Obfusquer - Obscurcir (en informatique, rendre difficilement déchiffrable – ne pas confondre avec chiffrer (crypter)). Inverse : deobfuscation. Outils : obfuscators et deobfuscators.

01.04.2012 - Révision 21.08.2020 - Révision mineure 06.05.2021. Auteur : Pierre Pinard.

Obfusquer : Du latin offuscare (« obscurcir »).

En informatique, rendre difficilement déchiffrable – ne pas confondre avec « chiffrer » (« crypter »).

Typiquement, les scripts écrits en JavaScript sont obfusqués, pas forcément pour la mauvaise cause, mais de manière à être illisibles, même pour ceux connaissant ce langage.

• Obfuscation pour la bonne cause :
  Une adresse eMail affichée sur un site Web pour que les visiteurs puissent écrire/contacter le webmaster est généralement encapsulée dans un script écrit en JavaScript puis obfusquée de manière à ce que les robots de moissonnage d'adresses eMail (« eMail harvester »), sur le Web, ne puissent pas les découvrir et bombarder les webmasters de spam.
  Par exemple, le service :
  Encrypter son adresse email pour lutter contre le SPAM (CASPAM - le meilleur, inutile d'en chercher d'autres) est un service d'obfuscation d'adresses courriel.
• Obfuscation pour la mauvaise cause :
  Une pièce jointe à un eMail contiend un script obfusqué, indéchiffrable par les antivirus. Le spam étant généré automatiquement, la clé de chiffrement du script est modifiée automatiquement pour chaque destinataire du spam (il n'est pas possible de dégager une signature permettant de reconnaître l'attaque, ni même d'élargir aux méthodes heuristiques). L'utilisateur ouvre la pièce jointe. Le script s'exécute et télécharge une malveillance, un virus, un ransomware, un cryptoware, etc. L'attaque TeslaCrypt (1, 2, 3, 4) de décembre 2015 s'est passée ainsi.
  

Il existe de nombreux services gratuits en ligne auxquels on peut soumettre un script javascript obfusqué que le service va tenter de déobfusquer :
Beautify, décompresser ou deobfusquer JavaScript et HTML, rendre JSON/JSONP lisible, etc.