GitHub a supprimé plusieurs dépôts qui permettaient de contourner le DRM Widevine, après avoir reçu des dizaines de requêtes DMCA émanant de Google pour faire retirer de sa plateforme du code visant le niveau L3 de sa technologie de gestion de droits numérique Widevine. Le système est utilisé par des services de streaming populaires tels que Netflix. Google a demandé le retrait du code parce qu’il violerait le DMCA. La société a également envoyé une demande de retrait de données sensibles pour la clé RSA associée qui, ironiquement, reste facile à trouver par le biais de Google.
Avec plus de moyens que jamais pour diffuser des vidéos en ligne, la protection des vidéos continue d'être une question clé pour les détenteurs de droits d'auteur. Cette protection est souvent assurée par la gestion des droits numériques, souvent désignée par les initiales DRM. Widevine est un logiciel de protection des contenus, acquis par Google en 2010. Cet outil est notamment utilisé pour contrôler la diffusion de contenu audiovisuel au travers des principaux navigateurs. Il est notamment utilisé par Amazon Prime, Disney+ ou encore Netflix pour s’assurer que les vidéos diffusées sur leurs plateformes ne sont pas copiées illégalement par les utilisateurs.
Quelque deux semaines après le retrait de Youtube-dl, un nouveau projet GitHub fait les frais des demandes de retrait DMCA. Le code en question, souvent référencé sous l’appellation « Widevine L3 Decryptor », est à la base un proof-of-concept (poc) du chercheur en sécurité Tomer Hadad, qui cherchait à montrer à quel point il était simple de contourner la protection par DRM. Le poc se présentait sous forme d’extension Chrome ne fonctionnant que sous Windows. Elle s’infiltrait dans la liaison entre Widevine et les Encrypted Media Extensions (EME), parvenant à récupérer les clés de chiffrement au passage, grâce à quoi il devenait possible d’obtenir un flux vidéo en clair.
Le référentiel original notait que le code est une démonstration de la méthode d’attaque et est distribué à des fins éducatives uniquement (le plugin ne déchiffre pas le contenu, il détermine uniquement la clé, mais la clé obtenue peut être utilisée pour le déchiffrement à l’aide de l’utilitaire ffmpeg, en spécifiant la clé obtenue au démarrage dans le “-decryption_key”).
Google considère évidemment que l’outil est un contournement d’une mesure numérique de protection qui, en ce sens, viole la section 1201 du DMCA. La même que pour le cas Youtube-dl. Le projet original de Tomer Hadad avait déjà été retiré au mois d’octobre par son auteur, ce dernier évoquant des « raisons légales » sans donner plus de détails. Avec cette nouvelle requête DMCA, Google cherche à faire supprimer les 135 dépôts Github ayant remis en ligne le code de l’extension Widevine L3 Decryptor sur la plateforme.
On peut lire dans la requête DMCA de Google :
Google crée et distribue le module de déchiffrement de contenu (CDM), dont l'utilisation est autorisée par de nombreux navigateurs, notamment Google Chrome, Microsoft Edge, Mozilla Firefox et Opera. Le CDM de Widevine est utilisé conjointement avec le serveur de licence de Widevine pour distribuer des contenus audio et vidéo protégés par DRM sur Internet. Il est utilisé par des fournisseurs de contenu, notamment Disney+, Netflix, Amazon Prime Video, YouTube, Hulu et d'autres, pour empêcher le piratage de contenus protégés par des droits d'auteur.
Google LLC détient les droits d'auteur sur le CDM de Widevine et autorise les autres à l'utiliser sans modification ni redistribution selon les termes du contrat de licence-cadre Widevine...
Nous pensons que le dépôt dans son ensemble représente un outil de contournement en violation de la loi 1201 et doit donc être supprimé.
Une violation de la section 1201 du Digital Millennium Copyright Act (DMCA) est citée comme raison du blocage des dépôts, et le plugin lui-même est signalé comme un outil spécialement créé pour transgresser les conditions d’utilisation du contenu sous licence et contourner les mécanismes de protection DRM. L'avis de retrait comprend une longue liste de dépôts qui ont tous été rendus indisponibles par GitHub après que le code original de Tomer Hadad ait mis hors ligne.
Une faille déjà signalée est à l’origine du contournement de la DRM Widevine
La variante L1 Wiidevine est la plus sûre, suivie de L2 et L3. Si cette dernière protège toujours le contenu contre le téléchargement facile, il n'est certainement pas impossible de la contourner, comme l'ont montré à maintes reprises les pirates. Google était conscient de cette vulnérabilité et avait préalablement informé KrebsonSecurity qu'il allait s'attaquer au problème. Mais cela n’a pas été fait avant que des dizaines de dépôts Widevine L3 Decryptor n’apparaissent sur la plateforme GitHub. Google a dit dans sa requête :
Mais le niveau de sécurité le moins sûr de Widevine, L3, tel qu'il est utilisé dans la plupart des navigateurs et des PC, est implémenté à 100 % dans le logiciel (c'est-à-dire pas de TEE matériel), ce qui le rend réversible et contournable.
