Downloadify : 42 lignes de code permettaient de télécharger depuis Spotify

Downloadify : 42 lignes de code permettaient de télécharger depuis Spotify

Les ayants droit n'apprécieront surement pas la blague

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

08/05/2013 5 minutes
57

Downloadify : 42 lignes de code permettaient de télécharger depuis Spotify

Une extension Chrome fait les gorges chaudes de la presse et autres blogs depuis hier soir : Downloadify. En effet, celle-ci permettait de télécharger n'importe quelle musique depuis la version web de Spotify en un clic. Mais comment une pratique pareille peut-elle donc être possible avec seulement 42 lignes de code ? Voici notre analyse.

Depuis l'émergence de Napster, la musique en ligne a toujours été à l'avant-garde de la question des droits d'auteur, de l'exception de droit à la copie privée et autres folies des DRM imposés par les éditeurs pendant des années avant qu'ils ne comprennent que cela ne servait à rien. Les petits malins qui distribuent les albums vont en effet se fournir bien en amont de leur mise en vente via les plateformes légales et limiter l'interopérabilité des formats ne fait qu'attirer la colère des utilisateurs et réduire l'intérêt de l'offre.

La protection des contenus numériques continue d'être la règle

Pour autant, ces protections continuent d'exister. C'est notamment le cas avec les produits physiques et notamment dans le monde de la vidéo où il est encore admis que d'empêcher un utilisateur de regarder un film en Blu-Ray sous Linux via VLC est une pratique commerciale acceptable. Mais il est un autre secteur où les choses sont sous surveillance : le contenu à la demande. 

 

Ainsi, s'il est par exemple simple de se fournir du contenu VoD en 1080p sur des plateformes fermées, cela a toujours été limité sur PC pour éviter la fuite des fichiers. Est-ce que cela empêche le moindre film d'être trouvable illégalement ? Non. Mais cela rassure les ayants droit. Intel avait ainsi dû intégrer à ses CPU une extension de la protection HDCP connue commercialement sous le nom de code Insider pour que ceux-ci autorisent certaines machines à récupérer du contenu en 1080p sur certaines plateformes partenaires.

 

La VoD en 1080p sur PC : les ayants droit imposent une protection hardware spécifique

 

Le monde de la musique et ses offres de streaming illimitées fait aussi attention à éviter ce genre de problèmes. Deezer, qui se base sur un client web depuis des années, a connu des problèmes de ce genre et la raison est simple : du moment où la machine d'un utilisateur peut télécharger et lire de la musique, il est forcément possible d'une manière ou d'une autre de récupérer une copie du fichier original. Le travail des développeurs est alors de complexifier cette tâche pour éviter que n'importe quel petit malin puisse récupérer tout le catalogue du site et l'écouter plutôt que de payer 5 à 10 euros par mois.

42 lignes de codes démontrent qu'un service mondial peut faire dans le basique

Mais il semblerait que chez Spotify, les développeurs soient un peu comme les Français en ce mois de mai doté de nombreux jours fériés : un peu fainéants. Car Robin Aldenhoven a réussi à faire trembler le site avec une extension Chrome qui fait parler d'elle depuis hier soir, et qui n'a rien d'extraordinaire puisqu'elle ne se compose que de ... 42 lignes de code (sauts de lignes compris).

 

Publiée dans un premier temps sur le Web Store, elle a bien entendu été rapidement retirée par Google puis rendue inopérante par Spotify. Il faut dire que cela n'a pas dû être bien compliqué tant le procédé utilisé était basique, montrant que la sécurité des fichiers n'était pas franchement la priorité du service pour son client web, ce qui va sans doute plaire aux ayants droit.

 

Car si l'on analyse le peu de code qui compose ce programme, on note qu'il est principalement question de deux fichiers. Le premier (background.js) est celui qui est lancé en tâche de fond lorsque le navigateur fonctionne. Il a une fonction simple : repérer quand une requête est effectuée sur une URL qui correspond au signalement suivant : *://*.cloudfront.net/mp3/*.


