[Réflexion] Protection des créateurs contre la copie des tours de magie

[Bertrand ANDRES]

@Magot Bidon:

Justement, le SSL sert à chiffrer une connexion sur une socket (le plus souvent en https).

[Invité Magot Bidon]

@hannibal: Je pense au contraire que le scénario d'un matériel "palpable" et pas d'une oeuvre numérique est un meilleur scénario. Les crackers arrivent à contourner les protection en éditant les binaires. Impossible avec un tour. La question était de savoir s'il était possible de mettre en oeuvre un mécanisme dont le truchement permettrait à l'acquéreur d'un tour de vérifier son authenticité, j'essaie de répondre à cette seule question, après il est certain que cette démarche n'empêcherait pas l'achat de tours contrefaits, elle permettrait seulement à des magiciens de vérifier qu'ils ont acheté un tour authentique.

@Ethtezhal: SSL ne sert pas uniquement au chiffrement d'un canal de communication, tu oublies par exemple la signature électronique (qui pourrait être très intéressante dans notre cas). Par ailleurs, SSL est largement utilisé et je trouve réducteur de le limiter à HTTPS. Ne serait-ce que pour SSH. Surtout que bon, si je voulais être tatillon j'objecterais que HTTPS en tant que protocole n'existe pas mais si on part sur cette voie on va perdre tout le monde avec des digressions purement techniques.

[Bertrand ANDRES]

J'ai bien dit "le plus souvent", et pas "tout le temps" en HTTPS (et je n'ai pas non plus dit que c'était un protocole).

Enfin bon, on peut longtemps discuter et brasser du vent comme ça. Au fond, je ne vois pas pourquoi ce serait à l'acheteur de faire le boulot d'un huissier de justice (ils servent aussi à constater les délits de contrefaçon après tout).

[Invité Magot Bidon]

Je ne brasse pas de vent, je propose une réponse à une question posée par un membre. Tu objectes que le SSL n'est pas utile, je t'explique pourquoi tu te trompes.

Pour le reste, il est certain que ce genre de solution ne permet pas d'empêcher les contrefaçons.

[Bertrand ANDRES]

J'ai dit que la SSL était inutile dans notre cas de figure uniquement pour l'histoire de connexion https, je n'avais pas pensé à son utilisation pour générer le hash (qu'on ne me fasse pas dire ce que je n'ai pas dit).

Ben l'idée de base, on y a répondu : générer un hash qui soit vérifiable.

Là où on brasse du vent, c'est en faisant du SSL vs SHA(0/1/2/512/?), alors qu'il y a bien plus important comme questions :

- A partir de quelles données on génère le hash?

- Est ce que la solution en question convient déjà à magiciendusud ?

- Quel est son budget pour une solution de sécurité (ça compte aussi)

Modifié 8 décembre 2010 par Ethtezahl

[Invité Magot Bidon]

Générer un Hash ne suffit pas, il faut le chiffrer en RSA par la suite, grâce à des clés contenues dans des certificats. Et il faut utiliser au minimum SHA-256, les versions 0 et 1, à l'instar du md5, n'étant plus considérées comme sûres.

Je pense que tu as raison, les données à partir desquelles ont génère le Hash sont LE problème clé de ce sujet. Si on prend le numéro de série par exemple, rien n'interdit à un contrefacteur de lire ce numéro et le hash correspondant sur un tour authentique et de le reporter sur son tour contrefait. Une solution pourrait être la suivante:

1. Concaténer le numéro de série et le nom du fabricant.

2. Hasher en SHA-256 puis chiffrer en RSA la chaîne obtenue. Eventuellement, un petit coup de Base64 pour obtenir une chaîne lisible par l'oeil humain.

3. Concaténer le nom du fabricant, le numéro de série et le résultat obtenu: voilà la clé de sécurité du produit.

Ensuite, la vérification peut se faire sur le site du fabricant: il faut séparer le nom du fabricant, le numéro de série et le reste, puis déchiffrer ce reste pour obtenir le hash intial. Ensuite, hasher nom du fabricant + numéro de série et comparer les deux valeurs.

Le problème du rejeu reste présent, mais il oblige le contrefacteur à utiliser le nom du vrai fabricant du tour, ce qui peut être très problématique pour lui et qui peut faciliter les démarches du vrai propriétaire du tour.

Après il faudrait y réfléchir sérieusement, ce n'est qu'une idée.

On pourrait aussi imaginer de vendre le tour sous forme dématérialisée, genre une simple carte à gratter. On gratte, on découvre un identifiant unique, on va sur le site rentrer cet identifiant et s'il est correct on rentre son adresse pour recevoir le tour par la poste.

Mais ce n'est pas forcément très pratique et ça augmente le coup de transport pour le fabricant.

