Syster
Syster contraction de SYStÚme TERrestre désigne le décodeur de télévision analogique de troisiÚme génération, de Canal+ basé sur un mélange des lignes et adapté aux chaßnes à péage. Développé au début des années 1990, il est exploité et mis en location en France, notamment par Canal+ dont il succÚde au Discret 11 lancé en 1984, pour Canalsatellite et les chaßnes du groupe Canal+ en télédiffusion analogique. Historiquement, le modÚle Syster est le troisiÚme appareil développé par Canal+ aprÚs le récepteur-décodeur Decsat adapté à la réception par satellite et la norme D2 Mac.
Ă partir de 1992, le groupe Canal+ le propose en location pour son bouquet Canalsatellite puis ce dĂ©codeur est progressivement adoptĂ© par la chaĂźne Canal+ (terrestre), jusqu'Ă la fin de l'annĂ©e 1995. En 1998, Canalsatellite abandonne son exploitation aprĂšs avoir dĂ©cidĂ© d'arrĂȘter la diffusion du bouquet en mode analogique et avec l'arrivĂ©e de la technologie de tĂ©lĂ©diffusion numĂ©rique. Ce dispositif reste temporairement exploitĂ© Ă la fois pour la tĂ©lĂ©diffusion terrestre jusqu'en novembre 2010 et par satellite jusqu'au 1er janvier 2012, date de l'arrĂȘt de la retransmission analogique 625 lignes SECAM sur Eutelsat 5°W-a[1].
Hertzien terrestre et satellite
Au début de l'année 1990, Canal+ exploite à la fois la télédiffusion terrestre à la norme L (ou L' en VHF bande I[2]) à 625 lignes SECAM et la télédiffusion par satellite en 625 lignes SECAM en cryptage de type Discret 11 sur le satellite Télécom 2C, ainsi que la chaßne jeunesse Canal J[3]. En avril 1990, la chaßne musicale MCM (en clair), La Sept (culturelle) et Canal+ débutent leur diffusion sur les satellites TDF1/2 à la norme D2 Mac. Dans ce but, Canal+ développe son propre récepteur satellite Decsat (décodeur à la norme D2 Mac/Eurocrypt avec tuner satellite intégré[4].
Devant le faible nombre des téléspectateurs équipés pour capter TDF1/2[5] et le fiasco technique des tubes à ondes progressives forte puissance de ces satellites qui tombent en panne les uns aprÚs les autres[6] - [7], Canal+ se désengage progressivement des satellites TDF. La chaßne payante préfÚre la diffusion de son bouquet de programmes Canalsatellite, majoritairement en diffusion 625 lignes SECAM sur les satellites Télécom 2, à partir de novembre 1992.
L'accÚs à la plupart des émissions payantes nécessite de relier le décodeur Syster de Canal+ depuis sa prise péritélévision prévue à cet effet, sur celle de son récepteur satellite. Toutefois, pour bénéficier de la qualité supérieure des images au format 16/9 et du son numérique, une option permet aux intéressés de louer ou acheter un décodeur complémentaire en D2 Mac, compatible avec le cryptage EuroCrypt. Cette accumulation de boßtiers n'avantage pas la formule de l'offre sur Télécom 2, ce qui amÚne Canal+ 3 ans plus tard, à développer un bouquet de chaßnes entiÚrement numériques à la norme DVB-S, avec son décodeur Mediasat, sur les satellites luxembourgeois Astra.
Contexte historique
Successeur et remplaçant du tout premier dĂ©codeur Canal+ Discret 11 significativement peu fiable contre le piratage et devenu obsolĂšte, le Syster est compatible dans un premier temps avec le mĂȘme type d'embrouillage, avant d'exploiter un nouvel algorithme d'encodage spĂ©cifique, dĂ©veloppĂ© par la sociĂ©tĂ© suisse Vaudoise Kudelski. Le systĂšme d'embrouillage vidĂ©o analogique dĂ©cline la dĂ©nomination de ses cĂ©lĂšbres magnĂ©tophones portables professionnels de type Nagra, par la marque dĂ©posĂ©e Nagravision. Ce nom commercial est ultĂ©rieurement rĂ©employĂ© pour dĂ©signer les diffĂ©rents systĂšmes de codage Nagravision de la tĂ©lĂ©vision numĂ©rique (Tiger, Cardless...), lesquels sont sans aucun lien avec le procĂ©dĂ© analogique exploitĂ© par le Syster.
