Vous avez donc mis en place une solution DRM dans votre application de lecture premium. Le contenu de classe mondiale que votre application fournira est sûr et sécurisé, et seuls les spectateurs autorisés peuvent y accéder. N'est-ce pas ? Pas tout à fait.
Jusqu'à récemment, les propriétaires de contenu exigeaient principalement que leurs précieuses ressources vidéo soient protégées par des solutions de sécurité DRM sur des applications tierces, mais les temps changent. La technologie évolue, les cyberattaques deviennent plus sophistiquées et le piratage n'est plus le seul problème dont les titulaires de droits doivent se préoccuper. Une fois que le DRM a fait son travail en offrant des expériences de visionnage sécurisées et autorisées, l'appareil de l'utilisateur présente toujours un risque.
Les solutions de protection du contenu telles que le DRM sont préconisées depuis longtemps, mais la protection des revenus implique de plus en plus d'aller plus loin. Les applications déployées par les services de diffusion en continu font autant partie des écosystèmes que les serveurs auxquels elles se connectent, et elles doivent également être protégées.
Verimatrix a réalisé une évaluation de 14 applications multimédia Android populaires afin de mieux comprendre l'état de la sécurité des applications de streaming. Les résultats alarmants sont publiés dans notre eBook, "Media App Vulnerabilities Exposed". Je me suis entretenu avec Neal Michie, directeur de la gestion des produits chez Verimatrix, pour décortiquer les données et mieux comprendre l'histoire qui se cache derrière les résultats.
Q : Les résultats de l'évaluation de Verimatrix montrent que seulement 7 % des applications de diffusion en continu testées ont atteint le niveau de protection de base. Pourquoi pensez-vous que la sécurité des applications multimédias est souvent négligée ?
R : Il est facile de parler de "naïveté", mais je pense que ce serait injuste pour les personnes très brillantes qui travaillent dans le domaine de la sécurité au sein des organisations médiatiques. Je pense que la réalité est que la sécurité des applications mobiles se heurte à une lacune. Les équipes traditionnelles chargées de la gestion des risques et de la sécurité se concentrent sur la sécurité du back-end, tandis que les équipes de développement mobile pensent souvent que leur solution DRM suffit à protéger le contenu - et c'est le cas. Mais le contenu n'est pas le seul actif à protéger dans une application de diffusion en continu, même si c'est le plus évident.
Le problème, c'est qu'aucun facteur extérieur ne pousse les propriétaires d'applications médias à se pencher sur la question de la sécurité des applications, ce qui fait qu'il est souvent trop tard.
Q : Quelle est la principale idée fausse que les développeurs se font de la sécurité des applications de diffusion en continu ?
R : L'idée la plus fausse que les développeurs se font de la sécurité des applications de diffusion en continu est que la gestion des droits numériques (DRM) est suffisante. Ce n'est pas le cas. La DRM est plus sûre si elle ne peut pas être isolée du reste de l'application.
Toute attaque commence par de la rétro-ingénierie (comprendre l'application à attaquer). La rétro-ingénierie est beaucoup plus facile si vous pouvez rapidement identifier et isoler les parties intéressantes du logiciel. Un attaquant peut alors se concentrer sur le code qui l'intéresse et ignorer le reste.
Il est également important de comprendre que ces applications contiennent beaucoup de données et de précieuses propriétés intellectuelles, au-delà du flux de contenu. Les applications de streaming contiennent également des informations de paiement, des données personnelles, du langage de code et des secrets d'entreprise. La protection de tous ces actifs est essentielle pour préserver les revenus et maintenir la confiance des clients.
Q : Quels types de nouvelles protections les fournisseurs de contenu exigent-ils en ce qui concerne les applications vidéo OTT ? Que peuvent faire les développeurs d'applications pour se mettre rapidement en conformité ?
R : Les fournisseurs de contenu tiennent beaucoup à ce que leur contenu ne soit pas piraté, ce qui est compréhensible puisqu'ils dépensent beaucoup d'argent pour le créer. Les fournisseurs disposent d'équipes de sécurité et de gestion des risques bien dotées en ressources qui analysent l'ensemble de leur écosystème. Elles sont formées pour repérer les lacunes et les vulnérabilités, et elles renforcent leurs mandats lorsqu'elles constatent un risque.
Jusqu'à présent, les mandats émanent généralement de studios individuels plutôt que de MovieLabs ou d'autres organismes de réglementation, et les propriétaires de contenu semblent considérer que toutes les plateformes présentent le même risque.
Ces mandats prennent généralement la forme de "règles de robustesse", qui sont des conditions techniques qu'un titulaire de licence (par exemple, un développeur d'applications ou un fournisseur de services) doit satisfaire. Les règles de robustesse exigent généralement des implémentations qui rendent difficile le décryptage des couches de sécurité du système. Cela prend la forme d'un obscurcissement commercial et de contrôles environnementaux, deux méthodes de sécurité qui protègent le code, les API, les données et d'autres actifs précieux au sein de l'application.
