IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

DRM dans HTML 5 : la Free Software Foundation appelle ses partisans à dire non
Pour maintenir la sécurité et les droits des utilisateurs en ligne

Le , par Michael Guilloux
47 commentaires

141PARTAGES

14  0 
Dans moins de deux semaines, la spécification EME (Encrypted Media Extensions) pourrait recevoir l’approbation finale du World Wilde Web Consortium (W3C). Elle pourra donc faire partie des standards du Web, et ce, en dépit des polémiques autour de cette initiative. Cela pourra avoir pour conséquence de booster la publication de contenu protégé par DRM sur le Web. Si la spécification elle-même ne définit pas de système de protection de contenu ou de gestion de droits numériques, elle définit une API commune qui peut être utilisée pour découvrir, sélectionner et interagir avec de tels systèmes ainsi qu'avec des systèmes de chiffrement de contenu plus simples.

Le 13 avril, nous saurons si la spécification EME sera validée par le W3C, et la Free Software Foundation (FSF) tente donc une dernière fois de freiner son intégration dans les standards du Web. La FSF demande en effet à ses partisans d’appeler Tim Berners-Lee « à ne pas mettre en danger les utilisateurs en intégrant une technologie oppressive dans les standards de base du Web ». Celui qui est à la tête du W3C s’est en fait affiché comme partisan de cette spécification, estimant que les DRM existent déjà et qu’il est peu probable qu’ils disparaissent dans un avenir proche, au moins du côté des vidéos. Il estime donc qu’il est préférable que le contenu protégé fasse partie de l’écosystème Web au lieu d’être séparé de celui-ci. Un standard permettra également d’éviter que chaque navigateur implémente différentes technologies pour la manipulation de contenu protégé par DRM, ce qui créerait des problèmes de compatibilité, en sachant également que l’implémentation de ces technologies pourra ne pas être à la portée des petits navigateurs.


Rappelons-le, les DRM (Digital Rights Management) offrent un ensemble de mesures techniques de protection qui ont pour objectif de contrôler l'utilisation qui est faite des œuvres numériques. Le premier problème avec les fichiers protégés par DRM (vidéos ou ebook par exemple) est donc le fait qu’ils imposent des restrictions aux utilisateurs sur du contenu qu'ils ont acheté et dont ils devraient disposer librement en principe. Les utilisateurs pourront par exemple ne pas être en mesure de les enregistrer sur leur machine, ou encore les lire avec d'autres logiciels, ou en dehors d'une plateforme unique proposée par le fournisseur du contenu. Bref, l'utilisateur ne dispose que d'un usage restreint du contenu qu'il a obtenu légalement, et pendant ce temps, d'autres personnes l'ayant obtenu illégalement pourront l'utiliser sans restriction. En effet, si les DRM visent à protéger les contenus de la piraterie, cet objectif n'est pas vraiment atteint. Les DRM sont très souvent contournés par certaines personnes qui vont ensuite publier les contenus piratés sur des sites pour les rendre disponibles au public.

Comme l’explique encore la FSF, les DRM ont déjà montré qu’ils pourraient exposer les utilisateurs à des risques de sécurité énormes et porter atteinte à leur vie privée. Le défenseur du Libre évoque par exemple le cas du DRM de Sony en 2005. La solution DRM utilisée par Sony pour protéger ses CD installait un rootkit sur le système des utilisateurs. Cet outil utilisant des techniques de dissimulation employées par des hackers permettait de s’assurer en toute discrétion qu’aucune copie n’est réalisable. La FSF rappelle encore que plus récemment, en 2014, il a été découvert que la DRM Digital Editions d’Adobe collectait les informations des utilisateurs et les envoyait à son éditeur en texte clair, sans une protection de chiffrement basique ; ce qui les exposait aux pirates.

La FSF estime donc la spécification EME ne devrait pas être validée par le W3C s’il est impossible d’analyser le code de ses systèmes DRM pour la recherche de problèmes de sécurité ; ce qui sera le cas, si la spécification est validée le 13 avril. Avec cette norme, les DRM seront en effet couverts par des lois anticontournement qui qualifient de crime potentiel, la révélation des défauts dans les produits sans l’autorisation de l’éditeur. Ces lois stipulent que « nul n’est autorisé à contourner une mesure technologique qui contrôle l’accès à une œuvre protégée », en précisant que « contourner une mesure technologique signifie déchiffrer une œuvre chiffrée ou procéder autrement pour éviter, contourner, désactiver ou altérer une mesure technologique, et ce, sans l’autorisation du propriétaire du copyright ».

