Pourquoi le piratage semble-t-il si facile aujourd'hui?

Il semble un peu difficile de croire qu'avec toutes nos avancées technologiques et les milliards de dollars consacrés à la conception du logiciel le plus incroyable et époustouflant, nous ne disposions toujours d'aucun autre moyen de protection contre le piratage qu'un "numéro de série / clé d'activation. ". Je suis persuadé que des sommes considérables, voire des milliards, ont été consacrées à la création de Windows 7 ou Office et même à Snow Leopard. Pourtant, je peux l'obtenir gratuitement en moins de 20 minutes. Idem pour tous les produits Adobe, qui sont probablement les plus faciles.

Peut-il exister une méthode infaillible et anti-piratage pour protéger votre logiciel contre le piratage? Si ce n'est pas réaliste, qu'en est-il théoriquement possible? Quels que soient les mécanismes utilisés par ces entreprises, les pirates informatiques peuvent-ils toujours trouver un moyen de les contourner?

Le code est des données. Lorsque le code est exécutable, une copie de ces données est un code non protégé. Le code non protégé peut être copié.

Peppering le code avec des contrôles anti-piratage le rend un peu plus difficile, mais les pirates informatiques vont simplement utiliser un débogueur et les supprimer. Insérer des no-ops au lieu d'appels à "check_license" est assez facile.

• Les programmes difficiles à pirater font progressivement des choses plus énervantes.
• Mais les vendeurs doivent vendre aux clients les logiciels qu’ils sont prêts à utiliser.
• Tout le monde ne permet pas aux ordinateurs de téléphoner à la maison.
• Certaines personnes travaillant sur des produits sensibles refusent de connecter des machines à Internet.

Les programmes que je vends chez mon employeur actuel (outils aérospatiaux) ne téléphonent jamais à la maison . Les clients ne toléreraient pas d'appeler chez eux pour une "activation" à chaque démarrage du programme.

Dans le pire des cas, le programme s'exécute sur une machine virtuelle sans réseau, où la date est toujours fixe.

Donc, il a peut-être été légitimement installé une fois, mais aucun effort de la part des développeurs ne peut le faire dire que ce n’est pas comme cela.

• Les tentatives d’ajout de "prévention de la copie" matérielle aux ordinateurs à usage général sont vouées à l’échec.
• Quelle que soit la société qui vend du matériel sans protection de la copie, elle vend tout le matériel.
• Des fournisseurs comme Dell et Intel essaient progressivement d'introduire du matériel d'espionnage comme Palladium, mais ils s'opposent vivement.
• Lorsque l'ordinateur fait quelque chose de scientifique, en temps réel, toute interruption pour "vérifier le contenu piraté" provoquera des échecs. Si tous les ordinateurs avaient un DRM matériel, les scientifiques / scientifiques spéciaux ne le posséderaient pas. Tout le monde en achèterait accidentellement des scientifiques / scientifiques spéciaux.

• Les contrôles de matériel DRM auront des faux positifs sur certains types de contenu.

  • Cas le plus simple: résolution. J'enregistre des vidéos Quad HD à partir de mon ensemble de caméras (assis sur mon bureau en ce moment). Le DRM Windows s’interpose entre moi et les données car c’est QuadHD.

  • Analyse des signatures: le DRM matériel est petit et contient un ensemble de données relativement fixe. Il doit également utiliser le même bus de données que la CPU afin de ralentir les choses par intermittence. Cela ruine n'importe quoi en temps réel.

  • Donc, pour rendre le DRM matériel plus intelligent lors d’un faux positif, votre ordinateur sera éventuellement interrompu pour aller vérifier à l’aide d’un service Web. Maintenant, mon processeur de données scientifique échoue parce qu'il n'est pas en réseau ou arrête la transmission en continu des données.

En fin de compte, le gros problème est que la plupart des logiciels impliquent de donner à la fois le verrou et la clé à l’attaquant potentiel et d’espérer qu’ils ne sachent pas comment les assembler.

