Une faille découverte il y a un mois dans Chrome permet toujours de télécharger des vidéos sur des sites de streaming payants.
Le premier navigateur internet du monde devrait faire des heureux chez les adeptes du téléchargement. Deux chercheurs en cybersécurité ont trouvé un faille qui permet d’enregistrer des vidéos sur Google Chrome et pas n’importe lesquelles, celles diffusées sur des sites de streaming payants comme Amazon Prime et Netflix.
Les deux chercheurs, David Livshit et Alexandra Mikityuk, de l’université Ben Gourion en Israël en donnent la preuve dans une courte vidéo. Avec un ordinateur équipé de Windows 7 et de la version 50 de Chrome, ils téléchargent un contenu protégé en version comprimée et non comprimée puis le lisent sur un autre lecteur multimédia que celui de la plateforme.
Un problème de DRM
La vulnérabilité se situe au niveau du DRM (digital rights management) Widevine. Normalement, après les échanges de clés et de licence, la vidéo protégée est décryptée par le CDM (Content Decryption Module) puis envoyée au lecteur vidéo dans le navigateur. Sauf que sur Chrome la transmission en question n’est pas sécurisée, ce qui permet de la télécharger.
Google tarde à réagir
Selon les deux scientifiques, la faille se corrige facilement. Il suffit de modifier l’utilisation du module CDM pour qu’il s’exécute dans un Trusted Execution Environment (Zone de mémoire protégée). Mais Google n’a pas l’air pressé, puisque ces deux mêmes chercheurs ont alerté la firme de Mountain View le 24 mai dernier. D’après le site Wired, un porte-parole a affirmé que le problème faisait l’objet d’un contrôle.
Une faille du code open source Chromium
Si cette faille s’exploite sur Chrome, ce sont tous les navigateurs qui exploitent le code open source Chromium (comme Opera) qui sont concernés et Chrome n’est sans doute pas le seul à devoir faire l’objet d’un contrôle.
Poster un Commentaire