Akamai, le gardien de vos streams

Si Akamai est devenu une référence sur la distribution de contenus vidéos en ligne via ses CDN (Content Delivery Network), la société veut cette fois s’imposer sur la protection des contenus via des solutions de sécurité dans le Cloud. C’est un rôle d’ange gardien qui protège des attaques cyber ciblés comme nous en voyons de plus en plus souvent arriver. Assurer l’intégrité des contenus et leur acheminement sécurisé jusqu’aux consommateurs, telle est l’une des missions et engagements d’Akamai. 
Spinning_Globe_Attacks.jpg

Les éditeurs de contenus voient dans les terminaux connectés des moyens de monétiser autrement leurs services. Toutefois, cela doit se faire en remplissant les obligations contractuelles des propriétaires de contenus. Le distributeur de contenus (diffuseur ou fournisseur de services OTT) peut ainsi être tenu de protéger les contenus qu’il diffuse sur les réseaux IP, comme Internet, contre une utilisation et une rediffusion non autorisées.

En 2012, le film Project X a été le film le plus souvent téléchargé illégalement, avec un total de 8,7 millions de téléchargements. Si l’on estime à 4,99 euros le prix moyen de diffusion d’un film en ligne, le manque à gagner atteint 43,4 millions d’euros. C’est du moins le point de vue de l’industrie des médias et du divertissement. Pour cette même année, la série télévisée la plus téléchargée était Le Trône de fer (Game of Thrones), avec un total de 4,3 millions de téléchargements illégaux. Le manque à gagner s’élèverait potentiellement à 12,8 millions d’euros pour un prix moyen de téléchargement évalué à 2,99 euros. Les chaînes aujourd’hui investissent de plus en plus dans les contenus et il est donc nécessaire de préserver cette source de revenus.

Akamai a acquis un savoir faire unique sur la protection des données sensibles, ce qui met la société à la première place de ce marché en plein développement, comme le souligne, Jérôme Renoux, Regional Sales Manager d’Akamai, « Nos clients et les clients de nos clients (les ayants droits) doivent s’assurer que la vidéo arrive à la bonne personne et que leur contenus soient protégés. Les éditeurs de contenus ont pris conscience de cette urgence d’une protection. Le revenu généré par les solutions de sécurité Cloud ont atteint 55M$ sur le premier trimestre et jusqu’à 82% de croissance d’une année sur l’autre, ou 87% sur base de conversion constante. »

Pour protéger les contenus, il existe plusieurs technologies que propose Akamai via ses différents outils, comme :

La géolocalisation & le geoblocking : les contenus sont bloqués s’ils apparaissent dans des zones géographiques non autorisées. Il est possible également de bloquer des zones temporairement car elles sont le point de départ de l’attaque.

Le cryptage : Les contenus sont cryptés et décryptés de bout en bout de la chaîne de distribution. Dans le cadre de la diffusion vidéo, le chiffrement des médias peut être appliqué à plusieurs niveaux pour protéger les contenus. Ainsi, un fournisseur de contenus pourra choisir de ne chiffrer que la couche de transport mais pas les contenus. Et pour une sécurité renforcée, ce fournisseur de contenus pourra également choisir de chiffrer les contenus en plus de la couche de transport. Le chiffrement de la clé de session en est une puissante illustration. Dans ce cas, chaque demande de session de vidéo comporte sa propre clé de chiffrement.

