En vue de mener à bien ma marque de vêtements, j'aimerais pouvoir créer un algorithme de génération de numéros de séries uniques afin d'identifier chaque article de chaque gamme, afin que les futurs clients puissent vérifier sur le site si il s'agit bel et bien d'un produit officiel et non d'une contrefaçon.
Pour cela le programme devra répondre à plusieurs conditions :
- Etre programmé en C# qui est mon langage de programmation
- Générer un numéro d'identification UNIQUE pour chaque article (2 vêtements identiques devront donc avoir 2 numéros de série différents)
- Stocker chaque numéro dans une base de données qui seront chacun liés à un article
- Prendre en compte plusieurs chiffres préalablement définis qui permettront la génération de ce dit numéro (ID du type de vêtement + ID de la date à laquelle le design a été commercialisé pour la première fois + quantités totales produites en sortie d'usine + clé de cryptage propre à la marque)
- Ne pas pouvoir être falsifié par des tiers
- Créer un fichier sql afin d'être exécuté directement dans la base de données avec toutes les entrées créées
Ainsi, quand l'utilisateur achètera dans une boutique physique ou commandera sur le site, il recevra une carte avec son numéro unique qui lui permettra de le renseigner sur le site afin qu'il (le site) recherche dans la base de données l'article et l'affiche sur son écran. Si ce numéro est inscrit dans la base de données, alors c'est qu'il s'agit d'un produit officiel, dans le cas inverse, il s'affichera un message invitant l'utilisateur à me signaler l'endroit où l'article a été acheté afin de pouvoir faire toutes les démarches nécessaires pour condamner cette vente illégale.
Si vous pouvez m'aider à programmer ce logiciel ou à me conseiller sur tel ou tel point que j'ai énoncé dans ce message quant à l'utilisation de cette manière de procéder afin d'authentifier mes produits, je vous en serais mille fois reconnaissant.
Si vous avez des conseils ou des expériences personnelles dans la matière, je suis à votre écoute.
Actuellement je n'ai aucune piste et c'est bien ça le soucis. Je ne sais pas vers quel type d'algorithme je dois me pencher, vers quel type de chiffrement (si besoin est) je dois me tourner et je ne sais pas non plus comment organiser la structure de mon programme pour pouvoir réunir toutes les conditions nécessaires à son bon fonctionnement.
En gros je ne sais pas comment m'y prendre pour coder tout ça.
Je ne demande pas de code déjà tout prêt, je demande simplement de l'aide, une "solution" si le terme te convient, pour que je puisse organiser tout ça méthodiquement et savoir dans quelle direction aller.
Oula... alors là je ne m'y connais vraiment pas en type d'attaques web, je sais juste qu'il y a les injections, le ddos et la manipulation d'URL. Après je sais qu'il y a un paquet d'attaques possibles qu'un pirate peut réaliser sur un site.
Corrigez moi si je me trompe mais PrestaShop ayant déjà fait ses preuves à maintes et maintes reprises, je pense qu'il est suffisamment sécurisé pour pouvoir travailler dessus en toute confiance non ?
Bacelar, pour répondre à ta première question non il n'y aura aucune revente possible avec mon système. Du moins je n'envisage pas cette possibilité pour le moment mais pourquoi pas par la suite quand j'aurais le temps et l'argent de déposer ce logiciel afin d'en avoir tous les droits dessus.
> je ne m'y connais vraiment pas en type d'attaques web,
Déjà, très grave erreur, considérer que l'attaquant va prendre le chemin balisé.
Votre infrastructure utilise HTTP mais fait bien d'autres choses.
Il faut que le socle soit sûr, OK, mais aussi que ce que vous ajoutez le soit.
Dans l'analyse de sécurité, vous devez savoir quel type d'attaque vous allez subir, et les socles comme HTTP sont là pour servir à les contrer.
Mais l'utilisation d'une technologie éprouvée mal utilisée ne garantit en rien la solution.
PrestaShoBidule peut être correcte, mais si vous vous en servez comme un pied, ça servira à rien, et la plus belle fille du monde n'a qu'elle à offrir.
Exemple : Un acheteur met un code qui est déjà dans la base, comment pouvez-vous prouver que c'est lui qui est le fautif si n'importe qui peut enregistrer n'importe quelle valeur, que le canal de transmission de la clé n'est pas safe, que la base de données est répudiable (rien en garantie qu'elle n'a pas été hackée) etc...
> il n'y aura aucune revente possible avec mon système
Je ne parle pas du système mais des articles !!!
Et les retours clients etc....
Vous devez analyses VOS CONTRAINTES MÉTIER pour choisir une solution adaptées.
Je recherche un CDI/CDD/mission freelance comme Architecte Logiciel/ Expert Technique sur technologies Microsoft.
> je ne m'y connais vraiment pas en type d'attaques web,
Déjà, très grave erreur, considérer que l'attaquant va prendre le chemin balisé.
Votre infrastructure utilise HTTP mais fait bien d'autres choses.
Il faut que le socle soit sûr, OK, mais aussi que ce que vous ajoutez le soit.
Dans l'analyse de sécurité, vous devez savoir quel type d'attaque vous allez subir, et les socles comme HTTP sont là pour servir à les contrer.
Mais l'utilisation d'une technologie éprouvée mal utilisée ne garantit en rien la solution.
PrestaShoBidule peut être correcte, mais si vous vous en servez comme un pied, ça servira à rien, et la plus belle fille du monde n'a qu'elle à offrir.
Exemple : Un acheteur met un code qui est déjà dans la base, comment pouvez-vous prouver que c'est lui qui est le fautif si n'importe qui peut enregistrer n'importe quelle valeur, que le canal de transmission de la clé n'est pas safe, que la base de données est répudiable (rien en garantie qu'elle n'a pas été hackée) etc...
> il n'y aura aucune revente possible avec mon système
Je ne parle pas du système mais des articles !!!
Et les retours clients etc....
Vous devez analyses VOS CONTRAINTES MÉTIER pour choisir une solution adaptées.
Je suis d'accord avec sur le fait qu'il faut analyser tous les risques avant de se lancer.
La question est comment puis je définir les types d'attaques possibles si je ne connais pas les types de défenses que le CMS propose... ?
Je ne dois donc pas m'en servir comme "pied", merci du conseil, mais que dois je rajouter en parallèle pour assurer la sécurité de l'ensemble ?
Alors pour ce qui est de ton exemple l'utilisateur renseignera un numéro avec un nombre précis de caractères. Ni plus ni moins. Il n'y aura aucun transfert de la clé ni de l'algorithme sur le site étant donné que la clé sera sur une clef usb cryptée et chez moi. L'utilisateur fera donc un appel depuis le site à la base de donnée pour voir à quel article son numéro correspond.
Je reformule ma question de base qui est est-ce que vous pensez que c'est une bonne solution de passer par ce procédé là ou est-il plus judicieux de passer par un autre système ?
> si je ne connais pas les types de défenses que le CMS propose... ?
NON, vous prenez le problème à l'envers, vous devez connaitre vos vulnérabilités métiers et voir si elles sont protégées en utilisant le CMS et pas l'inverse.
Le CMS ne sera qu'une boite à outils pour faire votre bouclier, pas le bouclier lui-même.
>mais que dois je rajouter en parallèle pour assurer la sécurité de l'ensemble ?
C'est fonction de vos contraintes métiers, vous devez analyses votre profile d'attaques.
Par exemple, avec votre approche, si vous voulez jouer au gros bras avec un distributeur indélicat, faudra prouver que c'est lui qui déconne et pas vous => vous avez la charge de la preuve, et si vous allez au tribunal avec une base de données que vous pouvez trafiquer vous-même à loisir, vous allez vous faire descendre en flèche par l'avocat adverse.
Il faut donc un moyen d'authentifier votre base par un tier de confiance.
Etc...
>Il n'y aura aucun transfert de la clé
Ici, c'est la valeur renseignée par l'utilisateur. Et l'utilisateur, il l'obtient comment ? En grattant une étiquette sur le vêtement ??? => Pas de transmission safe !!!
Vous pensez à quel pourcentage de client utiliseront votre service pour juste se faire peur ?
Si le pourcentage est faible, les probabilités de détection seront très très faibles et sporadiques.
Avant de trouver une solution technique, faudrait déjà vérifier la véracité des cas d'usage.
Je recherche un CDI/CDD/mission freelance comme Architecte Logiciel/ Expert Technique sur technologies Microsoft.
