Un bug du navigateur Chrome rend le piratage de films encore plus facile
Photo: David Livshits/Alexandra Mikityuk
Une faille inquiétante découverte dans Google Chrome permet aux pirates de télécharger encore plus facilement des films et des émissions de télévision sur le Web. Google a été informé du problème il y a un mois, mais la société n'a pas encore publié de mise à jour qui le résout.
Alors que les studios trouvent de nouvelles façons de protéger leur contenu contre les pirates avec DRM, les pirates trouvent de nouvelles façons de le contourner. Cela devient plus difficile à mesure que le DRM s'améliore, mais il y a souvent un défaut quelque part qui les rend cassables.
Deux chercheurs en sécurité, David Livshits du Cyber Security Research Center de l'Université Ben Gourion à Israël et Alexandra Mikityuk de Telekom Innovation Laboratories à Berlin, en Allemagne, en ont trouvé un dans Google Chrome.
Le problème provient de la façon dont Chrome utilise la technologie Widevine EME/CDM, que Google possède mais n'a pas créée, pour accéder et lire des vidéos cryptées à partir de services de streaming en ligne.
« Il utilise des extensions multimédias cryptées pour permettre au module de décryptage de contenu de votre navigateur de communiquer avec le les systèmes de protection du contenu de Netflix et d'autres services de streaming pour vous livrer leurs films cryptés », explique Filaire.
« EME gère l'échange de clés ou de licences entre les systèmes de protection des fournisseurs de contenu et un composant CDM dans votre navigateur… le CDM envoie une demande de licence au fournisseur via l'interface EME et reçoit une licence en revenir."
Une fois qu'il a cette licence, le CDM peut alors déchiffrer la vidéo et l'envoyer à Chrome pour que vous puissiez en profiter. Le DRM est conçu pour protéger ces données déchiffrées et s'assurer qu'elles restent dans votre navigateur, mais la faille de Chrome les casse.
Livshits et Mikityuk ont pu trouver un moyen de récupérer la vidéo juste après que le CDM l'ait déchiffrée et ait commencé à l'envoyer à Chrome. La vidéo ci-dessous le démontre à l'aide d'une preuve de concept qu'ils ont créée.
Les chercheurs ont informé Google de cette faille le 24 mai, mais la société ne l'a pas encore corrigée. Ils disent que l'exploit est simple - tout comme le correctif - mais ils ne révéleront pas comment ils l'ont utilisé avant que Google n'ait eu au moins 90 jours pour publier un correctif.
Google a dit Filaire qu'il examine le problème, mais qu'il l'a apparemment « minimisé ». La société a également déclaré que le problème n'était pas exclusif à Chrome et s'appliquerait à tout navigateur Web dérivé de Chromium.
On ne sait pas si la faille est présente dans les navigateurs tiers. Firefox et Opera utilisent également Widevine, mais les chercheurs ne les ont pas encore examinés. Les navigateurs d'Apple et de Microsoft, qui utilisent des technologies propriétaires, n'ont pas non plus été testés.
