Voilà une citation de Prashant Sridharan, responsable de produit dans la division Développeur chez Microsoft, tirée d’un communiqué de presse publié le 7 Novembre dernier par Microsoft … A méditer …
Protéger la propriété intellectuelle et éviter les tests de vulnérabilité des applications sont deux problèmes importants auxquels se heurtent actuellement les informaticiens.
Et M. Prashant Sridharan ajoute :
L’obfuscation est un élément important de la solution complète de gestion du cycle de vie de l’application proposée par Microsoft et la dernìère version de Dotfuscator CE de PreEmptive Solutions représente une amélioration considérable pour la plate-forme Visual Studio.
Moi, ca me laisse pantois. Pas vous ?
Arrrgg !!! je suis désagréablement surpris que certaines personnes chez Microsoft tiennent encore ce type de discours.
La sécurité par l’obscurité n’est en rien une bonne approche.
En fait ce type de solutions n’a pour objectif que de protéger la propriété intellectuelle (on est ici dans une logique qui est à l’opposé de l’Open Source) mais ne doit surtout pas être considéré comme un mécanisme garantissant la sécurité (au sens intégrité, confidentialité…) de l’application compilée.
Les tests de vulnérabilité des applications devraient être une étape essentielle de tout développement (c’est d’ailleurs une des étapes du Security Development Livecycle utilisé chez Microsoft)
Merci Stanislas pour ton retour. Effectivement, dans le fond tu as raison - l’objet de la solution est de protéger la propriété intellectuelle. Mais du même coup, ca rend le reverse engineering impossible et donc ca empêche la recherche de vulns sur le logiciel en question. Bref, je pense que c’est effectivement un problème de discours de la part de ce M. Prashant Sridharan qui n’a pas été très fin ou qui n’a pas choisi les bons arguments