Le W3C refuse de protéger les chercheurs en sécurité qui étudient les DRM
La WHATWG s'allie à l'EFF pour lui demander de changer d'avis
Le 2016-09-26 11:21:57, par Stéphane le calme, Chroniqueur Actualités
En août dernier, l’EFF (Electronic Frontier Foundation) a porté plainte contre l’article 1201(a), 1203 et 1204 du Digital Millenium Copyright Act (DMCA) qui, selon l’organisation, prévoit un renforcement juridique face aux contournements techniques de la gestion numérique des droits (GND en français, DRM en anglais).
Il est souvent arrivé que la GND soit « contournée » par des personnes qualifiées qui vont ensuite distribuer au public des outils pour automatiser le processus. Ce qui aura pour effet d’obtenir un « contournement » de la GND à grande échelle. Frustrés par ce défi lancé à leur autorité, les lobbys de médias ont cherché à trouver un compromis avec le gouvernement. C’est alors que sont apparus des articles comme l’article 1201, pour rendre illégal le fait de contourner la GND ou de partager des outils pour le faire.
La disposition anti-contournement de la DMCA stipule que « nul n’est autorisé à contourner une mesure technologique qui contrôle l’accès à une œuvre protégée par cet article ». L’article 1201 est clair et indique que « contourner une mesure technologique signifie déchiffrer une œuvre chiffrée ou procéder autrement pour éviter, contourner, désactiver ou altérer une mesure technologique, et ce, sans l’autorité du propriétaire du copyright ».
Dans un billet , l’EFF a rappelé que « le Wide Web Consortium mondial a entrepris un projet mal avisé de normaliser la gestion des droits numériques (DRM) pour la vidéo à la demande des entreprises comme Netflix : ce faisant, ils sont, pour la première fois, en train de définir une norme dont l’implémentation sera couverte en vertu des lois anti-contournement comme l'article 1201 du DMCA, ce qui fait de la révélation des défauts dans les produits sans l’autorisation de l’éditeur un crime potentiel.
Cela est particulièrement inquiétant parce que l'aspiration du W3C pour la nouvelle version de HTML est qu'il va remplacer des applications comme l'interface utilisateur pour l'internet des objets, et rendre difficiles à signaler sans responsabilité juridique sérieuse toutes sortes de bogues potentiellement compromettant (voire même mortelles) ».
À son combat se sont ralliées plusieurs autres organisations comme la Open Source Initiative. Cette fois-ci, une autre entité a décidé de la rejoindre dans sa bataille pour empêcher que le travail technique de la W3C ne devienne une arme légale : la WHATWG (Web Hypertext Application Technology Working Group), la communauté des différents développeurs de navigateurs web ayant pour but le développement de nouvelles technologies destinées à faciliter l'écriture et le déploiement d'applications à travers le Web.
Ian Hickson
C’est Ian Hickson (qui a supervisé autrefois HTML5 pour le W3C, et édite désormais la spécification HTML au sein du WHATWG, tout en travaillant pour Google) qui s’est chargé d’en expliquer les raisons. Après avoir rappelé la pléthore de billets argumentant contre les DRM qui seraient une mauvaise chose pour l’utilisateur final en expliquant par exemple que c’était un outil pour contrôler les distributeurs, Hickson regrette l’article contre le contournement : « cela a provoqué un effet dissuasif au sein de la communauté des chercheurs en sécurité, étant donné que des scientifiques évitent d'étudier tout ce qui pourrait se rapporter à un système de DRM, de peur d'être poursuivis en justice. Plus la technologie intègre DRM, moins notre pile technologie est sécurisée puisque chaque couche de DRM touchées aura de moins en moins de personnes disponibles pour amorcer des analyses de sécurité.
Nous ne pouvons pas permettre un effet dissuasif sur la recherche de la sécurité des navigateurs Web. Les navigateurs sont continuellement attaqués. Toute personne qui va sur le web utilise un navigateur, et tout le monde serait donc vulnérable si la recherche de la sécurité sur les navigateurs devait cesser. Depuis que l’EME a introduit les DRM pour les navigateurs, elle a apporté ce risque ».
Pour y remédier, l’EFF avait proposé que chaque organisation qui travaille sur la spécification EME (Encrypted Media Extensions) signe un accord stipulant qu’aucune poursuite ne sera intentée contre un chercheur qui étudie cette spécification. « Le W3C exige déjà que les membres signent un accord similaire en matière de brevets, de sorte que ceci est une simple extension. Un tel accord ne va pas empêcher les membres d'engager des poursuites pour violation du droit d'auteur, il ne va pas réduire l'influence des producteurs de contenu sur les distributeurs de contenu; il ne fait que tenter de résoudre ce problème encore plus critique qui conduirait à une réduction de la recherche sur la sécurité sur les navigateurs », a précisé Hickson. .
Pourtant, le W3C refuse de céder. Aussi, il continue en disant que « nous demandons au W3C de changer d'avis à ce sujet. La sécurité de la pile technologique du web est essentiel pour la santé du Web dans son ensemble ».
Source : billet de l'EFF, billet de WHATWG
Il est souvent arrivé que la GND soit « contournée » par des personnes qualifiées qui vont ensuite distribuer au public des outils pour automatiser le processus. Ce qui aura pour effet d’obtenir un « contournement » de la GND à grande échelle. Frustrés par ce défi lancé à leur autorité, les lobbys de médias ont cherché à trouver un compromis avec le gouvernement. C’est alors que sont apparus des articles comme l’article 1201, pour rendre illégal le fait de contourner la GND ou de partager des outils pour le faire.
La disposition anti-contournement de la DMCA stipule que « nul n’est autorisé à contourner une mesure technologique qui contrôle l’accès à une œuvre protégée par cet article ». L’article 1201 est clair et indique que « contourner une mesure technologique signifie déchiffrer une œuvre chiffrée ou procéder autrement pour éviter, contourner, désactiver ou altérer une mesure technologique, et ce, sans l’autorité du propriétaire du copyright ».
Dans un billet , l’EFF a rappelé que « le Wide Web Consortium mondial a entrepris un projet mal avisé de normaliser la gestion des droits numériques (DRM) pour la vidéo à la demande des entreprises comme Netflix : ce faisant, ils sont, pour la première fois, en train de définir une norme dont l’implémentation sera couverte en vertu des lois anti-contournement comme l'article 1201 du DMCA, ce qui fait de la révélation des défauts dans les produits sans l’autorisation de l’éditeur un crime potentiel.
Cela est particulièrement inquiétant parce que l'aspiration du W3C pour la nouvelle version de HTML est qu'il va remplacer des applications comme l'interface utilisateur pour l'internet des objets, et rendre difficiles à signaler sans responsabilité juridique sérieuse toutes sortes de bogues potentiellement compromettant (voire même mortelles) ».
À son combat se sont ralliées plusieurs autres organisations comme la Open Source Initiative. Cette fois-ci, une autre entité a décidé de la rejoindre dans sa bataille pour empêcher que le travail technique de la W3C ne devienne une arme légale : la WHATWG (Web Hypertext Application Technology Working Group), la communauté des différents développeurs de navigateurs web ayant pour but le développement de nouvelles technologies destinées à faciliter l'écriture et le déploiement d'applications à travers le Web.
Ian Hickson
C’est Ian Hickson (qui a supervisé autrefois HTML5 pour le W3C, et édite désormais la spécification HTML au sein du WHATWG, tout en travaillant pour Google) qui s’est chargé d’en expliquer les raisons. Après avoir rappelé la pléthore de billets argumentant contre les DRM qui seraient une mauvaise chose pour l’utilisateur final en expliquant par exemple que c’était un outil pour contrôler les distributeurs, Hickson regrette l’article contre le contournement : « cela a provoqué un effet dissuasif au sein de la communauté des chercheurs en sécurité, étant donné que des scientifiques évitent d'étudier tout ce qui pourrait se rapporter à un système de DRM, de peur d'être poursuivis en justice. Plus la technologie intègre DRM, moins notre pile technologie est sécurisée puisque chaque couche de DRM touchées aura de moins en moins de personnes disponibles pour amorcer des analyses de sécurité.
Nous ne pouvons pas permettre un effet dissuasif sur la recherche de la sécurité des navigateurs Web. Les navigateurs sont continuellement attaqués. Toute personne qui va sur le web utilise un navigateur, et tout le monde serait donc vulnérable si la recherche de la sécurité sur les navigateurs devait cesser. Depuis que l’EME a introduit les DRM pour les navigateurs, elle a apporté ce risque ».
Pour y remédier, l’EFF avait proposé que chaque organisation qui travaille sur la spécification EME (Encrypted Media Extensions) signe un accord stipulant qu’aucune poursuite ne sera intentée contre un chercheur qui étudie cette spécification. « Le W3C exige déjà que les membres signent un accord similaire en matière de brevets, de sorte que ceci est une simple extension. Un tel accord ne va pas empêcher les membres d'engager des poursuites pour violation du droit d'auteur, il ne va pas réduire l'influence des producteurs de contenu sur les distributeurs de contenu; il ne fait que tenter de résoudre ce problème encore plus critique qui conduirait à une réduction de la recherche sur la sécurité sur les navigateurs », a précisé Hickson. .
Pourtant, le W3C refuse de céder. Aussi, il continue en disant que « nous demandons au W3C de changer d'avis à ce sujet. La sécurité de la pile technologique du web est essentiel pour la santé du Web dans son ensemble ».
Source : billet de l'EFF, billet de WHATWG
-
SquisquiEn attente de confirmation mailCe n'est pourtant que du bon sens. S'il est illégal d'étudier une solution de sécurité alors seuls les crackers l'étudieront. Il n'y a aucun bénéfice ni pour l'utilisateur final (toujours le dindon de la farce) ni pour les diffuseurs de contenus qui investissent dans de potentielles passoires.
J'espère qu'on se souvient du rootkit de Sony sur ses CD qui étaient exploités par des crackers.le 26/09/2016 à 22:25 -
derderderMembre avertiLogiciels libre plutôt que gratuit non ? ( Probablement free software dans la version originale. )
suppression de médias à distance, incompatibilité avec les logiciels gratuits et plus encore
le 14/10/2016 à 13:17 -
YseurkCandidat au ClubDans un monde où la sécurité commence à devenir une priorité, c'est tout de même aberrant de ne pas permettre à des chercheurs en sécurité de détecter librement des failles
Et puis soyons honnête, si ce ne sont pas des gens qui luttent contre la cybercriminalité qui le font, les cybercriminels, eux, ne se gêneront pas le moins du monde.le 24/08/2018 à 10:10 -
nchalMembre expérimentéÇa ressemble un peu à une guerre d'ego...le 26/09/2016 à 16:05
-
Traroth2Membre éméritePétition signée.le 14/10/2016 à 13:33