[Julien ARLANDIS]

Générer un Hash ne suffit pas, il faut le chiffrer en RSA par la suite, grâce à des clés contenues dans des certificats. Et il faut utiliser au minimum SHA-256, les versions 0 et 1, à l'instar du md5, n'étant plus considérées comme sûres.

Je pense que tu as raison, les données à partir desquelles ont génère le Hash sont LE problème clé de ce sujet. Si on prend le numéro de série par exemple, rien n'interdit à un contrefacteur de lire ce numéro et le hash correspondant sur un tour authentique et de le reporter sur son tour contrefait. Une solution pourrait être la suivante:

1. Concaténer le numéro de série et le nom du fabricant.

2. Hasher en SHA-256 puis chiffrer en RSA la chaîne obtenue. Eventuellement, un petit coup de Base64 pour obtenir une chaîne lisible par l'oeil humain.

3. Concaténer le nom du fabricant, le numéro de série et le résultat obtenu: voilà la clé de sécurité du produit.

Ensuite, la vérification peut se faire sur le site du fabricant: il faut séparer le nom du fabricant, le numéro de série et le reste, puis déchiffrer ce reste pour obtenir le hash intial. Ensuite, hasher nom du fabricant + numéro de série et comparer les deux valeurs.

Avec cette solution, n'importe qui pourrait contrefaire un tour il lui suffit de recopier un hash valide, rien ne saura alors distinguer le hash original du hash recopié. le vendeur pourra toujours affirmer qu'il a acheté le tour dans la boutique désignée par la chaine cryptée.

Pour ces raisons, je persiste à penser qu'il ne peut y avoir de solution numérique à la protection d'un tour de magie, c'est la raison pour laquelle j'ai évoqué l'empreinte digitale fournie avec le tour. Dans la mesure où un tour se vend à quelques centaines d'exemplaires il n'est pas très long ni compliqué de produire quelques centaines de ces documents, beaucoup moins long que la fabrication d'un gimick en tout cas. Si le client veut vérifier que le tour n'est pas contrefait, l'auteur du tour peut lui fournir sur un site les moyens informatiques de vérifier que l'empreinte est bien la bonne. Pour l'instant personne n'a évoqué une seule faille à ce schéma de principe et je pense qu'il n'y en a pas car cela impliquerait que l'on soit capable de contrefaire une empreinte digitale. Encore une fois, ce principe n'a pas pour objet d'empêcher la contrefaçon mais de fournir des moyens de vérification au client désireux d'acheter un produit authentique. Il y aura toujours des clients désireux d'acheter des contrefaçons pourvu qu'elles sont moins chères et assumées en tant que telles, ce n'est pas à ces personnes que s'adresse cette sécurité.

[Invité Magot Bidon]

Déjà, les empreintes digitales c'est vraiment ce qu'on fait de moins efficace en matière de biométrie. Ensuite rien n'empêche le contrefacteur de recopier l'empreinte digitale, tout comme il peut recopier le hash. C'est faisable. Et puis honnêtement, reconnaître deux empreintes digitales, une sur papier, une sur écran c'est vraiment fastidieux pour l'acheteur. Cette solution n'est pas bonne en terme de sécurité.

Le tour dématérialisé est 100% sécurisé, mais peu pratique à l'usage. Il permet pourtant à l'acquéreur d'être certain de l'authenticité du tour.

Pour ce qui est de ma solution, si le contrefacteur copie carrément le tour de façon identique, effectivement, elle ne fonctionne pas. Je pensais que tu voulais éviter le plagiat, pas la copie pure et simple. Mais dans ce cas c'est mission impossible.

[Stéphane JARDONNET]

Tres interessant, sauf que je tenais a vous rappeller que la revente de Hash est interdite, en tranche, Hache et surtout en ligne, meme si c'est pour prevenir de la contrefacon et de personnes mal intentionnes qui tentent de vous revendre du Pneu

Quand a savoir s'il faut se gratter pour recevoir sa commande, ca depend des marchands. En general, les clients preferent recevoir la commande directement surtout quand on a leur a deja debite leur CB

Toute blague mise a part, il existe quand meme des solutions simples, mais qui font appel a l'honnetete des gens et au bon sens commun, donc pas pour aujourd'hui donc.

Enfin, si vous trouvez une formule, je vous suggere de la breveter et la revendre aux majors du disque, du cinema et bientot du livre. Vous deviendrez immediatement un nouveau membre du club tres ferme des multi-millionaires. ( Ce que vous aurez beaucoup plus de chance a devenir en trouvant une formule anti piratage qu'en devenant magicien ou fabricant de materiel de magie... )

[Invité Magot Bidon]

Ou alors on peut imaginer une traçabilité des boutiques distribuant le tour. Mais là encore, rien n'empêche une boutique de vendre à la fois des tours authentiques et des tours contrefaits..