• Le token : Chaque utilisateur final peut se voir associer un token (ou jeton), qui est un identifiant à la durée de vie temporaire. Un contenu pourra être vu jusqu’à une date précise. Les mécanismes d’autorisation à base de jetons sont courants sur Internet pour valider les droits des utilisateurs. Pour confirmer que seuls les utilisateurs autorisés peuvent accéder à votre flux vidéo, le mécanisme d’autorisation via un jeton peut associer un jeton d’URL d’une durée de vie courte et un jeton basé sur un cookie avec une durée de vie longue dans le cadre d’un système de sécurité mixte

La vérification du player : La lecture du contenu est liée au player. Certains hackers détournent les contenus vers des plateformes de streaming illégales, et monétisent ces contenus. Ce mécanisme de sécurité est conçu pour s’assurer de l’authenticité du lecteur et du module AUTH résident. Pour cela, on applique généralement un algorithme de hachage au lecteur et au module AUTH afin de générer un condensé qui sera vérifié par le serveur gérant la diffusion de contenus. La vérification du lecteur peut également tester l’image affichée en vue d’y rechercher un code de sécurité spécifique, et s’assurer que le module AUTH n’est pas obstrué.

La gestion des droits numériques (DRM, Digital Rights Management) : la DRM permet de gérer et d’appliquer les règles de diffusion pour la vidéo. Un fournisseur de contenus peut ainsi autoriser le téléchargement d’une vidéo et son visionnage pendant 24 heures après le téléchargement. La DRM s’assure alors que la copie de la vidéo ne soit pas disponible une fois cette période expirée. Ce scénario est courant sur le marché de la location de vidéo numérique.

Protection des sites

Protéger les contenus est une chose, mais cela ne suffit pas, il faut également assurer la protection des sites de diffusion.
Le 1er trimestre 2015 a battu le record du nombre d’attaques DDoS (Distributed Denial of Service, ou attaque par déni de service visant à rendre un serveur, un service ou une infrastructure indisponibles en surchargeant la bande passante du serveur, ou en accaparant ses ressources jusqu’à épuisement). Sur le réseau PLXrouted, on en a observées plus du double par rapport au 1er trimestre 2014, et une progression de plus de 35 % comparé au dernier trimestre 2014. Cependant le profil des attaques a évolué. Si, l’an dernier, les attaques à très haut débit et de courte durée étaient la norme, au 1er trimestre 2015, l’attaque DDoS type était inférieure à 10 Gb/s (gigabits par seconde) et a duré plus de 24 heures. Huit méga-attaques se sont produites au 1er trimestre, dépassant chacune les 100 Gb/s. Même si le 4e trimestre 2014 avait enregistré une méga-attaque de plus, force est de constater que des attaques de cette ampleur demeuraient rares il y a encore un an. Le débit crête de l’attaque DDoS la plus massive observée au 1er trimestre 2015 était de 170 Gb/s.

Depuis un an, les vecteurs d’attaques DDoS ont également changé. Ce trimestre, les attaques SSDP (Simple Service Discovery Protocol) représentaient plus de 20 % d’entre eux, alors qu’aucune attaque de ce type n’avait été observée au cours des 1er et 2e trimestres 2014. Le protocole SSDP est activé par défaut sur plusieurs millions d’équipements électroniques de loisir et bureautiques — routeurs, serveurs multimédia, webcams, TV connectées et imprimantes, notamment — pour assurer leur découverte en réseau, établir des communications et coordonner des activités. Laissés sans surveillance et/ou mal configurés, ces équipements connectés à Internet via un réseau domestique peuvent être exploités comme réflecteurs. 

Les attaques informatiques sont de plus en plus malicieuses, elles utilisent des bandes passantes qui saturent les serveurs des Data Centers, les appliances dans ces centres sont mis à mal. Pour maximiser la sécurité, Akamai préconise d’utiliser le Cloud. « L’une des premières choses est de filtrer les requêtes en amont en bordure de l’Internet. Si nous détectons des mouvements suspects nous pouvons d’ors et déjà intervenir. En étant dans le Cloud, nous pouvons dispatcher plus facilement les process. » indique Jérôme Renoux. Il est ainsi possible via des centres de scrubbing de « re-router » le trafic, de le traiter, supprimer ce qui est indésirable et de router ce qui est sain. Cela permet de maintenir une continuité de ser- vice même en cas d’attaque importante.