Spotify Downloadify Github Spotify Downloadify Github

42 lignes de code, ça ne s'invente pas

 

En effet, les extensions Chrome peuvent disposer depuis un moment d'une autorisation spécifique permettant d'écouter les requêtes sur un domaine précis, ici Cloudfront.net qui est celui d'un service de diffusion de contenu d'Amazon utilisé par Spotify. Une fois la requête identifiée, l'extension sait que le téléchargement d'un fichier MP3 a été demandé et recherche l'URL de celui-ci. Si elle existe, le second script (inject.js) entre en jeu. 

Un fichier non chiffré dont l'URL est facilement trouvable : la sécurité selon Spotify

Celui-ci reçoit en effet un message qui lui permet de savoir qu'une URL a été identifiée. Il compose alors un lien qui permettra de lancer le téléchargement de la chanson directement depuis les serveurs d'Amazon. Mais tout cela n'est possible que pour une raison : l'URL de base du fichier n'est pas protégée, pas plus que le contenu de celui-ci qui pourrait par exemple être chiffré pour éviter que n'importe quel petit malin procède de la sorte. 

 

Tout comme Deezer, Spotify apprend donc dans la douleur qu'il faut un minimum protéger ses contenus pour ne pas se retrouver avec ce genre de faille béante exposée de la sorte. Des protections supplémentaires semblent désormais avoir été mises en place, jusqu'à la prochaine découverte d'un petit malin. Espérons néanmoins que les données des comptes utilisateur ont droit à un meilleur traitement.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La protection des contenus numériques continue d'être la règle

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (57)


ah ben je connaissais pas et pas au courant de cette histoire



merci pour l’info <img data-src=" />



edit: ah elle marche plus l’extension …








killer63 a écrit :



edit: ah elle marche plus l’extension …





Suffisait de lire le titre ou l’actu pour le savoir…



<img data-src=" />

42… Ça me rappelle quelque chose ^^




42 lignes de code (sauts de lignes compris).



Et si on ne compte pas les sauts, c’est encore plus fort : le code tient sur une seule ligne ! <img data-src=" />








eupalynos a écrit :



Et si on ne compte pas les sauts, c’est encore plus fort : le code tient sur une seule ligne ! <img data-src=" />







+1



Je ne savais pas qu’un saut de ligne était “une ligne de code”. <img data-src=" />









NiCr a écrit :



+1



Je ne savais pas qu’un saut de ligne était “une ligne de code”. <img data-src=" />





Je parle des lignes “vides” ;)









David_L a écrit :



Suffisait de lire le titre ou l’actu pour le savoir…







headshot <img data-src=" />





Mais il semblerait que chez Spotify, les développeurs soient un peu comme les Français en ce mois de mai doté de nombreux jours fériés : un peu fainéants.



?????????????????

C’est être fainéant que de profiter des fériés : c’est beau ca.








Drepanocytose a écrit :



?????????????????

C’est être fainéant que de profiter des fériés : c’est beau ca.





TOUTAFAY <img data-src=" />









Drepanocytose a écrit :



?????????????????

C’est être fainéant que de profiter des fériés : c’est beau ca.





en avoir autant montre bien que les français sont des gros branleurs <img data-src=" /><img data-src=" />









David_L a écrit :



TOUTAFAY <img data-src=" />





Ca sent le mec qu’est pas content de bosser un 8 mai <img data-src=" />

Allez vieux, envoie des articles <img data-src=" /> Teuf te remercie









Drepanocytose a écrit :



Ca sent le mec qu’est pas content de bosser un 8 mai <img data-src=" />

Allez vieux, envoie des articles <img data-src=" /> Teuf te remercie





Je suis en congé, je publie et je commente pour le plaisir ;)









David_L a écrit :



Je suis en congé, je publie et je commente pour le plaisir ;)





Bien essayé <img data-src=" />



pfff, rien de neuf à l’horizon. ça existait sur deezer (peut être encore en cherchant) et ça marche toujours sur grooveshark.



pourquoi on en fait un plat avec spotify ?








