. Pourcreruntunnelscurisdecommunicationentrelejetonmatrieletl'application,ilfauttout d'abordremplacerlesclsdecryptage.Cetteprocdurederemplacementdesclscommence lorsquel'applicationproduituneclalatoireAES(AdvancedEncryptionStandard)decryptage.La productiond'unenouvelleclalatoirelorsdechaquesessiondecommunicationrenforce largementlascurit.Enparticulier,ilestimportantdenepasutiliserdeclstatiquecarcela augmentelavulnrabilitencasd'attaque. Ensuite,l'applicationenveloppelaclAESenutilisantuneclpubliqueECC(EllipticCurve Cryptography)decryptographiecourbeelliptique.Ensuite,lelecteurtransfrelaclAES enveloppeaujeton.Cejeton,dsrception,dballelaclAESenutilisantsaclECCprive,cequi metfinlaprocduredechangementdecl.LammorisationdelaclECCprivedanslejetonet

LIVREBLANC

nonpasdansl'applicationrenforceenoutrenormmentlascurit.Lepirataged'uneapplication logicielleestrelativementplussimplequelepiratagedujetoncariltournesuruneplateformede matrieletdesystmed'exploitationbiencompriseetpourlaquelleexistentdesoutilsfournispar destiercespartiespourfaciliterlesprogrammesdedbogageetdeluttecontrel'ingnierieinverse. Iln'envapasdemmeduprogicielquitournel'intrieurdujeton.Decefait,ledbogagedu progicieldujetonpourtrouverlesclsn'estpasuneentreprisefacile,moinsquevousnesoyezle fabricantdecejeton. Touteslescommunicationsentrelelecteuretledonglesontmaintenantprotgesenutilisantla cldecryptagequiatremplace.Laprocduredechangementdeclestuneformede cryptographieclpubliqueetdonnelieulacrationdeclssymtriquesbasessurchaque sessionpourassurerlaprotectiondescommunications.Lejetonetl'applicationcommuniquentpar lebiaisd'untunnelscurisencryptantetdcryptanttouteslescommunicationsenfaisantappel laclAES.Lorsdechaquesessionultrieuredecommunication,unenouvelleclAESserautilise. L'algorithmeAESatadoptparleNIST(NationalInstituteofStandardsandTechnology)en novembre2001etonestimequesonpiratageestimprobablesurleplanmathmatique.La cryptographieECCcourbeelliptiqueestencoreplusfaibleetonpensequesonpiratageest mathmatiquementimpossible.

PIRATAGEN1:ATTAQUEBRUTALE
Uneattaquebrutaleessaye,demanireexhaustive,touteslescombinaisonsscuritairesjusqu'ce quelesecretainsiattachsoitcompromis.Lesclscryptographiquessetrouventaucurmmede lascuritd'undongle.Siuneattaquebrutalerussit,celacomprometlesdonglesmais uniquementceuxd'unfournisseurspcifiquedelogiciels.Ilnes'agitpasd'unpiratagegnrique.En outre,l'utilisationdemotsdepassecourtsaveccertainesAPIpeutaccrotrelafaiblesselorsdecette attaque.

CONTREATTAQUE
Onpeutviteruneattaquebrutalelorsquelevolumededonnesestsuffisammentimportantpour rendrepratiquementimpossibleundcodageenemployanttouteslescombinaisonspossibles.Pour protgerlesalgorithmesaucurdelascuritd'undongle,cedernierdoitcomporterunnoyau scurisdescuritquiconserveraentoutescuritlaclcryptographique. Parexemple,lenoyaudescuritd'undonglepeuttreuneclAES128bitsquipermetde crypteretprotgerlesalgorithmesaucurdudongle.

PIRATAGEN2:EMULATIOND'APPAREIL
Cettemulationseproduitlorsqu'unlogicielcherchemulerledonglesurleplanmatriel. Touslessecretsdudonglecomme,parexemple,lesvaleursdesclscryptographiques,sont placsdanslelogicielmulateur.Celogicielassurel'mulationdel'appareiletseprsente l'applicationcommes'iltaitledonglematriel.Connaissantlesvaleursdelacl,lelogiciel effectuelesmmesoprationsquelejeton. L'mulationd'appareilestunpiratagegnriquedudongleetutiliselaclcryptographique,ce quiprovoqueuneattaquebrutalequidverrouilleetactivel'utilisationdel'applicationlogicielle.

CONTREATTAQUE
L'mulationd'appareilpeuttreempcheenscurisantlazonemmoiredudongle,cequifait qu'ilestpratiquementimpossibledecompromettreledongleeneffectuantuneattaquebrutale.

LIVREBLANC

L'undesmoyenspermettantdescuriserlazonemmoireconsisteutiliseruneclAES128bits qu'ilestdifficiled'attaquerdemanirebrutaleenemployantlapuissanceinformatiquequiexiste aujourd'hui.

