Pour la deuxième fois en autant d’années, Google s’emploie à corriger une faiblesse de son Widevine technologie de gestion des droits numériques (DRM) utilisée par les sites de diffusion en ligne tels que Disney, Hulu et Netflix pour éviter que leur contenu ne soit piraté.
Les dernières fissures dans Widevine concernent la protection de la technologie de cryptage pour les flux L3, qui est utilisée uniquement pour les flux vidéo et audio de faible qualité. Google affirme que la faiblesse n’affecte pas les flux L1 et L2, qui englobent davantage de contenu vidéo et audio haute définition.
« Comme la protection du code évolue constamment pour faire face aux nouvelles menaces, nous travaillons actuellement à mettre à jour notre Widevine logiciel DRM avec les dernières avancées en matière de protection du code pour résoudre ce problème », a déclaré Google dans une déclaration écrite fournie à BreachTrace.
En janvier 2019, le chercheur David Buchanan tweeté à propos de la faiblesse L3 il a trouvé, mais n’a publié aucun code de preuve de concept que d’autres pourraient utiliser pour l’exploiter avant que Google ne résolve le problème.
Ce dernier hack Widevine, cependant, a été transformé en une extension pour Microsoft Windows utilisateurs de la Google Chrome navigateur web et mis en téléchargement sur la plateforme de développement logiciel Github.
Tomer Hadadle chercheur qui a développé l’extension de navigateur, a déclaré que son code de preuve de concept « a été fait pour montrer davantage que l’obscurcissement du code, les astuces anti-débogage, les algorithmes de cryptographie de boîte blanche et d’autres méthodes de sécurité par l’obscurité finiront par être vaincus de toute façon, et sont, en quelque sorte, inutiles.
Google a qualifié la faiblesse de contournement qui serait corrigé. Mais Hadad a contesté cette caractérisation.
« Ce n’est pas un bug mais un défaut inévitable à cause de l’utilisation du logiciel, c’est aussi pourquoi L3 n’offre pas la meilleure qualité », a écrit Hadad dans un e-mail. « L3 est généralement utilisé sur les ordinateurs de bureau en raison du manque de zones de confiance matérielles. »
Les entreprises de médias qui diffusent des vidéos en ligne à l’aide de Widevine peuvent sélectionner différents niveaux de protection pour diffuser leur contenu, en fonction des capacités de l’appareil demandant l’accès. La plupart des smartphones et appareils mobiles modernes prennent en charge des protections Widevine L1 et L2 beaucoup plus robustes qui ne reposent pas sur L3.
Lecture complémentaire : Briser la protection du contenu sur les sites Web de streaming