David_L a écrit :



Je suis en congé, je publie et je commente pour le plaisir ;)







Le petit père des inpactiens ne dort jamais! Le petit père des inpactiens travail toujours pour son peuple. <img data-src=" />









Drepanocytose a écrit :



?????????????????

C’est être fainéant que de profiter des fériés : c’est beau ca.





Le probleme de la France c’est pas les feries, c’est les ponts. Si tous les feries etaient le lundi (comme au royaume uni) ca eviterait de donner cette image pour le mois de mai.









oposs a écrit :



Le probleme de la France c’est pas les feries, c’est les ponts. Si tous les feries etaient le lundi (comme au royaume uni) ca eviterait de donner cette image pour le mois de mai.





Les gens posent des congés pour les ponts, non ?

Congés qu’ils ne prendront pas plus tard dans l’année, non ?

Les employeurs les filent gratuitement ces ponts ? Les gentils !



Et quand les fériés tombent un dimanche (parce qu’il faut bien en parler de ca) ? Là c’est bien, on est des bosseurs….









daroou a écrit :



pfff, rien de neuf à l’horizon. ça existait sur deezer (peut être encore en cherchant) et ça marche toujours sur grooveshark.



pourquoi on en fait un plat avec spotify ?







Sans compter qu’il y a des logiciels qui permettent d’enregistrer le son sortant de spotify de découper, encoder et taguer les fichiers automatiquement. C’est moins rapide mais ça revient au même…









Drepanocytose a écrit :



Les gens posent des congés pour les ponts, non ?

Congés qu’ils ne prendront pas plus tard dans l’année, non ?

Les employeurs les filent gratuitement ces ponts ? Les gentils !



Et quand les fériés tombent un dimanche (parce qu’il faut bien en parler de ca) ? Là c’est bien, on est des bosseurs….





Congés ou RTT ?



l’avantage d’avoir les jours fériés le Lundi ou Vendredi c’est que si ça tombe un dimanche et bien c’est décalé au lundi suivant <img data-src=" /><img data-src=" />









Drepanocytose a écrit :



Les gens posent des congés pour les ponts, non ?

Congés qu’ils ne prendront pas plus tard dans l’année, non ?

Les employeurs les filent gratuitement ces ponts ? Les gentils !



Et quand les fériés tombent un dimanche (parce qu’il faut bien en parler de ca) ? Là c’est bien, on est des bosseurs….





Le probleme n’est pas la. Le probleme est que tu as plein de monde qui prend des jours en meme temps au lieu que ce soit mieux reparti sur les autres mois.

L’activite baisse considerablement en France au mois de mai.









Drepanocytose a écrit :



Et quand les fériés tombent un dimanche (parce qu’il faut bien en parler de ca) ? Là c’est bien, on est des bosseurs….





Vous en avez tellement que ca laisse de la marge quand vous en perdez 1 ou 2.









misterB a écrit :



Congés ou RTT ?



l’avantage d’avoir les jours fériés le Lundi ou Vendredi c’est que si ça tombe un dimanche et bien c’est décalé au lundi suivant <img data-src=" /><img data-src=" />





Je sais ca pour l’Angleterre, ma soeur y bosse.

Et chez nous, quand c’est samedi ou dimanche, dans le cul lulu !







oposs a écrit :



L’activite baisse considerablement en France au mois de mai.





Article de l’Express d’hier : c’est à relativiser.

En temps de crise, ca arrange pas mal de monde, en fait.









Drepanocytose a écrit :



Article de l’Express d’hier : c’est à relativiser.

En temps de crise, ca arrange pas mal de monde, en fait.





En temps de croissance en tout cas ca arrange pas l’economie.









David_L a écrit :



Suffisait de lire le titre ou l’actu pour le savoir…







Elle est pas fraiche, ta news ! <img data-src=" />









oposs a écrit :



En temps de croissance en tout cas ca arrange pas l’economie.





Ce qu’on oublie de dire, c’est que les employeurs ont le droit de refuser les congés, et ne s’en privent pas.

Ca, je te le garantis.









Drepanocytose a écrit :



Ce qu’on oublie de dire, c’est que les employeurs ont le droit de refuser les congés, et ne s’en privent pas.

Ca, je te le garantis.





les miens comptent juste les jours férié comme des congés <img data-src=" />









Drepanocytose a écrit :



Ce qu’on oublie de dire, c’est que les employeurs ont le droit de refuser les congés, et ne s’en privent pas.





J’ai jamais vu d’employeur refuser les ponts. Et tout le monde meme en France voit le mois de mai comme le moi des feries et ponts. C’est pas juste une vision de l’exterieur.

Apres y a rien de mal a les prendre mais ca fait clairement partie de l’image de la France a l’etranger.









misterB a écrit :



les miens comptent juste les jours férié comme des congés <img data-src=" />





Te plains pas, avant c’etait 20 jours feries inclus. Maintenant c’est 20 jours feries exclus.









oposs a écrit :



J’ai jamais vu d’employeur refuser les ponts. Et tout le monde meme en France voit le mois de mai comme le moi des feries et ponts. C’est pas juste une vision de l’exterieur.

Apres y a rien de mal a les prendre mais ca fait clairement partie de l’image de la France a l’etranger.





T’as bien de la chance.

Quand tu bosses comme moi sur les machines industrielles, justement on te dit : bah il y a plus personne, c’est le bon moment pour les arrêts techniques et les maintenances ! Du coup tu ne vois jamais les ponts, ni les mois d’été…



Quand on ne te dit pas carrément : t’as pas d’enfants, donc t’as pas besoin.



Regarde PCI par exemple, ou tout ce qui doit impérativement avoir une continuité : s’ils accordaient les ponts à tout le monde, il n’y aurait plus de news certaines journées.









oposs a écrit :



Te plains pas, avant c’etait 20 jours feries inclus. Maintenant c’est 20 jours feries exclus.





Si je me plains <img data-src=" /><img data-src=" />



Non mais <img data-src=" />









misterB a écrit :



Si je me plains <img data-src=" /><img data-src=" />



Non mais <img data-src=" />





Deal with it <img data-src=" /> <img data-src=" />









Drepanocytose a écrit :



T’as bien de la chance.

Quand tu bosses comme moi sur les machines industrielles, justement on te dit : bah il y a plus personne, c’est le bon moment pour les arrêts techniques et les maintenances ! Du coup tu ne vois jamais les ponts, ni les mois d’été…



Quand on ne te dit pas carrément : t’as pas d’enfants, donc t’as pas besoin.



Regarde PCI par exemple, ou tout ce qui doit impérativement avoir une continuité : s’ils accordaient les ponts à tout le monde, il n’y aurait plus de news certaines journées.





Mouais je doute que ce soit la majorite des situations. Si le mois de mai a cette image y a surement une raison non?









misterB a écrit :



Si je me plains <img data-src=" /><img data-src=" />



Non mais <img data-src=" />





Mais t’es paye une fortune pour ne pas prendre de vacances!!!





<img data-src=" />









oposs a écrit :



Mouais je doute que ce soit la majorite des situations. Si le mois de mai a cette image y a surement une raison non?





Pas de fumée sans feu… mhhhhhh.

Peut-être.









oposs a écrit :



Mais t’es paye une fortune pour ne pas prendre de vacances!!!





