Mike McKeown est directeur principal de la transformation de l'IA et de l'aide à la vente chez Verimatrix. Il s'est entretenu avec Carlos Rocha Gonçalves, vice-président de la croissance chez Jscrambler, et Maria Malinkowitsch, directrice de la gestion des produits chez Verimatrix.

Alors que la saison de football 2025/26 commence, le piratage continue de nuire aux contenus de qualité. Les navigateurs ont été le maillon faible de la chaîne de sécurité de la diffusion en continu, les applications HTML5 se distinguant :

  • Combinaisons illimitées d'appareils et de navigateurs
  • Logique exposée côté client
  • Intégration avec des applications frauduleuses et des outils externes

L'interview

Mike : Jusqu'à récemment, Verimatrix se concentrait sur les applications mobiles et les appareils connectés. Pourquoi les navigateurs posaient-ils un problème aussi important ?

Mascha : "Les applications HTML5 étaient le point d'entrée le plus facile pour les pirates. Sur iOS ou Android, vous avez affaire à des écosystèmes limités. Mais avec les navigateurs, les combinaisons d'appareils et de navigateurs sont infinies. Les pirates exploitent cette situation en joignant des applications frauduleuses ou en utilisant des appareils externes. Et contrairement aux applications bancaires ou de santé où les utilisateurs tolèrent l'authentification à deux facteurs, les utilisateurs de vidéos n'acceptent pas les frictions - ils veulent juste cliquer sur "play". Cette combinaison rend les navigateurs très difficiles à protéger".

Carlos : "Exactement. Le navigateur est une plateforme puissante mais très exposée. Toute la logique de l'application est visible, ce qui rend la rétro-ingénierie et la falsification directes sans protections solides. Nous voyons tout, de l'abus de code côté client à l'exfiltration d'informations d'identification. Les DRM traditionnels ou le renforcement des applications mobiles n'ont pas permis de résoudre ce problème, ce qui explique pourquoi les fournisseurs de vidéos étaient si vulnérables."

La percée : Identité persistante + protection unifiée

Mike : Qu'est-ce qui a changé dans ce partenariat ?

Mascha : "La percée est l'identité persistante sur toutes les plateformes. Nous disposons désormais d'une identité d'utilisateur sécurisée et persistante qui fonctionne sur iOS, Android et les navigateurs. Même si un utilisateur efface le cache ou passe en mode incognito, l'instance du navigateur reste identifiable. Cette cohérence était impossible auparavant. L'intégrer dans une interface unifiée avec la protection mobile change la donne pour les opérateurs".

Carlos : "Et nous l'avons rendu simple à déployer. Notre protection JavaScript applique une obfuscation polymorphe, des verrous de code et une logique d'autodéfense. Chaque version est unique, de sorte que même si un pirate parvient à percer une fois, la version suivante l'oblige à repartir de zéro. Nous avons intégré des contrôles anti-débogage et anti-sabotage qui détectent instantanément les comportements malveillants et peuvent déclencher des contre-mesures ou des rapports de télémétrie. Du point de vue de l'opérateur, il s'agit toujours d'un déploiement à code zéro, adapté à la CI/CD.

Aperçu des démonstrations: Dans la démo, le tableau de bord Counterspy affichait les sessions de navigateur côte à côte avec iOS et Android. Les identifiants uniques ont persisté à travers les effacements de cache, ce qui a finalement résolu la question de la reconnaissance des abonnés dans les navigateurs. Désormais, un client dispose d'une transparence totale sur tous les appareils clients dans un seul outil.

Détection et contre-mesures

Mike : En quoi cela modifie-t-il la détection et la réaction des opérateurs ?

Carlos : "La télémétrie de Jscrambler rend les attaques visibles en temps réel. Par exemple, nous pouvons détecter l'utilisation d'un débogueur, qui constitue souvent la première étape d'une tentative de piratage. Le code d'autodéfense perturbe ce débogueur, et les événements télémétriques sont renvoyés afin que les opérateurs puissent observer des schémas : débogage répété, tentatives d'altération, violations de domaine. C'est suffisamment détaillé pour séparer le bruit des vraies menaces".

Mascha : "Une fois que vous avez cette visibilité, vous pouvez agir avec précision. Les opérateurs peuvent configurer des réponses automatiques - dégradation de la qualité vidéo, suspension de la lecture ou blocage des sessions. Sur les navigateurs, nous avons ajouté la redirection d'URL, de sorte qu'un pirate peut soudainement voir une page d'avertissement au lieu d'un contenu de qualité. La clé, c'est la flexibilité : les opérateurs vidéo détestent les faux positifs, c'est pourquoi nous leur donnons un contrôle chirurgical sur les contre-mesures, toutes liées à des identités persistantes".

Aperçu des démonstrations: Un flux de films premium piratés a été retracé jusqu'à un seul iPad en Allemagne. En corrélant l'identification du contenu, l'identification de l'instance de l'application et l'identification de l'abonné, les opérateurs peuvent mettre en œuvre des contre-mesures contre cet appareil en quelques minutes, sans faire de détour par le CRM et risquer d'affecter les utilisateurs légitimes.

Travailler en équipe

Mike : Comment s'est déroulée la combinaison de deux solutions différentes ?

Carlos : "L'alignement de deux entreprises peut s'avérer complexe, mais dans le cas présent, cela nous a semblé naturel. Verimatrix et Jscrambler partagent tous deux la philosophie selon laquelle même les protections complexes doivent être faciles à déployer et à utiliser. Cet état d'esprit a facilité l'intégration technique - nous l'avons conçue pour qu'elle soit perçue comme une solution unique, et non comme deux solutions assemblées".

Mascha : "Exactement. Nous avions l'impression d'être une seule et même équipe de développement. Nos ingénieurs ont combiné l'expertise de Jscrambler en matière de sécurité web côté client avec les connaissances de Verimatrix en matière de vidéo. Ensemble, nous avons résolu le problème de l'identité du navigateur que l'industrie considérait comme impossible. C'était motivant et amusant, malgré les défis techniques."

Principaux enseignements

Carlos : "Résilience par conception. Grâce à l'obscurcissement polymorphe, chaque version d'application oblige les attaquants à revenir à la case départ. Grâce à la télémétrie, les opérateurs bénéficient d'une visibilité et d'une assurance."

Mascha : "Stratégie de bout en bout. Les opérateurs ne peuvent plus combler les lacunes - le piratage exige une protection par DRM via les applications clients et les navigateurs, le tout unifié dans une seule solution."

Pourquoi c'est important

Pour les leaders techniques dans le domaine du streaming et de l'OTT :

  • Identité persistante et multiplateforme de l'utilisateur et de l'appareil.
  • Protection renforcée du navigateur avec obfuscation, anti-débogage et anti-piratage.
  • Détection basée sur la télémétrie pour distinguer les attaques du bruit.
  • Des contre-mesures flexibles intégrées aux flux de travail des opérateurs.
  • Déploiement sans code, prêt pour CI/CD.

Pour la première fois, les opérateurs peuvent aborder le piratage des navigateurs avec une stratégie de bout en bout qui est à la fois robuste sur le plan technique et simple sur le plan opérationnel.