Actualités

Google Chrome : à nouveau, la technologie Widevine éprouvée via une nouvelle vulnérabilité contournant les DRMs !

Le 3 Janvier 2019, David Buchanan mettait à nu le protocole de chiffrement de contenus-médias digitaux, Widevine : exploité entre-autres sous Chrome ou encore Firefox, il s’agit de pouvoir envoyer un flux vidéo (comme une vidéo Netflix, par exemple) via différentes méthodes de chiffrement qui permettront, au final, d’avoir un contenu, selon le niveau de chiffrement, quasiment inviolable ; ou presque : une fois de plus, depuis le 20 Octobre 2020, le navigateur Google Chrome est mis à mal…

 

 

Pour rappel, Widevine (acquis par Google en Décembre 2010) possède trois couches protocolaire de chiffrement, selon le type de flux (qualité-vidéo ou qualité-audio) : pour opérer le chiffrement (et la légitimité du contenu) un environnement sécurisé est créée (Environnement d’Exécution Sécurisé ou Trusted Execution Environment, TEE) pour dissocier un contenu ainsi chiffré d’une application méconnue ou potentiellement malveillante. Le niveau L1 est le plus fort, sécuritairement (tout est chiffré) alors que le niveau L2 n’impose qu’un chiffrement partiel (le traitement-vidéo étant, ici, exclu). Quant au niveau L3, le chiffrement est peu ou prou existant (au mieux, un chiffrement effectué en dehors du TEE).

La vulnérabilité concerne le dernier niveau (de moindre qualité) : si à l’époque, aucun PoC n’avait été publiquement dévoilé, depuis fin Octobre dernier, Tomer Hadad en a décidé tout autrement en diffusant une extension – Widevine L3 Decryptor – pour le navigateur sous Github. L’auteur explique ainsi que cela “a été fait pour montrer principalement que l’obscurcissement du code, les astuces anti-débogage, les algorithmes de cryptographie en boîte blanche et d’autres méthodes de sécurité par l’obscurité seront finalement vaincues. de toute façon, et sont, d’une certaine manière, inutiles”.

Bon nombre de fournisseurs ou acteurs technologiques (le site en revendique 800) ont adopté la technologie Widevine : outre Netflix et Google (Chrome, Android), Sony, Hulu, Qualcomm, Disney, Prime Video (Amazon), Intel, LG, Facebook… Beaucoup plus faillible que les niveaux L1 et L2 (contenus vidéo ou audio hautement qualitatif), on retrouve le niveau L3 sur les solutions bureau ce qui n’empêche pas, à nouveau, une brèche sécuritaire palpable dont Google promet sous peu un correctif… A veiller !

 

 

Source : Krebs on security – 20 Octobre 2020 – Chrome : faille au sein de la technologie DRM (Widevine) de Google.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.3