<img data-src=" />





Au Tchad mon salaire doit être considéré comme une fortune en effet <img data-src=" />









misterB a écrit :



Au Tchad mon salaire doit être considéré comme une fortune en effet <img data-src=" />





PIB/habitant de $1600 . Tu serais middle class quoi <img data-src=" />









misterB a écrit :



les miens comptent juste les jours férié comme des congés <img data-src=" />





Il faudrait avoir un autre mariage princier, un autre truc a la place du jubile, qui sait la naissance du petit de Kate sera peut etre ferie<img data-src=" />

En meme temps avant j’etait en Ecosse et les jours feries etaient assez different, et la fac ne les faisait pas, c’etait rajoute dans les jours de vacances, comme ca il est possible de prendre le jour ferie un autre jour.



Pour la news, on sait ce qu’a fait Spotify pour contrer le code?









frscot a écrit :



Il faudrait avoir un autre mariage princier, un autre truc a la place du jubile, qui sait la naissance du petit de Kate sera peut etre ferie<img data-src=" />

En meme temps avant j’etait en Ecosse et les jours feries etaient assez different, et la fac ne les faisait pas, c’etait rajoute dans les jours de vacances, comme ca il est possible de prendre le jour ferie un autre jour.



Pour la news, on sait ce qu’a fait Spotify pour contrer le code?





Et me faire perdre un jour de congé pour un truc à la con <img data-src=" /><img data-src=" />









daroou a écrit :



pfff, rien de neuf à l’horizon. ça existait sur deezer (peut être encore en cherchant) et ça marche toujours sur grooveshark.



pourquoi on en fait un plat avec spotify ?







Pour les mêmes raisons que lorsque le serveur mail d’une PME a une faille personne n’en parle, alors que si c’est les serveurs GMail, tout le monde en parle.



Et pour Grooveshark, si tu crois que c’est une faille, faudrait que tu te renseignes sur le fonctionnement de ce site.









oposs a écrit :



J’ai jamais vu d’employeur refuser les ponts.



regarde du côté des hotlines. les ponts, on connait pas. parfois même les fériés non plus, d’ailleurs… (le boulot le 25 décembre ou le 1er janvier pour répondre à 3 clampins incapables d’attendre le 26 ou le 2, ca ne s’invente pas!)



“Les petits malins…” Pfff


Peut-on vraiment leur reprocher de ne pas avoir suffisamment protégé leurs fichiers, dans la mesure où le client web doit être intéropérable ?



La protection de leur contenu se base surtout sur le client lourd propriétaire. Pour le client web, ils auraient du découper la musique en samples comme Deezer ?








NiCr a écrit :



Pour les mêmes raisons que lorsque le serveur mail d’une PME a une faille personne n’en parle, alors que si c’est les serveurs GMail, tout le monde en parle.



Et pour Grooveshark, si tu crois que c’est une faille, faudrait que tu te renseignes sur le fonctionnement de ce site.







je sais pas ou t’as vu que j’ai dit que c’était une faille pour grooveshark









hugoatease a écrit :



Peut-on vraiment leur reprocher de ne pas avoir suffisamment protégé leurs fichiers, dans la mesure où le client web doit être intéropérable ?



La protection de leur contenu se base surtout sur le client lourd propriétaire. Pour le client web, ils auraient du découper la musique en samples comme Deezer ?





C’est ce qu’ils font maintenant apparemment, mais je n’ai pas checké outre mesure (la flemme des jours fériés <img data-src=" />)









daroou a écrit :



je sais pas ou t’as vu que j’ai dit que c’était une faille pour grooveshark







Le “ça” marche sur Grooveshark faisait référence à ce dont l’article parle, à savoir une faille. <img data-src=" />









hugoatease a écrit :



La protection de leur contenu se base surtout sur le client lourd propriétaire. Pour le client web, ils auraient du découper la musique en samples comme Deezer ?







Bof, c’est pas la fragmentation qui empêche de récupérer le fichier. Ca se fait très bien pour les sites de Catch-up TV.



