Fingerprinting DRM : comment les signaux EME et Widevine vous pistent

Introduction

Encrypted Media Extensions (EME) est une specification W3C qui permet aux navigateurs web d'interagir avec des modules de dechiffrement de contenu (CDM) pour lire des medias proteges par DRM. Le CDM le plus largement utilise est Widevine de Google, integre dans Chrome, Firefox, Edge et la plupart des navigateurs bases sur Chromium. EME permet aux services de streaming comme Netflix, Disney+ et Amazon Prime Video de diffuser du contenu protege directement dans le navigateur sans plugins.

Bien qu'EME ait ete concu pour faciliter la lecture de medias, ses requetes de capacites sont devenues une source significative de donnees de fingerprinting. Les sites web peuvent utiliser ces requetes pour connaitre la plateforme de votre navigateur, le materiel de securite et la configuration logicielle sans aucun indicateur visible ni invite de permission. Cela fait des capacites DRM un probleme de confidentialite qui va bien au-dela de la lecture de medias, et dont la plupart des utilisateurs ne sont pas conscients.

Impact sur la confidentialite

Le fingerprinting de capacite DRM est particulierement preoccupant car il expose des informations profondes sur la plateforme qui sont difficiles a obtenir par d'autres moyens. Les signaux incluent :

• Support des systemes de cles : les systemes DRM disponibles sur votre navigateur varient selon la plateforme. Certains sont exclusifs a un seul systeme d'exploitation, ce qui signifie que la simple presence ou absence d'un systeme de cles revele immediatement votre plateforme. C'est une information que vous ne souhaitez peut-etre pas que chaque site web connaisse.
• Niveau de securite : le DRM fonctionne a differents niveaux de securite selon le materiel de votre appareil. Que votre appareil dispose d'une securite materielle ou repose uniquement sur un traitement logiciel est expose a travers ces requetes, revelant des details materiels sur votre systeme.
• Capacites de robustesse : l'ensemble des niveaux de robustesse supportes est specifique a l'appareil et lie a votre configuration de securite materielle. Cela cree une dimension supplementaire d'identification de plateforme que les sites web peuvent interroger silencieusement.
• Capacites de codecs dans le contexte DRM : les codecs disponibles dans un contexte DRM different de ceux disponibles pour la lecture generale. Cette matrice de codecs specifique au DRM ajoute une couche supplementaire a l'empreinte de votre appareil.

Des recherches de l'Universite Technique de Berlin ont montre que les requetes de capacite EME seules pouvaient distinguer plus de 30 configurations de plateforme distinctes, et lorsqu'elles etaient combinees avec d'autres signaux d'empreinte, la contribution a l'identification unique etait significative. Les requetes sont rapides (moins de 50 ms), ne necessitent aucune permission et ne produisent aucun indicateur visible.

Le manque de sensibilisation rend cela particulierement problematique. La plupart des utilisateurs ne savent pas que les requetes de capacite DRM peuvent etre utilisees a d'autres fins que la lecture de medias, et il n'existe aucun mecanisme pour refuser ces requetes. C'est exactement le type de suivi silencieux contre lequel les utilisateurs soucieux de leur confidentialite ont besoin de protection.

Pourquoi c'est important pour votre confidentialite

Identification silencieuse de la plateforme

Chaque fois que vous visitez un site web, celui-ci peut determiner silencieusement votre systeme d'exploitation et votre configuration materielle via des requetes DRM. Cela se produit sans aucune notification, boite de dialogue de consentement ou signe visible. Les informations collectees peuvent etre combinees avec d'autres signaux d'empreinte pour construire un profil detaille et persistant de votre appareil.

Detection des navigateurs headless

L'un des aspects les plus impactants du fingerprinting DRM concerne les navigateurs headless. Chrome headless standard n'inclut pas le CDM Widevine, ce qui signifie que les requetes de capacite DRM echouent en mode headless. Puisque pratiquement toutes les installations desktop de Chrome incluent Widevine, son absence est un signal fort que le navigateur fonctionne dans un environnement automatise ou headless. Cela pose un defi significatif pour la recherche en confidentialite, les tests automatises et tout flux de travail reposant sur des navigateurs headless.

Pas d'option de refus

Contrairement aux cookies, a l'acces a la localisation ou aux permissions de camera, il n'y a aucun moyen pour les utilisateurs de refuser les requetes de capacite DRM. L'API ne necessite aucune permission. N'importe quel site web peut executer ces requetes a tout moment, faisant du fingerprinting DRM un vecteur de suivi persistant et inevitable pour les navigateurs non proteges.

Fuite d'identite inter-plateformes

Executer un navigateur sur un systeme d'exploitation tout en presentant une identite de plateforme differente est immediatement compromis par les signaux DRM. Par exemple, un utilisateur sur Linux qui souhaite se proteger du suivi specifique a la plateforme sera toujours identifie via les signaux DRM uniques a son environnement reel.

Approches de protection courantes et leurs limites

VPN et serveurs proxy

Les VPN n'ont aucun effet sur les requetes de capacite DRM. EME fonctionne entierement au sein du navigateur et du CDM, sans requetes reseau lors de la detection des capacites. L'empreinte DRM est identique independamment de l'utilisation d'un VPN. Si vous comptez uniquement sur un VPN pour la confidentialite, votre empreinte DRM reste totalement exposee.

Navigation privee et mode incognito

Les modes de navigation privee ne modifient pas les reponses de capacite DRM. Le support Widevine, les niveaux de robustesse et la disponibilite des systemes de cles sont les memes en mode incognito que dans une fenetre normale. La navigation privee protege contre le suivi par cookies, mais ne fait rien contre le fingerprinting au niveau materiel.

Extensions de navigateur

Les extensions ne peuvent pas controler de maniere significative les reponses EME. Bloquer completement l'API casse toute lecture de medias proteges par DRM (Netflix, Disney+ et autres services de streaming) et est immediatement detectable car l'API devient indisponible. Tenter de modifier les valeurs de retour introduit des incoherences detectables, et les extensions ne peuvent pas ajouter ou supprimer le support de binaires CDM natifs. C'est un probleme qui necessite une protection au niveau du moteur.

Solutions de contournement pour navigateurs headless

Certains frameworks d'automatisation tentent de faire paraitre Chrome headless comme supportant Widevine en simulant l'API. Cette approche echoue car l'API interagit avec le binaire CDM reel. Une simulation qui retourne un succes sans CDM reel produit des objets de configuration incorrects et echoue lors de toute interaction ulterieure. Les correctifs superficiels ne fonctionnent tout simplement pas pour la protection des signaux DRM.

L'approche au niveau du moteur de BotBrowser

BotBrowser controle les signaux DRM au niveau du moteur du navigateur, garantissant que toutes les requetes liees a EME retournent des resultats coherents avec le profil d'empreinte charge. Ce n'est pas un remplacement JavaScript ou une extension de navigateur. BotBrowser modifie le reporting DRM interne du navigateur, de sorte que les API natives elles-memes produisent des resultats coherents avec le profil.

Configuration DRM basee sur le profil

chrome --bot-profile="/path/to/profile.enc" \
       --user-data-dir="$(mktemp -d)"

Le profil definit l'ensemble complet des capacites DRM : quels systemes de cles sont supportes, a quels niveaux de robustesse, avec quelles combinaisons de codecs, et quels details de configuration sont retournes. Toutes ces donnees sont capturees a partir d'appareils reels, garantissant la coherence interne. Vous obtenez une identite DRM complete et authentique qui correspond a un appareil reel.

Widevine en mode headless

BotBrowser maintient la disponibilite du CDM Widevine en mode headless. C'est l'une des protections liees au DRM les plus importantes, car l'absence de Widevine dans Chrome headless est l'un des signaux les plus couramment verifies pour la detection d'environnement.

chrome --bot-profile="/path/to/profile.enc" \
       --headless \
       --user-data-dir="$(mktemp -d)"

Les requetes de capacite DRM retournent les memes resultats en mode headless et en mode avec affichage, vous donnant une coherence totale quelle que soit la facon dont vous executez BotBrowser. Que vous meniez des recherches en confidentialite, executiez des tests automatises ou construisiez un flux de travail necessitant une operation headless, vos signaux DRM restent indiscernables d'un navigateur desktop classique.

Identite DRM inter-plateformes

Un profil Windows executant sur un serveur Linux rapporte des caracteristiques DRM appropriees pour Windows. Les systemes DRM specifiques a la plateforme et universels sont rapportes correctement, les niveaux de robustesse correspondent a la plateforme cible, et le support de codecs dans le contexte DRM s'aligne avec la configuration attendue. Les comportements distinctiveIdentifier et persistentState correspondent egalement a la plateforme du profil.

Cette coherence inter-plateformes est essentielle pour maintenir une identite coherente sur toutes les surfaces d'empreinte. BotBrowser garantit que vos signaux DRM racontent la meme histoire que chaque autre aspect de votre profil de navigateur.

