Après que Downloadify ait été rendu disponible sur le Google Chrome Web Store pendant un bref moment, hier, l’équipe de développement de Spotify a rapidement agi pour bloquer l’accès aux abonnés Spotify autorisés à télécharger l’une des 20 millions de chansons disponibles sur la musique service d’abonnement.
Spécifique au lecteur Web Spotify, l’extension Chrome Downloadify, une fois installée, permettait aux utilisateurs de sauvegarder une version sans DRM de la chanson qui a été ajoutée à la liste de lecture. Google a rapidement interdit l’extension sur le Chrome Web Store, mais l’extension a été rendue disponible sur GitHub peu de temps après.
Selon les accords sur le Chrome Web Store dédiés aux développeurs, Google n’approuve pas « le développement ou la publication de services, … portant atteinte aux droits de propriété intellectuelle d’autrui ou permet le téléchargement illicite de contenus ou de streaming ». Downloadify a clairement violé cette restriction.
Bien que les responsables de Spotify n’aient pas publié une déclaration officielle sur la faille, l’extension Chrome Downloadify installée à partir du Chrome Web Store, ou encore celle en provenance de GitHub, ne fonctionne plus correctement.
Le créateur de Downloadify, Robin Aldenhoven, a été actif sur Twitter et a blâmé Spotify pour une absence de chiffrement sur son player Web Spotify basé sur le langage HTML5. Selon les tweets récents de Aldenhoven, il préconise de payer pour utiliser le service Spotify, mais a créé l’exploit Downloadify pour attirer l’attention sur le chiffrement manquant. Aldenhoven n’a pas l’intention de poursuivre le développement de l’application Downloadify, mais il laisse le logiciel disponible sur GitHub pour la communauté.
Concernant le code source en lui-même, le moins que l’on puisse dire c’est que celui-ci n’est pas si complexe. En pointant du doigt la sécurité des fichiers qui ne semblent pas vraiment la priorité du service, celui-ci n’est composé que de deux principaux fichiers : background.js
qui est lancé en tâche de fond. Au sein de celui-ci, une méthode permet permet d’écouter une requête sur un domaine précis – ici Cloudfront.net *://*.cloudfront.net/mp3/*
– qui n’est autre que le service diffusion de contenu d’Amazon utilisé par Spotify. Ensuite, l’extension permet de rechercher l’URL du MP3, et si elle existe le second script – inject.js
– est exécuté et permettra de lancer le téléchargement de la chanson, et ce puisque ce le fichier de cette dernière n’est pas protégé.
Spotify a t-il négligé la sécurité de ces fichiers ?