J'ai réfléchis et écris une nouvelle méthode qui prouverait l'authenticité des produits. Je vous donne un extrait pour que vous me dites ce que vous en pensez :
Officer Marshall a écrit:
Certificats d'authenticité
1 - Définition :
Chaque produit pourra tout d'abord être authentifié grâce à une méthode de fabrication unique propre à la marque (assemblage de matériaux spécifique, méthode directe de fabrication...)
Viendra s'ajouter à cela une méthode de fabrication, elle aussi unique, de l'étiquette, comportant une certification de l'authenticité du produit ainsi qu'un numéro d'identification unique permettant à l'utilisateur de pouvoir faire vérifier son produit par simple appel vers le service client.
Cela permettra de FORTEMENT LIMITER la contrefaçon de la part de tiers et ainsi pouvoir déceler si l'objet acheté par l'utilisateur a été contrefait ou non.
2 – Les méthodes :
Pour les vêtements :
Assemblage de X% de ..., de Y% de ... et de Z% de ...
Coutures de couleurs rouges au niveau du col, des manches et de la taille
Logo figurant en couleur(s), derrière, au niveau du cou et à l'intérieur
Pour les accessoires :
Assemblage de X% de ..., de Y% de ... et de Z% de ...
Éléments d'identification spécifique en fonction de l'accessoire (forme, couleurs...)
Logo figurant en couleur(s) sur des endroits stratégiques en fonction de l'accessoire
Pour les étiquettes :
Numéro d'identification unique généré par un algorithme créé par nos soins
Numéro du service client renseigné dessus
Logo en couleur chromatique en relief (visuel et physique)
Étiquette de couleur dorée
3 – L'algorithme :
Programmé en C# par nos soins, l'algorithme générera une suite de nombres appelés numéros de série, selon un procédé complexe et permettra d'identifier chaque article de chaque gamme.
Le nombre de numéros de série générés pour une même collection sera égal au nombre d'articles quittant la chaîne de production et qui seront prêts à être vendus.
Afin de ne pas être piratés, les numéros de série seront stockés dans une base de données locale non connecté à internet, elle-même reliée au logiciel disponible uniquement sous sa version exécutable (.exe) aux employés du service client afin de limiter encore une fois le risque d'être piraté.
A chaque nouvelle production, périodiquement, l'ajout depuis l'ordinateur vers la base de données sera fait par le biais d'une personne ayant signé un contrat de confidentialité avec l'entreprise et qui s'occupera uniquement de la mise à jour de la base de données selon un protocole stricte inscrit dans son contrat de travail ainsi que dans son contrat de confidentialité.
Le logiciel qui générera ces numéros de série sera hautement crypté afin de rendre sa décompilation extrêmement dure à interpréter voire impossible.
- Edité par Officer Marshall 17 mai 2016 à 15:04:36
> Les numéros de séries seront imprimés sur des étiquettes, non ?
Oui c'est le but
> Comment être sûr que les étiquettes correspondent aux modèles quand les séries sont toutes petites ?
En appelant le service client qui se chargera de décrypter le numéro de série et qui dira à l'utilisateur quel type de vêtement a-t-il acheté (t-shirt, chemise, chaussure, etc...) ainsi que le modèle (son design, ce qu'il y a écrit dessus ou ce qui est dessiné).
Je sais pas si je me suis bien fait comprendre mais quand je parle "d'étiquette" ce n'est pas l'étiquette se trouvant à l'intérieur du vêtement, celle qu'on arrache parce qu'elle nous gratte, mais bien celle qui sera attachée à la languette du produit avec son prix écrit dessus, etc...
> Ouais, faut quand même les envoyés à l'imprimer des étiquettes => toute la sécurité est compromise.
Ya rien à envoyer du tout x) Je vais avec ma clef usb à une imprimerie de ma ville, je fais imprimer les numéros en les mettant chacun sur une page de la taille voulue d'une étiquette et je les fait imprimer une à une je vois pas en quoi la sécurité est compromise en sachant que personne ne pourra venir me voler ces dits numéros étant donné qu'il seront cryptés et que dans tous les cas chaque numéro correspondra à un désign précis que seul le logiciel sera capable de décoder.