La seule méthode sécurisée de protection d'un logiciel n'est pas de le donner à l'utilisateur (par exemple, SaaS). Vous remarquerez que vous ne pouvez pas "pirater" Google Docs, par exemple. En fin de compte, si vous essayez d’obtenir quelque chose, vous devez supposer qu’ils ont la connaissance complète de tout ce que vous leur donnez. Vous ne pouvez pas faire confiance au client. Cela vaut autant pour empêcher le piratage que pour protéger un système contre toute compromission.

Étant donné que les modèles de distribution de logiciels existants reposent sur la fourniture au client de l’ensemble du package, puis sur le matériel que l’attaquant potentiel contrôle sur le matériel , le modèle de distribution est incompatible avec tout concept de logiciel "non piratable".

Pourquoi le logiciel est-il encore facilement piraté aujourd'hui?

Il est plus rentable de vendre des logiciels faciles à pirater.

Lorsqu'elles décident de mesures anti-piratage, les entreprises procèdent à une analyse coûts-avantages. Pour un ensemble de mesures donné, si les avantages ne dépassent pas les coûts, l'entreprise ne le fait pas.

Les coûts incluent le temps et les efforts nécessaires pour mettre en œuvre, documenter, soutenir et maintenir les mesures, et peut-être des pertes de ventes si elles sont vraiment ennuyeuses. De manière générale, il existe deux types d'avantages:

• Des profits plus importants parce que les personnes qui auraient piraté le programme l'ont acheté à la place.
• Les personnes qui prennent les décisions sont heureuses que le programme ne soit pas piraté.

Voici un exemple simple: Microsoft Office.

Maintenant, la SEP est une question d’argent et non pas de rendre les dirigeants heureux du piratage. Depuis un certain temps, MS vend une version "Home and Student" d'Office moins chère que l'édition "normale" pour les entreprises. Je l'ai acheté il y a quelques années et il n'avait aucune protection de copie! Et la technologie "anti-piratage" consistait à saisir une clé de produit qui était ensuite stockée dans le dossier de l'application. Mais vous pouvez l’exécuter simultanément sur autant d’ordinateurs que vous le souhaitez et ils fonctionneraient tous très bien! En fait, sur le Mac, vous pouvez faire glisser le dossier de l'application sur le réseau vers un autre ordinateur sur lequel vous n'avez jamais effectué d'installation. De plus, comme la clé de produit a été stockée avec l'application, l'exécution s'est bien déroulée.

Pourquoi une technologie anti-piratage aussi pathétique? Deux raisons.

La première est que le coût supplémentaire du support technique pour les utilisateurs à la maison qui gâchent leurs installations ne valait tout simplement pas la peine.

La seconde concerne les mesures anti-piratage non techniques . MS a un programme de dénonciation dans lequel, si vous savez qu'une entreprise a piraté un logiciel MS - comme installer 200 copies du même bureau "Famille et étudiant" - vous pouvez lui donner un appel. Ensuite, MS arrive et audite la société et, si elle trouve des logiciels piratés, les poursuit en justice - et vous obtenez une grosse part des gains.

Ainsi, MS n'a pas à utiliser la technologie pour empêcher le piratage. Ils trouvent plus rentable d’utiliser simplement de l’argent froid et dur.

À mon humble avis, l'un des problèmes fondamentaux est que la plupart ou la totalité des méthodes * de protection du logiciel contre le piratage, «à toute épreuve et à l'abri de tout piratage», gênent ou même chassent les utilisateurs innocents et légaux.

Par exemple, vérifier que l'application n'est installée que sur une seule machine peut rendre difficile pour un utilisateur de changer de matériel sur sa machine. Les dongles matériels peuvent signifier que vous ne pouvez pas utiliser la même application sur votre ordinateur de bureau ou à domicile. Sans oublier les codes géographiques de DVD, CSS, le rootkit de Sony et autres, qui ne sont pas strictement destinés à la protection des logiciels, mais étroitement liés.

