Vos 2 billets devraient constituer une excellente synthèse sur le sujet.
Je rajouterais qu’un outil d’obfuscation peut également être utilisé pour d’autres fins :
– réduire le volume du livrable. D’une part en raccourcissant les noms de symboles (classe, méthodes, variables, …), mais surtout en virant les classes des librairies non utilisées.
– optimiser le code, e.g. : passage automatique en private, static, inline, …
– bête mais véridique : obfusquer le code non pas pour des problématique de sécurité, mais pour cacher la pauvreté ou l’immaturité de l’implémentation :-)
Deux autres points que vous allez probablement traiter dans la 2ème partie :
– gestion des appels par introspection, ou comment indiquer à l’obfuscateur de ne pas masquer certaines API. C’est pour moi le principal casse-tête de ce type d’outils
– la désobfuscation des logs quand il s’agit d’exploiter une pile d’exceptions qui référence des classes obfusquées.
@Cedric : j’ai pas compris le commentaire, tu as un truc qui ne fonctionne pas avec ProGuard, ou c’est pour donner une config d’exemple ?
Sylvain FRANCOIS
Directeur R&D
http://www.kalistick.fr