Akamai fait l'acquisition de Guardicore et étend ainsi sa gamme de solutions Zero Trust destinées à arrêter les ransomware. En savoir plus

Blog

La collaboration renforce la lutte contre le piratage vidéo

Written by

Shane Keats

November 18, 2021

Ce que je sais : Ma messagerie personnelle a été« hackée »ou a subi un vol à au moins 18 reprises. Ce que je ne sais pas : si l'une des fois où je n'ai pas pu me connecter à l'un de mes services d'abonnement OTT était due au partage de nos identifiants de connexion par l'un de mes enfants ou à un piratage de compte. Cette chaîne d'attaque commence par la collecte de combinaisons de nom d'utilisateur/mot de passe volées et se poursuit par une tentative de confirmation de leur validité au moyen d'une attaque par credential stuffing. 

Dans l'intérêt de mes enfants, j'espère que c'était la seconde option. Dans le mien, je préfèrerais que ce soit la première. Le monde d'aujourd'hui est complexe. 

Le secteur du streaming vidéo, que les services se décrivent comme OTT, DTC, SVOD, AVOD, vMVPD, ou PSB, fait face à sa plus grande menace criminelle depuis sa naissance en 2007, l'année où Netflix a commencé ses activités de streaming.

L'explication est évidente. Au cours des quatre dernières années, le streaming vidéo s'est imposée comme le moyen privilégié de « regarder la télévision », les abonnements aux services correspondants atteignant 1,1 milliard l'année dernière dans le monde entier. Le piratage vidéo, qui s'arroge depuis des décennies les revenus de l'industrie cinématographique, a augmenté proportionnellement au nombre d'abonnements, au point de représenter pour les attaquants une manne financière aussi lucrative que le piratage de systèmes bancaires en ligne. (En outre, le partage d'identifiants, un phénomène généralisé aujourd'hui, leur facilite considérablement la tâche.)

Akamai a pris l'initiative de mener des recherches sur la rentabilité exacte de ces exactions et a découvert qu'aux États-Unis, le piratage vidéo représente 1 milliard de dollars chaque année, engrangeant également 1 milliard d'euros en Europe. Pour l'Asie, il est plus difficile de réaliser des estimations précises, mais des données indiquent que le pourcentage de personnes se livrant à des activités de piratage atteint 45 % dans certains pays.

Yousef Al-Obaidly, PDG du groupe média de beIN, le plus grand concédant de droits sportifs au monde, a résumé la situation dans cet avertissement remontant au mois d'octobre 2019 :

« La glorieuse bulle des droits des médias est sur le point d'éclater, [car] le piratage s'est propagé comme une trainée de poudre partout dans le monde et dans toutes les strates de la société. Nous vivons aujourd'hui dans un monde dans lequel les droits de diffusion exclusifs n'ont en réalité rien d'exclusifs, [et] notre secteur est extrêmement mal préparé. Notre secteur et nos détenteurs de droits, tout particulièrement, sont en train de se diriger à l'aveugle vers un désastre financier. Le modèle économique même de notre secteur est en passe d'être réécrit. »

Le piratage a un impact sur le secteur du divertissement et sur l'économie au sens large

L'année dernière, le Global Innovation Policy Center (GIPC) a estimé que le préjudice du piratage en ligne sur l'économie américaine était compris entre 29,9 milliards et 71 milliards de dollars en pertes de revenus chaque année. De telles estimations, en particulier en présence de fourchettes aussi vastes, doivent être prises avec des pincettes. Les détails comptent. Toutefois, il ne fait aucun doute que les coûts sont réels et ne nuisent pas seulement aux résultats financiers des fournisseurs de contenus multimédias et de divertissement. David Hirschmann, président et PDG du GIPC, a déclaré en 2019 : « Le piratage de vidéos digitales représente un manque à gagner considérable pour l'économie américaine, ce qui s'avère préjudiciable pour les entreprises, qu'il s'agisse des sociétés de production de contenu ou des sociétés technologiques innovantes qui sous-tendent la révolution de la distribution digitale. » Dans son rapport, le GIPC a également évalué l'impact du piratage des vidéos digitales sur les emplois aux États-Unis, estimant entre 230 000 et 560 000 le nombre d'emplois perdus chaque année sur le secteur.

L'ampleur de la menace résulte en partie de la multitude de formes que le piratage peut prendre. Prenons en compte cette vue d'ensemble de l'éventail de vecteurs d'attaque, selon que le contenu est diffusé en live ou à la demande : 

Vecteurs d'attaque ciblant les événements live et la diffusion simultanée de chaînes

  • La modification du logiciel de lecture vidéo ou du système d'exploitation Android 

  • L'enregistrement de l'écran en cours de lecture ou la récupération du contenu pendant une session en écran partagé

  • L'interception de vidéos déchiffrées à l'aide de suppresseurs de HDCP connectés à des décodeurs

  • L'utilisation d'attaques par credential stuffing pour accéder aux informations d'un utilisateur légitime