* qui, comme l'a noté @FrustratedWithFormsDesigner, n'est jamais parfait dans la pratique; il n'y a pas de sécurité à 100%, vous pouvez seulement essayer de rendre assez coûteux pour un intrus de casser la défense pour qu'il n'y en ait pas «trop». Et je pense que cela est dû à la nature fondamentale des logiciels et des informations numériques: lorsqu'une personne parvient à casser une défense particulière, la rupture peut presque toujours être reproduite de façon triviale par des millions de personnes.

Comme l'a dit Bruce Schneier , essayer de rendre les fichiers numériques incopiables, c'est comme essayer de ne pas mouiller l'eau. Il parle principalement de "DRM", qui s'applique plus au contenu (par exemple, les films) qu'au code, mais du point de vue d'empêcher la copie du contenu du fichier ne fait guère de différence - copier un fichier c'est copier un fichier c'est copier un fichier .

Il n’existe qu’une seule "méthode infaillible et anti-piratage pour protéger votre logiciel contre le piratage" :

Logiciel libre (comme dans vous pouvez faire ce que vous voulez avec, même le vendre.)

Vous ne pouvez pas voler ce qui est donné librement. Certes, certains modèles de logiciels de sociétés de dinosaures vont être gâchés, mais le piratage ne va nulle part. Vendez quelque chose que vous ne pouvez pas copier, de préférence quelque chose qui accompagne ce que vous avez donné gratuitement; votre aide par exemple.

Ceci est causé par la combinaison de quatre facteurs principaux:

À un niveau fondamental, une grande partie de ce que fait un ordinateur fonctionne en copiant des données. Par exemple, pour exécuter un programme, l’ordinateur doit le copier du disque dur en mémoire. Mais une fois que quelque chose a été copié dans la mémoire, il peut être écrit de la mémoire vers un autre emplacement. Sachant que le principe fondamental de la "protection contre le piratage" est de créer des logiciels qui ne peuvent pas être copiés avec succès, vous pouvez commencer à voir l'ampleur du problème.

Deuxièmement, la solution à ce problème difficile agit directement contre les intérêts des utilisateurs légitimes et de ceux qui souhaitent utiliser le logiciel sans l’acquérir légalement. Certains de ces utilisateurs auront les connaissances techniques nécessaires pour analyser le code compilé. Vous avez maintenant un adversaire compétent qui travaille activement contre vous.

Comme il s’agit d’un problème difficile et que produire un logiciel correct est également difficile en soi, il est très probable que votre solution contienne au moins un bogue exploitable quelque part. Pour la plupart des logiciels, cela n'a pas d'importance, mais la plupart des logiciels ne sont pas attaqués activement par un adversaire déterminé. La nature du logiciel étant ce qu’elle est, une fois qu’un bogue exploitable est trouvé, il peut être utilisé pour prendre le contrôle de tout le système et le désactiver. Donc, pour assurer une protection fiable, votre solution au problème très difficile doit être parfaite ou elle sera fissurée.

Le quatrième facteur est l'Internet mondial. Le problème de la transmission d'informations à quiconque est intéressé devient trivial. Cela signifie qu'une fois que votre système imparfait est fissuré une fois, il l'est partout.

La combinaison de ces quatre facteurs signifie qu'aucun système de protection contre la copie imparfait ne peut être sans danger. (Et quand est la dernière fois que vous avez vu un logiciel parfait?) À la lumière de ceci, la question ne devrait pas être "pourquoi les logiciels sont-ils toujours facilement piratés?", Mais "pourquoi les gens essaient-ils toujours de les empêcher?"

L'une des principales motivations des solutions SaaS basées sur le cloud est la sécurisation des flux de revenus.

Je pense que c’est là l’avenir de la monétisation et de la protection de la propriété intellectuelle.

En se détournant de la vente de solutions sur site qui doivent être exécutées dans un environnement qui échappe au contrôle des fournisseurs, chaque stratégie contre le piratage de logiciels est finalement vouée à l'échec. Il n’existe aucun moyen de protéger vos actifs lorsque vous les donnez à quelqu'un d'autre, car la protection doit être renforcée sur sa machine.

En hébergeant votre logiciel dans le nuage et en le fournissant sous forme de service, vous placez la barre du piratage à un niveau comparable à celui de l'activité de singe.

