Google doit, une nouvelle fois, trouver une solution pour la version L3 de son DRM Widevine. Celle-ci est utilisée pour protéger les flux de streaming audio-vidéo de moindre qualité (580 p) dans les navigateurs de PC fixes qui ne disposent pas d’un environnement d’exécution sécurisé. Elle est notamment utilisée par Netflix, Amazon ou Disney.
En janvier 2019, le chercheur en sécurité David Buchanan avait déjà montré que ce verrou logiciel pouvait être contourné, sans pour autant publier de code de démonstration. Un manque que le chercheur en sécurité Tomer Haddad vient de combler par le biais d’une extension de navigateur pour Google Chrome sur PC Windows. Baptisée « Widevine L3 Decryptor », elle permet de récupérer automatiquement les clés de chiffrement d’un flux protégé. Ce logiciel, disponible librement sur GitHub, contraint Google à l’action.
Contacté par KrebsOnSecurity, le géant du web a expliqué qu’il diffuserait prochainement un correctif pour Widevine L3. Mais il est probable que ce ne sera guère plus qu’une rustine, car selon Tomer Haddad, ce logiciel de protection est impossible à sécuriser. « Widevine L3 (…) est totalement implémenté sous forme logicielle, sans utilisation de zone d’exécution sécurisée. Il peut donc être analysé par rétro-ingénierie et contourné », explique le chercheur sur GitHub. S’il a créé cette extension, c’est pour montrer que « l’obscurcissement du code, les astuces anti-débogage, les algorithmes de cryptographie en boîte blanche et d’autres méthodes de sécurité par l’obscurité finiront par être vaincus de toute façon et sont, d’une certaine manière, inutiles ».
Source: KrebsOnSecurity
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.