Ce service, mis en place en août dernier [1], a rapidement été critiqué car on pouvait facilement récupérer les données MP3 des musiques à l'aide d'un simple plugin Firefox [2]. En pratique, le plugin Flash envoyait une requête HTTP à un serveur qui lui retournait le fichier MP3 demandé. Il suffisait donc d'utiliser un plugin interceptant l'ensemble des communications HTTP.

Immédiatement, les responsables de Deezer ont annoncé qu'ils passeraient « au 100 % streaming la semaine [suivante] pour corriger cette faille » et que « les fichiers ne seront plus téléchargeables ». En fait, depuis ce passage au 100% streaming, le plugin Flash ne passe plus par HTTP pour récupérer le fichier MP3 mais par une simple socket TCP. Même si la manipulation est un peu moins immédiate, il suffit donc d'utiliser un programme capable d'intercepter les communications via des sockets TCP et le tour est joué.

Les ayants droit n'ont pourtant pas bronché depuis la mise en place de cette modification. C'est là aussi qu'on voit leur haut niveau d'expertise en sécurité. Pour rappel, ce sont les mêmes qui ont permis la légalisation des DRM dans la loi DADVSI. Et ce sont les mêmes qui parlent maintenant de filtrage, de watermarking et de résilier automatiquement l'abonnement internet des pirates dans la "DADVSI 2", car ils ont compris que les DRM ça ne marchait pas si bien que ça [3].

Comme quoi, pour ces gens là, la sécurité est avant tout une histoire de communication. Si on arrive à les convaincre avec des arguments à la noix qu'une technique est bonne, ils sont contents.

[1] cf. billet d'août 2007
[2] Damien Bancal, La musique de Deezer à la merci du piratage, 01net.com, 24 août 2007, [lire en ligne]
[3] Marc Rees, Mission Olivennes : les mesures Sarkozy pour civiliser l'Internet, PC INpact, 23 novembre 2007, [ligne en ligne]