Je pense que la réponse que vous recherchez est que beaucoup d'entreprises ne se soucient plus vraiment du piratage. Personne ne veut que ses documents soient distribués gratuitement, mais lorsque vous regardez le compromis entre ennuyeux et devoir supporter tous les gens où la protection de copie avancée a cassé ou cassé leurs ordinateurs. Quelques entreprises ont fait tout ce qui est en leur pouvoir pour prendre soin de leurs affaires, mais à la fin de la journée, le problème persiste et les utilisateurs ont tendance à repartir le temps avec un mauvais goût.

Il ne vaut pas la peine (ou la perte potentielle de clients) d'essayer de le mettre en œuvre pour les quelques personnes que vous empêcheriez de pirater de toute façon.

Certaines entreprises ont même considéré les utilisateurs pirates comme une ressource. Valve a fait sensation dans l'actualité avec un commentaire comme celui-là il y a quelque temps, et vous ne pouvez pas me dire que Microsoft n'est pas devenu le gagnant de toutes les installations Windows piratées installées en Asie au cours des années.

Pour les microsofts, ils cherchent à vendre de gros blocs de licences pour les petits vendeurs dont ils ont besoin, mais ils ne peuvent pas se permettre de perdre des clients ou, dans certains cas, même se permettre les rootkits et autres foutus gens utilisés pour essayer de construire ce type de verrou. -dans.

Vous ne pouvez pas faire un anti-piratage parfait, mais peu de gens sont très motivés à essayer.

Quoi que vous construisiez dans votre logiciel, il doit être compréhensible par la machine qui l'exécutera. À mesure que les logiciels sont devenus plus sophistiqués, les logiciels permettant de comprendre d'autres logiciels sont également plus sophistiqués. Donc, si ce logiciel est compréhensible par la machine, il est compréhensible (et modifiable) par le pirate.

Par exemple, vous pouvez en principe créer un cryptage puissant dans votre exécutable, de sorte que la plupart des logiciels sont illisibles. Le problème est alors que les ordinateurs des utilisateurs finaux ne peuvent pas plus lire ce code que les pirates. Pour résoudre ce problème, votre logiciel doit inclure à la fois l'algorithme de déchiffrement et la clé, en clair ou du moins caché derrière un chiffrement plus faible (le déchiffrement correspondant étant en clair).

IIRC, les meilleurs désassembleurs peuvent vous avertir du code crypté et vous aider à capturer et à analyser ce qui se cache derrière le cryptage. Si cela semble être un mal pour les rédacteurs du désassembleur, sachez que les développeurs de sécurité en ont besoin tous les jours pour enquêter sur les virus et autres logiciels malveillants qui se cachent également dans du code chiffré.

Il n'y a probablement que deux solutions à cela. L'une est la plate-forme fermée qui verrouille ses propres utilisateurs. Comme le montre la Playstation 3, ce n'est pas nécessairement une garantie. Dans tous les cas, il existe une grande classe d'utilisateurs non diaboliques qui ne l'aimeront pas.

L'autre consiste à faire fonctionner votre logiciel sur des serveurs sous votre contrôle.

La lutte anti-piratage automatisée est une contradiction logique.

Les utilisateurs légitimes ont la confiance des vendeurs.

Tout système anti-piratage "automatisé" cherche à automatiser la relation de confiance.

Comment cela peut-il fonctionner? Comment peut tout moyen technique jamais venu à la « confiance » une personne?

La confiance est une relation humaine par nature. Tout mécanisme technique peut toujours être subverti par des personnes qui semblent dignes de confiance mais qui ne le sont pas.

D'ailleurs, les gens perdent leur confiance tout le temps.

Je suppose que l'une des raisons est que les mêmes personnes qui savent comment écrire une sécurité décente sont probablement des pirates informatiques eux-mêmes.

Aussi, essayer de se protéger contre le piratage est vraiment, vraiment difficile. Comme votre ordinateur doit exécuter lui-même cette protection, il peut être intercepté à tout moment (mémoire / exécution / trafic réseau / ...). C'est là qu'intervient l'obfuscation, en essayant de rendre impossible la compréhension de ce qui se passe.

Je crois que le pouvoir des numéros de série et des clés d'activation réside dans le fait que vous pouvez au moins voir qui pirate et essayer de le suivre / le bloquer de cette façon. Je pense que cela explique en partie pourquoi de nombreux services sont aujourd'hui des services en ligne. (Steam, Windows update etc ...) Il devient soudainement beaucoup plus difficile à craquer, ... mais encore possible.

Là où vous avez un produit qui a du succès, il y a plus de gens qui essaient de le casser, alors les chances qu'il soit piraté sont plus grandes.

Techniquement, les logiciels peuvent toujours être piratés car la plupart des TI fonctionnent toujours dans des environnements logiciels et matériels conçus conceptuellement il y a des millénaires, alors même que la notion de piratage de logiciels n'existait pas.

Ces fondements doivent être maintenus pour assurer la compatibilité ascendante, ce qui accroît notre dépendance à leur égard.

Si nous devions repenser à partir de zéro les environnements matériel / logiciel en veillant à lutter contre le piratage, nous pourrions apporter des améliorations significatives.

Voir par vous-même:

• Le même système d'exploitation ouvert avec tous ses composants entièrement exposés et se proposant littéralement pour la manipulation

• La même architecture informatique ouverte qui utilisera n'importe quel logiciel

• Le modèle de distribution de logiciels est toujours basé sur des fichiers non cryptés qui sont remis à l'utilisateur

Le problème est exactement le même avec Internet et sa sécurité faible, ses nombreuses vulnérabilités, son ouverture à la manipulation, ses spams et ses attaques distribuées. Nous le ferions beaucoup mieux la deuxième fois, si nous pouvions refaire l'Internet. Malheureusement, nous devons nous en tenir à ce que nous devons maintenir la compatibilité avec la masse d'applications et de services existants.

Pour le moment, il semble que le meilleur moyen de protéger les logiciels contre le piratage consiste à introduire des modifications au niveau matériel:

• Fermez le matériel et transformez-le en une boîte noire. Empêcher un utilisateur de jouer avec le matériel et ses logiciels. L'approche consiste à probablement tout chiffrer au niveau de la puce afin que leurs interfaces externes soient entièrement chiffrées. Le cryptage HDCP de l'interface multimédia HDMI en est un bon exemple. Un flux multimédia est crypté avant de quitter le lecteur et déchiffré à l'intérieur d'une unité d'affichage, de sorte qu'il n'y a pas de flux de données ouvert à intercepter.

• Fermer les canaux de distribution. Assurez-vous que tous les médias externes et canaux en ligne sont entièrement cryptés afin que seul le matériel certifié puisse décrypter le flux de données.

Il est possible de retirer les deux, mais cela transformera tout l'écosystème en prison. Très probablement, un mouvement parallèle / souterrain d'un matériel / logiciel libre se produira, créant un écosystème parallèle.

Compte tenu des efforts déployés, une protection contre la copie presque parfaite pourrait probablement être obtenue… mais cela ne vaudrait pas le coup . Plusieurs blogs notables en ont parlé de manière excellente : en particulier, le concept d'un taux de piratage optimal .

Les mesures anti-piratage ont plusieurs coûts: le coût direct de leur mise en œuvre, mais également des coûts indirects: par exemple, les mesures causent souvent des inconvénients, entraînant le départ des utilisateurs.

Le piratage a des coûts, mais ils ne sont souvent pas très élevés. Il peut également avoir certains avantages, par exemple en développant la base d'utilisateurs. Comme l'a commenté l'un des commentateurs dans l'article de Coding Horror: «Maintenant que je suis développeur et que j'ai vraiment de l'argent à dépenser pour des logiciels, j'ai tendance à acheter les programmes que j'ai piratés à mon époque parce que je les connais déjà bien. ”

Il est donc important de prévoir une protection anti-piratage pour garantir que les ventes légitimes ne soient pas trop compromises; mais au-delà d'un certain point, il n'y a aucune incitation économique à améliorer les mesures anti-piratage.