La FSF estime donc que si cette API est ajoutée aux outils dont disposent les développeurs Web, il faudrait nécessairement inclure des protections pour les personnes qui découvrent des vulnérabilités de sécurité. Ces protections devraient couvrir aussi « les personnes qui adaptent les outils Web pour les personnes handicapées et les personnes qui créent de nouvelles technologies légitimes et novatrices pour améliorer les vidéos sur Internet ».

Source : Defective by Design

Et vous ?

Qu’en pensez-vous ?
Êtes-vous d'accord avec l'intégration de cette spécification dans les standards du Web ? Pourquoi ?

Voir aussi :

Le W3C refuse de protéger les chercheurs en sécurité qui étudient les DRM, la WHATWG s'allie à l'EFF pour lui demander de changer d'avis
USA : la justice a publié une liste d'exceptions à la section 1201 du Copyright Act, pour protéger les chercheurs qui étudient la sécurité des DRM

Une erreur dans cette actualité ? Signalez-nous-la !

47 commentaires
Commenter Signaler un problème
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 09/07/2017 à 11:08
Citation Envoyé par RyzenOC Voir le message
Au lieu de télécharger le flux vidéo on fera une capture vidéo de l'écran, voila voila (qu'ils sont con quand meme )
Sauf que, toute la subtilité de cette norme, c'est qu'elle est assez vague pour permettre d'aller bien au delà de ce qui est fait aujourd'hui.

Dans un premier temps oui, ça sera sans trop de douleur. Actuellement c'est juste un plugin, produit par un tiers, sandboxé, qui est préinstallé dans les navigateurs. D’ailleurs ça me fait bien rire quand Tim Berners-Lee dit que ça permet d’échapper au plugins. On a exactement le même problème qu'avec Flash : un plugin propriétaire de Adobe maintenant remplacé par celui de Google. Ça limite les plateformes supportables et ça posera des problèmes le jour le support viendra à défaillir.

Mais le deuxième effet Kisscool, c'est que comme les mécanismes de protection ne sont absolument pas définis : ils peuvent passer s'ils le souhaitent aux DRM matériels, et tu peux être sur qu'ils le feront lorsque EME sera si bien installé que passer aux solutions alternatives sera trop compliqué. Pour info, les cartes graphiques est les moniteurs actuels ont tous des protections qui ne sont pas encore activées dans la plupart des cas. Ils sont capable de traiter eux même un signal HDMI crypté sans décodage du coté de l'ordinateur.

Bref cette norme est une reconnaissance de fait des chevaux de Troie dans les navigateurs web.
4  0 
RyzenOC
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 09/07/2017 à 13:41
Citation Envoyé par Uther Voir le message
Sauf que, toute la subtilité de cette norme, c'est qu'elle est assez vague pour permettre d'aller bien au delà de ce qui est fait aujourd'hui.

Dans un premier temps oui, ça sera sans trop de douleur. Actuellement c'est juste un plugin, produit par un tiers, sandboxé, qui est préinstallé dans les navigateurs. D’ailleurs ça me fait bien rire quand Tim Berners-Lee dit que ça permet d’échapper au plugins. On a exactement le même problème qu'avec Flash : un plugin propriétaire de Adobe, ce qui limite les plateformes supportables et qui posera des problèmes le jour le support viendra à défaillir.

Mais le deuxième effet Kisscool, c'est que comme les mécanismes de protection ne sont absolument pas définis, ils peuvent passer s'ils le souhaitent aux DRM matériels, et tu peux être sur qu'ils le feront lorsque EME sera si bien installé que passer aux solutions alternatives sera trop compliqué. Pour info, les cartes graphiques est les moniteurs actuels ont tous des protections qui ne sont pas encore activées dans la plupart des cas. Ils sont capable de traiter eux même un signal HDMI crypté sans décodage du coté de l'ordinateur.

Bref cette norme est une reconnaissance de fait des chevaux de Troie dans les navigateurs web.
Dans tous les cas ils n'arriverons jamais à nous interdire de filmer l'écran avec une caméra en fasse
Dans mon précédent poste, je voulais juste dire que les DRM c'est au final une vaste blague (Denuvo est mort, plus aucun jeu n'arrive à tenir 3 mois)... les drm serons toujours contournée par les pirates et le client honnête sera toujours le dindon de la farce car il profitera d'un service moins performant et/ou avec plus de contrainte que le pirate.

Y'a qu'a voir Netflix qui impose la derriere gen de cpu intel et Windows 10 + edge pour profiter de la 4K...alors que sur mon raspberry 1 de 2012 sous libre-elec je peut regarder un film en 4K
et j'ai appris récemment que les plateforme de streaming légale ne supporte meme pas le surround 7.1...