> Votre service client ne sera pas en zone safe, pas chez vous ou utiliseront un PABX donc accessible par un pirate chevronné.
Ah bon et pour quelle raison ? Les postes connectés à internet seront totalement indépendants des postes connectés au réseau local, ça veut dire qu'un "pirate chevronné" devra connaitre l'endroit ou se trouve le service client pour pouvoir le hacker directement depuis le réseau local, ce qui est plutôt utopiste, mais je pense que même si c'était le cas, d'ici là on aurait atteint un CA suffisamment important pour engager un ingénieur en sécurité réseaux.
> Pourquoi s'emmerder, ils n'auront qu'à le faire tourner.
Et après ? Que vont-ils faire avec un programme crypté dont son principe est justement de décrypter des données cryptées par un autre programme lui même crypté dont ils ne pourront obtenir ?
> A quels types d'attaque voulez-vous vous prémunir ?
Pour l'instant de la contrefaçon. Ou du moins laisser une possibilité à des personnes de contrefaire les produits pour pouvoir par la suite avoir une bonne raison de les attaquer en justice.
> Il faut aussi voir le questionnement inverse, ton produit vaut-il vraiment la peine d'être tant sécurisé ?
Mon produit vaut la peine à mes yeux d'être "autant" sécurisé oui. Et puis même si il ne vaut pas réellement la peine à l'heure d'aujourd'hui, d'ici quelques temps quand les produits auront atteint une certaine notoriété de par leur concept unique, les matériaux de fabrication, le style qu'ils auront dégagé ainsi que de la campagne publicitaire que la marque bénéficiera grâce à nos investisseurs, la marque et son concept seront obligatoirement sujet à contrefaçon. Voilà pourquoi je préfère m'en prévenir dès maintenant.
OK, tu veux dire que c'est toi qui imprimeras toutes les étiquettes ? Que si un magasin fait des soldes, tu réimprimeras toutes les étiquettes ? Que si on te vole ou casse ton ordinateur avec le programme, tu vas te pendre ? ...
C'est pas logique ce truc.
Un service client sans téléphone, ça n'existe pas, donc un service client sans PABX, ça n'existe pas, donc un service client non accessible depuis Internet, ça n'existe pas !!! Donc personne n'a besoin d'être près du service client pour l'attaquer, loin de là.
Le programme soit accéder à la base de données, ils auront des indices sur sa localisation et un chemin d'accès à la machine.
Bon concrètement, c'est quoi la taille du bidule à imprimer ?
Pour éviter les problèmes d’effacement, etc..., je vous conseille des QR-Code ou des trucs du même genre.
Je recherche un CDI/CDD/mission freelance comme Architecte Logiciel/ Expert Technique sur technologies Microsoft.
> OK, tu veux dire que c'est toi qui imprimeras toutes les étiquettes ?
Oui c'est moi qui les imprimerais ou les ferais imprimer.
> Que si un magasin fait des soldes, tu réimprimeras toutes les étiquettes ?
Si un magasin fait les soldes il aura juste à changer le prix sur l'étiquette étant donné que c'est EUX qui fixent LEURS prix en fonction du prix auquel ils les achèteront, tu sais avec le petit appareil qui collent les petites étiquettes blanches sur les étiquettes des marques
> Que si on te vole ou casse ton ordinateur avec le programme, tu vas te pendre ? ...
La copie d'un programme existe jusqu'à preuve du contraire et peut même être fait sur un disque dur, une clef usb, un CD ou même sur un serveur distant. Si on me vole mon ordi ou si il se casse tant pis il y aura d'autres endroits où le programme aura été copié x)
> C'est pas logique ce truc.
Alors propose moi une idée plus plausible puisque tu as l'air de réfléchir avec plus de logique que moi.
> Un service client sans téléphone, ça n'existe pas, donc un service client sans PABX, ça n'existe pas, donc un service client non accessible depuis Internet, ça n'existe pas !!! Donc personne n'a besoin d'être près du service client pour l'attaquer, loin de là.
Je suis d'accord avec toi mais ça n'infirme pas l'hypothèse que si le ou les PC disposant(s) du programme ne sont EUX pas connectés à internet le programme en question ne peut être volé x) Si ? Alors je veux bien que tu m'expliques comment.
> Le programme soit accéder à la base de données, ils auront des indices sur sa localisation et un chemin d'accès à la machine.
