Cliquez ici pour installer Silverlight*
FranceModifier|Tous les sites Microsoft
Microsoft
|Windows Media International

Correctif logiciel Freeme

Informations sur le correctif Freeme.exe à l'intention des propriétaires de contenu et des fournisseurs de services

Situation
Microsoft a évalué le logiciel Freeme.exe, publié le 19 octobre 2001 sur le site Web Register et a vérifié que, pour les utilisateurs qui ont acheté du contenu ou acquis une licence pour du contenu protégé par Microsoft Windows Media Digital Rights Management version 7 (y compris 7.1), le logiciel Freeme peut être appliqué pour violer la protection DRM du contenu. Il est important de noter que cette brèche ne menace en rien la confidentialité des informations personnelles de l'utilisateur sur son ordinateur. Elle n'affecte que le contenu protégé par le Kit de développement du Gestionnaire de droits Windows Media version 7, et non la version 1.

Microsoft a également vérifié que cette brèche implique d'obtenir une licence valide, ce qui signifie que vous ne pouvez pas déjouer la sécurité du contenu qui n'a pas été acquis sous licence ou acheté par un utilisateur. En effet, si le contenu est protégé par Microsoft Windows Media DRM, l'utilisateur acquiert la licence séparément du contenu.

Microsoft prend toute brèche DRM très au sérieux. Garantir que nos produits sont protégés contre les pirates est et restera notre priorité absolue. Parce que tout système DRM peut éventuellement être compromis, Microsoft a conçu le système Windows Media DRM pour qu'il prenne en charge les mises à jour dynamiques au cas où un compromis de sécurité de ce genre se produirait. Ce mécanisme de mise à jour, appelé renouvellement de sécurité, ne requiert pas de nouvelle version du Lecteur Windows Media ni du Kit de développement du Format Windows Media.

Microsoft a publié le correctif du logiciel Freeme dans lequel a été ajoutée une sécurité renforcée pour qu'il soit toujours plus difficile aux futurs agresseurs de tirer parti des informations déjà publiées.


Résumé du correctif
La solution à cette brèche Windows Media DRM est la renouvelabilité, processus par lequel un composant de sécurité Windows Media compromis, notamment le module de contenu protégé des sous-systèmes DRM (ou boîte noire), est remplacé par un nouveau composant sécurisé. Du point de vue du consommateur, cela signifie que l'utilisateur devra mettre à jour les composants de sécurité avant de pouvoir lire du contenu sécurisé, téléchargé à partir d'un propriétaire de contenu ou d'un distributeur. Toutefois, ce processus est conçu de sorte qu'aucune information personnelle identifiable ni aucune information relative à l'utilisation du contenu par l'utilisateur ne soit envoyée.

Le correctif de la brèche Freeme consiste à :
  • empaqueter du nouveau contenu et rempaqueter le contenu déjà crypté pour qu'il requiert un composant de sécurité renouvelé ;
  • mettre à jour les serveurs de licences pour déclencher le processus de renouvellement et accorder les licences aux composants renouvelés ;
  • renouveler le composant de sécurité du Lecteur Windows Media lorsque les utilisateurs acquièrent du contenu protégé.

Pour effectuer cette mise à jour du système Windows Media DRM, les trois étapes suivantes doivent être exécutées :
  1. Mettre à jour l'en-tête de contenu - Lors de l'empaquetage de nouveau contenu ou du rempaquetage de contenu existant, ajoutez ou modifiez l'identificateur de version du composant de sécurité (techniquement appelé « numéro de version d'individualisation ») de l'en-tête de contenu pour déclencher une mise à jour du composant de sécurité.
  2. Mettre à jour le serveur de licences - Mettez à jour le certificat du serveur de licences pour permettre au serveur de licences de délivrer des licences aux nouveaux composants de sécurité.
  3. Déclencher le renouvellement - Déclenchez la mise à jour du composant de sécurité lorsqu'un client fait une demande auprès d'un serveur de licences.

Retour au début de cette page Retour au début

Détails de l'implémentation
Il est impératif d'exécuter les étapes suivantes pour neutraliser la brèche du logiciel Freeme. Les propriétaires de contenu ou les émetteurs de licences peuvent effectuer la première étape de mise à jour de l'en-tête de contenu, mais ce sont les émetteurs de licences qui doivent effectuer la deuxième et la troisième étapes. Les propriétaires de contenu sont vivement encouragés à rempaqueter tout leur contenu avec le numéro de version du composant de sécurité le plus élevé, version 2.2, afin de garantir la protection de leur contenu.

1. Mettre à jour l'en-tête de contenu
Cette procédure est effectuée par les organisations qui empaquettent le contenu. Dans cette étape, l'empaqueteur de contenu ajoutera un attribut ou modifiera un attribut, s'il utilise déjà « l'individualisation » dans l'en-tête du fichier Windows Media protégé. Notez qu'il NE s'agit PAS ici de recrypter le contenu.

Pour mettre à jour l'en-tête, procédez comme suit :
Définissez WMRMHeader.IndividualizedVersion sur la valeur « 2.2 » dans l'en-tête du contenu protégé. Cette propriété, WMRMHeader.IndividualizedVersion, indique la version la plus basse du composant de sécurité Windows Media DRM requis pour lire ce contenu. Si cette propriété est définie sur 2.2, le client appellera le sous-système DRM pour vérifier si le client dispose de la version appropriée du composant de sécurité. Si le sous-système dispose d'un composant de sécurité individualisé avec le numéro de version 2.2, le serveur de licences peut émettre une licence liée à la clé publique du nouveau composant de sécurité.

2. Mettre à jour le ou les serveurs de licences
Chaque émetteur de licences doit mettre à jour la configuration de son serveur de licences pour :
  • S'assurer qu'il ne délivre pas de licence aux utilisateurs dont l'ordinateur héberge un composant de sécurité compromis
  • S'assurer qu'il peut délivrer des licences aux utilisateurs qui ont mis à jour le composant de sécurité sur leur ordinateur.

La configuration peut être mise à jour comme suit :
  1. À partir de la machine sur laquelle le serveur de licences s'exécute, accédez à http://licenseserver.windowsmedia.com/.
  2. Cliquez sur le lien « Télécharger les dernières informations sur le serveur de licences » dans cette page pour mettre à jour la configuration de votre serveur de licences automatiquement.

Sinon, vous pouvez mettre à jour la configuration des serveurs de licences manuellement, comme suit :
  1. Créez une nouvelle clé de Registre, nommée « 2.2.0.1 », sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys

  2. Définissez la valeur de cette nouvelle clé de Registre sur la valeur « WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fw== »

  3. Remplacez la valeur de la clé de Registre « 2.1.0.0 » sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys par « WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy== »

  4. Remplacez la valeur de la clé de Registre « 2.1.0.1 » sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys par « WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy== »

REMARQUE : Cela empêchera le serveur de licences de délivrer des licences aux anciens composants de sécurité.

REMARQUE : Si le serveur de licences n'est pas mis à jour (à l'aide des étapes ci-dessus) et qu'un client mis à jour (un client qui a été mis à jour avec le nouveau composant de sécurité) fait une demande auprès du serveur de licences, ce dernier échouera et génèrera une erreur au client. Il est donc important de mettre à jour (ou de demander à votre responsable de mettre à jour) votre serveur de licences pour veiller à ce que les clients mis à jour puissent recevoir des licences.

3. Déclencher la mise à jour du nouveau composant de sécurité côté serveur
Cette étape met à jour le serveur de licences pour qu'il détecte le numéro de version du composant de sécurité DRM qui fait la demande de licence et le redirige vers une page Web de mise à jour si la version de celui-ci est antérieure à « 2.2.0.1 ».

Lorsqu'un Lecteur Windows Media demande une licence pour du contenu, il envoie des informations sur le matériel au serveur de licences. Aucune information personnelle identifiable, ni aucune information relative à l'utilisation du contenu par l'utilisateur n'est envoyée. Ces informations contiennent la propriété ClientAttribute (WMRMChallenge.ClientAttribute) appelée SECURITYVERSION. Cette propriété spécifie la version de sécurité du composant de sécurité DRM. Si la valeur de l'attribut SECURITYVERSION est inférieure à « 2.2.0.1 », le serveur de licences doit rediriger le client vers une page Web hébergée par Microsoft ( http://go.microsoft.com/fwlink/?LinkId=30255) qui permet de mettre à jour le composant de sécurité DRM sur la machine de l'utilisateur.

Remarque : Même si le contenu protégé appelle une distribution de licences silencieuse, les utilisateurs qui acquièrent des licences seront toujours avertis qu'un nouveau composant de sécurité est nécessaire et leur accord sera requis pour l'installation de ce nouveau composant.

Remarque : L'exemple de script pour la mise à jour du contenu avec le nouveau numéro de version d'individualisation et la mise à niveau de la licence de contenu de la version 1 vers la version 7.1 se trouve dans le Kit de développement du Gestionnaire de droits Windows Media version 7.1.

Back to the top of this page Retour au début

Expérience de l'utilisateur
Si le numéro de version de sécurité spécifié dans l'en-tête de contenu est supérieur au numéro de version de sécurité du module de contenu protégé des machines, le serveur de licences redirigera l'utilisateur vers le service d'individualisation Microsoft pour mettre à jour le sous-système DRM avec le nouveau composant de sécurité. Si l'utilisateur fait appel au Lecteur Windows Media, il verra la boîte de dialogue d'individualisation suivante. L'utilisateur a le choix d'effectuer ou non la mise à jour.

Freefix

Si l'utilisateur clique sur En savoir plus, il sera redirigé vers la page Web suivante :  http://go.microsoft.com/fwlink/?LinkId=31951 où il pourra trouver des informations sur les stratégies de confidentialité de Microsoft.
  • Si l'utilisateur choisit de ne pas procéder à la mise à niveau, il ne pourra ni acquérir, ni lire de nouveau contenu si celui-ci requiert une version de sécurité supérieure.
  • Si l'utilisateur choisit de procéder à la mise à niveau, le service d'individualisation téléchargera un nouveau module de contenu protégé (contenant le correctif d'environ 110 Ko) sur la machine de l'utilisateur. Le serveur de licences peut ensuite délivrer une licence liée à la clé publique du module de contenu protégé qui vient d'être téléchargé.

Retour au début de cette page Retour au début

Méthodes conseillées
Outre les procédures décrites ci-dessus, nous vous recommandons de suivre les méthodes conseillées décrites dans le Kit de développement du Gestionnaire de droits Windows Media. Notamment :
  1. Crypter l'ensemble du contenu multimédia avec sa propre clé unique.
  2. Modifier régulièrement la pseudo-lignée.
  3. Délivrer uniquement des licences Windows Media DRM version 7.1.
  4. Utiliser la création dynamique d'en-têtes pour le contenu afin d'activer à l'avenir la mise à jour rapide du contenu.

Retour au début de cette page Retour au début


 

©2009 Microsoft Corporation. Tous droits réservés. Nous contacter |Conditions d'utilisation |Marques |Confidentialité
Microsoft