[IPTV]: Brésil, un hackathon pour pirate lancé contre les pirates de l'IPTV
-
Ces dernières années, l’agence brésilienne des télécommunications a remporté un succès significatif dans sa mission visant à empêcher les décodeurs pirates d’accéder au contenu premium. La question de savoir si Anatel se sent un peu vulnérable ou souhaite simplement de nouvelles idées de blocage reste à débattre. Cependant, dans une dizaine de jours, les hackers se rendront à São Paulo pour un hackathon de deux jours. Des prix en espèces attendent ceux qui parviendront à désactiver les appareils IPTV pirates au point qu’ils ne puissent plus communiquer avec leurs propriétaires.
Les décodeurs basés sur Android ont saturé le marché ces dernières années, et il n’est pas rare que les foyers en possèdent plusieurs ; en bas, à l’étage et probablement au moins un dans un tiroir.
Ces appareils, y compris l’omniprésent Amazon Firestick, sont pour la plupart indépendants du contenu et sont également capables de diffuser des vidéos à partir de sources légales telles que Netflix ou BBC iPlayer, ou à partir de plates-formes IPTV sans licence.
Le problème pour les titulaires de droits et les gouvernements qui souhaitent réduire la consommation de contenus piratés est que les appareils eux-mêmes sont dans une très grande majorité légaux. C’est la présence de logiciels de piratage installés sur les appareils et la nature du contenu consommé qui font pencher la balance dans un sens ou dans l’autre. En conséquence, il n’existe aucune solution réaliste d’interdiction générale, même si le Brésil a proposé une solution partielle.
Appareils illégaux par défaut
Des appareils décodeurs La situation au Brésil est relativement simple. À moins que le régulateur des télécommunications Anatel (Agência Nacional de Telecomunicações) n’autorise l’importation, la distribution et la vente d’un type d’appareil, cet appareil ne peut pas être utilisé légalement au Brésil.
Anatel affirme que son évaluation de la conformité garantit que les consommateurs n’ont accès qu’à des produits (généralement des appareils électroniques tels que des téléphones portables, des tablettes, des décodeurs, des routeurs, etc.) dont la qualité et la sécurité ont été testées.
Les décodeurs sans certificat de conformité technique sont illégaux quel que soit le contenu consommé. Cela élimine beaucoup de formalités administratives lorsqu’Anatel décide de saisir plus d’un million d’appareils pour lutter contre le piratage, car toutes les saisies sont effectuées pour de simples raisons de santé et de sécurité.
Pour les appareils qui entrent sur le marché local sans certification, Anatel signale régulièrement diverses actions visant à les supprimer. En 2023, Anatel a dévoilé son nouveau laboratoire anti-piratage, où les renseignements répondent aux mesures de blocage de sites pour perturber l’offre et la consommation de contenus piratés.
L’information la plus célèbre du régulateur, c’est qu’il a déclaré avoir bloqué 80 % de tous les décodeurs pirates au Brésil en octobre 2023. Dans ce contexte de succès continu, Anatel promeut désormais un concours où les pirates peuvent tester leurs compétences pour déterminer qui bloquera le mieux les box illégales.
Anatel s’associe au Hackathon Brésil
Si des cyniques pensent que le véritable objectif du hackathon est de renforcer les mesures de blocage de l’IPTV au Brésil avec de nouvelles idées et techniques, Anatel n’essaie même pas de le cacher.
“L’Agence Nationale des Télécommunications (Anatel) et la Communauté Hackathon Brasil organiseront le premier Hackathon TV Box axé sur le développement de solutions innovantes pour bloquer les TV Box irrégulières [non certifiées]”, peut-on lire sur le site Internet du gouvernement.
« Le marathon des développeurs aura lieu les 28 et 29 septembre et représente un projet important pour l’industrie, le secteur réglementé et le monde universitaire, soulignant le rôle d’Anatel dans l’état de l’art de l’innovation technologique.
Une page d’informations dédiée au Hackathon Brazil commence par décrire la prévalence des appareils IoT et les préoccupations croissantes en matière de sécurité.
