CE39 - Sécurité globale, résilience et gestion de crise, cybersécurité 2022

Attaques et analyse de sécurité des systèmes de gestion des droit numériques – DRAMA

Résumé de soumission

La consommation de contenu audiovisuel a bien évolué. Aujourd’hui, les utilisateurs se tournent vers des plateformes de streaming proposant des services VàDA (Vidéo à la demande par abonnement). Sur ces plateformes, un média peut être consommé aussi souvent qu’un utilisateur le souhaite, mais devient inaccessible après désabonnement. Afin de défendre leur modèle économique, les fournisseurs de contenus se reposent sur des DRM (de l’anglais Digital Rights Management), qui est une technologie ayant pour objectif d’entraver le partage illicite de contenus. Un DRM fonctionne en chiffrant le contenu envoyé, puis contrôle son déchiffrement via un module logiciel dédié. La grande disponibilité de contenus piratés en ligne nous montre que les exemples des vulnérabilités exploitées en pratique dans les DRMs ne manquent pas. Ce constat révèle qu’étonnamment la conception de DRMs sûrs est encore délaissée, malgré des enjeux économiques importants. En effet, la sécurité des DRMs actuels repose sur des protocoles propriétaires supposés non connus de l’attaquant. Notre projet DRAMA propose d’étudier ce sujet avec la rigueur dont il a besoin afin d’améliorer la sécurité de tels systèmes. Notre objectif est double : (1) identifier des vecteurs d’attaques communs aux DRMs déployés, et (2) formellement examiner la sécurité des normes industrielles les définissant. La réalisation d’un DRM sécurisé couvre plusieurs domaines : analyse logicielle, cryptographie et vérification formelle de protocoles. En conséquence, dans notre projet, nous proposons d’impliquer les différents aspects d’un DRM, de la conception à l’implémentation. Cela inclut aussi de concevoir un ensemble d’outils de rétro-ingénierie qui permet de dresser une carte des différents composants d’une solution DRM. Notre projet profitera aussi à d’autres domaines, par exemple, en formalisant de nouvelles propriétés de sécurité, et en améliorant les techniques d’analyse logicielle de code obfusqué.

Mohamed Sabt (Université Rennes 1)

L'auteur de ce résumé est le coordinateur du projet, qui est responsable du contenu de ce résumé. L'ANR décline par conséquent toute responsabilité quant à son contenu.

IRISA Université Rennes 1

Aide de l'ANR 193 032 euros
Début et durée du projet scientifique : décembre 2022 - 48 Mois

Explorez notre base de projets financés

L’ANR met à disposition ses jeux de données sur les projets, cliquez ici pour en savoir plus.