Dans un monde parfait, il serait possible de référencer un ensemble exact et immuable d'exigences pour différents termes (par exemple, fenêtre de diffusion, niveau de qualité du contenu, type de réseau, type d'appareil client, règles d'utilisation). Malheureusement, ce n'est pas le cas. Les ambiguïtés et les subtilités des technologies de sécurité sont nombreuses et évoluent avec le temps.
Ce que nous savons, c'est que les fenêtres de sortie des studios se réduisent en raison de diverses pressions du marché et d'événements actuels (tels que COVID-19 et la fermeture de nombreux cinémas), tandis que la qualité de lecture et la bande passante augmentent. Cela a conduit à un renforcement général des exigences en matière de sécurité. Plus la diffusion est précoce, plus le contenu a de la valeur et plus les exigences de sécurité sont strictes.
Q : Pensez-vous que les nouveaux mandats de sécurité exigés par les studios seront suffisants pour protéger les applications de diffusion en continu ?
Je suis optimiste, donc oui. Nous avons vu dans d'autres secteurs que lorsque les normes de sécurité sont bien définies et qu'il existe une obligation cohérente de les respecter, elles sont adoptées de manière quasi universelle.
Cela s'est avéré bénéfique pour ces secteurs. Les responsabilités de chacun sont clairement définies, les règles du jeu sont équitables pour tous les participants et une mauvaise mise en œuvre ne nuit pas à la réputation du secteur pour tout le monde.
Q : D'après vos conversations avec les développeurs d'applications, avez-vous l'impression qu'ils sont conscients de ces mandats et des outils à leur disposition ?
R : Réponse courte : non. Et si les développeurs sont conscients des obligations et des outils disponibles, il ne s'agit que d'une connaissance superficielle. En fait, si vous demandez à de nombreux développeurs s'ils protègent leurs applications, leur compréhension de ce qui constitue une "protection" est très différente de celle d'un responsable de la sécurité, d'un directeur technique ou d'un RSSI.
Lorsqu'un professionnel de la sécurité demande si une application est protégée, ce qu'il veut vraiment savoir, c'est si elle est à l'abri de la rétro-ingénierie. Lorsqu'un développeur d'applications affirme que son application est protégée, il veut souvent dire qu'il a utilisé les outils gratuits fournis avec Android Studio. Toutefois, ces outils sont décrits dans la communauté Android comme des "optimiseurs" plutôt que comme des "protecteurs". De plus, ces outils n'empêchent guère un pirate de tenter une rétro-ingénierie du code de l'application - ils ne représentent qu'un petit obstacle.
Q : Quelle est la chose la plus surprenante que vous ayez trouvée lors de l'évaluation de la sécurité de 14 applications de streaming populaires ?
R : Ce qui m'a le plus surpris, c'est que de nombreuses applications n'utilisent même pas les outils gratuits (tels que Proguard et R8) fournis avec les kits de développement. Le taux d'utilisation de ces outils de sécurité gratuits était inférieur aux normes de développement mobile ! Bien que la protection offerte soit minime, c'est mieux que rien ; et étant donné que le coût d'activation de ces outils est nul, il semble négligent de ne pas les activer. Le temps et les efforts nécessaires pour configurer ces outils sont négligeables - en général, cette tâche prendrait environ une demi-journée pour la plupart des applications - et il n'y a donc vraiment aucune excuse pour ne pas les utiliser.
Q : Comment Verimatrix et UL ont-ils élaboré l'échelle de notation utilisée dans l'évaluation de la sécurité ?
R : Il est souvent difficile de quantifier la cybersécurité, car il s'agit d'une question complexe composée de plusieurs couches, facteurs et vecteurs d'attaque possibles. Pour aider les entreprises à évaluer leurs mesures de sécurité, Verimatrix a initialement développé l'échelle d'évaluation de la sécurité des applications dans le cadre d'une enquête sur l'état de la sécurité des services bancaires mobiles (vous pouvez consulter l'eBook ici).
Au cours de nos recherches, nous avons constaté que les meilleures normes de sécurité des applications étaient celles mises en place par Visa et Mastercard pour la sécurité des paiements mobiles. Leurs normes sont élevées, mais pratiques et bien définies, ce qui signifie que le responsable de la mise en œuvre n'a pas à consacrer trop de temps et de ressources à l'analyse de chaque règlement. Nous avons utilisé ces normes comme exemple de bonne pratique, ce qui équivaut à peu près à une note B sur l'échelle Verimatrix /UL.
Lisez l'eBook pour savoir comment réduire les vulnérabilités des applications médias.
Le nouvel eBook, "Media App Vulnerabilities Exposed", examine en détail les conclusions de Verimatrix et propose des solutions pratiques pour garantir la sécurité des applications de lecture de qualité supérieure. Alors que l'utilisation des applications multimédias monte en flèche et que les cyberattaques deviennent de plus en plus sophistiquées, il est impératif de protéger plus que le contenu. Téléchargez l'eBook pour en savoir plus et améliorer votre approche de la sécurité.
Ebook
Les vulnérabilités de l'application médias dévoilées
93 % des applications multimédia Android OTT ne sont pas prêtes à répondre aux nouvelles exigences en matière de sécurité.
