Des failles dans le DRM PlayReady entrainent un blocage par Microsoft et Amazon
-
La gestion des droits numériques (DRM) est essentielle pour protéger les contenus premium en streaming. PlayReady de Microsoft est une solution phare utilisée par des géants comme Netflix, Amazon et Disney+. Lorsque des failles sont apparues récemment dans la protection de PlayReady, Microsoft a réagi rapidement en demandant à GitHub de supprimer une série de certificats SL3000 divulgués. Il semble qu’Amazon ait également réagi en suspendant indéfiniment les abonnés qui tentaient d’utiliser des identifiants divulgués.
Avec plus de moyens que jamais de diffuser des vidéos en ligne, la protection du contenu reste un problème clé pour les détenteurs de droits d’auteur.
Cela est souvent réalisé grâce à des outils anti-piratage de gestion des droits numériques (DRM) qui déterminent où et quand le contenu numérique peut être consulté.
PlayReady DRM est l’un des leaders du secteur. Cette technologie, propriété de Microsoft, est utilisée par de nombreux services de streaming parmi les plus importants, notamment Disney+, Netflix et Prime Video. Sa sécurité est donc essentielle.
Malheureusement pour les titulaires de droits, la plupart des mesures de protection présentent des points faibles. Cela vaut également pour PlayReady, car les pirates ont démontré à maintes reprises que toutes les implémentations ne sont pas parfaitement étanches.
Fuite de certificats sur GitHub
Il y a quelques semaines, un compte nommé « Widevineleak » a publié une liste de certificats SL2000 et SL3000 sur GitHub. La variante SL2000 est communément appelée DRM logiciel, tandis que la version supérieure SL3000 offre une sécurité matérielle plus avancée.
La fuite des certificats SL3000 est particulièrement problématique, car ce dernier est destiné à protéger les contenus de haute qualité, notamment les versions 4K et UHD. Grâce à ces certificats, les pirates pourraient potentiellement décrypter et redistribuer des flux vidéo haute résolution, contournant ainsi efficacement les protections.
L’origine de la fuite est inconnue. Cependant, la perspective d’un piratage de masse est clairement problématique pour les détenteurs de droits, les plateformes de streaming et PlayReady lui-même, qui repose sur la confiance et la sécurité. Il n’est donc pas surprenant que Microsoft ait réagi immédiatement.
Microsoft publie un avis de retraitLa réponse de Microsoft comprenait un avis de retrait envoyé à sa filiale, GitHub, lui demandant de supprimer les certificats SL3000 divulgués. Cela confirme que les informations divulguées étaient authentiques et risquaient d’être exploitées.
« Les documents hébergés font partie de notre produit PlayReady et permettent aux acteurs malveillants de pirater le contenu protégé par PlayReady », indique l’avis, ajoutant que « l’ensemble du référentiel est en infraction » et doit donc être complètement supprimé.
GitHub a respecté l’avis de retrait et a supprimé le contenu en question, ainsi que deux forks du dépôt. Les visiteurs qui consultent le lien aujourd’hui verront un avis de suppression .
Curieusement, les certificats SL2000 divulgués n’étaient pas mentionnés dans l’avis de retrait et étaient toujours en ligne au moment de la rédaction de cet article. Si l’attention portait immédiatement sur les certificats SL3000, plus sécurisés, cette omission soulève des questions quant à la stratégie globale de Microsoft pour gérer ces fuites à différents niveaux de sécurité.
Microsoft n’a pas immédiatement répondu à une demande de commentaire sur la fuite et l’avis de retrait. Cela dit, elle ne semble pas être la seule entreprise à avoir remarqué la fuite.
Amazon bannit des utilisateurs en raison de la fuite de certificats
Amazon Prime, qui utilise notamment la protection DRM PlayReady, prend des mesures contre les comptes utilisant ces certificats divulgués. Un e-mail consulté par TF indique une suspension de compte en raison d’une violation des conditions d’utilisation de Prime Video.
« Nous avons suspendu ce compte indéfiniment conformément à l’article 6.a. des conditions d’utilisation de Prime Video, car nous avons constaté que vous enfreigniez lesdites conditions », peut-on lire dans l’e-mail.
Les suspensions de compte ne se limitent pas aux certificats divulgués. Les utilisateurs d’autres outils de contournement des DRM qui n’en dépendent pas, comme VineTrimmer PlayReady , ont également vu leurs comptes bannis récemment.
Amazon n’a pas répondu à notre demande de commentaires, mais il est clair que ces types d’efforts de contournement des DRM peuvent être surveillés et pris au sérieux.
En fin de compte, l’intégrité des systèmes DRM comme PlayReady repose sur la confiance que leur accordent les propriétaires de contenu. Ces fuites non seulement sapent cette confiance, mais rappellent aussi brutalement que la lutte pour la protection des contenus est un combat permanent et évolutif, les pirates étant constamment à la recherche de la prochaine faille.
Source et plus: https://torrentfreak.com/playready-drm-leak-triggers-microsoft-takedown-and-amazon-account-suspensions/
