La bataille des téléspectateurs : La concurrence contre le piratage - Le détournement d'applications vidéo

Acheter ou créer un système Multi-DRM ?

La gestion des droits numériques (DRM) est la première ligne de défense pour la prévention du piratage des vidéos OTT. Elle garantit que le contenu est crypté, que ce soit lors du stockage, du transit ou de la livraison, et fournit la bonne clé et le bon identifiant de contenu aux utilisateurs authentifiés, en fonction de leur environnement de lecture.

La logique DRM de base gère l'authentification, la vérification de la confiance et l'échange de clés, qui sont pris en charge par un client DRM et un lecteur sécurisé. Le client gère les droits, l'intégrité de l'appareil et le contrôle de la sortie, comme l'application de la norme HDCP pour sécuriser toutes les vidéos diffusées.

Bien entendu, les différents appareils et navigateurs utilisent des DRM différents, par exemple Widevine (Google), PlayReady (Microsoft) et Fairplay (Apple). Les services de streaming étant basés sur des applications, ils sont par nature multi-appareils et doivent donc gérer plusieurs DRM propres à chaque type d'appareil.

La gestion de plusieurs DRM nécessite un cycle continu de correctifs et de mises à jour des appareils, des formats et des systèmes d'exploitation. Développer sa propre plateforme de sécurité centralisée et gérer une équipe de développeurs qui s'y consacre exclusivement est une entreprise de grande envergure.

Prenons l'exemple d'un grand fournisseur mondial de vidéo de bout en bout qui consacre actuellement environ 3 % de son budget de R&D à la gestion de ses solutions multi-DRM, sans compter l'assistance permanente. Si l'on ajoute un problème quelconque, le temps et l'argent dépensés en interne dépassent de loin les frais facturés par un fournisseur.

Les entreprises de sécurité ont l'expertise et la capacité de fournir une approche évolutive de la gestion multi-DRM. Le monde du streaming n'est pas celui des grandes marges. Il est possible d'externaliser la capacité à couvrir efficacement les besoins en DRM des différentes plateformes en choisissant un fournisseur sur la base du prix, des caractéristiques, de la réputation et de la complexité des services. Quel que soit le mode de sélection du fournisseur, cette solution sera toujours beaucoup plus sûre, plus facile à mettre en œuvre et plus rentable.

Le coût total de la gestion d'un service de sécurité vous privera du temps et des ressources nécessaires à votre activité principale et, à moins qu'il n'y ait une raison très spécifique de le faire, les chiffres ne s'additionnent tout simplement pas.

Dangers du détournement d'application

Les applications médias offrent de nombreuses possibilités aux pirates. L'objectif principal est d'empêcher que l'application soit utilisée comme point d'entrée illicite. Les applications médias sont un point d'accès à au moins une demi-douzaine de types d'activités illégales différentes !

Le reconditionnement d'applications, ou clonage, est actuellement l'une des attaques les plus courantes. Une étude a analysé 1,7 million d'applications Android gratuites et a constaté que moins de 25 % d'entre elles avaient utilisé une quelconque forme d'obscurcissement du code, ce qui signifie que leur application peut être lue, copiée et manipulée très facilement. En outre, le pourcentage d'applications utilisant un blindage robuste au-delà de la simple obscurcissement est nettement plus faible.

D'autres recherches menées dans le cadre de cette étude ont montré que la majorité des 70 développeurs interrogés n'ont pas réussi à protéger un échantillon d'application, et que nombre d'entre eux pensaient l'avoir fait. Des applications très populaires, téléchargées à plus de 10 millions d'exemplaires, n'ont utilisé l'obscurcissement que dans 50 % des cas. Ce n'est pas une grande chance.

Il est désormais essentiel de protéger les applications de diffusion en continu, ainsi que le contenu vidéo diffusé. Sans une protection suffisante du code, n'importe quelle application peut faire l'objet d'une rétro-ingénierie, ce qui revient à créer un clone, avec des intentions différentes :

Vol de recettes

• Une application copiée illégalement peut être créée pour vendre des abonnements, sauf que les revenus de l'abonnement sont reversés aux pirates.
• Les pirates peuvent choisir de diffuser leur propre publicité sur le contenu, les recettes publicitaires leur revenant alors.

Vol de données

• L'application peut installer un code malveillant, enregistrer des mots de passe ou d'autres informations confidentielles/personnelles.
• Les pirates peuvent s'en prendre aux données des utilisateurs stockées dans les bases de données dorsales.
• La possibilité de répliquer les informations d'identification peut également créer un point d'accès à d'autres données de l'entreprise.

Vol de contenu

• Le contenu de l'application peut être redistribué. De vraies informations d'identification sont utilisées pour se connecter, puis un enregistreur en nuage peut capturer et envoyer le contenu ailleurs pour qu'il soit rediffusé.

Vulnérabilités de l'API

L'utilisation d'API a permis aux appareils de faire des demandes auprès de services dorsaux, remplaçant ainsi la pratique précédente qui consistait à traiter les données dorsales de manière quasi isolée, derrière un périmètre de sécurité fiable, avec un accès externe hautement contrôlé. L'utilisation des API qui en résulte peut, par inadvertance, fournir un accès incontesté à des données censées être sécurisées.

Selon Identity Force, un fournisseur de protection de l'identité, les vulnérabilités des API et d'autres codes ont exposé des quantités massives de données dans un certain nombre d'entreprises. Rien qu'en 2020, des entreprises de premier plan ont subi des violations de données provenant de sites web et d'applications, notamment Microsoft, MGM Resorts, T-Mobile, GE et des organismes chargés de l'application de la loi aux États-Unis.

Le périmètre de sécurité s'étant élargi en fonction des styles et des approches de développement de logiciels, le bouclier applicatif est devenu un élément clé de la stratégie de sécurité d'aujourd'hui. Il s'agit d'une question de prévention et, plus important encore, de maintien de la réputation de la marque que vous avez travaillé si dur à construire avec vos clients.

Nouvelles exigences en matière d'applications vidéo

Les studios de cinéma commencent à imposer la sécurité des applications dans leurs contrats de licence, de la même manière qu'ils le font pour les DRM, qui ont deux composantes :

• Obfuscation - rendre le code difficile à lire et à comprendre, ce qui le protège de l'analyse statique.
• Contrôles environnementaux - pour s'assurer que l'application ne fonctionne que sur un appareil de confiance et qu'elle n'a pas été téléchargée ailleurs.

Les opérateurs peuvent aller plus loin. Afin de s'assurer que la base de code s'exécute comme prévu par le développeur, les opérateurs peuvent également mettre en œuvre une technologie anti-tamper. Grâce à cette technologie, toute tentative d'un attaquant de contourner les mesures de sécurité ou de modifier le code de quelque manière que ce soit sera bloquée. Cela augmente considérablement le niveau de sécurité de l'ensemble de l'application.

En différenciant les applications vidéo mobiles à l'aide de techniques de protection des applications, vous pouvez démontrer que vous utilisez les meilleures pratiques pour protéger le contenu. Vous pouvez ainsi accéder à une bibliothèque de contenus plus importante et de meilleure qualité que celle de vos concurrents et contribuer ainsi à la croissance de votre entreprise.

Voici la deuxième partie d'une série de cinq articles destinés à aider les fournisseurs de services de diffusion en continu à comprendre où se situent leurs vulnérabilités en matière de sécurité et quelles sont les méthodes de sécurité les plus à même de protéger et, en fin de compte, d'améliorer leurs activités de la manière la plus rentable qui soit. Consultez la première partie ici.