Inscrivez-vous

abracadabraPDF Forum

Le seul forum francophone entièrement dédié au format PDF

Protection "inviolable"

341 4 normal post

passifacile

25 juin 2017 : 17:39
Grand magicien Messages: 126
Bonjour.

Je lis, ici ou là, que les mots de passe des PDF sont relativement faciles à contourner/casser(des sites spécialisés proposent même d'ôter les mdp des fichiers qu'on leur envoie...)

Cherchant à protéger solidement le code créé dans mes documents, quelle est la meilleure méthode pour empêcher l'accès en modification, donc l'accès au code ? (Pour info, je n'ai pas d'utilité à implémenter un mdp pour ouvrir le fichier)

Un super mot de passe (genre : 50 caractères, alpha-numériques + caractères spéciaux, + min-maj)?
Un certificat ?

...ou n'y a-t-il pas de solution vraiment incontournable ?

Bien cordialement,

  • Grand magicien
  • Messages: 7 199

Re : Protection "inviolable"

Merlin Réponse 1 26 juin 2017 : 03:14

Bonjour.

Il y a au moins 5 types de protections différentes qui peuvent s'appliquer aux documents PDF, et il ne faut pas mélanger les torchons et les serviettes.
L'inconvénient de la protection c'est que plus elle est forte, plus elle contraignante pour tous les utilisateurs.

La "protection facile à cracker" c'est le niveau 1 (pour ne pas dire zéro) de la protection PDF, qui s’appelle "mot de passe auteur" ou "Restrictions d'utilisation".
Au-dessus on a le "mot de passe utilisateur", très difficile à cracker.
Et ensuite, les protections par Certificat, les DRM, etc.

Mais si j'ai bien compris ce n'est pas le document qu'il faut protéger, ce sont les scripts JavaScript.
Alors le plus simple c'est de les protéger directement en les "obfuscant" : http://www.javascriptobfuscator.com/Javascript-Obfuscator.aspx
Ce site est un exemple parmi d'autres, il y a différent niveaux disponibles, sachant que plus le code est brouillé et crypté et moins il s'exécute rapidement.
Et attention aussi aux anti-virus : un PDF qui contient des JavaScripts vraiment brouillés, donc douteux, peut se retrouver bloqué…


Citer
n'y a-t-il pas de solution vraiment incontournable ?
Non, par nature tout ce est crypté est décryptable. C'est une question de temps et de moyens.

« Modifié: 26 juin 2017 : 03:19 par Merlin »
Acrobate du PDF, InDesigner et Photoshopographe

  • Grand magicien
  • Messages: 126

Re : Protection "inviolable"

passifacile Réponse 2 26 juin 2017 : 11:28

Bonjour Merlin et merci pour la réponse.

Le mot de passe utilisateur est bien celui qui permet d'accéder aux propriétés des champs (et leur scripte) ?

Si la protection est difficile à cracker avec un mdp, un certificat améliore encore la protection, si je comprends bien ?

Et est-ce que les sites qui proposent leur concours pour déplomber les PDF s'attaquent au mdp utilisateur ?

Enfin, est-ce "l'obfuscation" a un effet sur les scripts de documents et de champs, ou uniquement sur les ".js" ?

  • Grand magicien
  • Messages: 7 199

Re : Protection "inviolable"

Merlin Réponse 3 26 juin 2017 : 11:50

Le mot de passe utilisateur c'est quand on ne peut ouvrir le document qu'après avoir saisi le bon mot de passe d'ouverture (c'est l'utilisateur qui doit avoir le mot de passe).

Protection par Certificat voir : https://www.abracadabrapdf.net/ressources-et-tutos/protection-ressources/protection-par-certificat/

On peut obfusquer tous les scripts, où qu'ils se trouvent.
Acrobate du PDF, InDesigner et Photoshopographe

  • Grand magicien
  • Messages: 126

Re : Protection "inviolable"

passifacile Réponse 4 27 juin 2017 : 20:09

J'ai fait un essai de protection par certificat et, en résultat :
le PC sur lequel est enregistré le certificat permet d'utiliser le fichier et ses fonctions (scripts)
mais la modification de la protection n'est plus possible

L'utilisation du fichier sur un autre PC provoque un message (ID numérique non présent pour déchiffrer le fichier), et le fichier ne s'ouvre pas.

Pour info, un programme de "déplombage" utilisé (au hasard) ne sait pas décrypter ce fichier protégé par certificat ( :Smiley01: :Smiley01:)


Questions :
1) Est-ce que le chiffrement par certificat est irréversible (ça me conviendrait tout-à-fait) ?
2) J'imagine que l'installation du certificat sur tous les postes d'un réseau permettrait d'utiliser le fichier et toutes ses fonctionnalités (scripts). Mon raisonnement est-il juste ?

« Modifié: 27 juin 2017 : 22:04 par passifacile »