Seul le chiffrage est un frein à la récupération du média pour une utilisation hors-ligne, comme par exemple les système HDS/PHDS de Adobe. Mais vu que le déchiffrage est fait par le soft de l’appli cliente (ios, android, flash…) ce n’est qu’une question de temps et de patience pour décompiler le client et contourner le DRM.



Seul un DRM hardware sécuriserait efficacement les flux. Et comme ca ne semble pas se démocratiser, c’est un peu le jeu du chat et de la souris.



De toute façon on peut enregistrer la musique sur n’importe quel site avec des logiciels comme Replay Music qui capturent ce qui est envoyé à la carte son.




Ainsi, s’il est par exemple simple de se fournir du contenu VoD en 1080p sur des plateformes fermées, cela a toujours été limité sur PC pour éviter la fuite des fichiers.



C’est donc pas limité sur d’autres plateformes ?

J’ai rien compris ?





En effet, les extensions Chrome proposent depuis un moment d’une autorisation spécifique permettant d’écouter les



proposent d’une autorisation ?








Winderly a écrit :



C’est donc pas limité sur d’autres plateformes ?

J’ai rien compris ?



proposent d’une autorisation ?





Fixed ;)



Tu peux avoir de la HD 1080p sur les consoles par exemple ou sur des OS mobiles fermés. Mais dès qu’il y a un peu d’ouverture, les AD grimacent pour proposer de la HD 1080p.



merci








127.0.0.1 a écrit :



Bof, c’est pas la fragmentation qui empêche de récupérer le fichier. Ca se fait très bien pour les sites de Catch-up TV.



Seul le chiffrage est un frein à la récupération du média pour une utilisation hors-ligne, comme par exemple les système HDS/PHDS de Adobe. Mais vu que le déchiffrage est fait par le soft de l’appli cliente (ios, android, flash…) ce n’est qu’une question de temps et de patience pour décompiler le client et contourner le DRM.



Seul un DRM hardware sécuriserait efficacement les flux. Et comme ca ne semble pas se démocratiser, c’est un peu le jeu du chat et de la souris.





Le même type de DRM que ceux employés par le groupe M6 pour empêcher la copie privée de contenus gratuits déjà diffusés gratuitement et condamner l’interopérabilité :http://captvty.fr



Geek de l’extrême j’adoooore <img data-src=" /> les extrêêêêêêêmes<img data-src=" />








Demilitarized Zone a écrit :



Le même type de DRM que ceux employés par le groupe M6 pour empêcher la copie privée de contenus gratuits déjà diffusés gratuitement et condamner l’interopérabilité :http://captvty.fr







financé par la pub, c’est PAS “gratuitement” ..







Tout comme Deezer, Spotify apprend donc dans la douleur qu’il faut un minimum protéger ses contenus pour ne pas se retrouver avec ce genre de faille béante exposée de la sorte.





Et David ne se fait pas virer ou critiquer pour faire ainsi l’apologie des DRM sur PCI ?



Du coup en realité spotify c’est un subsonic geant a peu de chose pres …








oposs a écrit :



Le probleme n’est pas la. Le probleme est que tu as plein de monde qui prend des jours en meme temps au lieu que ce soit mieux reparti sur les autres mois.

L’activite baisse considerablement en France au mois de mai.





en Mai fais ce qu’il te plait <img data-src=" />









Niflheimr a écrit :



Du coup en realité spotify c’est un subsonic geant a peu de chose pres …







A peu de choses près ouais… <img data-src=" />









Drepanocytose a écrit :



?????????????????

C’est être fainéant que de profiter des fériés : c’est beau ca.





Moi je trouve que les jours où je ne bosse pas sont généralement plus fatiguant que les jours où je bosse, donc je ne comprends pas comment on peut penser ça non plus. En plus là je suis au boulot (mais je coute une fortune à mon employeur, travail de nuit un jour férié,,,)