C'est en bossant sur la qualité qu'on limite le piratage, pas en bossant sur les drm.
4  0 
thelvin
Avatar de thelvin
Modérateur https://www.developpez.com
Le 16/01/2020 à 3:01
Je pense que la notion "d'exister" pour un navigateur était à prendre comme Mozilla le présentait à l'époque. Ils ont pas envie de se soumettre à ce truc, mais s'ils ne le font pas les utilisateurs qui essaient de regarder des vidéos avec Firefox ne vont pas y arriver, donc ils vont changer de navigateur pour en prendre un qui lit les vidéos. Et si Mozilla se retrouve avec 0% d'utilisateurs, ben ils n'ont plus rien à proposer pour le web à travers leur navigateur, et en cela "ils n'existent pas".

C'est pas tout d'être un navigateur, encore faut-il qu'il y ait des gens qui s'en servent, en assez grand nombre pour que ça ait un effet pour le monde.

Cette remarque étant faite, à l'inverse, si on imagine un nouveau navigateur émergent, qui fonctionne vraiment bien sur le web d'aujourd'hui, mais qui a "quelque chose" qui plaît énormément aux gens et qui du coup récupère un grand pourcentage d'utilisation comme Chrome l'a fait en son temps, eh ben Google et Microsoft risquent de passer pour des anti-progrès aux yeux de tous et d'un seul coup les solutions de piratage de contournement de ces "connards qui nous empêchent d'utiliser le navigateur qu'on veut" vont gagner en popularité, bref, il serait logique qu'ils fassent pas les kékés devant un vrai navigateur qui existe vraiment, et qu'il y ait une licence pour lui. Si Microsoft veut jouer les gros bras avec sa licence payante, ça ne sera jamais bon pour lui. Et de toute façon qui utilise le DRM de Microsoft aujourd'hui ? Jusqu'à quel point Netflix peut se permettre de dire qu'ils ont pas à gérer un navigateur que tout le monde utilise, s'ils veulent que les gens paient un abonnement au lieu de pirater ? Google ferait bien d'y regarder à deux fois avant de mettre dedans ses partenaires commerciaux.

Cette histoire comme quoi on peut plus faire de navigateur indé, elle est sûrement vraie, mais ça a rien à voir avec les DRM. C'est juste que c'est compliqué sans les moyens de Microsoft, Google ou Mozilla, de faire un navigateur qui rivalise avec les leurs.

Concernant l'histoire selon laquelle ces DRMs auraient empêché un navigateur indé d'exister quand il a demandé une licence des DRM Google, elle est viciée. Oui, d'accord, c'est vrai qu'elle raconte l'histoire du fait que les DRMs nous empêchent d'innover dans les technologies lorsqu'elles sont protégées par DRM. Comme cela a toujours été le cas avec les DRMs, avant ou après que le W3C en standardise sur le web. Mais il est bien normal, car c'est c'est le but même de l'existence des DRMs, que cette licence ait été refusée. Le navigateur en question servait à partager/recaster les vidéos qu'il reçoit vers n'importe quel appareil sur le web qui puisse recevoir ce recast, et notamment le même navigateur sur l'ordinateur de quelqu'un d'autre. Bref, récupérer la vidéo et l'envoyer à ses potes. Exactement ce que les DRMs disent qu'ils existent pour l'empêcher. Ils allaient faire quoi d'autre que refuser ? C'est pas un navigateur normal, ça, c'est pas une fonction qu'un navigateur est censé avoir, et même si on pourrait souhaiter que les navigateurs indés soient libres d'innover comme ils veulent, il reste que les DRMs, ça existe précisément pour empêcher des fonctions comme celle-là. S'il croit vraiment à son idée, il doit bien évidemment accepter qu'elle ne marchera qu'avec les vidéos sans DRM.
4  0 
thelvin
Avatar de thelvin
Modérateur https://www.developpez.com
Le 05/04/2017 à 13:04
Citation Envoyé par Shepard Voir le message
Les navigateurs qui cherchent à rendre le web ouvert tels que Firefox et Google Chrome vont-ils suivre la recommandation du W3C ?
Google a ses propres services de vente de vidéo, et utilise pour cela cette recommandation (depuis bien avant que ce soit au stade recommandation.) On peut imaginer qu'ils ne seraient revendeurs de rien du tout s'ils ne le faisaient pas car aucun ayant-droit ne leur confierait de vidéo à revendre. Quoi qu'il en soit, ils s'en servent et fournissent eux-même le module de déchiffrement directement dans Chrome.