Cette extension Chrome démontre comment il est possible de contourner la DRM de Widevine en détournant les appels vers les EME (Encrypted Media Extensions) du navigateur et en déchiffrant toutes les clés de contenu Widevine transférées, ce qui en fait une DRM à clé en clair.
Google a appelé cette faiblesse un contournement qui serait corrigé. Mais Hadad s'est opposé à cette caractérisation, selon un article publié en fin octobre par KrebsonSecurity. « Ce n'est pas un bogue mais une faille inévitable à cause de l'utilisation de logiciels, ce qui explique aussi pourquoi L3 n'offre pas la meilleure qualité », a écrit le chercheur en sécurité. « L3 est généralement utilisée sur les ordinateurs de bureau en raison du manque de zones de confiance matérielles ».
Pour l'instant, Google semble se concentrer sur l'option de démantèlement des dépôts. Mais la société n’est pas toutefois sortie d’affaire. Comme l’a signalé TorrentFreak, l’entreprise doit maintenant courir après sa propre clé AACS privée, extraite de Widevine et que l’on peut retrouver sur Google, avec une recherche suffisamment précise. A ce sujet, Google a écrit dans sa requête DMCA :
En plus de cette demande, nous avons déposé une demande distincte de retrait des données sensibles de ce fichier : /widevine-l3-decryptor, parce qu’il contient la clé privée secrète Widevine RSA, qui a été extraite du CDM de Widevine et peut être utilisée dans d'autres technologies de contournement.
Cette nouvelle vague de suppression de contenu fait suite à celle ayant visé les dépôts Youtube-dl, un programme qui permettait de télécharger les vidéos diffusées sur la plateforme YouTube, lui aussi supprimé par Github suite à une requête DMCA. Cependant, GitHub a rétabli Youtube-dl le lundi, et a donné des détails sur l'évolution de la situation, y compris la révision du processus de la plateforme pour les réclamations en vertu de l'article 1201.
« Aujourd'hui, nous avons rétabli Youtube-dl, un projet populaire sur GitHub, après avoir reçu des informations supplémentaires sur le projet qui nous a permis d'annuler une demande de retrait en vertu du Digital Millennium Copyright Act (DMCA) », a écrit dans un billet de blog un responsable de GitHub.
« Chez GitHub, notre priorité est de soutenir l'open source et la communauté des développeurs. Nous partageons donc la frustration des développeurs face à ce retrait, d'autant plus que ce projet a de nombreux objectifs légitimes. Nos actions ont été conduites par des processus nécessaires pour se conformer à des lois comme le DMCA qui placent des plateformes comme GitHub et les développeurs dans une situation difficile. Et notre réintégration, basée sur de nouvelles informations qui montraient que le projet ne contournait pas une mesure de protection technique (TPM), était conforme à nos valeurs de donner la priorité aux développeurs. Nous savons que les développeurs veulent comprendre ce qui s'est passé ici et savoir comment GitHub va défendre les développeurs et affiner nos processus sur ces problèmes ».
Sources : Requête DMCA de Google, GitHub
Et vous ?
Que pensez-vous de la suppression des dépôts de code de contournement du DRM Widevine par Google ?
Que va-t-il se passer ensuite alors que GitHub a rétabli cette semaine les dépôts Youtube-dl bloqués auparavant ?
Voir aussi :
GitHub met en garde les utilisateurs qui repostent Youtube-dl qu'ils pourraient être interdits, « Nous supprimerons ce contenu et nous pourrons également suspendre l'accès à votre compte »
Les utilisateurs de Youtube-dl, en colère après le démantèlement du téléchargeur, inondent GitHub de nouveaux dépôts, contenant le code source de l'outil
GitHub rétablit le dépôt youtube-dl, modifie son processus dans le traitement des demandes DCMA, et met sur pied un fonds de défense des développeurs d'un million de dollars
Le code source de Youtube-dl, socle de plusieurs outils de téléchargement de vidéos sur diverses plateformes, mis hors ligne, après l'émission d'une requête DMCA adressée à GitHub
Google fait supprimer de GitHub du code permettant de contourner son DRM Widevine,
Une faille dans le système est à l'origine du contournement
Google fait supprimer de GitHub du code permettant de contourner son DRM Widevine,
Une faille dans le système est à l'origine du contournement
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !