IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Google fait supprimer de GitHub du code permettant de contourner son DRM Widevine,

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Consultant informatique
    Inscrit en
    Avril 2018
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2018
    Messages : 1 548
    Points : 125 220
    Points
    125 220
    Par défaut Google fait supprimer de GitHub du code permettant de contourner son DRM Widevine,
    Google fait supprimer de GitHub du code permettant de contourner son DRM Widevine,
    Une faille dans le système est à l’origine du contournement

    GitHub a supprimé plusieurs dépôts qui permettaient de contourner le DRM Widevine, après avoir reçu des dizaines de requêtes DMCA émanant de Google pour faire retirer de sa plateforme du code visant le niveau L3 de sa technologie de gestion de droits numérique Widevine. Le système est utilisé par des services de streaming populaires tels que Netflix. Google a demandé le retrait du code parce qu’il violerait le DMCA. La société a également envoyé une demande de retrait de données sensibles pour la clé RSA associée qui, ironiquement, reste facile à trouver par le biais de Google.

    Avec plus de moyens que jamais pour diffuser des vidéos en ligne, la protection des vidéos continue d'être une question clé pour les détenteurs de droits d'auteur. Cette protection est souvent assurée par la gestion des droits numériques, souvent désignée par les initiales DRM. Widevine est un logiciel de protection des contenus, acquis par Google en 2010. Cet outil est notamment utilisé pour contrôler la diffusion de contenu audiovisuel au travers des principaux navigateurs. Il est notamment utilisé par Amazon Prime, Disney+ ou encore Netflix pour s’assurer que les vidéos diffusées sur leurs plateformes ne sont pas copiées illégalement par les utilisateurs.

    Nom : w01.png
Affichages : 4718
Taille : 50,9 Ko

    Quelque deux semaines après le retrait de Youtube-dl, un nouveau projet GitHub fait les frais des demandes de retrait DMCA. Le code en question, souvent référencé sous l’appellation « Widevine L3 Decryptor », est à la base un proof-of-concept (poc) du chercheur en sécurité Tomer Hadad, qui cherchait à montrer à quel point il était simple de contourner la protection par DRM. Le poc se présentait sous forme d’extension Chrome ne fonctionnant que sous Windows. Elle s’infiltrait dans la liaison entre Widevine et les Encrypted Media Extensions (EME), parvenant à récupérer les clés de chiffrement au passage, grâce à quoi il devenait possible d’obtenir un flux vidéo en clair.

    Le référentiel original notait que le code est une démonstration de la méthode d’attaque et est distribué à des fins éducatives uniquement (le plugin ne déchiffre pas le contenu, il détermine uniquement la clé, mais la clé obtenue peut être utilisée pour le déchiffrement à l’aide de l’utilitaire ffmpeg, en spécifiant la clé obtenue au démarrage dans le “-decryption_key”).

    Google considère évidemment que l’outil est un contournement d’une mesure numérique de protection qui, en ce sens, viole la section 1201 du DMCA. La même que pour le cas Youtube-dl. Le projet original de Tomer Hadad avait déjà été retiré au mois d’octobre par son auteur, ce dernier évoquant des « raisons légales » sans donner plus de détails. Avec cette nouvelle requête DMCA, Google cherche à faire supprimer les 135 dépôts Github ayant remis en ligne le code de l’extension Widevine L3 Decryptor sur la plateforme.

    On peut lire dans la requête DMCA de Google :

    Google crée et distribue le module de déchiffrement de contenu (CDM), dont l'utilisation est autorisée par de nombreux navigateurs, notamment Google Chrome, Microsoft Edge, Mozilla Firefox et Opera. Le CDM de Widevine est utilisé conjointement avec le serveur de licence de Widevine pour distribuer des contenus audio et vidéo protégés par DRM sur Internet. Il est utilisé par des fournisseurs de contenu, notamment Disney+, Netflix, Amazon Prime Video, YouTube, Hulu et d'autres, pour empêcher le piratage de contenus protégés par des droits d'auteur.

    Google LLC détient les droits d'auteur sur le CDM de Widevine et autorise les autres à l'utiliser sans modification ni redistribution selon les termes du contrat de licence-cadre Widevine...

    Nous pensons que le dépôt dans son ensemble représente un outil de contournement en violation de la loi 1201 et doit donc être supprimé.


    Une violation de la section 1201 du Digital Millennium Copyright Act (DMCA) est citée comme raison du blocage des dépôts, et le plugin lui-même est signalé comme un outil spécialement créé pour transgresser les conditions d’utilisation du contenu sous licence et contourner les mécanismes de protection DRM. L'avis de retrait comprend une longue liste de dépôts qui ont tous été rendus indisponibles par GitHub après que le code original de Tomer Hadad ait mis hors ligne.

    Une faille déjà signalée est à l’origine du contournement de la DRM Widevine

    La variante L1 Wiidevine est la plus sûre, suivie de L2 et L3. Si cette dernière protège toujours le contenu contre le téléchargement facile, il n'est certainement pas impossible de la contourner, comme l'ont montré à maintes reprises les pirates. Google était conscient de cette vulnérabilité et avait préalablement informé KrebsonSecurity qu'il allait s'attaquer au problème. Mais cela n’a pas été fait avant que des dizaines de dépôts Widevine L3 Decryptor n’apparaissent sur la plateforme GitHub. Google a dit dans sa requête :

    Mais le niveau de sécurité le moins sûr de Widevine, L3, tel qu'il est utilisé dans la plupart des navigateurs et des PC, est implémenté à 100 % dans le logiciel (c'est-à-dire pas de TEE matériel), ce qui le rend réversible et contournable.

    Cette extension Chrome démontre comment il est possible de contourner la DRM de Widevine en détournant les appels vers les EME (Encrypted Media Extensions) du navigateur et en déchiffrant toutes les clés de contenu Widevine transférées, ce qui en fait une DRM à clé en clair.


    Google a appelé cette faiblesse un contournement qui serait corrigé. Mais Hadad s'est opposé à cette caractérisation, selon un article publié en fin octobre par KrebsonSecurity. « Ce n'est pas un bogue mais une faille inévitable à cause de l'utilisation de logiciels, ce qui explique aussi pourquoi L3 n'offre pas la meilleure qualité », a écrit le chercheur en sécurité. « L3 est généralement utilisée sur les ordinateurs de bureau en raison du manque de zones de confiance matérielles ».

    Pour l'instant, Google semble se concentrer sur l'option de démantèlement des dépôts. Mais la société n’est pas toutefois sortie d’affaire. Comme l’a signalé TorrentFreak, l’entreprise doit maintenant courir après sa propre clé AACS privée, extraite de Widevine et que l’on peut retrouver sur Google, avec une recherche suffisamment précise. A ce sujet, Google a écrit dans sa requête DMCA :

    En plus de cette demande, nous avons déposé une demande distincte de retrait des données sensibles de ce fichier : /widevine-l3-decryptor, parce qu’il contient la clé privée secrète Widevine RSA, qui a été extraite du CDM de Widevine et peut être utilisée dans d'autres technologies de contournement.

    Cette nouvelle vague de suppression de contenu fait suite à celle ayant visé les dépôts Youtube-dl, un programme qui permettait de télécharger les vidéos diffusées sur la plateforme YouTube, lui aussi supprimé par Github suite à une requête DMCA. Cependant, GitHub a rétabli Youtube-dl le lundi, et a donné des détails sur l'évolution de la situation, y compris la révision du processus de la plateforme pour les réclamations en vertu de l'article 1201.

    « Aujourd'hui, nous avons rétabli Youtube-dl, un projet populaire sur GitHub, après avoir reçu des informations supplémentaires sur le projet qui nous a permis d'annuler une demande de retrait en vertu du Digital Millennium Copyright Act (DMCA) », a écrit dans un billet de blog un responsable de GitHub.

    « Chez GitHub, notre priorité est de soutenir l'open source et la communauté des développeurs. Nous partageons donc la frustration des développeurs face à ce retrait, d'autant plus que ce projet a de nombreux objectifs légitimes. Nos actions ont été conduites par des processus nécessaires pour se conformer à des lois comme le DMCA qui placent des plateformes comme GitHub et les développeurs dans une situation difficile. Et notre réintégration, basée sur de nouvelles informations qui montraient que le projet ne contournait pas une mesure de protection technique (TPM), était conforme à nos valeurs de donner la priorité aux développeurs. Nous savons que les développeurs veulent comprendre ce qui s'est passé ici et savoir comment GitHub va défendre les développeurs et affiner nos processus sur ces problèmes ».

    Sources : Requête DMCA de Google, GitHub

    Et vous ?

    Que pensez-vous de la suppression des dépôts de code de contournement du DRM Widevine par Google ?
    Que va-t-il se passer ensuite alors que GitHub a rétabli cette semaine les dépôts Youtube-dl bloqués auparavant ?

    Voir aussi :

    GitHub met en garde les utilisateurs qui repostent Youtube-dl qu'ils pourraient être interdits, « Nous supprimerons ce contenu et nous pourrons également suspendre l'accès à votre compte »
    Les utilisateurs de Youtube-dl, en colère après le démantèlement du téléchargeur, inondent GitHub de nouveaux dépôts, contenant le code source de l'outil
    GitHub rétablit le dépôt youtube-dl, modifie son processus dans le traitement des demandes DCMA, et met sur pied un fonds de défense des développeurs d'un million de dollars
    Le code source de Youtube-dl, socle de plusieurs outils de téléchargement de vidéos sur diverses plateformes, mis hors ligne, après l'émission d'une requête DMCA adressée à GitHub
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2016
    Messages
    223
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2016
    Messages : 223
    Points : 561
    Points
    561
    Par défaut
    si ça intéresse quelqu'un et au cas où

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    magnet:?xt=urn:btih:d8d082c1bbed7a9c146d5aa6deb406cc6663223b&dn=widevine-l3-decryptor.zip

  3. #3
    Membre habitué
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2002
    Messages
    63
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Octobre 2002
    Messages : 63
    Points : 179
    Points
    179
    Par défaut
    Sur mon dépôt perso, pour l'histoire : https://gitlab.inapurna.org/explore/repos

Discussions similaires

  1. Réponses: 39
    Dernier message: 25/07/2018, 17h45
  2. Réponses: 10
    Dernier message: 31/03/2014, 18h21
  3. [VBA-E] code permettant de comparrer deux listes
    Par tylersmith dans le forum Macros et VBA Excel
    Réponses: 2
    Dernier message: 28/05/2006, 12h26
  4. Réponses: 12
    Dernier message: 28/04/2006, 00h21
  5. [Conception] Question sur un code permettant de connaître le nombre de connectés
    Par inferno66667 dans le forum PHP & Base de données
    Réponses: 11
    Dernier message: 19/12/2005, 20h49

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo