Chiffrement vidéo AES-128 — Comment fonctionne le chiffrement de segments HLS

Chiffrement vidéo AES-128

AES-128 (Advanced Encryption Standard avec clé de 128 bits) est un chiffrement (chiffrement) par blocs symétrique standardisé par le NIST en 2001. Il est utilisé par la banque en ligne, les communications gouvernementales et la plupart des plateformes de streaming pour protéger le contenu vidéo.

Dans HLS, AES-128 est appliqué au niveau segment : chaque fichier de segment est chiffré avec une clé, et le lecteur déchiffre à la volée pendant la lecture.

Comment HLS utilise AES-128

La spécification HLS définit deux modes de chiffrement :

  • AES-128 — chiffrement au niveau segment, clé livrée séparément via HTTP. Le plus courant.
  • SAMPLE-AES — chiffrement au niveau échantillon (chiffre les frames vidéo dans le segment). Utilisé avec FairPlay DRM.

Pour les pages d’« hébergement vidéo chiffré » — cours, contenus restreints, abonnements payants — AES-128 au niveau segment est le standard.

Livraison de la clé

La clé de chiffrement est une valeur aléatoire de 16 octets. La playlist HLS indique au lecteur où récupérer la clé :

#EXT-X-KEY:METHOD=AES-128,URI="https://example.com/key/123",IV=0x1234...

Le lecteur récupère la clé via HTTP (généralement avec des credentials d’authentification), déchiffre les segments en mémoire et les transmet à l’élément vidéo.

Mono-clé vs multi-clés

Mono-clé : une vidéo, une clé, une URL. Simple. Si l’URL est capturée, toute la vidéo devient déchiffrable.

Multi-clés (AVCaption) : une vidéo, plusieurs clés (une par lot de segments). Chaque clé est récupérée via une URL signée distincte. Si une seule URL de clé est capturée, seul ce lot (~60 secondes) est exposé. L’extraction complète exige de capturer chaque URL de clé, ce qui — combiné au rate-limiting et à l’expiration des tokens signés — augmente fortement le coût du piratage automatisé.

AES-128 vs DRM

AES-128 avec livraison de clé est parfois appelé « DRM-lite ». Un véritable DRM (Widevine, PlayReady, FairPlay) ajoute :

  • Déchiffrement matériel (TEE, Secure Enclave)
  • Serveurs de licence appliquant des droits de lecture par appareil et par fenêtre temporelle
  • Protection de sortie (HDCP) bloquant la capture d’écran vers des affichages non conformes

Le DRM est requis pour le contenu sous licence studio (films Hollywood, séries premium). Pour le contenu auto-produit (cours, tutoriels, formation B2B, abonnements payants), AES-128 multi-clés + URLs signées suffit — et coûte radicalement moins cher.

Support navigateur

La lecture HLS native (Safari) supporte AES-128 d’office. HLS.js (Chrome/Firefox/Edge) déchiffre en JavaScript via la Web Crypto API. Les deux fonctionnent sur iOS, Android et desktop sans plugin.

Liens

← content.back_to_index