Toutes les réponses semblent techniques, mais ce n'est pas un problème technique, c'est social.

Le logiciel est facile à copier et difficile à écrire. Si ce n’était pas facile à copier, nous ne serions pas dérangés. La plupart des programmes sont trop chers pour pouvoir écrire comme un seul, et les plus petits dépendent de plus gros programmes pour pouvoir fonctionner. Si nous faisons également en sorte que les programmes soient difficiles à copier, nous nous mettons en désavantage concurrentiel. Oui, vous pouvez maximiser les profits à court terme en décodant la copie. Mais au final, vous perdrez des parts de marché au détriment de tous ceux qui peuvent minimiser les coûts de copie, d’écriture et d’utilisation.

Le logiciel libre réduit au minimum un de ces coûts de copie et offre une réduction masive des deux autres coûts d’écriture et d’utilisation.

coût à copier

Je peux installer Ubuntu Linux à peu près au même temps et aux mêmes efforts que Windows 7 [Windows 7 nécessite également l’ajout d’une clé de licence, ce qui le rend légèrement plus difficile].

Windows 7 coûtera 100 €, mais pour Ubuntu, je peux le télécharger. Achetez-le au magasin (6 £) (avec un magazine gratuit), 2 £ par correspondance ou empruntez un CD à un ami.

coût d'écriture

Le logiciel libre peut être modifié, ce qui réduit les coûts. Je n'ai pas à partir du début.

coût d'utilisation

Sous Windows 7, je ne reçois aucune application, à l'exception d'un navigateur Web. Avec Ubuntu, je reçois toutes les applications que je peux immaginer, beaucoup installent avec le système d'exploitation.

Je n'ai pas besoin d'un scanner de virus sous Linux.

Je peux exécuter Linux sur du matériel ancien.

Avec le logiciel libre, personne n’oblige à passer à la vitesse supérieure en créant des versions incompatibles de ses outils bureautiques.

Dans un monde où les ordinateurs sont suffisamment similaires pour pouvoir télécharger des logiciels du réseau et les exécuter immédiatement, il est très difficile d'identifier quelque chose qui permet de déterminer si cet ordinateur peut fonctionner, mais ce n'est pas le cas.

Cela se résume finalement à ce que vous avez quelque chose que personne d’autre n’a. Cela peut être un numéro de série que vous avez payé, une clé matérielle ou un DVD contenant des erreurs physiques à un certain emplacement. Le logiciel recherche alors cette chose spécifique et refuse de s'exécuter s'il n'y est pas. Pour les numéros de série, vous devez également disposer d’un emplacement sur Internet où le logiciel peut valider que le numéro de série est acceptable pour le navire d’origine.

Malheureusement, les pirates informatiques savent très bien supprimer de tels contrôles chirurgicaux. Le code doit donc être très compliqué et difficile à modifier pour le rendre difficile, mais avec un dévouement suffisant, un humain peut toujours le faire.

Par conséquent, la plupart des logiciels peu coûteux optent pour le numéro de série validé par un ravitailleur sur Internet, ainsi que pour une politique de licence que les cashcows sont tenus de suivre. Les produits coûteux utilisent généralement une protection par dongle.

Il existe différents types de logiciels dotés de protections.

Lorsque vous prenez l'exemple de Windows 7, il est évident que la réponse est non, tout simplement parce que l'architecture et la programmation PC sont très bien connues.

Mais si vous considérez d’autres matériels, comme la PS3, la PSP et l’iPhone, c’est complètement différent, principalement parce que le fabricant a le contrôle sur tout, pas seulement le logiciel: il ne peut faire fonctionner le matériel que par un logiciel authentique, ce qui nécessite bonnes compétences en piratage pour les casser.

Vous devriez jeter un coup d'oeil au projet microsoft longhorn de retour dans la journée: au moment où ils voulaient implémenter des puces pour vérifier si votre logiciel était authentique ou non. Théoriquement, cela aurait été très difficile à pirater, mais ils ne l'ont pas fait parce que cela aurait été très intrusif.