Notant que les appareils sans certification « présentent des risques pour les consommateurs et pour l’infrastructure de télécommunications du Brésil », des préoccupations plus spécifiques incluent les vulnérabilités du système d’exploitation, les logiciels malveillants, les logiciels espions (capture d’écran cachée et actions de partage d’écran), ainsi que la capacité d’exécuter du code sur d’autres appareils au sein d’un réseau local.
La mission, si vous choisissez de l’accepter
Il n’est pas clair si ceux qui choisissent de s’inscrire recevront des instructions plus détaillées, mais l’objectif principal n’est pas difficile à comprendre.
Le défi est donc le suivant : en comprenant comment fonctionnent ces appareils non approuvés, vous devez développer une approche capable d’interrompre l’échange de données qui a lieu entre les appareils et leurs utilisateurs.
Compte tenu des difficultés rencontrées par Anatel pour s’attaquer à des millions de ces appareils, principalement situés à l’intérieur des maisons, il est peu probable que les gagnants du hackathon réussissent en attaquant physiquement un appareil avec du fil, de la soudure ou une ROM modifiée. Toute solution doit être évolutive, mais avant cela, se pose la question de savoir comment obtenir un accès massif aux appareils.
Les maîtres de l’accès à grande échelle sont ceux qui parviennent à créer des réseaux de zombies à l’aide de logiciels malveillants que les utilisateurs installent souvent volontairement (bien qu’inconsciemment) parce qu’ils pensent que le logiciel fait autre chose. Coïncidence ou non, le Brésil est depuis de nombreuses années la cible de réseaux de zombies fonctionnant sur des décodeurs Android bon marché et compromis.
Selon un rapport de la société de cybersécurité ESET, les logiciels malveillants qui ciblent de manière disproportionnée le Brésil arrivent régulièrement déguisés en applications de streaming légitimes ou illégitimes.
Des recherches plus approfondies montrent que les dangers cités par Anatel sont directement liés à ce type de malware , notamment la capacité d’infecter d’autres appareils d’un réseau, généralement des appareils IoT bon marché et peu sécurisés. Les entreprises de cybersécurité facturent des millions de dollars pour résoudre des problèmes plus petits.
Récompenses des gagnants
Toute personne intéressée à s’inscrire a jusqu’au 20 septembre pour renseigner ses coordonnées sur le site officiel du Hackathon Brasil et pour ceux qui arriveront vainqueur à la fin de l’événement, les prix sont les suivants :
Une fois convertis en dollars américains, les gagnants reçoivent ~ 1 200 $ US, la deuxième place ~ 530 $ US et la troisième place ~ 350 $ US, et après avoir lu les petits caractères et le règlement de l’événement ( pdf ) , quelques éléments méritent d’être soulignés.
Il s’agit d’un événement par équipe et la taille minimale de l’équipe est de quatre. Ainsi, si une équipe de quatre personnes gagne en résolvant ce qui semble être un problème critique auquel sont confrontés le Brésil du point de vue de la sécurité, et les détenteurs de droits nationaux et internationaux de l’autre, tous les membres empocheront chacun 300 dollars. Arrivez troisième avec une équipe de six personnes et chaque membre recevra un peu moins de 60,00 $, soit 30 $ pour chaque journée de travail.
NDDJ: Outre la récompense de misère, Anatel aura une belle liste de pirates (puisque l’inscription est obligatoire), qu’elle pourra même se payer le luxe de faire surveiller. Y aura-t-il des naïfs et des idiots pour participer, surement, mais pas la foule.
Protection de la propriété intellectuelle
Bien sûr, tout n’est pas toujours une question d’argent, pourquoi ne pouvons-nous pas tous nous amuser pendant quelques jours et simplement nous amuser ? La réponse réside dans un concept connu sous le nom de « propriété intellectuelle » et dans la valeur de cette propriété pour ceux qui la créent. Même si les chances sont faibles, l’objectif ici est que les gagnants créent un élément de propriété intellectuelle extrêmement précieux.
Le règlement de l’événement stipule que tous ceux qui s’inscrivent au Hackathon TV Box autorisent le « COMITÉ D’ORGANISATION » (COMISSÃO ORGANIZADORA) à « utiliser, éditer, publier, reproduire et divulguer, à travers les journaux, magazines, télévision, cinéma, radio et Internet, les VHS ». et CD-ROM, ou sur tout autre moyen de communication, gratuitement et sans autorisation préalable ou complémentaire, leurs noms, voix, images, projets ou entreprises, tant au niveau national qu’international, pour une durée de 10 (dix) ans. »
Le comité est défini comme « les membres et directeurs de la communauté Hackathon Brasil et d’ANATEL » avec une note que « la sauvegarde des droits de propriété intellectuelle, des idées, des arrangements et des méthodes relèvera de la responsabilité de la propre équipe de conception du projet ».
Les déclarations juridiques existent pour une raison et ce qui précède semble accorder l’autorisation « d’utiliser » « gratuitement » « le projet » « au niveau national et international » « pour une période de 10 (dix) ans ».
Il s’agit probablement simplement d’une référence aux droits à l’image/à la publicité ; certainement si le projet échoue. Si un miracle se produit, qui sait ?
En principe ces attaques devraient se limiter au brésil, les brésiliens doivent donc pouvoir facilement y échaper avec un vpn, par contre, pour les autres pays, mieux vaut ne pas utiliser le brésil comme point de sortie la semaine du concours
-
Les vainqueurs du TV Box hackathon ont “briqué” des box à l’aide d’une technique évolutive
Une équipe de hackers brésiliens a remporté la première place lors d’un hackathon organisé par le régulateur des télécommunications du pays. Le défi consistait à développer une solution pour empêcher les appareils décodeurs « pirates » non approuvés de fonctionner dans les foyers. L’équipe affirme avoir pu transférer à distance un code qui a complètement désactivé un appareil cible. Une fois mis en œuvre, “il y aura une panne générale dans la plupart des boîtiers irréguliers utilisés”, a prédit le pirate informatique.
“Hackathon Brasil et Anatel ont conclu avec succès le Hackathon TV Box 2024, récompensant des solutions innovantes pour mettre fin à l’utilisation d’appareils TV Box illégaux au Brésil”, indique désormais une annonce sur le site officiel.
« L’événement a réuni des experts en technologie, en sécurité des réseaux et en matériel informatique, se concentrant sur des alternatives créatives et efficaces pour protéger les consommateurs contre les menaces numériques, telles que les logiciels malveillants et l’espionnage.
L’équipe gagnante, composée de Juarez J., Aline A., Henrique A., Eduarda L., Daniel S. et Theo W., a remporté le premier prix après que sa solution ait démontré une « capacité à avoir un impact direct sur la lutte contre les téléviseurs non connectés ». approuvé par Anatel, garantissant une plus grande sécurité et confidentialité aux utilisateurs.
Les concurrents ont été jugés sur leur respect des détails du défi, de l’innovation et, finalement, de l’impact potentiel de leur solution.
Anatel a averti à plusieurs reprises que de nombreux décodeurs actuellement utilisés manquent de sécurité, certains au niveau du système d’exploitation. L’équipe gagnante ne révèle pas grand-chose, mais l’exploitation de ces faiblesses fait peut-être partie de la stratégie réussie.
Aucune preuve pour l’instant, mais l’attaque semble plausible
On ne sait pas exactement ce que le chef d’équipe et porte-parole Daniel Lima est autorisé à dire en public, mais les détails révélés jusqu’à présent semblent généralement plausibles.
Dans des commentaires à Globo, Lima a déclaré que la solution de l’équipe consiste à rendre les appareils décodeurs inutiles grâce à une mise à jour logicielle contrôlée par eux, plutôt que par le fabricant ou toute entité qui s’en charge généralement. Normalement, les premiers pas auraient été beaucoup plus difficiles, mais au Brésil, des systèmes sont déjà en place pour donner un coup de main.
Comme de nombreux homologues ailleurs dans le monde, les FAI brésiliens détournent déjà les requêtes DNS dans le but de bloquer l’accès aux sites pirates. Généralement, cela implique qu’un internaute tente d’accéder au « Site bloqué A » dans son navigateur et que les serveurs DNS des FAI dirigent l’utilisateur vers une page de blocage. En supposant qu’un décodeur tente d’accéder à un nom de domaine particulier pour recevoir une mise à jour, ces demandes peuvent également être redirigées vers un autre serveur.
« Nous avons pu ajouter du code qui désactive complètement [un appareil]. Notre solution utilise des capacités réseau avancées pour permettre la modification du logiciel présent sur la boîte, sans que l’utilisateur ne puisse accéder au contenu protégé », explique Daniel.
“Puisqu’Anatel contrôle les FAI, elle peut les forcer à mettre en œuvre des fonctionnalités réseau avancées qui permettent à la box de recevoir un forfait modifié.”
Les mises en garde s’appliquent toujours
Ces hacks sont souvent plus faciles à dire qu’à faire, mais avoir la possibilité de se mêler des enregistrements DNS du FAI pour détourner un appareil vers un serveur malveillant est un bon début. Si les appareils bénéficiaient d’une sécurité plus renforcée par défaut, même cela serait confronté à des défis. Si une technique régulièrement vue dans les applications Android « pirates » avait été en place, cela aurait pu vraiment bouleverser la fête.
Connue sous le nom d’épinglage de certificat , cette pratique de mise en réseau offre une bien plus grande certitude que le serveur de destination demandé par l’hôte est celui auquel il se connecte ; certainement pas un serveur malveillant transportant une mise à jour logicielle potentiellement ruineuse.
Les affirmations contenues dans des rapports précédents décrivaient la sécurité des appareils comme étant extrêmement faible, de sorte que les mises à jour ne sont pas toujours fournies via https ; s’ils arrivent via http non sécurisé, cela représenterait un autre gros avantage. Cela ne signifie pas nécessairement que le reste du processus serait facile ou qu’un certain nombre de contre-mesures ne pourraient pas être déployées pour arrêter le projet dans son élan. Des détails sur la sécurité de ces appareils pourraient faire toute la différence, ou pas grand-chose, c’est difficile à dire.
Une forte confiance rencontre une considération plus froide
Quels que soient les détails, Daniel semble convaincu que quelque chose d’important se profile à l’horizon.
“Quand Anatel mettra en œuvre la solution, il y aura une panne générale dans la plupart des boîtes irrégulières utilisées”, insiste-t-il .
Anatel semble réticent à en dire plus et sa déclaration officielle ne dit rien sur une éventuelle utilisation. Cependant, un commentaire qui attire l’attention concerne quelque chose que nous avons mentionné dans notre article précédent .
Une solution réelle et réalisable au problème des décodeurs pirates pourrait rendre ceux qui sont à l’origine de cette solution incroyablement riches, mais seulement si elle est soutenue par une attitude ferme à l’égard de leurs droits de propriété intellectuelle les plus importants.
Gracieuseté de Globo, les commentaires d’Anatel semblent impliquer que, bien qu’utiles, toute solution doit être considérée comme une extension du travail existant d’Anatel, y compris des méthodes qu’elle connaît déjà.
Anatel organise des réunions avec les participants du Hackathon en plus des gagnants, car toutes les équipes ont présenté des solutions considérées comme des opportunités d’amélioration du processus mené par l’Agence. L’objectif des discussions a été d’adapter les solutions présentées aux méthodologies déjà utilisées par l’Agence.
De nombreuses propositions sont conformes à ce que fait déjà Anatel. Ainsi, l’Agence a considéré tous les concepts et idées qui ont été présentés comme des améliorations aux processus internes et externes de l’Agence, qui permettront d’optimiser la sécurité de l’infrastructure de télécommunications et des utilisateurs.
Le processus est déjà en cours, car il est continu, Anatel travaillant en collaboration avec les participants.
Pendant ce temps, l’équipe victorieuse de six personnes a remporté un prix en espèces de 7 000 R$ pour sa première place ; cela représente environ 1 200 $ US ou 200 $ US chacun après la scission.
-
Je ne connais pas la législation brésilienne, mais est-ce vraiment légal de “rançonné” un appareil quand bien même il serait lui même illégal ? Ça pourrai aussi expliquer pourquoi Anatel ne se prononce pas trop… Et même sans parler légalité, moralement c’est très limite ; il y a une marge entre bloquer un domaine (censure préventive) et le détourner pour faire de l’injection de code (malveillance évidente).
Au final il suffira de configurer un DNS sécurisé pour fermer la porte.
-
@kemkem Je me suis trompé d’emplacement, il devait faire suite à un sujet sur le hackaton qui expliquait le pourquoi du comment.
Je déplace. Voir au début du topic maintenant.
-
Ces vilains white hat