Comment peut-on voler des informations sur une base de données qui n'est pas reliée à internet ?
> Bon concrètement, c'est quoi la taille du bidule à imprimer ?
Tu parles de quel bidule ? Le numéro de série ? Tout dépend de l'algorithme (je suis en train de voir pour un algo type AES symétrique) mais j'attends d'avoir un peu plus d'informations pour me lancer dans sa programmation.
Si tu parles de la taille de l'étiquette rien de bien méchant, 4x12cm devrait être un bon format.
> Pour éviter les problèmes d’effacement, etc..., je vous conseille des QR-Code ou des trucs du même genre.
Tu pourrais m'en dire un peu plus sur les QR codes et sur comment les mettre en place pour ce genre d'idée stp ?
Concernant la falsification, si jamais tu veux vraiment être très sûr tu peux faire ce que pas mal d'entreprises font (Apple, Spotify, Google...) c'est à dire que lors de la vente le vendeur "active" le numéro de série, et communique à ce moment avec ta base de données pour dire qu'il a été vendu. Autrement, aucun moyen d'entrer le numéro de série sur ton site (enfin il dira qu'il est invalide).
C'est ce que font comme je l'ai dit Apple pour empêcher le vol des cartes cadeaux iTunes / App Store... rien ne t'empêche de copier le code dans le magasin mais une fois chez toi s'il a pas été activé par le magasin où tu l'as copié, tu peux pas l'activer.
C'est une solution lourde mais efficace. Mais bon est ce que ça vaut vraiment le coup ça c'est la vraie question.
+1 Pour les QR Codes, c'est efficace. Au lieu d'écrire ton numéro de série, tu fais un QR Code qui contient le numéro de série, le client le scanne ensuite avec son smartphone et ça lui permet de pas avoir à le recopier et tout.
> Concernant la falsification, si jamais tu veux vraiment être très sûr tu peux faire ce que pas mal d'entreprises font (Apple, Spotify, Google...) c'est à dire que lors de la vente le vendeur "active" le numéro de série, et communique à ce moment avec ta base de données pour dire qu'il a été vendu. Autrement, aucun moyen d'entrer le numéro de série sur ton site (enfin il dira qu'il est invalide).
Effectivement, j'y avais déjà pensé mais le problème de piratage de la base de données reste quand même...
> +1 Pour les QR Codes, c'est efficace. Au lieu d'écrire ton numéro de série, tu fais un QR Code qui contient le numéro de série, le client le scanne ensuite avec son smartphone et ça lui permet de pas avoir à le recopier et tout.
Peux-tu m'en dire un peu plus sur leur utilisation ? Puis-je programmer moi même mes propres algorithmes de génération et comment je pourrais les mettre en oeuvre pour une telle utilisation ?
Le message qui suit est une réponse automatique activée par un membre de l'équipe de modération. Les réponses automatiques leur permettent d'éviter d'avoir à répéter de nombreuses fois la même chose, ce qui leur fait gagner du temps et leur permet de s'occuper des sujets qui méritent plus d'attention. Nous sommes néanmoins ouverts et si vous avez une question ou une remarque, n'hésitez pas à contacter la personne en question par Message Privé. Pour plus d'informations, nous vous invitons à lire les règles générales du forum
Avant de poster un message, vérifiez la date du sujet dans lequel vous comptiez intervenir.
Si le dernier message sur le sujet date de plus de deux mois, mieux vaut ne pas répondre. En effet, le déterrage d'un sujet nuit au bon fonctionnement du forum, et l'informatique pouvant grandement changer en quelques mois il n'est donc que rarement pertinent de déterrer un vieux sujet.
Au lieu de déterrer un sujet il est préférable :
soit de contacter directement le membre voulu par messagerie privée en cliquant sur son pseudonyme pour accéder à sa page profil, puis sur le lien "Ecrire un message"
soit de créer un nouveau sujet décrivant votre propre contexte
ne pas répondre à un déterrage et le signaler à la modération
Je ne suis plus modérateur, ne me contactez plus pour des demandes, je n'y répondrai pas.
Je ne suis plus modérateur, ne me contactez plus pour des demandes, je n'y répondrai pas.
Pas d'aide concernant le code par MP, le forum est là pour ça :)