Etant donné la simplicité d’emploi des vecteurs d’attaques proposés sur le marché « DDoS à louer », il est tentant de ne pas prendre au sérieux l’efficacité des pirates qui les utilisent. Il y a un an, les pics du trafic d’attaques utilisant ces tactiques, à partir de sites booter/stresser, étaient de l’ordre de 10 à 20 Gb/s. Mais ces sites sont aujourd’hui devenus plus dangereux, puisqu’ils sont capables de lancer des attaques à plus de 100 Gb/s. Compte tenu des nouvelles méthodes d’attaques par réflexion, telles que SSDP, qui ne cessent de voir le jour, les dom- mages potentiels induits risquent de s’intensifier avec le temps.

L’adoption iPv6 engendre de nouveaux risques de sécurité

Si les attaques DDoS IPv6 ne sont pas encore monnaie courante, certains indices donnent à penser que des acteurs malveillants ont d’ores et déjà commencé à les tester et à les explorer. De nouveaux risques et enjeux associés à la transition vers IPv6 pèsent d’ores et déjà sur les prestataires Cloud ainsi que les propriétaires de réseaux d’entreprises et domestiques. Nombre d’attaques DDoS IPv4 peuvent être reproduites au moyen de protocoles IPv6, et de nouveaux vecteurs d’attaques sont directement liés à l’architecture IPv6. Plusieurs fonctionnalités IPv6 pourraient permettre aux pirates de court-circuiter les protections IPv4, créant ainsi un champ d’attaques DDoS plus étendu, voire plus efficace. Le rapport de sécurité du 1er trimestre expose certains des risques et enjeux futurs.

Les solutions Akamai sont avant tout préventives. Les clients vont, selon les nombre de site à protéger et la bande passante, payer un abonnement mensuel. Il est toutefois possible d’intervenir en mode urgence. « Sur une requête d’une entreprise, nous pouvons en quelques heures répondre positivement à une demande, et que le prospect devienne un client. Dans ce cas, les frais sont un peu plus important car il faut travailler dans l’urgence et mettre en place des moyens techniques rapidement ». 

L’offre sécurité d’Akamai connaît une forte croissance, 15%

« Nous pensons que les normes de sécurité dans les Data Centers sont dépassées, car les pirates trouvent des parades en permanence. Le Cloud est plus sûr, car il est possible de traiter les informations sur plusieurs points »

Akamai propose ses services dans le « débordement » de trafic

Aujourd’hui il est possible de payer quelques dizaines d’euros, et commander une attaque sur un site web. Les dommages peuvent être réel- lement préjudiciables en terme d’image mais aussi financièrement, notamment via l’augmentation de la bande passante, du débit. Les attaques peuvent être également plus discrètes, il ne s’agit pas d’une attaque massive mais quelque chose de plus insidieux, comme détourner des fichiers ou envoyer des vers dans les serveurs.

 

Téléchargement du Rapport

L’« État des lieux de la sécurité sur Internet » du 1er trimestre 2015, établi par Akamai PLXsert est disponible au format PDF sur : www.stateoftheinternet.com/security-report

 


Les principales attaques

Les atteintes aux fichiers vidéo sur Internet et les modes d’attaques sont multiples :

  • Partage de liens : en accédant à des contenus premium ou payants sans y être autorisés, certains utilisateurs contournent le modèle économique du vendeur.
  • Les liens profonds : un hacker décompile le lecteur (player) et publie les liens cachés sur son propre site en vue de monétiser les contenus.
  • Piratage de lecteur : le lecteur est volé, puis copié sur un autre site Web, contournant ainsi le site officiel.
  • Copie de flux : les contenus diffusés en streaming aux systèmes des clients sont dérobés en cours de diffusion.
  • Vol dans le cache : les contenus sont volés dans le cache d’un navigateur ou d’un lecteur, ou sur un disque.
  • Falsification de contenus : le contenu officiel est modifié. C’est notamment le cas lorsque des publicités indésirables sont injectées dans un flux vidéo.