PIRATAGEN3:ENREGISTREMENT/PLAYBACK
Lorsd'uneattaquedutypeenregistrement/playback,touteslesinformationschangesentre l'applicationetledonglesontenregistres.Unintergicieloumiddleware(applicationlogicielle) estalorscrparlepiratepourimiterlesrponsesfourniesparledongle. Alasuited'uneattaquedutypeEnregistrement/playback,l'applicationestcompromise.Le fournisseurdoitalorsrevoirlaconceptiondelaprotectionqu'ilamiseenuvreafindeluttercontre cetyped'attaque.Ilnes'agitpasd'unpiratagegnriquemaiscelaaffectetouteslescopiesde l'applicationdanslesquellesexisteuneattaquedetypeEnregistrement/playback.

CONTREATTAQUE
LesattaquesdutypeEnregistrer/playbackpeuventtrevitesenprocdantuncryptageetune randomisationentrel'applicationetledongle.L'utilisationd'uneclalatoire128bitspour crypterlescommunicationsentrel'applicationetledongleestunmoyenefficacepermettant d'vitercepiratage. L'utilisationd'uneclstatiqueoud'unevaleurcodeendurdansl'applicationaffaiblitlesattaques dutypeEnregistrer/playback.Siundongleutilisedesclssymtriques,lorsdupartaged'un secret,ilfautenlaisserunecopiedansl'application.Lorsducryptagel'intrieurdel'application,il fautylaisserlacl.Alorsqu'aveclepercementdetunnelsscuriss,laclpriveestconservedans lejetonetlaclpubliquerestedansl'application. Lorsquelaclpubliqueestincorporel'application,ladcompilationducodepermettraaupirate den'accderqu'uneclpubliqueetnonpasuneclprive.Ladcouverted'uneclpubliquene crepasdevulnrabilitauniveaudelascurit.Nanmoins,siundongleutilisedescls symtriquesstatiques,ladcompilationdel'applicationrisquedervlerlesecretdes communications.Ils'agitd'unpointpotentield'entrepouruneinfestationprovoqueparunpirate carcedernierpeutcomprendretouteslescommunications.

PIRATAGEN4:VOLDESECRETS
Ilyavoldesecretslasuitedel'obtentionillgaled'unmotdepasse,cequipermetunaccsnon autorisaudongle.Dsqu'unpirateaaccdaudongle,ilestenmesuredemanipuler l'applicationenseservantdecedongle.

CONTREATTAQUE
Ilnefautjamaiscommuniquerdesmotsdepassededonglesavantdelesavoircrypts.Ilfaut toujourscrypterlesdonnesquisontenvoyesaudongle.Enn'envoyantjamaisdesmotsde passesetd'autressecretsenclair,vousvousprotgezdemanireefficacecontrecetypede pirate. Nanmoins,mmelorsquevousvousservezdecanauxcryptspourprotgerdessecrets,ilest importantdenepasutiliserdeclstatique.L'emploid'uneclstatiquerenforcelavulnrabilitdes informationsquidoiventtreextraitesdecescls.

PIRATAGEN5:PARTAGED'APPAREIL
LIVREBLANC

L'expressionpartaged'appareilssignifiequeplusieursordinateurspersonnelspartagentunmme donglealorsqu'ilsn'ontparreul'autorisationdelefaire.Undonglepeuttreutilispar plusieursmachinessurunmmerseau.Bienquel'applicationproprementditenesoitpasmiseen danger,lefournisseurdelogicielsnerecevrapaslesrecettesprvuesencasd'utilisationdeson applicationsurplusieurscopies.L'utilisationd'uneclstatiquedecryptagevarenforcerla prdispositioncetteattaque. Ilexistedeuxscnariospotentielsquipermettentd'obtenirlepartagededispositifs. 1. SessionVMWare:Systmesvirtuelsmultiplesd'exploitationquitournentsurplusd'une plateformematrielle.Lepartaged'unelicencedanscetenvironnementpermetdefaire tournersimultanmentplusieursapplicationslorsdechaquesessionWMWare(aulieu d'uneseule).Danslecadredecescnario,chaquesessionWMWareutilisesonpropre lecteurpourcommuniqueravecledongle. 2. PivotcentralUSBdepartage:UnpivotcentralUSBpeuttrerattachplusieurs ordinateurspourpartagerunmmedispositifUSB.Dansuntelcas,chaqueordinateurreli cepivotcentralUSBpensequ'ilaundonglepersonnel.Celapermetplusieurs ordinateursd'exploiteruneapplicationmmelorsqu'uneseulelicenceexiste.

CONTREATTAQUE
Lesfournisseursdelogicielsdoivents'assurerquelenombred'ordinateursoudelecteursde priphriquesquiontaccsaudonglenedpassepaslenombrepayparleclient.Lepercement detunnelsscurisspermetdeseprotgercontrelestentativesd'accsaujetonparplusieurs dispositifsoumachines. Chaqueutilisationdel'applicationouvreuneunitd'exploitationdelecteur.Nanmoins,deuxou plusieursutilisationsdulecteurnepermettentpasdecommuniqueravecledonglepar l'entremised'untunnelscuris.Unlecteurdedongleintelligentpermetdeseprotgercontre cesscnariosetn'appliquequelenombredelicencesquiontledroitdefonctionnerpartirdu dongle.L'absenced'unlecteurrisqued'augmentervotrevulnrabilitcetteattaque.

