« Après quelques soirées de travail, j'ai brisé à 100 % Widevine L3 DRM. L'implémentation de la Whitebox AES-128 est vulnérable à l'attaque DFA bien étudiée, qui peut être utilisée pour récupérer la clé d'origine. Ensuite, vous pouvez décrypter les flux MPEG-CENC avec de simples ffmpeg », a twitté David Buchanan, chercheur en sécurité, dans l’après-midi d'avant hier. D’après son tweet, il aurait donc passé le troisième niveau L3 de la politique de sécurité de Widevine, l’outil DRM gratuit de Google qu'utilisent plusieurs fournisseurs de services de streaming tels que Netflix, Hulu, HBO, Amazon, pour ne citer que ceux-là. Un DRM (digital rights management, ce qui signifie en français, la gestion des droits numériques, la gestion numérique des restrictions ou encore les mesures techniques de protection), a pour objectif de contrôler l'utilisation qui est faite des œuvres numériques. Ces dispositifs peuvent s'appliquer à tous types de supports numériques physiques (disques, DVD, Blu-ray, logiciels…) ou de transmission (télédiffusion, services Internet, etc.) grâce à un système d'accès conditionnel. Ces dispositifs techniques ou logiciels peuvent être utilisés pour restreindre la lecture du support à une zone géographique prévue (par exemple les zones des DVD), restreindre la lecture du support à du matériel spécifique (des versions de smartphone ou tablette), restreindre la lecture du support à un constructeur ou vendeur (afin de bloquer la concurrence), restreindre ou empêcher la copie privée du support (transfert vers un appareil externe) et restreindre ou verrouiller certaines fonctions de lecture du support (désactivation de l'avance rapide sur certains passages d'un DVD).
Il est très utile pour obliger l'exposition aux annonces publicitaires, identifier et tatouer numériquement toute œuvre et tout équipement de lecture ou enregistrement (pour faciliter le pistage des copies non autorisées, mais surtout empêcher la personnalisation et donc le contrôle d'une technologie, par exemple empêcher l'installation d'un autre système d'exploitation sur un ordinateur). Widevine quant à lui est une protection de contenu de premier plan pour les médias, selon la description faite par Google. Il fournit une protection sécurisée du contenu premium en utilisant des solutions normalisées gratuites pour les services OTT, prend en charge l'utilisation de solutions sans redevances, basées sur des normes, pour le cryptage, le streaming adaptatif, le transport et les logiciels de lecture sans frais de licence ni participation obligatoire au programme de formation CWIP (Certified Widevine Implementation Partner), un programme conçu pour permettre aux personnes et aux entreprises hautement qualifiées d’installer et de configurer en toute confiance et avec succès les systèmes Widevine pour leurs clients.
Aussi, Widevine prend en charge une large gamme de périphériques et est actuellement disponible sur 5 milliards de terminaux mobiles, de postes de travail, de décodeurs et de salon. Le passage du niveau L3 va-t-il aider les hackers qui tentent depuis toujours à passer ces niveaux à déchiffrer les autres niveaux L2 et L1 ? Lorsque vous chargez un de vos services en streaming sur un smartphone, une tablette ou un téléviseur, il est facile d'oublier que le contenu que vous regardez est protégé par la gestion des droits numériques (DRM). Le DRM est présent pour empêcher l’enregistrement et la copie non autorisés du contenu, mais les pirates informatiques et les chercheurs s’efforcent sans cesse de battre le DRM et de déverrouiller le contenu. Que doit-on craindre si cela arrivait ?
L’outil DRM de Google dispose d’une sécurité en trois couches dénommées L1, L2 et L3 et dont la sécurité est de plus en plus élevée au fur et à mesure que l’on descend dans la hiérarchie. Cependant, David Buchanan a indiqué avoir passé le niveau L3 qui est le niveau de sécurité le plus faible selon un document fourni par Google. Les fournisseurs de services de streaming utilisent donc le niveau L3 du Widevine pour diffuser des flux de faibles qualités et préfèrent diffuser leurs flux de haute qualité en passant par les niveaux L1 et L2. Dans son tweet, David a précisé que Google s’est basé sur l’algorithme de chiffrement AES-128 pour sécuriser le niveau L3 de Widevine et explique que l’implémentation qu’a faite Google de AES-128 est vulnérable à une attaque DFA (Differential Fault Analysis).
Ce dernier consiste à produire volontairement des erreurs dans un système cryptographique pour en extraire des informations secrètes comme la clé de chiffrement. À en croire ce qu’il a écrit, l’attaque était assez facile à mettre en œuvre. Néanmoins, depuis mercredi, aucun justificatif n’a été apporté par le chercheur pour étayer ses dits. Il n’a d'ailleurs pas publié le code du hack. Doit-on pouvoir le croire sur parole ? Buchanan a-t-il fait part de la découverte de la vulnérabilité à Google ? Aucun de ces détails ne figure dans son tweet. Si le niveau de sécurité L3 de Widevine est piraté, doit-on craindre que les niveaux L2 et L1 tombent également à l’avenir ? Google, éditeur de la solution a-t-il songé à étudier des mesures pour renforcer le niveau de sécurité L3 ?
Selon un internaute, si Widevine venait à être dépourvu de sécurité, alors les fournisseurs de services de streaming utilisant cette solution ainsi que Google pourraient subir de graves dommages quand on sait à quel point les pirates convoitent les contenus diffusés par ces plateformes.
Source : Widevine, Tweet de David Buchanan
Et vous ?
Qu'en pensez-vous ?Voir aussi
Une faille de sécurité dans X.org affecte les distributions Linux et BSD elle permet à un attaquant d'obtenir un accès root depuis un terminal Les salaires des professionnels de la cybersécurité connaitront une nette hausse cette année selon une nouvelle étude sur le sujet Les pirates utilisent de plus en plus les sites légitimes pour leurs exploits révèle un rapport de Kaspersky Lab 
