Skip to main content

Un groupe de chercheurs en sécurité ont découvert une vulnérabilité dans le navigateur Chrome qui permet de télécharger des films directement à partir de Netflix.

Les chercheurs en sécurité David Livshits de l’université Ben-Gurion (Israël) et Alexandra Mikityuk des laboratoires Telekom Innovation, à Berlin (Allemagne), ont découvert une faille dans le navigateur Chrome de Google qui pourrait permettre aux utilisateurs d’enregistrer des copies illégales de films visionnés sur des services comme Netflix et l’Amazon Prime Video.

L’origine de la vulnérabilité vient de la façon dont Google implémente la technologie Widevine EME/CDM utilisée par Chrome pour streamer une vidéo protégée par le DRM.

Comme l’explique Wired, le problème est lié à l’implémentation d’un système de gestion numérique appelé Widevine qui utilise des extensions des médias cryptés pour permettre au module de décryptage du navigateur de communiquer avec les systèmes de protection de contenu utilisés par les entreprises comme Netflix pour proposer des films protégés à leurs clients.

EME est responsable de l’échange de clé ou de licence entre les systèmes de protection des fournisseurs de contenu et le module CDM du navigateur. Lorsque les utilisateurs sélectionnent un film à voir, le CDM demande une licence auprès du fournisseur via l’interface EME. Quand il reçoit la licence, le CDM est capable de déchiffrer la vidéo et de l’envoyer au lecteur web pour diffuser le contenu décrypté.

Un système de DRM de qualité, selon Wired, devrait protéger les données décryptées et permettre uniquement la diffusion du contenu au sein du navigateur. Le système de Google, cependant, permet de le copier pendant sa lecture. Cela permet à ceux qui ont quelques connaissances, comme Livshits et Mikityuk, de détourner le film décrypté pendant que le CDM déchiffre et envoie le contenu vers le lecteur pour sa lecture.

Pour démontrer la faille qui a été découverte il y a environ huit mois, les deux chercheurs ont créé un fichier exécutable preuve de concept (ou POC), qui est montré dans la vidéo ci-dessus.

Les deux experts ont alerté Google le 24 mai, mais le géant de la recherche n’a pas encore de délivrer de patch. Ils vont attendre au moins 90 jours avant de révéler au public comment la faille fonctionne réellement, étant donné qu’ils sont contre le piratage de films. D’après eux, la bonne nouvelle est que cela devrait être facilement corrigé via une mise à jour logicielle, mais cela ne résout pas vraiment le problème sous-jacent.

Un porte-parole de Google a précisé à Wired que la question n’était pas exclusive à Chrome et pourrait s’appliquer à tous les navigateurs créés à partir de Chromium, un navigateur Web libre qui sert de base aux navigateurs Web propriétaires Google Chrome et d’autres. Cela signifie est que, même si Google Chrome reçoit un patch, d’autres navigateurs pourraient éliminer le code, ce qui laisserait la diffusion de contenu une fois de plus vulnérable.