Bien que concepteur du dispositif et des brevets associĂ©s, le fabricant suisse n'industrialise pas lui-mĂȘme les appareils. Une coentreprise crĂ©Ă©e entre Canal+ et Sagem nommĂ©e « Eurodec » fabrique, dĂšs juin 1990[8], le dĂ©codeur Syster sous licence Nagravision. Plusieurs dĂ©clinaisons Ă©trangĂšres de l'appareil appartenant au groupe Canal+ sont exploitĂ©es, notamment pour la chaine allemande Premiere[9].
Ă la diffĂ©rence de l'historique dĂ©codeur Discret 11 oĂč un code doit ĂȘtre manuellement saisi chaque mois, le Syster intĂšgre une puce Ă©lectronique sous la forme d'une clĂ© en plastique amovible blanche ou d'une autre couleur selon les rĂ©seaux ou modes de diffusion, sur laquelle les droits de l'abonnĂ© sont stockĂ©s, obtenus Ă travers les donnĂ©es du signal vidĂ©ocomposite reçu par le tĂ©lĂ©viseur ; la mise Ă jour des droits d'accĂšs est rĂ©alisĂ©e automatiquement, par la dĂ©modulation des signaux de tĂ©lĂ©vision, sous rĂ©serve de rester sur la mĂȘme chaĂźne codĂ©e, au minimum trente minutes, afin de les rĂ©actualiser lors d'un cycle de leur rediffusion en boucle, sur une pĂ©riode d'un mois.
Les autorisations ou « clĂ©s d'accĂšs » sont transmises sous forme numĂ©rique sur le principe du tĂ©lĂ©texte), via lâintervalle de rafraĂźchissement vertical.
DĂ©clinĂ© dans la version Syster+ dont la forme du boĂźtier est redessinĂ©e, le dĂ©codeur de deuxiĂšme gĂ©nĂ©ration intĂšgre Ă©galement un rĂ©cepteur TNT (dĂ©modulateur numĂ©rique). Comme son prĂ©dĂ©cesseur Discret 11, le dĂ©codeur Syster est dĂ©finitivement abandonnĂ© Ă compter du , dans le cadre de l'arrĂȘt de la tĂ©lĂ©diffusion analogique en France.
Principes de fonctionnement
Le mot décodé est déterminé par un algorithme secret contenu dans la puce de la clef de l'abonné qui déchiffre toutes les deux secondes un mot de 64 bits à partir des données contenues dans l'intervalle de rafraßchissement vertical. Ce mot permet de générer des clefs de 15 bits spécifiques à chaque trame permettant de démélanger les lignes de la trame. La clef de 15 bits se décompose en un offset r sur 8 bits et un pas s sur 7 bits soit 32 768 solutions.
Une mĂ©moire tampon de 32 lignes est chargĂ©e avec les 32 lignes de la trame suivante: ces lignes se trouvant au bas de l'image. Une table de permutation de 256 valeurs entre 0 et 31 permet de savoir quelle ligne de la mĂ©moire tampon est envoyĂ©e sur la tv. Cette ligne de la mĂ©moire tampon exportĂ©e est remplacĂ©e par la ligne reçue sur le tĂ©lĂ©viseur. La table de permutation est parcouru avec la formule suivante : iĂšme ligne de la trame doit ĂȘtre Ă©changĂ©e avec le numĂ©ro de ligne de la mĂ©moire tampon qui correspond Ă la valeur situĂ©e Ă la position (r+(2s+1)i) mod 256 de la table de permutation.
La faiblesse du systÚme repose sur la faible mémoire tampon du décodeur. Cela est dû au coût élevé des mémoires au moment de la mise au point du décodeur.
Une cryptanalyse permet de reconstituer les tables de permutation utilisées qui sont au nombre de 2 : phase 1 et phase 2, elles ont été publiées ainsi qu'une analyse mathématique du systÚme Nagravision analogique par un universitaire de Cambridge le [10].
Les attaques du décodeur Syster
MĂ©thode 1 : la clef
La clef blanche initiale n'est alors pas suffisamment sécurisée; son micro-logiciel a été extrait à la fin des années 90. Cela permet la création de cartes clones à base de microcontrÎleur PIC16F84 et d'eeprom 24c16 impliquant un découpage du boßtier ou une reprogrammation de la clef; on parle alors de MOSC : Modified Original Smartcard.
La contre-mesure a consisté en un remplacement de toutes les clefs des abonnés par une version plus sécurisée de couleur grise. Le fait que le décodeur ne soit pas commercialisé (hormis pour Canal Plus Horizons) a limité l'utilisation de cette méthode.
Méthode 2 : la fabrication d'un décodeur hardware compatible
Il s'agit de retrouver la clef de 15 bits en analysant l'image sans rien connaitre de la méthode cryptographique utilisée pour coder cette clef. Autorisé, dans les années 90 à la vente dans certains pays européens avant l'harmonisation législative de fin 1998. Un tel dispositif électronique a été testé dans l'article "Le nagravision lui aussi piraté!" du numéro d' du magazine Télé satellite.
La phase 1 : 1991-09/1997
En France, le standard analogique sécam envoie alternativement les porteuses rouges et bleues. La chrominance est donc en demi-résolution la porteuse rouge est mise en mémoire et sera utilisée avec la porteuse bleue suivante et ainsi de suite. La table de permutation de la phase 1 ne respecte pas cette alternance : l'image est codée en noir et blanc et l'analyse des porteuses transmises de l'image codée permettent de déterminer la clef de 15 bit utilisée pour coder l'image.
Ce principe Ă largement Ă©tĂ© diffusĂ© sur internet Ă partir de mi-1995, date de remplacement des dĂ©codeurs discret 11 en Ăle-de-France sous le nom de Syster Hack III[11]. Il s'agit d'un jeu de mots en rĂ©fĂ©rence au film Sister Act avec Whoopi Goldberg : la photo de l'actrice est souvent fournie avec les plans et programme du dĂ©codeur.
Le dĂ©codeur fonctionne Ă l'aide d'un circuit logique programmable complexe, technologie aujourd'hui dĂ©passĂ©e, le MACH130 de chez AMD Vantis : MACH est lâacronyme de Macro Array CMOS High-speed. L'eeprom du dĂ©codeur est chargĂ© avec la table de permutation phase 1 (en rĂ©alitĂ© pas toute la table mais la valeur toutes les 5 positions car les positions intermĂ©diaires sont une incrĂ©mentation de la valeur prĂ©cĂ©dente) et pilotĂ© par le microcontrĂŽleur Motorola MC68HC11F1.
La conception du syster hack III est professionnelle : le choix des composants (utilisation de technologies rĂ©centes des annĂ©es 90 et choix visant Ă rĂ©duire les coĂ»ts de fabrication), design du PCB traduit une expĂ©rience certaine dans le domaine. On est loin des dĂ©codeurs « bricolĂ©s » utilisĂ©s pour le cas du discret 11. Des rumeurs persistantes laissent entendre que le syster hack III serait lâĆuvre dâingĂ©nieurs appartenant Ă des sociĂ©tĂ©s concurrentes de Kudelski afin de dĂ©montrer les faiblesses du syster.
Dans une interview diffusĂ©e Ă travers lâEurope par le satellite Telecom 2 le Ă 22h15 dans l'Ă©mission Capital sur MĂ©tropole 6[12], Marc-AndrĂ© Feffer de Canal + (orthographiĂ© Marc-AndrĂ© Pfeiffer dans le reportage) dĂ©clare qu'on ne lui a «jamais prĂ©sentĂ© un dĂ©codeur pirate qui fonctionne sur le nouveau systĂšme donc impiratable non mais assez sĂ»r, Ă ce jour, oui», par suite le journaliste tempĂšre le propos en ajoutant «on sait que des Ă©lectroniciens cherchent dĂ©jĂ Ă le pirater».
En , le magazine Télé satellite annonce dans son numéro 77 que «la pérennité du décryptage du systÚme pirate n'est pas assurée».
En , la contre-mesure suivante est mise en Ćuvre : la table de permutation du dĂ©codeur officiel est modifiĂ©e par la table phase 2 qui respecte l'alternance pair/impair ainsi lorsque l'image est chiffrĂ©e, elle l'est dĂ©sormais en couleur et subsĂ©quemment le systĂšme utilisĂ© dans le Syster Hack III est rendu inopĂ©rant. Si les composants du syster Hack III coĂ»tent alors environ 150 âŹ, en 1995, le coĂ»t d'un programmeur du MACH 130 agrĂ©Ă© AMD est bien plus Ă©levĂ©, de sorte que la fabrication de ce dĂ©codeur revient plus cher que l'abonnement.
La phase 2 : 09/1997-2010
Dans le systĂšme sĂ©cam les porteuses couleurs sont intĂ©grĂ©es dans le signal de luminance, elles constituent donc un parasitage sur les rĂ©cepteurs TV noir et blanc. la solution pour attĂ©nuer cet effet parasite est de modifier la phase de la porteuse couleur alternativement. Le faire Ă chaque ligne n'a pas de sens dans la mesure oĂč, en SECAM, les sous-porteuses de chrominances rouges et bleues ne sont pas modulĂ©es sur la mĂȘme frĂ©quence (for=4,40625 MHz et fob=4,25 MHz)[13]. Le plus efficace est de dĂ©phaser de pi toutes les 3 lignes, les porteuses de chrominance. Sur une image non codĂ©e on a ainsi la succession de dĂ©phasage (sachant que l'on dĂ©phase de pi Ă©galement Ă chaque trame) 0,0,pi,0,0,pi,... pour la premiĂšre trame, pi,0,pi,pi,0,pi,pi,0,... en trame 2; 0,pi,0,0,pi.. en trame 3;0,pi,pi,0,pi,pi,0,... en trame 4 ; pi,0,0,pi... en trame 5, pi,pi,0,pi,pi,0,... en trame 6 puis on recommence lâalternance de la trame 1.
Afin que cette caractĂ©ristique du sĂ©cam ne soit pas exploitable il eĂ»t fallu que dans la table de permutation phase 2 (en plus de la rĂšgle d'alternance de paritĂ©), la table soit construite de la sorte : si i n'est pas congru Ă j modulo 6 alors la valeur en iĂšme et j iĂ©me position doit ĂȘtre diffĂ©rente et ça n'est pas le cas.
Le LM1881 utilisĂ© dans le syster Hack III pour extraire les salves des porteuses couleurs n'est pas suffisamment stable pour mesurer la phase et les salves du nouveau codage ; il est nĂ©cessaire d'utiliser un genlock comme le ML6430 de chez Micro Linear[14] puis remplacer le Mach130 par un Mach 230 et augmenter la frĂ©quence d'horloge du MC68HC11F1 Ă 16 MHz car lâopĂ©ration de recherche de la clef Ă partir des couples porteuses couleur phase est plus longue.
Trame N° | Lignes N° | |||||
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | |
1 | R-0 | B-0 | R-Pi | B-0 | R-0 | B-Pi |
2 | B-Pi | R-0 | B-Pi | R-Pi | B-0 | R-Pi |
3 | B-0 | R-Pi | B-0 | R-0 | B-Pi | R-0 |
4 | R-0 | B-Pi | R-Pi | B-0 | R-Pi | B-Pi |
5 | R-Pi | B-0 | R-0 | B-Pi | R-0 | B-0 |
6 | B-Pi | R-Pi | B-0 | R-Pi | B-Pi | R-0 |
Contre-mesure connue : aucune
La mise en place de la nouvelle table a nĂ©cessitĂ© aux abonnĂ©s de retour de congĂ©s en septembre 97 de laisser le dĂ©codeur branchĂ© sur Canal plus pendant 1 Ă 2 heures sans pouvoir regarder la chaĂźne qui reste chiffrĂ©e, le temps de la rĂ©ception des donnĂ©es par VBI. Devant la diffusion plus limitĂ© de la rĂ©vision du dĂ©codeur pirate basĂ© sur les couples (phase, porteuse couleur), la diffusion dâune troisiĂšme table, impactant aussi les abonnĂ©s nâa pas Ă©tĂ© jugĂ©e utile.
Méthode 3 : la méthode logicielle
Il s'agit de retrouver l'image non codé par corrélation. Dans l'absolu, une telle méthode prend énormément de temps et n'est pas réalisable en temps réel. Néanmoins, le fait qu'il n'y ait que 32 768 solutions rend l'opération accessible à partie d'ordinateurs personnels (PC) et d'une carte d'acquisition vidéo à base de puce Brooktree 848 ou 878 dans un premier temps.
Le Brooktree 848 corrige nativement les signaux couleurs secam dĂ©phasĂ©s, ce n'est pas le cas du Brooktree 878. Les premiers programmes de dĂ©codage par corrĂ©lation sont publiĂ©s sur internet fin 97-dĂ©but 98, les cartes Ă base de Bt848 ne sont plus disponibles Ă la vente, un dĂ©codage Ă partir de nouvelles cartes Ă base de Bt878 fait apparaĂźtre des lignes violettes sur l'image dĂ©codĂ©e : lignes dĂ©phasĂ©es de Ï. Il faudra attendre quelques mois pour que ces programmes intĂšgrent un dispositif de correction de la phase pour les cartes Ă base de Bt878 : le mode "spĂ©cial lignes violettes".
Le principe de ces programmes : générer toutes les positions possibles des lignes à partir de la table de permutation (les solutions possibles sont calculées en amont) puis déterminer quelle solution est la meilleure à partir de la méthode des moindres carrés : deux lignes se suivent si la distance entre ces deux lignes est minimale. Une mise en mémoire tampon retarde le décodage d'environ 3 secondes par rapport à la diffusion en direct.
MĂ©thode la plus rĂ©pandue, elle ne nĂ©cessite quasi aucune compĂ©tence technique (installation d'un programme et ajout du fichier key.txt : le fichier contenant les valeurs de la table de permutation du dĂ©codeur officiel) mais nĂ©cessitĂ© de regarder les programmes sur un ordinateur, chose jugĂ©e peu pratique. Ă noter que le slogan de la chaine Ă l'Ă©poque est « Au moins pendant que vous regardez Canal+, vous nâĂȘtes pas devant la tĂ©lĂ© ». Les concepteurs de ces programmes ne fournissent jamais le fichier de la suite des valeurs entre 0 et 31 de la table de permutation, de sorte que sans l'ajout de key.txt, le dĂ©cryptage n'est pas fonctionnel et les auteurs sont alors ainsi Ă l'abri des poursuites.
Contre-mesure connue : aucune
Décodeur officiel ou décodeur pirate
.
Le décodeur syster officiel laisse la partie la plus à droite de l'image chiffrée : lignes mélangées[15]. Ce qui n'est pas le cas de la plupart des décodeurs pirates. Il s'agit bien d'un mélange des lignes et non du décalage à 3 niveaux de retard (0, 902 et 1804 nanosecondes observé avec le discret 11)
Il faut néanmoins s'assurer en analysant l'intervalle de rafraßchissement vertical que la source de la vidéo est bien en nagravision et non une source numérique ou D2 Mac. Sur un récepteur classique à tube à rayon cathodique (CRT), cette partie de l'image non décodée n'est pas visible car hors de l'image affichée (phénomÚne d'overscan).
Codage du son
Le procédé employé pour coder le son est inchangé depuis 1984 : il ne s'agit pas vraiment d'un codage mais une inversion de spectre autour de 12,8 kHz.
Il suffit de générer un signal sinusoïdal à 12,8 kHz d'utiliser un additionneur et un filtre passe bande à 10 kHz pour le décoder.
La version sur ordinateur est plus complexe que la version hardware, puisqu'aprÚs avoir numérisé le signal, on doit réaliser une transformée de Fourier rapide pour inverser le spectre.
Aspect légal
Des dĂ©codeurs pirates basĂ©s sur le Syster Hack III sont commercialisĂ©s dans des pays oĂč la lĂ©gislation lâautorise. Cet Ă©tat de fait est publiĂ© par la revue TĂ©lĂ© Satellite pour sâen procurer; il serait notamment possible En Allemagne ou en Irlande mais pas en France. En 1998, lâharmonisation europĂ©enne consĂ©quence de directive relative Ă la protection juridique des services Ă accĂšs conditionnel (directive 98/84/CE[16]) met fin Ă ce contournement, dans toute lâUnion EuropĂ©enne.
2017-2022 : exploitation promotionnelle
En France, à partir de janvier 2017, Canal+ exploite une forme de codage Nagravision analogique visualisable sur la chaine n°4 de la TNT.
L'objectif marketing consiste à délivrer un aperçu crypté des programmes aux non abonnés, le son étant lui aussi codé, sur le principe du Discret 11.
Ce signal cryptĂ© n'est toutefois pas exploitable car les informations VBI (intervalle de rafraĂźchissement vertical) sont absentes et ne peuvent pas ĂȘtre interprĂ©tĂ©es par un dĂ©codeur officiel. De plus, le signal vidĂ©o numĂ©rique est trop compressĂ© et gĂ©nĂšre l'apparition de nombreux macroblocs ou artefacts numĂ©rique. L'information de chrominance - donnĂ©e couleur d'origine PAL) - est corrompu. Le cadrage de l'image est incomplet afin de limiter l'utilisation de la bande passante Ă 1,1 Mb/s[17]. Enfin, le signal audio ne restitue pas la largeur de bande audio nĂ©cessaire Ă son dĂ©codage analogique.
Depuis fin septembre 2022, à la suite d'une panne du codeur[18], le signal vidéo promotionnel en nagravision est remplacé par un écran noir.
Références
- « Historique diffusion Canal plus par satellite »
- « World Analogue Television Standards and Waveforms », sur web.archive.org, (consulté le )
- Mensuel Télé Satellite de mai 1990, page 42 : Tableau des chaßnes et fréquences
- Mensuel Télé Satellite d'avril 1990, page 4 : « De la musique plein votre parabole ! » de Patrice de Goy.
- « Une dizaine de milliers de téléspectateurs captent TDF1 - TDF2 », sur Les Echos, (consulté le )
- « Suspension de contrats avec des opĂ©rateurs de tĂ©lĂ©vision ? Pannes en sĂ©rie sur les satellites TDF 1 et TDF 2 », Le Monde.fr,â (lire en ligne, consultĂ© le )
- « Un mois pour analyser la panne du satellite Le canal attribuĂ© Ă la chaine sportive sur TDF 1 ne rĂ©pond plus », Le Monde.fr,â (lire en ligne, consultĂ© le )
- « Changement de dĂ©codeurs et commercialisation de la tĂ©lĂ©vision par satellite Canal Plus affronte deux nouveaux dĂ©fis », Le Monde.fr,â (lire en ligne, consultĂ© le )
- Eurodec, « étiquette d'un décodeur Syster G2 de la chaine allemande Premiere »
- (en) Markus G. Kuhn, « Analysis of the Nagravision Video Scrambling Method », University of Cambridge, Computer Laboratory,,â
- « Photo d'un syster hack III »
- M6 - Emission Capital, « L'argent des pirates / reportage Voleurs d'images », sur inatheque.ina.fr, 1ere diffusion : 11/02/1996
- Union internationale des tĂ©lĂ©communications, « SYSTĂMES DE TĂLĂVISION CLASSIQUES » [PDF]
- datasheet du ML6430
- « Canal J décodé en syster avec un décodeur officiel - Vidéo Dailymotion », sur Dailymotion (consulté le )
- « EUR-Lex - 31998L0034 - FR », sur Journal officiel n° L 204 du 21/07/1998 p. 0037 - 0048; (consulté le )
- « CANAL+ - R3 - DTT France Paris / National - DigitalBitRate », sur www.digitalbitrate.com (consulté le )
- « Photo de la panne de l'image produite par l'encodeur nagravision avant le remplacement par un écran noir »,