  • L'altération de la vidéo pour supprimer son tatouage numérique, notamment par rééchantillonnage

  • Le transfert de vidéos en dehors d'un marché donné à l'aide d'un réseau privé virtuel (VPN)

Vecteurs d'attaque ciblant la vidéo à la demande

  • Les violations de centres de données, qui conduisent au vol des identifiants des utilisateurs, des clés cryptographiques ou du contenu vidéo

  • Le vol d'identifiants de travailleurs indépendants et du personnel à temps plein fournissant l'accès aux vidéos via différents systèmes

  • Les enregistrements de ressources physiques (moins répandus aujourd'hui) pour le partage et la distribution

  • Le piratage de différents systèmes de production offrant un accès direct aux ressources vidéo

  • L'extraction de contenu à partir de sources légitimes

  • Les systèmes de prise de vue cinématographique 

  • Le vol direct à base d'attaques par usurpation d'identité

La voie à suivre : des réponses collaboratives et des plans de lutte efficaces

Il y a sept ans, lorsque j'ai commencé à travailler au carrefour du streaming et de la sécurité, le secteur n'a pas suffisamment évoqué les menaces auxquelles il était confronté. La sécurité était une question relevant de la sphère privée. Aujourd'hui, l'impact du piratage nous impose une nouvelle voie. 

En octobre 2020, l'Académie des arts et des sciences du cinéma a expliqué comment elle se protégeait contre le piratage. Les membres internationaux de l'Académie utilisent sa plateforme de streaming, l'Academy Screening Room, pour regarder les films en lice pour la prochaine saison de remise des prix. Mais tout contenu en ligne est également vulnérable. Avec le concours de quatre sociétés différentes, Brightcove, NAGRA, BuyDRM et Akamai, l'Académie a pu fournir à ses membres un accès pratique, tout en prémunissant sa propriété intellectuelle contre le vol.

Un an plus tard, une autre collaboration était annoncée,cette fois entre trois sociétés spécialisées dans le cloud et la sécurité. Ces entreprises ont uni leurs efforts pour aider les fournisseurs de logiciels et les entrepreneurs dans le domaine de la défense des marchés réglementés à rationaliser la conformité ATO (autorisation opérationnelle) sur AWS. Annoncée le 1er octobre 2021, cette initiative, appelée « FASTTR » (abréviation signifiant « ATO accélérée avec Splunk, Telos et ThreatAlert pour les marchés réglementés »), vise à réduire le temps et les coûts liés à l'obtention des certifications de conformité ATO qui, par exemple, peuvent freiner la migration du système vers le cloud. Le projet FASTTR a également pour objectif d'aider les entreprises à se conformer plus facilement à l'évolution des réglementations gouvernementales en matière de sécurité, ce qui stimule la protection.

La prévention est un front. La riposte en est un autre. L'un des clients d'Akamai a accepté de partager son histoire, et l'augmentation des témoignages de ce type représente une arme vitale. Ce client, l'un des principaux distributeurs de droits télévisuels, cinématographiques et sportifs dans plusieurs pays, était confronté à des taux de piratage atteignant 40 % pour sa programmation d'événements live. Les vecteurs d'attaque utilisés comprenaient les suivants :

  • Partage de liens et récupération de jetons à partir de sites comme Thop TV et Oreo TV 

  • Fichiers APK (package d'application Android) modifiés, capables de contourner les exigences d'abonnement des services 

  • Utilisation abusive de proxys VPN, permettant aux utilisateurs de contourner les restrictions géographiques

Le distributeur a commencé sa lutte contre le piratage en élaborant un plan de bataille faisant figure de modèle pour le secteur. Ce plan était articulé autour de trois principes :

  • La solution doit fonctionner à grande échelle et être capable de gérer les pics de connexion. 

  • La visibilité en temps réel sur un éventail de vecteurs d'attaque possibles doit fonctionner selon une échelle linéaire.

  • La solution doit identifier et supprimer les activités de piratage en l'espace de quelques minutes, et non en plusieurs semaines. 

Compte tenu de l'éventail de tactiques employées par les attaquants et de leur capacité à s'adapter à des mesures défensives, Akamai a élaboré avec le client une approche à 360 degrés, en appliquant des infrastructures Zero Trust à une architecture de streaming. Cette bataille a finalement été remportée. À l'issue d'un événement majeur s'étendant sur plusieurs jours, l'entreprise a pu réduire le piratage de 75 %.

Voici la bonne nouvelle : Les services de streaming vidéo peuvent prendre l'ascendant. La collaboration entre les fournisseurs assurant la protection de l'Academy Screening Room illustre ce qui peut advenir lorsqu'aucun fournisseur ne prétend avoir la solution magique. Lorsque cet esprit de collaboration s'étend aux services de streaming et aux acheteurs de droits (qui sont en concurrence sur le contenu mais coopèrent au niveau de la sécurité), nous commençons à remporter la guerre contre le piratage.

Découvrez ce qu'Akamai rend possible dans le secteur des médias et du divertissement.



Written by

Shane Keats

November 18, 2021