Objets de configuration coherents

Lorsque les requetes de capacite DRM reussissent, les objets de configuration retournes revelent les capacites convenues, y compris les types de donnees d'initialisation, les capacites video et audio, et le support des types de session. BotBrowser garantit que ces objets de configuration sont precis et coherents avec le profil, de sorte que chaque detail s'aligne avec ce qu'un appareil reel rapporterait.

Configuration et utilisation

Utilisation CLI de base

La protection des signaux DRM est automatique lors du chargement d'un profil :

chrome --bot-profile="/path/to/profile.enc" \
       --user-data-dir="$(mktemp -d)"

Integration Playwright

const { chromium } = require('playwright-core');

(async () => {
  const browser = await chromium.launch({
    executablePath: '/path/to/botbrowser/chrome',
    args: [
      '--bot-profile=/path/to/profile.enc',
    ],
    headless: true,
  });

  const context = await browser.newContext({ viewport: null });
  const page = await context.newPage();

  // Naviguer vers un site de test d'empreinte pour verifier les signaux DRM
  await page.goto('https://example.com');

  // Verifier la coherence des signaux DRM
  const drmInfo = await page.evaluate(async () => {
    const results = {};

    // Verifier la disponibilite de Widevine
    try {
      const access = await navigator.requestMediaKeySystemAccess(
        'com.widevine.alpha',
        [{
          initDataTypes: ['cenc'],
          videoCapabilities: [{
            contentType: 'video/mp4; codecs="avc1.42E01E"',
            robustness: 'SW_SECURE_DECODE',
          }],
        }]
      );
      results.widevine = {
        available: true,
        config: access.getConfiguration(),
      };
    } catch {
      results.widevine = { available: false };
    }

    return results;
  });

  console.log('DRM signals:', JSON.stringify(drmInfo, null, 2));
  await browser.close();
})();

Integration Puppeteer

const puppeteer = require('puppeteer-core');

(async () => {
  const browser = await puppeteer.launch({
    executablePath: '/path/to/botbrowser/chrome',
    args: [
      '--bot-profile=/path/to/profile.enc',
    ],
    headless: true,
    defaultViewport: null,
  });

  const page = await browser.newPage();
  await page.goto('about:blank');

  // Verifier que Widevine est disponible en mode headless
  const widevineAvailable = await page.evaluate(async () => {
    try {
      await navigator.requestMediaKeySystemAccess(
        'com.widevine.alpha',
        [{ initDataTypes: ['cenc'],
           videoCapabilities: [{
             contentType: 'video/mp4; codecs="avc1.42E01E"',
           }],
        }]
      );
      return true;
    } catch {
      return false;
    }
  });

  console.log('Widevine available in headless:', widevineAvailable);
  await browser.close();
})();

Verification

Apres avoir lance BotBrowser avec un profil, vous pouvez confirmer que vos signaux DRM sont correctement proteges. Voici ce qu'il faut verifier :

1. La disponibilite de Widevine correspond aux attentes. Pour les profils Chrome, Widevine devrait etre disponible en mode avec affichage comme en mode headless.
2. Les systemes de cles specifiques a la plateforme s'alignent avec votre profil. Un profil Windows devrait montrer un support DRM specifique a la plateforme qu'un profil Linux n'aurait pas, et inversement.
3. Les niveaux de robustesse correspondent au niveau de securite et a la configuration materielle du profil.
4. Les details de configuration sont corrects et internement coherents.
5. Les resultats en mode headless et avec affichage sont identiques. C'est l'une des verifications les plus importantes, puisque la detection headless via les signaux DRM est une technique de suivi courante.
6. Les resultats sont coherents entre les rechargements de page et les redemarrages du navigateur. Votre identite DRM devrait etre stable et reproductible.

Vous pouvez utiliser des sites web de test d'empreinte ou les outils de verification integres de BotBrowser pour confirmer que ces signaux sont correctement alignes.

Bonnes pratiques

1. Utilisez toujours un profil complet. Les signaux DRM doivent s'aligner avec la plateforme, la version du navigateur et le materiel du profil. Les configurations partielles creent des incoherences detectables. Un profil complet garantit que tous les signaux DRM sont coherents.

2. Verifiez Widevine en mode headless. Si vous executez en mode headless, confirmez que les requetes Widevine reussissent. C'est l'un des signaux les plus couramment verifies pour la detection d'environnement, et le support Widevine headless de BotBrowser est un avantage cle.

3. Faites correspondre la plateforme du profil aux fonctionnalites DRM attendues. Un profil Linux ne devrait pas rapporter un support DRM specifique a Windows, et un profil Windows devrait rapporter l'ensemble approprie de systemes de cles. Les profils BotBrowser sont construits a partir de donnees d'appareils reels, donc cet alignement se fait automatiquement lorsque vous utilisez le bon profil pour vos besoins.

4. Combinez avec la protection des codecs. Les capacites de codecs DRM et les capacites de codecs media generaux devraient s'aligner. Utilisez un seul profil pour assurer la coherence entre les deux. Consultez l'article sur la protection MIME et codecs pour plus de details.

5. Pour la configuration de la lecture DRM Widevine, consultez le guide de configuration Widevine DRM.

Questions frequentes

Chrome headless supporte-t-il normalement Widevine ?

Non. Chrome headless standard n'inclut pas le module CDM Widevine, ce qui fait echouer les requetes de capacite DRM. Cette absence est bien connue comme signal de detection d'environnement. BotBrowser maintient la disponibilite de Widevine en mode headless, garantissant que vos signaux DRM sont coherents independamment du mode d'affichage.

Le fingerprinting DRM peut-il identifier l'appareil specifique ?

Pas individuellement, mais les signaux DRM reduisent significativement l'identification. La combinaison du support des systemes de cles, des niveaux de robustesse et des capacites de codecs cree un profil qui, combine avec d'autres signaux d'empreinte, contribue de maniere significative a l'identification de l'appareil. Le systeme de profils de BotBrowser garantit que vos signaux DRM correspondent a une configuration reelle d'appareil specifique plutot qu'a votre materiel reel.

BotBrowser dechiffre-t-il reellement le contenu DRM ?

La protection des signaux DRM de BotBrowser controle les requetes de capacite que les sites web utilisent pour le fingerprinting. Pour la lecture effective de contenu DRM, consultez le guide de configuration Widevine DRM. Les deux fonctionnalites travaillent ensemble : la protection des signaux garantit la coherence de votre empreinte, tandis que le guide de configuration DRM couvre la fonctionnalite de lecture de medias.

Les signaux DRM changent-ils entre les versions du navigateur ?

Oui. Les mises a jour du navigateur peuvent changer les versions du module Widevine, ajouter le support de nouveaux niveaux de robustesse ou modifier les capacites de codecs dans le contexte DRM. Les profils BotBrowser sont versionnes pour correspondre a des versions specifiques du navigateur, donc vos signaux DRM correspondent toujours a une configuration reelle valide.

ClearKey est-il utile pour le fingerprinting ?

ClearKey est universellement supporte et fournit une valeur de fingerprinting limitee en soi. Cependant, les details de configuration specifiques varient legerement entre les plateformes et peuvent contribuer a l'empreinte globale. Les profils BotBrowser incluent des reponses ClearKey appropriees pour maintenir une coherence totale.

Quel est le lien avec la detection HDCP ?

Le statut HDCP (High-bandwidth Digital Content Protection) peut influencer les niveaux de robustesse qu'un appareil rapporte. Les profils BotBrowser incluent des niveaux de robustesse appropries pour la configuration de l'appareil cible, independamment du statut HDCP reel de l'hote. Cela signifie que vos capacites rapportees sont toujours coherentes avec l'appareil du profil.

Les sites web peuvent-ils forcer des verifications de capacite DRM ?

Oui. Les requetes de capacite DRM ne necessitent aucune permission et ne produisent aucune invite visible pour l'utilisateur. N'importe quel site web peut interroger les capacites DRM a tout moment, c'est pourquoi la protection proactive via BotBrowser est essentielle plutot que des mesures reactives.

Resume

Les requetes de capacite EME et Widevine exposent des informations detaillees sur la plateforme, le materiel et la configuration de securite qui servent de signal de fingerprinting persistant. L'absence de DRM dans les navigateurs headless est elle-meme un vecteur de suivi bien connu. BotBrowser controle tous les signaux lies au DRM au niveau du moteur via son systeme de profils, maintenant la disponibilite de Widevine en mode headless et assurant la coherence inter-plateformes pour toutes les requetes de capacite EME. Avec BotBrowser, votre identite DRM est authentique, coherente et totalement alignee avec chaque autre aspect de votre empreinte de navigateur. Pour une protection associee, consultez la protection MIME et codecs, le controle d'empreinte audio et la configuration Widevine DRM.