Les outils de protection in-app sont essentiels au succès de toute application de média ou de divertissement. Sans eux, le précieux contenu diffusé sur l'appareil mobile est en danger. Mais saviez-vous que la nécessité de protéger l'application mobile va bien au-delà ?

On peut affirmer sans risque de se tromper que la quasi-totalité des applications multimédias utilisent une forme ou une autre de protection du contenu. Le contenu vidéo qu'elles fournissent à leurs utilisateurs est tout simplement trop précieux pour être laissé aux pirates. La protection du contenu est une exigence pour faire des affaires ; et dans la plupart des cas, la protection du contenu provient de solutions prêtes à l'emploi comme Verimatrix Multi-DRM.

En interne, ces solutions de protection de contenu utilisent des outils de protection In-app - comme Verimatrix Shielding - pour se protéger de la rétro-ingénierie et mettre leurs précieuses données à l'abri des pirates informatiques.

Données personnelles

Le GDPR et le CCPA s'inscrivent dans une tendance mondiale visant à renforcer nos droits en matière de protection de la vie privée. Si une application collecte, traite ou stocke des données à caractère personnel - et soyons honnêtes, c'est le cas de toutes les applications -, elle entre dans le champ d'application des règlements. Si des paiements sont effectués par l'intermédiaire de l'application, des exigences supplémentaires telles que PCI-DSS et PSD2 entrent en jeu.

Il n'y a pas lieu de s'effrayer de ces exigences. Elles exigent essentiellement que vous preniez des mesures raisonnables, conformes aux meilleures pratiques du secteur, pour protéger les informations. Lorsque ces données se trouvent dans une application mobile, la meilleure façon de les protéger est de protéger l'application.

Une fois le contenu protégé, pourquoi le développeur s'embêterait-il à utiliser des outils de protection pour le reste de la base de code ? Tout simplement parce que le contenu multimédia n'est pas le seul élément de valeur de l'application.

Accès au serveur de confiance

Aucune application média ne fonctionne de manière isolée. Elle doit récupérer le contenu auprès de systèmes dorsaux. Ces systèmes sont conçus pour ne fournir du contenu qu'aux utilisateurs autorisés et aux applications de confiance. Le back-end expose des API - des portes internet - pour permettre aux applications et aux utilisateurs d'accéder aux systèmes, aux services et aux informations. Seules les applications et les utilisateurs de confiance doivent être autorisés à franchir ces portes.

Malheureusement, la seule source de décision pour le back-end est l'information qu'il reçoit par l'intermédiaire des API. Si ces informations peuvent être falsifiées, le back-end prendra les mauvaises décisions, ce qui pourrait permettre un accès non fiable ou non autorisé.

Le partage de mots de passe en est probablement l'exemple le plus connu. Ce problème préoccupe de plus en plus les sociétés de diffusion en continu, qui cherchent à protéger leurs sources de revenus et à réprimer les fraudeurs. La solution consiste à rendre plus difficile la falsification des informations saisies dans l'application mobile à l'aide de méthodes d'authentification forte.

Par ailleurs, nous voyons de plus en plus de pirates informatiques faire de la rétro-ingénierie sur les applications pour apprendre comment elles s'authentifient auprès des systèmes dorsaux. Cela permet au pirate d'envoyer des requêtes au système dorsal qui semblent provenir d'une application fiable et légitime. Les pirates utilisent cette approche pour attaquer les systèmes dorsaux par le biais de leurs propres API. Les outils de protection des applications rendent les applications beaucoup plus difficiles à désosser en protégeant leurs composants internes, ce qui permet d'empêcher les attaques contre les systèmes dorsaux.

Modèles d'entreprise

Dans de nombreux cas, l'application est également la gardienne du modèle économique du service - elle garantit que le contenu est visionné de la manière prévue. Les utilisateurs estiment souvent qu'ils ont droit à une meilleure expérience et trouveront des moyens de s'améliorer eux-mêmes.

Par exemple, il est courant de proposer un abonnement gratuit ou à moindre coût qui ne permet de visionner le contenu que sur de petits écrans de téléphone portable. Si l'utilisateur souhaite visionner le contenu sur un écran plus grand (c'est-à-dire un téléviseur), il doit payer des frais supplémentaires. Les forums en ligne regorgent de discussions sur les utilisateurs qui chargent une application mobile Android sur une SmartTV Android pour contourner ces coûts supplémentaires.

Une autre attaque courante contre l'application consiste à supprimer les publicités. Cela ne fonctionne que pour l'insertion côté client, mais il est courant de voir des versions reconditionnées d'applications médias populaires sur des boutiques d'applications tierces offrant un "visionnage sans publicité". Lorsque les publicités disparaissent, le flux de revenus disparaît également.

L'utilisation correcte des outils de protection des logiciels permet de s'assurer que les applications ne fonctionnent qu'avec des appareils de confiance et de mettre fin aux attaques par reconditionnement.

Verimatrix Shielding est utilisé par nos clients pour protéger tous ces actifs et bien d'autres encore. Pour en savoir plus sur la façon dont nos outils de protection des applications peuvent s'intégrer en douceur dans votre processus de développement d'applications mobiles ou de décodeurs, lisez notre brochure Shielding for Media Apps.