Peu de temps après, le site – qui facilitait principalement l’accès au contenu de la MLB, de la NBA, de la NFL et de la LNH – a disparu et a commencé à être redirigé vers ACE. Nous pouvons confirmer qu’un règlement a été trouvé, mais comme les deux parties respectent leur accord, aucun autre détail n’est disponible.
Pour l’opérateur de HeHeStreams, qui a fondé le site en 2016/17, a estimé que la fermeture marquait la fin d’une ère à partir de laquelle il pouvait sortir, mais cela ne devait pas être le cas. Une enquête pénale distincte représentant un ensemble différent de titulaires de droits était déjà en cours, une enquête qui ne s’accompagne pas de l’option d’un règlement civil.
L’opérateur HeHeStreams accusé de nombreux crimes
Joshua Streit, mieux connu en ligne sous le nom de Josh Brody, a été nommé hier opérateur de HeHeStreams. Selon le ministère de la Justice, Streit a été accusé de nombreux crimes, notamment d’intrusions dans des systèmes informatiques dans la Major League Baseball et de diffusion illégale de contenu de la MLB, de la NBA, de la NFL et de la LNH au public, à des fins lucratives. Il a également été accusé d’avoir tenté d’extorquer 150 000 $ à la MLB.
Avant de plonger dans ces détails, une explication des opérations de HeHeStreams s’impose.
HeHeStreams était un type spécial de service IPTV
La majorité des fournisseurs IPTV traditionnels facilitent l’accès aux flux piratés en les proposant depuis leurs propres serveurs. Il s’agit d’un modèle qui consomme beaucoup de bande passante et qui est considéré comme un coût nécessaire pour faire des affaires. Ce que HeHeStreams a réussi à faire, c’est éliminer ces coûts presque complètement en n’utilisant pas du tout de flux piratés.
Au lieu de cela, il a trouvé un moyen de connecter les utilisateurs de HeHeStreams à de véritables flux proposés par les diffuseurs sportifs. Cela avait des avantages évidents – plus de factures de serveur de streaming massives et comme les flux officiels tombent rarement en panne ou tamponnent, un tas de clients satisfaits.
« Streit a obtenu le contenu protégé par le droit d’auteur en obtenant un accès non autorisé aux sites Web de ces ligues sportives via des identifiants de connexion détournés d’utilisateurs légitimes de ces sites Web. L’une des ligues sportives victimes a subi des pertes d’environ 3 millions de dollars en raison de la conduite de Streit », note le DoJ.
Cette méthode d’utilisation des flux officiels pour approvisionner les clients « pirates » a été évoquée dans notre entretien avec Akamai plus tôt cette année. Une paire de poursuites DISH contre SportsBay et Nitro IPTV illustrent également le même problème, celui que les diffuseurs doivent résoudre.
La raison pour laquelle ces failles béantes ne sont pas comblées n’est pas claire, mais ce que nous savons, c’est que la divulgation de telles vulnérabilités peut mal tourner.
Bug Bounty ou extorsion criminelle ?
En été, TechTribune France a sollicité les commentaires de Joshua Streit sur l’accord de règlement ACE/MPA. Après avoir refusé, la discussion s’est déplacée vers les lacunes apparentes de Sling TV, propriété de DISH, référencées dans leurs poursuites, celles qui n’empêchent pas les non-clients de se greffer sur des flux légaux.
La manière dont ceux-ci sont exploités est restée inexpliquée, mais sans mentionner aucun service en particulier, Streit a indiqué qu’il avait essayé de partager ses connaissances sur les vulnérabilités graves avec un (ou plusieurs) fournisseurs. Il a exprimé une certaine frustration face à leur apparente réticence à travailler ensemble. On a eu l’impression par la suite que les choses s’étaient améliorées mais ce n’était clairement pas le cas.
Selon la plainte pénale déposée par le gouvernement américain, vers mars 2021, Streit a envoyé un e-mail à un employé de la MLB, notant qu’il avait précédemment divulgué une vulnérabilité du réseau mais qu’il était déçu par la réponse de l’entreprise. « Le manque de gratitude est franchement choquant », aurait-il écrit.
Streit a ensuite envoyé un autre e-mail notant qu’il avait signalé encore plus de vulnérabilités à l’entreprise au cours d’un week-end particulier et qu’il avait deux journalistes qui couvraient les questions de la MLB intéressés par l’histoire. Un dirigeant anonyme de la MLB a ensuite contacté Streit par téléphone et l’aurait trouvé « bouleversé » par le fait que la MLB ne reconnaissait pas ses efforts.
Streit aurait informé le dirigeant de la MLB qu’il s’attendait à être indemnisé financièrement pour le travail qu’il avait effectué, mais on lui a dit que bien que la MLB n’ait pas de programme de primes de bogue, la société « appréciait » ses révélations. Streit a répondu que les programmes de primes aux bogues sont utiles pour la coopération et, selon la plainte, a ajouté que ce serait mauvais pour la MLB si les médias découvraient la vulnérabilité.
Après une interruption de plusieurs mois, Streit aurait à nouveau envoyé un courrier électronique à la MLB dans l’espoir que les discussions précédentes pourraient se poursuivre. L’exécutif de la MLB a répondu, informant Streit que « les gens ici sont préoccupés par cet accès non autorisé à nos systèmes », mais a ensuite demandé à Streit quel genre d’argent il attendait. 150 000 $, apparemment.
Les vulnérabilités sérieuses peuvent renvoyer de grosses primes de bogues et il ne fait aucun doute que cette vulnérabilité est sérieuse. La plainte contre Streit indique qu’une analyse menée par une seule des ligues sportives révèle des pertes de près de 3 millions de dollars pour la seule opération HeHeStreams. Et c’est là que réside le problème.
On ne sait pas si la MLB aurait été plus sensible à un révélateur tiers neutre, mais au moins en ce qui concerne l’agent spécial du FBI Joshua Williams, la conduite globale de Streit signifie que sa demande de paiement équivalait à une extorsion.
« [I] Je pense que… bien que le défendeur ait approché la MLB sous prétexte d’être utile à la MLB, son intrusion simultanée dans les comptes de la MLB et la diffusion illégale de contenu de la MLB sur le site Web de diffusion en continu illicite indiquent que Streit a agi en connaissance de cause et dans l’intention d’extorquer la MLB », a déclaré l’agent Williams. écrit.
Temps de prison potentiellement grave
Selon le ministère de la Justice, Streit, 30 ans du Minnesota, est accusé de :
Un chef d’accusation d’accès en connaissance de cause à un ordinateur protégé en vue d’un acte criminel et à des fins d’avantage commercial et de gain financier privé, passible d’une peine maximale de cinq ans de prison.
Un chef d’accusation d’accès en connaissance de cause à un ordinateur protégé en vue d’une fraude, passible d’une peine maximale de cinq ans de prison.
Un chef de fraude électronique, passible d’une peine maximale de 20 ans de prison et un chef de transmission numérique illicite, passible d’une peine maximale de cinq ans de prison. Il fait également face à un chef d’accusation d’envoi de menaces interétatiques avec l’intention d’extorquer, passible d’une peine maximale de deux ans de prison.
D’un intérêt immédiat ici est la référence à la « transmission numérique illicite ». Cette terminologie est utilisée dans le Protecting Lawful Streaming Act (PLSA), une loi qui a fait de certains comportements de streaming un crime. Il a été promulgué en décembre dernier et, à notre connaissance, n’a pas été utilisé jusqu’à présent.
La plainte pénale peut être trouvée ici (pdf)
