Toutes les solutions de streaming OTT sont vulnérables aux attaques malveillantes. L'utilisation de la gestion des droits numériques est essentielle pour protéger le contenu, car elle garantit que le contenu n'est pas exposé en clair et qu'il faut toujours une clé pour le décrypter. Le DRM autorise l'accès conformément aux règles de sécurité et d'entreprise dans les applications de lecture vidéo. Cependant, le DRM n'est pas infaillible et certaines architectures OTT de bout en bout présentent des points faibles que les pirates peuvent exploiter en dehors du lecteur vidéo.

Un exploit courant et simple consiste à capturer un jeton d'autorisation utilisateur/appareil valide à partir d'une demande de licence DRM. La réutilisation de ce jeton permet à un simple lecteur web de demander une clé valide pour lire le contenu. Tant que le jeton reste valide, n'importe quel nombre de lecteurs peut demander de nouvelles licences DRM, ce qui conduit au décryptage du contenu.

L'extraction de jetons et la création d'une demande de licence DRM valide sont relativement faciles sur les lecteurs web et les téléviseurs intelligents. Les boîtiers décodeurs sont moins vulnérables, mais ils ne sont pas totalement exempts de risques. Bien que ce type d'attaque soit simple et bien connu des pirates débutants, et bien qu'il soit détectable, il peut être difficile d'y mettre fin sans mettre à jour l'ensemble de la solution de bout en bout.

Pour minimiser le piratage ou le rendre impraticable, plusieurs stratégies - qui ne s'excluent pas mutuellement - peuvent être mises en œuvre.

Utilisation du mode d'application de la loi sur les appareils

Le système Verimatrix Video Content Authority System (VCAS) offre une capacité de mise en œuvre qui limite le partage des URL et des jetons de demande de licence en plafonnant le nombre d'appareils dont un utilisateur peut disposer. La solution Verimatrix surveille les appareils existants attribués à un utilisateur et bloque les demandes lorsque la limite maximale d'appareils est dépassée. L'identification des appareils est liée de telle sorte qu'en cas de divergence entre les informations DRM et l'identifiant de l'appareil, la demande de licence est rejetée, ce qui empêche le partage entre les appareils.

Considérations

Les navigateurs web et certaines applications Android peuvent changer d'identifiant lors d'une réinstallation, d'une mise à jour ou d'un vidage de cache. Il peut en résulter des faux positifs, le changement d'identification étant considéré à tort comme un nouveau dispositif alors qu'il s'agit d'une action de l'utilisateur. Dans ce cas, les utilisateurs atteindraient involontairement les limites de l'appareil. Pour minimiser ou éviter totalement l'impact sur les consommateurs, il existe différentes approches de cette mise en œuvre :

  • Désactiver la navigation privée/incognito lors de la fourniture de services vidéo, car cela peut créer un nouvel identifiant d'appareil à chaque demande. Cette mesure est déjà en place chez la plupart des grands fournisseurs de flux OTT dans le monde.
  • Gérer ces types de mises à jour d'identifiants de dispositifs par le biais d'une logique logicielle pour permettre une gamme acceptable de changements. Par exemple, Verimatrix VCAS peut être configuré pour permettre aux opérateurs de fixer un nombre maximum de changements pour les navigateurs web au cours d'une période donnée.
  • Utilisez les services anti-piracy pour détecter et désactiver immédiatement les jetons piratés, afin d'en empêcher la distribution.

Jetons à courte durée de vie

Les jetons d'authentification sont largement utilisés dans divers déploiements pour l'autorisation d'accès aux services. Ces jetons, signés par l'opérateur à l'aide d'une clé privée, sont validés dans les systèmes à l'aide d'une clé publique. Cette méthode permet de vérifier efficacement que les demandes proviennent d'utilisateurs ou d'appareils légitimes. Toutefois, pour minimiser la charge des systèmes de génération de jetons, les appareils sont souvent autorisés à réutiliser les jetons pendant de longues périodes. Cette pratique peut conduire les pirates à acquérir et à utiliser ces jetons sur des appareils non autorisés pour accéder au contenu. La réduction de la durée de vie de ces jetons peut considérablement entraver les efforts de piratage de masse.

Considérations

Lorsque la durée de vie des jetons est plus courte, le système qui les génère doit être prêt à traiter un volume beaucoup plus important de demandes par appareil. Lors de la conception d'une telle solution, les opérateurs doivent tenir compte de la durée de validité du jeton, de la population des appareils, des performances des appareils et des applications, ainsi que du trafic de demandes acceptable.

Les pirates sophistiqués peuvent toujours concevoir des moyens de régénérer continuellement des jetons et de les distribuer. Il est recommandé de disposer de mécanismes tels que les services anti-piracy ou les détections d'anomalies pour identifier et éviter ce type de comportement.

Accroître la robustesse des applications et les capacités de mise en œuvre

Les pirates ciblent généralement les points d'entrée les plus vulnérables, qui se trouvent souvent dans les applications ou les navigateurs. Pour empêcher les modifications, le clonage, l'identification ou le débogage, et pour renforcer le contrôle de l'opérateur sur l'application, la mise en œuvre d'une solution telle que celle de Verimatrix est essentielle. Counterspy de Verimatrix est essentielle, car elle fournit des mécanismes pour dissuader efficacement le piratage au plus haut niveau tout en collectant des informations fiables sur l'appareil qui aident à la gestion de l'accès à l'application.

Considérations

Bien que cette solution ne soit pas entièrement suffisante en soi, elle constitue un excellent complément à d'autres mécanismes tels que le mode d'application des dispositifs et les jetons à courte durée de vie. L'intégration de capacités d'application et l'amélioration de la robustesse de l'application pourraient permettre des durées de vie des jetons d'authentification plus souples ou des règles d'appareil assouplies. Cette approche permet non seulement d'améliorer l'expérience de l'utilisateur, mais aussi de réduire le trafic global des requêtes et d'améliorer les performances des applications.

Conclusion

Comme dans notre vie quotidienne, où une sécurité accrue protège mieux nos objets de valeur mais apporte aussi des contraintes nécessaires, le même principe s'applique dans le domaine du contenu vidéo. Les opérateurs doivent soigneusement mettre en balance le risque de perte de revenus et la mise en œuvre de diverses mesures de sécurité. Une fois que les utilisateurs ont trouvé un accès facile et gratuit au contenu, les persuader de payer pour ce contenu devient un défi important. C'est pourquoi Verimatrix conseille d'utiliser plusieurs couches de sécurité, telles que le mode d'application des appareils, les jetons à courte durée de vie et les outils d'application robustes, afin de préserver la valeur des flux vidéo proposés aux consommateurs.

Compte tenu de la nature permanente de la sécurité, le simple fait de verrouiller une porte ne garantit pas la sécurité globale. Les opérateurs doivent évaluer en permanence les vulnérabilités, surveiller les comportements inhabituels des utilisateurs et évaluer les performances opérationnelles. Cette approche proactive permet de déployer des mécanismes efficaces pour atténuer les pertes de revenus dues au piratage.