Pour la deuxième fois en autant d’années, Google s’efforce de corriger une faiblesse dans son Widevine technologie de gestion des droits numériques (DRM) utilisée par les sites de streaming en ligne comme Disney, Hulu et Netflix pour éviter que leur contenu ne soit piraté.
Les dernières fissures dans Widevine concernent la protection de la technologie de cryptage pour les flux L3, qui n’est utilisée que pour les flux vidéo et audio de basse qualité. Google affirme que la faiblesse n’affecte pas les flux L1 et L2, qui englobent davantage de contenu vidéo et audio haute définition.
«La protection du code évoluant constamment pour faire face aux nouvelles menaces, nous travaillons actuellement à mettre à jour notre Widevine logiciel DRM avec les dernières avancées en matière de protection du code pour résoudre ce problème », a déclaré Google dans une déclaration écrite fournie à KrebsOnSecurity.
En janvier 2019, le chercheur David Buchanan tweeté à propos de la faiblesse L3 il a trouvé, mais n’a publié aucun code de preuve de concept que d’autres pourraient utiliser pour l’exploiter avant que Google ne résolve le problème.
Ce dernier hack Widevine, cependant, a été transformé en une extension pour Microsoft Windows utilisateurs du Google Chrome navigateur Web et mis en ligne pour téléchargement sur la plate-forme de développement logiciel Github.
Tomer Hadad, le chercheur qui a développé l’extension de navigateur, a déclaré que son code de preuve de concept «a été fait pour montrer davantage que l’obscurcissement du code, les astuces anti-débogage, les algorithmes de cryptographie en boîte blanche et d’autres méthodes de sécurité par l’obscurité finiront par être vaincus de toute façon, et sont, d’une certaine manière, inutiles.
Google a appelé la faiblesse un contournement qui serait corrigé. Mais Hadad a contesté cette qualification.
«Ce n’est pas un bug mais une faille inévitable en raison de l’utilisation de logiciels, c’est aussi pourquoi L3 n’offre pas la meilleure qualité», a écrit Hadad dans un e-mail. «L3 est généralement utilisé sur les ordinateurs de bureau en raison du manque de zones de confiance matérielles.»
Les entreprises de médias qui diffusent des vidéos en ligne à l’aide de Widevine peuvent sélectionner différents niveaux de protection pour diffuser leur contenu, en fonction des capacités de l’appareil demandant l’accès. La plupart des smartphones et appareils mobiles modernes prennent en charge des protections Widevine L1 et L2 beaucoup plus robustes qui ne reposent pas sur L3.
Lectures complémentaires: Rompre la protection du contenu sur les sites Web de streaming
Mots clés: David Buchanan, gestion des droits numériques, DRM, Google Widevine, L3, Tomer Hadad