PIRATAGEN6:CLONAGEDEMATERIEL
Unclonagedematrielseproduitlorsquedesjetonsdematrielsquiautorisentl'application protgefontl'objetd'uneduplication.Poureffectueruneduplicationdelammoiredumatriel,le pirateachtetoutd'aborddesjetonsauprsdummefournisseurdejetonsdontsesertle distributeurindividueldelogiciels.Ensuite,lepirateeffectueunclonagedesjetonsenrecopiantle contenudelammoirepartirdujetond'origine.

CONTREATTAQUE
Lesdistributeursdelogicielsdoivents'assurerqu'ilssontprotgscontreleclonageenfaisanten sortequelammoiredujetonsoitcrypte.Unesolutionpossibleconsistecrypterlammoireen faisantappeluneclAES128bitsjetonunique.Ceprocessusdoitfaireautomatiquementpartie delaprotectionassureparvotredongle.Ilfautviterdenepascrypterlesdonnesde l'utilisateurdanslammoiredujeton.

PIRATAGEN7:FALSIFICATIONDELADATEETDEL'HEURE
Lafalsificationdeladateetdel'heureconsistefairedfilerl'enversl'horlogedusystmepour tricherdanslecadred'unelicencebasesurladure.Enutilisantunetelletechnique,ilserait possibled'utiliserl'infiniuneversiond'valuationdestineuneutilisationdedurelimite.

LIVREBLANC

CONTREATTAQUE
Unemthodedescurisationdecespriodesl'essaiconsistetoutsimplementoffrirdesversions limitesouestropiesdulogiciel.Nanmoins,sivoussouhaitezcrerdeslicencesdedurelimite, afind'offrirdesabonnementsdeslogicielsoudeproposerdesversionscompltesd'valuation limitesenmatirededure,lafalsificationdeladateetdel'heureprsenteunrisquequ'ilfaut valuerafindeluttercontrelui. Unemthodepermettantdecrerdeslicencesscurisesdedurelimiteconsisteintgrerune horlogeentempsreldansuneclmatrielle.Lepiratepotentieldevraalorscherchers'infiltrer danslaclpourenmodifierl'horloge,cequientraneraladestructioncompltedelacl. Malheureusement,lesclsquipesd'horlogesentempsrelsontpluscoteusesetontgalement besoind'unebatterieinternequifinirapartrecompltementplat. Heureusement,ilyadesmthodessimplesetintelligentesquipermettentdeluttercontrela falsificationdeladateetdel'heuresansaugmentationdecots.Siunjetonmatrielestquip d'unefonctionquiluipermetdevrifieretmmoriserl'heureactuelledusystme,lesdveloppeurs peuventseservirdecetteinformationpourvitertoutefalsificationdeladateetdel'heure.Sile jetondtectedeschangementsnotablesdansl'heuredusystme,l'applicationpeuttre programmepoursedsactiveroupourfonctionnerdansunmoderestreint.Cettesolutionvavous permettred'offrirdesoptionsdelicencesbasessurladureainsiquedesvaluationsscuriseset limitesdansletemps.Levolrsultantd'uneutilisationillimitedansletempsd'unevaluation gratuitemaislimiteendureestainsiempche,sansencourirlesfraissupplmentaires d'horlogesentempsreletsanslesinconvnientsposspardetelleshorloges.

CONCLUSION
Outrelaslectiondelatechnologiedonglelaplusscurisesurlemarch,unemiseenuvre scuriseestvitale.Pourprendreconnaissancedesmeilleurespratiquesetdeconsignesspcifiques ayantpourbutdescuriserlalicenciationpourvotrelogiciel,quellequesoitvotretechnologiede miseenuvredeceslicences,consultezlelivreblancdeSafeNetetsminairesurleWebUn guidedudveloppeurpourlaprotectiondeslogiciels:Applicationdetechniquesdecodagedes modemspourscuriserleslogiciels(ApplyingModernCodingTechniquestoSecuringSoftware Assets).

AproposdeSafeNet,Inc.
SafeNetestundesleadersmondiauxenmatiredescuritdesdonnes.Fondeilyaplusde20 ans,lasocitassureunescurittotaleenutilisantsestechnologiesdecryptagepourprotgerles communications,lesdroitsdepropritintellectuelleetlesidentitsnumriques,etelleoffretoute lagammedesproduits,notammentsystmeslogiciels,systmesmatrielsetpuces(circuits intgrs).UBS,Nokia,Fujitsu,Hitachi,BankofAmerica,Adobe,CiscoSystems,Microsoft,Samsung, TexasInstruments,lesDpartementsamricainsdelaDfenseetdelaScuritintrieure,leU.S. InternalRevenueService(servicedecollectedesimptsamricains)etbiendautresclientsfont confianceSafeNetpourgarantirlascuritdeleursdonnes.En2007,SafeNetatrachetepar VectorCapital. PourdeplusamplesinformationssurlessolutionsproposesparSafeNetpourlaprotectionde logicielsetl'octroidelicencesdelogiciels,veuillezvisiterwww.safenetinc.com/sentinel.

LIVREBLANC