Actualité

 

Protéger la musique streaming sur Internet, difficile voir impossible

Publié le 24-03-2008 à 22:57:46 dans le thème Jeux - Culture

Pays : France - Auteur : Damien Bancal


Pub : Tous les logiciels antispyware gratuits disponibles sur Internet


Note des lecteurs: 3.8/5

Un logiciel de quelques kilos permet d'intercepter et copier les musiques diffusées sur Internet en mode streaming. Les astuces de protection n'ont pas tenues.

Simon R., et son logiciel que nous nommerons Mr Smith, vient de mettre en ligne une application qui risque de faire grincer des dents. Ce français, un amateur de recherche informatique, vient de mettre au point un Proof of concept, une preuve de concept, traitant des sites permettant d'écouter de la musique gratuitement, en streaming, sans téléchargement (Jiwa, Deezer, ...).

Comme nous vous le révélions il y a quelques temps (1) toutes les "astuces" permettant de télécharger les musiques sur les sites de streaming ont été bloquées. Les fichiers ne sont plus stockés dans le cache du navigateur, ce qui permet de protéger les oeuvres et les auteurs d'un pillage que certains pirates avaient orchestré. Seulement, il semble que cette "interception" soit toujours possible. "J'ai développé un programme qui utilise une faille intrinsèque au protocole de diffusion, explique à zataz.com Simon, Elle est inhérente à tous (sites de streaming, NDR). Les données n'étant pas cryptées lors de leur transmission, le programme enregistre tout flux qu'il détecte comme étant une musique".
 


Étonnante, l'application permet donc de prouver qu'il est possible de télécharger très rapidement les fichiers qui sont ensuite décodés en mp3 "Sans réencodage pour autant, explique le créateur, Il suffit de le laisser tourner en tâche de fond et de paramétrer le proxy du navigateur". Dès qu'une musique est jouée, le programme propose à l'utilisateur d'enregistrer la dite sonorité. "Bien sûr il s'agit là d'une preuve de concept, va nous confirmer l'auteur, et il n'est pas à utiliser pour télécharger des chansons sous copyright. Il démontre néanmoins une fois de plus l'impossibilité de mettre en place des protections efficaces pour la diffusion de musique sur internet." Un concept qui pourrait malheureusement être exploitée de mauvaise manière par certains internautes. "Il est vrai que cela peut prêter à confusion dans le contexte actuel. Néanmoins, des logiciels comme dysnomia, maintenant non fonctionnel, ont été librement diffusés. Tout réside dans l'utilisation qu'on en fait au final" confirme l'auteur. Un logiciel qui n'a rien d'illégal en soi mais pour éviter que certains internautes puissent détourner l'idée, la rédaction de zataz.com ne diffusera ni le vrai nom de ce logiciel, ni l'adresse Internet qui permet de le télécharger.
 
Mise à jour : Plusieurs lecteurs nous ont précisé que ce logiciel n'est qu'une suite logique de ce qui existait déjà "Je tenais à vous dire qu'il suffit d'un debugger http, confie Eric à la rédaction de zataz.com, pour obtenir n'importe quel donnée non mis en cache et cela depuis un bon moment." En fait, le tort de ces systèmes est que ce n'est pas du "vrai" streaming. Le fichier est téléchargé en entier dans la mémoire et à partir du début du téléchargement. Un vrai fichier streaming a un petit cache de 10 à 15 secondes qui est remplacé en continu et vidé dès que l'on arrête le lecteur. Seulement, un debugger http ne suffira pas... En réalité ces sites utilisent des identifiants uniques attribués à chaque lecture de musique constitués d'une clé et d'une session. Donc même si le débuggeur permettra de récupérer l'url, celle-ci ne sera plus valide et une fois retransmise sur le site en vue de son téléchargement. "L'unique technique envisageable pour une sécurisation correcte de ces données est l'emploi d'un chiffrement, explique Simon, Un cryptage qui ne fait pas que créer une url unique par écoute. Il faudrait surtout encoder le flux, via une sorte de one-time pad/id. Ceci pose des difficultés d'implémentations non négligeables, et il reste probable que le programme reste fonctionnel quelques temps encore avant qu'un correctif ne soit développé".

 

Conseiller cet article Réagir RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Sur le même thème : Jeux - Culture

DOPIMMO, le portail immobilier qui ne vous laisse pas a la porte

DOPIMMO, le portail immobilier qui ne vous laisse pas a la porte.

FANPAGE DE BOB, L’OURS BLEU DE BUTAGAZ

FANPAGE DE BOB, L’OURS BLEU DE BUTAGAZ: AVEC BOB, BUTAGAZ INVITE A GOUTER AU CONFORT DE LA VIE DE CHATEAU !

La Nintendo 3Ds hacked

La console portable 3D de Nintendo, la 3Ds, viendrait de connaître son véritable premier hacking.

Image subliminale pour le site Trovit

INFO ZATAZ - Un mystérieux godemiché vous propose de lire vos DVD.

Nouveau hack de la Xbox

Une nouvelle méthode hack de la console de salon de Microsoft apparait sur Internet.

Un piquenique pour préparer l´abordage du Parlement

Le Parti Pirate se présentera aux élections législatives de juin 2012. De plus en plus de citoyens rejoignent leurs rangs pour préparer l´abordage de l´Assemblée nationale.

Publicités et warez, le business inavouable

INFO ZATAZ - Affiliation, clics et publicités font gonfler les bourses de certains portails warez et régies publicitaires au point de se demander si des connivences ne sont pas mise en place par les deux parties.

Hack : du MP3 en javascript

INFO ZATAZ - Diffuser du son au format Mp3 via Javascript. Avec une bande passante adéquate, ou offline, cela passe à merveille.

Vos réactions ( 4 )

 Ecrit par DBL8 le 25.03.2008 à 08h37 

#

ZATAZien


Inscrit le 06-11-2006

Dommage que cela ne soit pas un peu moins évasif, cela permettrait d'en faire une recherche, mais j'essai quand-même.

 Ecrit par Floppy_Disk le 25.03.2008 à 13h01 

#

ZATAZien


Inscrit le 24-03-2008

Je comprends bien le fait que des vilains peuvent utiliser ce programme, mais quand même, nous ne sommes pas tous des syphonneurs de singles.

 Ecrit par tiste67 le 25.03.2008 à 18h21 

#

ZATAZien


Inscrit le 25-03-2008

@DBL8 il est asser évasifs :"Les données n'étant pas cryptées lors de leur transmission, le programme enregistre tout flux qu'il détecte comme étant une musique" sur google p:

 Ecrit par derfull le 31.03.2008 à 15h39 

#

ZATAZien


Inscrit le 31-03-2008

Moué !

On peut aussi faire la même chose avec une prise jack, en redirigeant la sortie son vers une entrée.

Sinon avec un soft prévue a cet effet, il suffit de lire ce que l'on envoie à la carte son qui elle n'est pas équipée pour l'instant de dispositif pour comprendre une information cryptée.

Ce qui peur être lue, ....

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 



ZATAZ.COm, site recommandé par ORANGE.       ZATAZ.COM trois fois récompensé par Microsoft

Vigilants.fr veille informatique sur les réseaux.
VPN, connexion securisee, haut débit plus de 1000Ko/s, traffic illimité et sans filtrage de ports ni de protocoles, plusieurs adresses et pays différents - service disponible 24h/24h
Application iPhone et iPad ZATAZ, gratuite et sans publicité.
Application iPhone et iPad ZATAZ, gratuite et sans publicité.



Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le  19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA