10 Février 2012    

La Lettre de mai 2007

Archives

SRM : contrôle des droits des applications

Editorial - la lettre de mai 2007

  

Quel est la différence entre une chanson de Madonna et un logiciel de traitement de texte ? Aucune (ou presque...). Vus au raz de la moquette, ce sont 2 fichiers numériques qui transitent sur Internet et se stockent sur une mémoire ou un disque magnétique.
Pour éviter qu'à partir d'un seul exemplaire on inonde la Terre entière de versions pirates, différents antivols logiques ont été mis au point, regroupés maintenant sous le terme de DRM.
Dans le cas spécifique des logiciels, on parle également de SRM (Software Rights Management).
Etude du SRM à partir de la nouvelle solution d'Aladdin HASP SRM.

Sécuriser le savoir-faire de l'éditeur

Les coûts de recherche et de développement sont partagés entre les différents utilisateurs d'une application. Mais le piratage est un fléau (jusqu'à 90 % de copies illégales dans les pays asiatiques et en Inde et 47 % en France - un des taux les plus élevés en Europe).
Au-delà des chiffres cumulés un peu abstraits (plus de 35 milliards de $), la copie illégale peut mettre en danger l'équilibre financier des entreprises dédiées au développement.
De cette situation découle le besoin de contrôler que chaque utilisateur a bien payé son écot pour le produit qu'il utilise. C'est le rôle du DRM (Digital Rights Management) ou plus précisément du SRM (Software Rights Management).

Quand la protection devient une menace

Mots de passe oubliés, nouveaux salariés, nouvelles machines, installations complexes, pour l'entreprise utilisatrice de bonne foi (une majorité, rappelons-le), le système anti-piratage c'est l'ennemi. Les heures de travail perdues dépassent parfois le prix des logiciels et matériels employés. L'investissement applicatif finit alors au placard, faute d'être disponible au bon moment. Inutile dans ce cas de parler de ROI.
Le nombre de copies pirates, certes très important, doit probablement être minoré par le fait qu'un grand nombre de ces copies ne seront jamais utilisées. A contrario, beaucoup d'exemplaires régulièrement acquis finiront en haut d'une armoire ou ne seront jamais installés ou utilisés.
D'où la nécessité pour les éditeurs de mettre en place des systèmes de sécurité simples, fiables et souples.
DRM et SRM sont chargés de résoudre la double équation de la sécurité pour l'éditeur et de la simplicité pour l'utilisateur.

Principe du SRM

A l'aide d'API, le développeur introduit des verrous logiques dans chaque programme, chaque module ou chaque fonctionnalité. Cette opération est sécurisée à l'aide des principes de signature et de cryptage modernes, comme AES, par exemple.
Dans la présentation ci-dessous, le développeur n'a pas a coder les termes de la licence dans son logiciel, mais seulement à disposer les verrous. Le responsable produit peut définir des politiques de licence et de diffusion différentes indépendamment du développeur dont la tâche est allégée.
 

Processus de protection d'un nouveau logiciel
Agrandir l'image

 
L'utilisateur, qui dispose déjà de son logiciel, le débloque en contactant le "centre de droits" de l'éditeur. L'autorisation sera stockée sur le poste client ou, mieux, sur une clé USB qu'il pourra emmener avec lui.


 

Déblocage du logiciel par l'utilisateur
Agrandir l'image

 

Clé USB ou clé logique ?

Une fois l'autorisation accordée par le serveur de droits, il faut la conserver localement. 2 technologies sont employées depuis toujours :

  • la clé logique : basée sur des identifiants secrets d'une machine, elle ne nécessite aucun accessoire, mais oblige l'utilisateur à travailler sur la machine qui possède les droits.
    Avantage, les ports USB ne sont pas bloqués par une clé.
  • la clé physique : la clé USB a pratiquement remplacé le vieux dongle.
    Avantage, l'utilisateur peut changer de machine et continuer de disposer de ses droits immédiatement.

 

Clé de sécurité USB
Agrandir l'image

 
Comment fonctionne une clé logique ?
La clé logique est calculée suivant un algorithme secret qui peut combiner les caractéristiques physiques de la machine, à savoir :

  • la configuration (BIOS)
  • l'adresse MAC de la carte réseau,
  • l'identifiant du disque dur

En combinant ces paramètres on peut ainsi contrer les différentes astuces comme le clonage ou l'échange des disques durs. Problème, en cas de modification justifiée du système, la clé ne fonctionne plus et il faut que le système de SRM soit suffisamment performant pour fournir une nouvelle clé immédiatement.

Avantages des DRM/SRM pour l'utilisateur

Il n'y a pas que des logiciels utilisés sans être payés. Il y a aussi des logiciels payés et non utilisés. Les causes sont généralement :

  • le produit ne convient pas (usage trop compliqué, fonctionnalités décevantes, incompatibilité technique..),
  • le détenteur ignore sa possession ou son usage,
  • le détenteur a perdu le code de sécurité (comment se rappeler tous les mots de passe de tous les logiciels, notamment ceux que l'on n'utilise qu'à l'occasion ?).

La gestion des droits n'est pas qu'une contrainte de plus. En mettant en place un bon système de gestion des droits, l'éditeur d'un logiciel peut proposer à son utilisateur une meilleure gestion de ses logiciels :

  • une période d'essai qui permet de valider l'achat du produit dans les conditions réelles (plus de versions de test bridées qui n'enregistrent pas),
  • un dialogue possible entre l'éditeur et l'utilisateur (pour déployer, changer d'ordinateur, retrouver son mot de passe...),
  • de nouvelles conditions d'usage (location, ASP, Software As a Service..).

La mise en place d'un SRM permet d'envisager ces nouveaux modes d'utilisation des applications.
 

Modèles de licence utilisés actuellement et envisagés pour l'avenir
Agrandir l'image

 

Un dialogue possible

Le SRM autorise un dialogue entre l'utilisateur et le détenteur des droits intellectuel. Celui-ci définit sa politique commerciale à l'aide d'un centre de droits.
Le centre de droits de l'éditeur est un serveur disposé chez l'éditeur ou chez son fournisseur de sécurisation. Il permet :

  • d'autoriser à distance l'usage d'un logiciel nouvellement acheté ou téléchargé,
  • de limiter les périodes d'essai,
  • de gérer le paiement à l'usage (par exemple à l'aide d'un compteur qui se décrémente à chaque usage ou s'incrémente lors d'un paiement),
  • de changer de version d'un logiciel,
  • d'ajouter un nouveau module ou une nouvelle fonctionnalité,
  • de retrouver un mot de passe.

 

Mise à jour d'une licence à l'aide du SRM
Agrandir l'image

 
 
 
 
Merci à Samuel Ametepe, Regional Sales Manager chez Aladdin pour son aide dans la rédaction de cette fiche.


Recherche         
fermer