Firefox a été assez clair que cela lui soulève le cœur. Mais il a décidé que puisque le web utilisait déjà en grande partie cette recommandation, et donc que les navigateurs concurrents peuvent lire les vidéos restrictives sans problème pour les gens qui s'en servent, il ne voulait pas être volontairement incapable de lire les vidéos restrictives que ses utilisateurs lui demandent de lire. Tout ce qu'ils y verraient, c'est que Firefox ne marche pas pour lire des vidéos, et donc qu'il faut utiliser un autre navigateur. Un autre navigateur qui ne propose pas les valeurs que Firefox applique sur tout le reste que sur ce point-là précis.
Concrètement Firefox gère deux modules de déchiffrement, celui de Google et un autre, qui sont chacun téléchargés et activés automatiquement quand l'utilisateur visite une page qui en a besoin. Il est possible de le voir dans la pages des add-ons. Le plus simple pour vérifier est d'aller acheter une vidéo sur Google Play et la regarder.

Cela fait donc belle lurette qu'ils suivent cette recommandation, l'un sans trop dire pourquoi mais en même temps il y a du bénéfice qui en dépend. L'autre ça lui fait du mal mais c'est ça ou passer pour un navigateur qui ne fonctionne pas, les utilisateurs n'étant pas du genre à se demander les valeurs qui poussent à ce que leur vidéo ne marche pas, ils prennent juste un navigateur qui marche.

Rien ni personne n'est, certes, forcé de suivre une recommandation du W3C. Il y en a une cinquantaine pourtant bien abouties que personne ne suit. Parce que ça ne les intéresse pas. Quand par contre, une nouvelle fonctionnalité populaire apparaît dans la technologie web, et que plusieurs navigateurs la gèrent plutôt bien, les autres ont juste intérêt à faire pareil s'ils veulent une raison d'exister. C'est en général bien après ce passage qu'ils se réunissent pour standardiser cette technologie et qu'elle devient un jour une recommandation W3C.
3  0 
thelvin
Avatar de thelvin
Modérateur https://www.developpez.com
Le 09/07/2017 à 4:43
Citation Envoyé par poma88 Voir le message
Concrètement il va se passer quoi ?
Il ne va rien se passer. Comme la plupart du temps quand une recommandation W3C atteint l'approbation, ça s'est déjà passé depuis longtemps. C'est juste Tim qui dit, "ouais, c'est bon" à propos d'un truc qui est déjà utilisé par tous ceux qui seraient intéressés à l'utiliser.

À la rigueur, il reconnaît que ça a l'air de bien coller en l'état et qu'il va pas y avoir de changement nécessaire à la manière dont ça fonctionne. Quand ça changera ce sera une évolution avec compatibilité ascendante. Ce qui peut motiver des sites plus frileux à se lancer maintenant que ça semble annoncé stable. Mais dans ce cas-là il vaut mieux attendre que les oppositions soient encore un peu rebutées, au cas où. Mais bon dans ce cas très précis, les oppositions à la recommandation ne s'opposent pas à des points techniques, mais à l'existence même de proposer une recommandation pour cela. Du coup, leur but n'est pas d'améliorer la recommandation mais de lui retirer son aspect officiellement approuvé.

Ce qui s'est passé, quand cette recommandation a commencé à bien prendre forme il y a quelques temps, c'est que des sites web, comme YouTube et Google Play, sont devenus capables d'afficher des vidéos avec restrictions de droits numériques, et cela sans utiliser de plugin du genre Flash. Uniquement en utilisant un plugin de déchiffrement de vidéo conforme à cette recommandation. C'est à dire infiniment plus léger que Flash, et moins sujet aux bugs, attaques de sécurité et plantages. Pour la simple raison que Flash cherche à faire tout et n'importe quoi alors qu'un déchiffreur de vidéo cherche à déchiffrer des vidéos. Pas besoin de planter la machine pour ça. Du moins en principe.

Quant à ce que ça veut dire concrètement jouer les vidéos avec restriction de droits numériques, ça veut dire la même chose que quand ils le faisaient avec Flash : rien de très réel. En théorie quand on joue des vidéos sans restriction, il est "facile" de brancher quelque part un programme qui enregistre cette vidéo dans un fichier. Ce qui te permet ensuite de donner ce fichier à tes amis ou de le regarder à nouveau plus tard, dans ton propre lecteur vidéo au lieu de sur le site, sans session ouverte et sans payer d'abonnement. D'ailleurs quand on fait une simple balise <video> avec une simple URL source, le navigateur propose d'enregistrer la vidéo avec un clic droit.

En pratique si jamais cette vidéo est diffusée en streaming contrôlé par JavaScript et non pas en spécifiant une URL, le navigateur ne peut pas deviner comment l'enregistrer et donc ne le propose déjà pas. Et cela, avec ou sans restriction de droits. C'est censé être "facile" de concevoir un programme qui va le faire, ouais ben on peut raisonnablement demander à voir. L'idée de la restriction des droits, c'est de rendre l'enregistrement de la vidéo "pas facile" en chiffrant cette vidéo lors des échanges réseaux et en ne la déchiffrant qu'à l'intérieur d'un plugin qui tourne sur la machine et ne propose pas l'enregistrement. Sauf que dans la réalité, il est discutable que ce soit compliqué de faire un programme qui intercepte les vidéos déchiffrées par le plugin. Si les gens ne le font pas, c'est plutôt parce qu'on n'en a pas besoin pour l'instant.

Quant aux DDL dont tu parles, rien ne change. On pouvait les télécharger parce qu'ils n'étaient pas chiffrés avant et ils ne l'étaient pas plus après. Ils ne sont pas chiffrés parce que ça n'intéressait pas les sites en question de faire du chiffrement. S'ils avaient voulu en faire, ils pouvaient le faire avant par d'autres moyens.
3  0 
RyzenOC
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 09/07/2017 à 8:52
Au lieu de télécharger le flux vidéo on fera une capture vidéo de l'écran, voila voila (qu'ils sont con quand meme )
3  0 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 09/07/2017 à 18:39
Citation Envoyé par RyzenOC Voir le message
Dans tous les cas ils n'arriverons jamais à nous interdire de filmer l'écran avec une caméra en fasse .
Bien sur qu'il y a toujours moyen, c'est juste une question de rapport complexité/cout/qualité. Si tu filmes l'écran, tu as un perte de qualité catastrophique. Tu peux aussi détourner l’électronique et/ou le firmware embarqué dans l'écran mais ça devient un exploit qui n'est pas a la portée de tous.

Citation Envoyé par RyzenOC Voir le message
Dans mon précédent poste, je voulais juste dire que les DRM c'est au final une vaste blague (Denuvo est mort, plus aucun jeu n'arrive à tenir 3 mois)... les drm serons toujours contournée par les pirates et le client honnête sera toujours le dindon de la farce car il profitera d'un service moins performant et/ou avec plus de contrainte que le pirate.
Bien évidement et même en sachant ça depuis longtemps, les distributeurs de contenus n'ont pas arrête pour autant. C'est bien qu'ils y ont un intérêt. Le but des DRM n'est pas d’empêcher le piratage en soi, on sait très bien que ça ne marche pas, mais de retirer un peu plus au client le contrôle de ce qu'il achète.
3  0 
nirgal76
Avatar de nirgal76
Membre chevronné https://www.developpez.com
Le 22/09/2017 à 9:37
Et pourquoi il n'y a eu que 185 participant sur 400 votants ?
Où étaient les autres sur un vote important comme celui là ?
3  0 
defZero
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 14/01/2020 à 18:06
Qu’en pensez-vous ?

Que l'EFF a bien eu raison de quitter le W3C dans ces conditions.
Introduire volontairement une technologie soumise à brevet dans une norme historiquement "ouverte" et clamer que c'est pour le bien de tous, je ne sais pas vous, mais je ne suis pas convaincu.
A la limite, je préfère l'utilisation de plugins proprio qui eux ne "salissent" pas le côté "ouvert" de la norme et qui sont limite plus intéropérable.

Que pensez-vous du Web après que l’EME est devenue un standard ?

Comme l'a rapporté Mr Maddock, ça n'as aboutie qu'a une privatisation du web par les grands fournisseur de navigateurs.
Mais bon, ce n'est pas comme si ils s'en cacher et serait donc dû être le rôle du W3C de les stopper nette.
"Business is business"

La norme EME empêche-t-elle la création d’un navigateur indépendant fonctionnel, selon vous ?

Non, mais du coup on ne peut plus dire que le navigateur est 100% compatible HTML5 par exemple.
3  0 
psychadelic
Avatar de psychadelic
Expert confirmé https://www.developpez.com
Le 15/01/2020 à 0:37
Il y a ceux qui espèrent trouver fortune en refourguant n’importe quelle vidéo sur la toile, mais qui sont fâchés tout rouge si elles sont copiées sans les payer en retour.

Puis il y a ceux qui leur proposent «*une protection*»…

Quand il y a une ruée vers l’or, ceux qui vendent des pelles et des pioches sont toujours gagnants.
3  0 
Commenter Signaler un problème