Le DRM Widevine L3 utilisé par Netflix a été cassé

Le par  |  15 commentaire(s)
Widevine

Un chercheur en sécurité se joue du DRM Widevine de Google, mais uniquement pour la protection de niveau 3 la plus vulnérable.

Pour la gestion des droits numériques (DRM) par les fournisseurs et diffuseurs de contenus, la solution Widevine est mise à disposition par Google. Elle est notamment exploitée par Netflix, Disney ou encore Amazon avec un support sur divers appareils.

Chercheur en sécurité britannique, David Buchanan assure avoir cassé le DRM Widevine de niveau 3. Il souligne essentiellement une implémentation vulnérable, et en l'occurrence à une attaque de type DFA.

Ce type d'attaque Differential Fault Analysis fait référence à une attaque par canal auxiliaire qui cherche justement à exploiter des failles dans une implémentation, et ici dans un système cryptographique pour récupérer la clé de chiffrement d'origine.

David Buchanan parle en particulier de l'implémentation du protocole de chiffrement AES-128. Pour autant, DRM Widevine L3 était déjà considéré comme le niveau le plus vulnérable. Il ne fait pas appel à un environnement d'exécution de confiance sur l'appareil.

Afin d'être en mesure d'accéder aux flux HD de Netflix par exemple, le service s'appuie sur le DRM Widevine L1 et l'environnement d'exécution de confiance entre alors en jeu. Avec Widevine L3, ce ne sont que des contenus avec de faibles définitions.

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2046159
j'ai rien compris dans les details, mais le type à l'air fort
Le #2046163
Ca ne va pas changer grand chose, l'intégralité des vidéos Netflix sont dispo en DDL ou torrent
Le #2046166
Je comprend pas trop, c'est quoi le but de ce DRM? Si c'est la protection des donnée je pense qu'il faudrait signaler à netflix que toute ses séries 4k HDR sont crackées et dispo en torrent en 1 à 2 semaines, histoire qu'il arrête de nous gonflé avec la L1 pas forcément implémenté sur tous les smartphone (poco F1, mi mix 2S), comme denuvo c'est tous juste bon à emmerder les honnêtes gens. ou alors j'oublie un truc.
Le #2046167
Sachant que le test de la clé se fait ça et là dans le code (et peut se trouver n'importe où et à de multiple endroits), que le déchiffrement peut tout aussi être dynamique (génération de code avant de passer la main à cette routine) que statique et que ces protections peuvent utiliser des canaux ou des ports de manière diverse, je m'interroge :

- Comment un individu peut-il savoir que chercher et surtout où ? Et cela sans la moindre piste ???

Le code exécutable est tellement vaste et fait tellement d'appels, qu'on a l'impression de se retrouver au centre du Sahara sans boussole et les yeux bandés.

Alors, faisant un peu de rétro-ingénérie ASM sur certaines fonctions pour comprendre le principe (logiciels protégés par clé aladdin) par passe-temps, je crois que dans certains cas, il y a eu des fuites. La science infuse n'existant pas.

D'un autre côté, certains doivent y arriver par talent, c'est certain et loin de moi de dénigrer leurs fabuleux exploits (ils ont même toute mon admiration et mon respect) mais... Je crois que dans certains cas, un gros "coup de pouce" leur a été donné d'une manière ou d'une autre.

Mais bon, c'est juste mon hypothèse et cela n'engage que moi.
Le #2046172
Adarion29 a écrit :

Je comprend pas trop, c'est quoi le but de ce DRM? Si c'est la protection des donnée je pense qu'il faudrait signaler à netflix que toute ses séries 4k HDR sont crackées et dispo en torrent en 1 à 2 semaines, histoire qu'il arrête de nous gonflé avec la L1 pas forcément implémenté sur tous les smartphone (poco F1, mi mix 2S), comme denuvo c'est tous juste bon à emmerder les honnêtes gens. ou alors j'oublie un truc.


