La nouvelle a été publiée récemment que Google a demandé à GitHub de bloquer 135 référentiels sur la plateforme, qui sont liés en incluant du code pour définir des clés pour décrypter le contenu protégé Widevine CDM (Content Decryption Module) bloqué en vertu du US Digital Millennium Copyright Act (DMCA).
Ce fait en surprend beaucoup, car Google était une tactique de non-agression. sur les questions de propriété intellectuelle, mais en 2018, le slogan «Don't be evil» a été supprimé de son code de conduite.
Le verrou a été lancé sur les référentiels contenant la clé privée RSA qui a été extrait du MDP de Widevine en raison d'une lacune dans les mécanismes de protection mis en œuvre dans ce module.
La plupart des référentiels sont des fourches du plugin Chrome widevine-l3-decryptor, qui vous permet d'accéder au contenu diffusé via un canal de communication protégé par DRM.
Ce plugin a été écrit pour démontrer comment le mécanisme de protection DRM de Widevine peut être contourné en interceptant les appels d'API Encrypted Media Extensions (EME) et en récupérant toutes les clés de chiffrement de contenu qui sont transmises.
Le référentiel note que le code est une démonstration de la méthode d'attaque et est distribué à des fins éducatives uniquement (le plugin ne décrypte pas le contenu, il détermine uniquement la clé, mais la clé obtenue peut être utilisée pour décrypter à l'aide de l'utilitaire ffmpeg, en spécifiant la clé obtenue au démarrage dans le "-decryption_key").
Google crée et distribue le module de décryptage de contenu (CDM) de Widevine, qui est autorisé pour une utilisation dans de nombreux navigateurs, y compris Google Chrome, Microsoft Edge, Mozilla Firefox et Opera. Le Widevine CDM est utilisé en conjonction avec le serveur de licences Widevine pour distribuer du contenu vidéo et audio DRM sur Internet et est utilisé par des fournisseurs de contenu tels que Disney +, Netflix, Amazon Prime Video, YouTube, Hulu et autres, pour empêcher le piratage. du contenu protégé par le droit d'auteur.
Google LLC détient les droits d'auteur du Widevine CDM et le concède à des tiers pour l'utiliser sans modification ni redistribution selon les termes du contrat de licence général Widevine.
Une violation de la section 1201 du Digital Millennium Copyright Act (DMCA) est citée comme raison du verrouillage, et le plugin lui-même est signalé comme un outil spécialement créé pour violer les conditions d'utilisation du contenu sous licence et contourner les mécanismes de protection DRM.
Parmi les infractions, la présence de dossiers a également été mentionnée dans le référentiel qui violent les droits d'auteur de Google.
En particulier, le fichier license_protcol.proto et les documents Widevine Modular DRM Security Integration Guide et Widevine DRM Architecture Overview. Il convient de noter que license_protcol.proto est un fichier d'en-tête pour libprotobuf avec une description de la structure du protocole Widevine, c'est-à-dire que Google fait valoir proche du raisonnement qu'Oracle attaque Android.
Pour ceux qui ne connaissent pas la technologie largevine, ils devraient savoir que cela est développé par Google et il est principalement utilisé sur Chrome et différents systèmes (généralement Linux) pour pouvoir afficher du contenu protégé par le droit d'auteur sur Netflix, Disney, Amazon Video, BBC, HBO, Facebook, Hulu, Spotify et de nombreux autres services.
Un module CDM est fourni du même nom pour décoder le contenu, qui est utilisé dans Chrome, Edge, Firefox et Opera, ainsi que dans les produits de Samsung, Intel, Sony et LG.
L'année dernière, le niveau de sécurité le plus faible, Widevine L3, a été craqué, entièrement implémenté dans un logiciel, et est généralement utilisé pour diffuser du contenu en dessous de 1080p.
Il s'est avéré que la mise en œuvre de l'algorithme de chiffrement Whitebox AES-128 est sensible à une attaque par analyse différentielle des échecs (DFA), permettant l'accès à la clé de chiffrement.
Enfin, si vous souhaitez en savoir plus à propos de la demande faite par Google à GitHub, vous pouvez vérifier les détails dans le lien suivant.