Ce DRM, il sert effectivement à faire en sorte que les flux vidéos ne sortent pas du tunnel "Netflix - écran".
Mais faut voir le problème dans l'autre sens: si Netflix ne propose aucune protection sur le contenu vidéo, aucun major, aucun label, personne ne voudra faire un accord de diffusion avec eux !

C'est vrai que le contenu vidéo se retrouve très vite hors de Netflix. Mais chez Netflix, ils peuvent dire "c'est pas de notre faute. Nous on est sérieux et solide. Si y'a une merde c'est pas chez nous".

Après, de la même manière qu'on copiait les VHS avec deux lecteurs en mettant l'un en lecture et l'autre en enregistrement, personne ne peut vous empêcher de faire une vidéo-capture de votre écran avec OBS, en fin de compte. (et la qualité peut même être plutôt correcte.)
Le #2046177
Que du bonheur!
Le #2046181
Yattoz a écrit :

Adarion29 a écrit :

Je comprend pas trop, c'est quoi le but de ce DRM? Si c'est la protection des donnée je pense qu'il faudrait signaler à netflix que toute ses séries 4k HDR sont crackées et dispo en torrent en 1 à 2 semaines, histoire qu'il arrête de nous gonflé avec la L1 pas forcément implémenté sur tous les smartphone (poco F1, mi mix 2S), comme denuvo c'est tous juste bon à emmerder les honnêtes gens. ou alors j'oublie un truc.


Ce DRM, il sert effectivement à faire en sorte que les flux vidéos ne sortent pas du tunnel "Netflix - écran".
Mais faut voir le problème dans l'autre sens: si Netflix ne propose aucune protection sur le contenu vidéo, aucun major, aucun label, personne ne voudra faire un accord de diffusion avec eux !

C'est vrai que le contenu vidéo se retrouve très vite hors de Netflix. Mais chez Netflix, ils peuvent dire "c'est pas de notre faute. Nous on est sérieux et solide. Si y'a une merde c'est pas chez nous".

Après, de la même manière qu'on copiait les VHS avec deux lecteurs en mettant l'un en lecture et l'autre en enregistrement, personne ne peut vous empêcher de faire une vidéo-capture de votre écran avec OBS, en fin de compte. (et la qualité peut même être plutôt correcte.)


J'imagine en effet dommage que les major ne voit pas netflix comme un moyens de ramener les gens à la légalité parceque franchement avant cela le reflexe c'était ,feu, torrent 411 pour toutes les séries et aucune des protection mise en place n'a jamais marché pire ces protection bride les équipement et les plateforme elle même d'autant qu'on paye pour l'intégration de ces daube.
Le HDCP est un véritable cancer et c'est une jolie manœuvre que de prêcher la protection de contenu alors que le but réel semble finalement de faire de l'obsolescence programmé, car c'est bien cela selon moi le but inavoué de ces "protection".
Le #2046182
skynet a écrit :

Ca ne va pas changer grand chose, l'intégralité des vidéos Netflix sont dispo en DDL ou torrent


Oui effectivement mais la grande question est "comment récupère-t-il le flux vidéo" ?

Un enregistrement direct du flux qui passe par le câble vidéo ou un enregistrement software (capture d'écran) ?


Le #2046210
TheDarkgg a écrit :

skynet a écrit :

Ca ne va pas changer grand chose, l'intégralité des vidéos Netflix sont dispo en DDL ou torrent


Oui effectivement mais la grande question est "comment récupère-t-il le flux vidéo" ?

Un enregistrement direct du flux qui passe par le câble vidéo ou un enregistrement software (capture d'écran) ?




En effet aucune idée, juste que c'est vraiment très propre
Le #2046216
Donc le type a accès à du contenu Netflix en qualité SD ?
J'admire la prouesse, mais ça ne sert à rien (pour les malveillants)
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme