DRM dans HTML5 : le père du web soutient cette spécification sur laquelle le W3C travaille
Mais l'EFF voit des retombées négatives démesurées

25PARTAGES

17  0 
Le World Wide Web Consortium (W3C), l’organisme qui supervise le développement de nombreuses technologies liées au web, envisage de nouveau l'élaboration d'une spécification permettant aux médias protégés par DRM de contenir du HTML. Le délai accordé au groupe travaillant sur les extensions de médias cryptées (EME) étant fixé pour fin avril, le W3C se trouve face à deux choix s’il veut continuer sur cette lancée : valider la proposition EME telle qu’elle est et la publier en tant que norme avant la fin du mois d’avril ou prolonger le délai accordé au groupe de travail.

La question de savoir si le W3C devrait approuver la norme EME (Encrypted Media Extensions), qui permet à une page Web d'inclure du contenu crypté en connectant un système DRM (Digital Rights Management) sous-jacent existant dans la plate-forme sous-jacente, a soulevé la polémique.

L’Electronic Frontier Foundation (EFF) ainsi que la Free Software Foundation (FSF), les groupes de défense des droits numériques, se sont montrés contre cette proposition. Accompagnés par d’autres associations, ils ont publié une lettre ouverte pour faire entendre leur opposition et ont encouragé à signer une pétition.

L’EFF s’interroge tout d’abord sur l’utilité d’un tel système. Le groupe avance que « les entreprises qui veulent l’EME disent qu'elles en ont besoin pour prévenir la violation des droits d'auteur. Mais, après une longue expérience avec les DRM, il est apparu maintes et maintes fois qu'il n'est pas difficile de contourner ces systèmes. Et une fois qu'une personne trouve comment faire cela, il est possible de télécharger des versions sans DRM de vidéos sur des sites Web où les gens qui veulent violer le droit d'auteur peuvent se rendre [ … ]. Si les DRM servent de prévention de la piraterie, elles ne font pas un très bon travail ».


Ensuite l’EFF estime que les menaces de sanction autour de ce système sont démesurées. « Une fois qu'une entreprise utilise une DRM dans son produit, elle peut menacer quiconque ouvre ce produit d’une manière qui ne lui plait pas. Les limites exactes du DMCA 1201 sont contestées, les procureurs, les titulaires de droits et certains tribunaux plaidant pour une portée très large. Parce que les sanctions pour la perte d'une demande DMCA sont si effrayantes - dans certaines circonstances commerciales, cela pourrait signifier une amende de 500 000 $ et une peine de prison de 5 ans pour une première infraction ! - peu de gens veulent opérer dans la zone grise menacée par la DMCA 1201 ».

Selon l’EFF, trois groupes importants dans l’écosystème web vont perdre leurs droits à cause de l’EME. Il s’agit :
  • des concurrents (cibles de l’EME) : les entreprises, les projets de logiciels libres et les individus qui veulent aider les gens à profiter au mieux des vidéos dans leurs navigateurs auront besoin de la permission des Netflix du monde afin de développer leurs outils ;
  • les dénonciateurs en matière de sécurité (victimes collatérales) : les défenseurs de DRM ont estimé que la simple divulgation de défauts dans les produits qui utilisent des DRM viole l'article 1201 de la DMCA. Voici leur raisonnement : « lorsque vous dites aux gens les erreurs que nous avons commises dans la conception de nos produits, vous leur montrez également où se trouvent les points faibles de l'armure de notre DRM » ;
  • les personnes handicapées (cibles involontaires) : si l’EFF reconnaît que l’EME embarque de nombreuses adaptations pour aider les personnes handicapées à profiter des vidéos, le groupe estime qu’il y a plusieurs façons dont cela pourrait être amélioré. Normalement, adapter la technologie pour accommoder les handicaps implique d'écrire du code. Cependant, parce que ces adaptations exigeraient de contourner DRM, les personnes voulant travailler sur des outils d'accessibilité devront obtenir des permissions au préalable, sous peine de sanctions criminelles et civiles.


Mais l’EME a également ses défenseurs. Parmi eux figure Tim Berners-Lee, le père du web. « La raison pour laquelle je recommande EME est que, en agissant ainsi, nous conduisons l'industrie qui l'a développée en premier lieu à produire un moyen simple et facile d'utiliser du contenu crypté en ligne, de sorte qu'il y aura interopérabilité entre les navigateurs. Cela va faciliter la tâche des développeurs web, mais va également profiter aux utilisateurs. Les gens aiment regarder des vidéos sur Netflix (par exemple). Les gens passent beaucoup de temps sur le Web, ils aiment être en mesure d'intégrer le contenu Netflix dans leurs propres pages Web. Ils aiment être en mesure d'avoir des discussions où ils expriment ce qu'ils pensent sur le contenu où leurs commentaires et le contenu peuvent tous être liés ».

Pour lui, il vaut mieux que les DRM passent par EME qu’autrement. Il explique par exemple que les systèmes EME peuvent faire du sandboxing du code de DRM pour limiter les dégâts potentiels sur le système des utilisateurs ou sur leur vie privée.

Le père du web a tout de même reconnu l’existence de problème avec les DRM au niveau des utilisateurs, des développeurs et de la loi (notamment pour les chercheurs en sécurité). Malgré cela, il estime qu’il vaut mieux que HTML5 intègre EME.

Source : EFF, lettre ouverte, pétition, billet Tim Berners-Lee

Et vous ?

Êtes-vous pour ou contre l'EME ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 09/07/2017 à 11:08
Citation Envoyé par RyzenOC Voir le message
Au lieu de télécharger le flux vidéo on fera une capture vidéo de l'écran, voila voila (qu'ils sont con quand meme )
Sauf que, toute la subtilité de cette norme, c'est qu'elle est assez vague pour permettre d'aller bien au delà de ce qui est fait aujourd'hui.

Dans un premier temps oui, ça sera sans trop de douleur. Actuellement c'est juste un plugin, produit par un tiers, sandboxé, qui est préinstallé dans les navigateurs. D’ailleurs ça me fait bien rire quand Tim Berners-Lee dit que ça permet d’échapper au plugins. On a exactement le même problème qu'avec Flash : un plugin propriétaire de Adobe maintenant remplacé par celui de Google. Ça limite les plateformes supportables et ça posera des problèmes le jour le support viendra à défaillir.

Mais le deuxième effet Kisscool, c'est que comme les mécanismes de protection ne sont absolument pas définis : ils peuvent passer s'ils le souhaitent aux DRM matériels, et tu peux être sur qu'ils le feront lorsque EME sera si bien installé que passer aux solutions alternatives sera trop compliqué. Pour info, les cartes graphiques est les moniteurs actuels ont tous des protections qui ne sont pas encore activées dans la plupart des cas. Ils sont capable de traiter eux même un signal HDMI crypté sans décodage du coté de l'ordinateur.

Bref cette norme est une reconnaissance de fait des chevaux de Troie dans les navigateurs web.
4  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 09/07/2017 à 13:41
Citation Envoyé par Uther Voir le message
Sauf que, toute la subtilité de cette norme, c'est qu'elle est assez vague pour permettre d'aller bien au delà de ce qui est fait aujourd'hui.

Dans un premier temps oui, ça sera sans trop de douleur. Actuellement c'est juste un plugin, produit par un tiers, sandboxé, qui est préinstallé dans les navigateurs. D’ailleurs ça me fait bien rire quand Tim Berners-Lee dit que ça permet d’échapper au plugins. On a exactement le même problème qu'avec Flash : un plugin propriétaire de Adobe, ce qui limite les plateformes supportables et qui posera des problèmes le jour le support viendra à défaillir.

Mais le deuxième effet Kisscool, c'est que comme les mécanismes de protection ne sont absolument pas définis, ils peuvent passer s'ils le souhaitent aux DRM matériels, et tu peux être sur qu'ils le feront lorsque EME sera si bien installé que passer aux solutions alternatives sera trop compliqué. Pour info, les cartes graphiques est les moniteurs actuels ont tous des protections qui ne sont pas encore activées dans la plupart des cas. Ils sont capable de traiter eux même un signal HDMI crypté sans décodage du coté de l'ordinateur.

Bref cette norme est une reconnaissance de fait des chevaux de Troie dans les navigateurs web.
Dans tous les cas ils n'arriverons jamais à nous interdire de filmer l'écran avec une caméra en fasse
Dans mon précédent poste, je voulais juste dire que les DRM c'est au final une vaste blague (Denuvo est mort, plus aucun jeu n'arrive à tenir 3 mois)... les drm serons toujours contournée par les pirates et le client honnête sera toujours le dindon de la farce car il profitera d'un service moins performant et/ou avec plus de contrainte que le pirate.

Y'a qu'a voir Netflix qui impose la derriere gen de cpu intel et Windows 10 + edge pour profiter de la 4K...alors que sur mon raspberry 1 de 2012 sous libre-elec je peut regarder un film en 4K
et j'ai appris récemment que les plateforme de streaming légale ne supporte meme pas le surround 7.1...

C'est en bossant sur la qualité qu'on limite le piratage, pas en bossant sur les drm.
4  0 
Avatar de laerne
Membre éprouvé https://www.developpez.com
Le 07/03/2017 à 13:29
L'argument de Tim Berners-Lee est mou du genou… On sort des arguments pareils avec l'industrie militaire : si on produit pas les armes pour des régimes à l'éthique questionables, d'autres le feront, blablabla… Et au final personne ne fait d'effort et rien n'évolue dans le bon sens.
3  0 
Avatar de thelvin
Modérateur https://www.developpez.com
Le 05/04/2017 à 13:04
Citation Envoyé par Shepard Voir le message
Les navigateurs qui cherchent à rendre le web ouvert tels que Firefox et Google Chrome vont-ils suivre la recommandation du W3C ?
Google a ses propres services de vente de vidéo, et utilise pour cela cette recommandation (depuis bien avant que ce soit au stade recommandation.) On peut imaginer qu'ils ne seraient revendeurs de rien du tout s'ils ne le faisaient pas car aucun ayant-droit ne leur confierait de vidéo à revendre. Quoi qu'il en soit, ils s'en servent et fournissent eux-même le module de déchiffrement directement dans Chrome.

Firefox a été assez clair que cela lui soulève le cœur. Mais il a décidé que puisque le web utilisait déjà en grande partie cette recommandation, et donc que les navigateurs concurrents peuvent lire les vidéos restrictives sans problème pour les gens qui s'en servent, il ne voulait pas être volontairement incapable de lire les vidéos restrictives que ses utilisateurs lui demandent de lire. Tout ce qu'ils y verraient, c'est que Firefox ne marche pas pour lire des vidéos, et donc qu'il faut utiliser un autre navigateur. Un autre navigateur qui ne propose pas les valeurs que Firefox applique sur tout le reste que sur ce point-là précis.
Concrètement Firefox gère deux modules de déchiffrement, celui de Google et un autre, qui sont chacun téléchargés et activés automatiquement quand l'utilisateur visite une page qui en a besoin. Il est possible de le voir dans la pages des add-ons. Le plus simple pour vérifier est d'aller acheter une vidéo sur Google Play et la regarder.

Cela fait donc belle lurette qu'ils suivent cette recommandation, l'un sans trop dire pourquoi mais en même temps il y a du bénéfice qui en dépend. L'autre ça lui fait du mal mais c'est ça ou passer pour un navigateur qui ne fonctionne pas, les utilisateurs n'étant pas du genre à se demander les valeurs qui poussent à ce que leur vidéo ne marche pas, ils prennent juste un navigateur qui marche.

Rien ni personne n'est, certes, forcé de suivre une recommandation du W3C. Il y en a une cinquantaine pourtant bien abouties que personne ne suit. Parce que ça ne les intéresse pas. Quand par contre, une nouvelle fonctionnalité populaire apparaît dans la technologie web, et que plusieurs navigateurs la gèrent plutôt bien, les autres ont juste intérêt à faire pareil s'ils veulent une raison d'exister. C'est en général bien après ce passage qu'ils se réunissent pour standardiser cette technologie et qu'elle devient un jour une recommandation W3C.
3  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 09/07/2017 à 8:52
Au lieu de télécharger le flux vidéo on fera une capture vidéo de l'écran, voila voila (qu'ils sont con quand meme )
3  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 09/07/2017 à 18:39
Citation Envoyé par RyzenOC Voir le message
Dans tous les cas ils n'arriverons jamais à nous interdire de filmer l'écran avec une caméra en fasse .
Bien sur qu'il y a toujours moyen, c'est juste une question de rapport complexité/cout/qualité. Si tu filmes l'écran, tu as un perte de qualité catastrophique. Tu peux aussi détourner l’électronique et/ou le firmware embarqué dans l'écran mais ça devient un exploit qui n'est pas a la portée de tous.

Citation Envoyé par RyzenOC Voir le message
Dans mon précédent poste, je voulais juste dire que les DRM c'est au final une vaste blague (Denuvo est mort, plus aucun jeu n'arrive à tenir 3 mois)... les drm serons toujours contournée par les pirates et le client honnête sera toujours le dindon de la farce car il profitera d'un service moins performant et/ou avec plus de contrainte que le pirate.
Bien évidement et même en sachant ça depuis longtemps, les distributeurs de contenus n'ont pas arrête pour autant. C'est bien qu'ils y ont un intérêt. Le but des DRM n'est pas d’empêcher le piratage en soi, on sait très bien que ça ne marche pas, mais de retirer un peu plus au client le contrôle de ce qu'il achète.
3  0 
Avatar de nirgal76
Membre chevronné https://www.developpez.com
Le 22/09/2017 à 9:37
Et pourquoi il n'y a eu que 185 participant sur 400 votants ?
Où étaient les autres sur un vote important comme celui là ?
3  0 
Avatar de thelvin
Modérateur https://www.developpez.com
Le 15/03/2017 à 11:25
Citation Envoyé par Grimly Voir le message
Je comprends mal cette histoire de DRM et je n'ai pas le temps de chercher le détail, pourrait-on m'aider à comprendre comment un DRM pourrait exister alors qu'un système tel que OAuth permettrait déjà de bloquer une ressource à une session ?
Ça n'a rien à voir. OAuth c'est juste un système d'authentification login/mot de passe qui est fait pour être un peu transmissible entre différents partis.
Il empêche les gens qui ne connaissent pas le mot de passe d'un compte, de se connecter à ce compte. Et autorise les gens qui en connaissent le mot de passe, à s'y connecter.

Les DRMs ne veulent empêcher personne d'accéder à une ressource (ça c'est le boulot d'une autre techno, comme par exemple OAuth.)
On veut que l'utilisateur puisse accéder à la ressource, parce que sinon il y a des chances qu'il ne paie pas pour l'avoir.
Mais on ne veut pas qu'il en fasse ce qui lui chante : comme par exemple l'enregistrer sur son disque dur, et la regarder plus tard quand il veut, peut-être dans son propre lecteur sans passer par le site d'origine, et peut-être même la donner à d'autre gens qui pourront la regarder sans jamais passer par le site d'origine.
On veut qu'il y accède, oui, mais qu'il ne puisse en faire que ce qu'on est d'accord qu'il en fasse. Typiquement la regarder juste après avoir cliqué sur le bouton prévu dans le site web, et pas à un autre moment, pas ailleurs que sur le site web.
C'est un autre rôle, une autre restriction que les technologies d'authentification comme OAuth.

Citation Envoyé par Grimly Voir le message
De plus, comment ça serait implémenté car il ne faut pas oublier qu'un navigateur ne sait pas deviner, il affiche ce qu'on lui donne et donner une donnée chiffrée avec sa clé n'empêche pas une personne motivée de reproduire l'opération de déchiffrement que fait le navigateur pour lire le flux audio/vidéo.
C'est effectivement la raison la plus évidente pour laquelle les DRMs ne seront jamais d'une efficacité totale.
Mais en théorie, c'est plus facile à dire qu'à faire : ce qui s'occupe de déchiffrer n'est pas le navigateur lui-même, mais un module de lecture fourni par les fournisseurs de technologies cryptées. Et ces modules sont des boîtes noires qu'on peut toujours essayer de décompiler, mais c'est loin d'être évident. Ils pourraient en principe communiquer directement avec la carte graphique ou avec l'OS à un niveau où il n'est pas évident de s'insérer pour espionner ce qui passe, et où de toute façon l'enregistrer ne fournirait pas une bonne qualité comme on en a en lisant le contenu comme prévu.
En théorie c'est plus difficile à dire qu'à faire, sauf que ce qui est prévu en pratique, c'est que les modules de déchiffrement fournissent les trames au navigateur pour qu'il les compose sur l'affichage en temps réel. Et là je voudrais bien, moi aussi, qu'on m'explique ce qui empêche de prendre le code source de Firefox, et donner au monde une version de Firefox qui enregistre les trames qu'il reçoit après décodage de contenu.
2  0 
Avatar de Michel Rotta
Expert éminent https://www.developpez.com
Le 16/03/2017 à 8:30
Si l'on regarde bien à l'usage, les DRM ne permettent pas de protéger un contenu contre la copie, il permet d’emmerder ceux qui payent pour voir légalement ce contenu.

Il reste encore beaucoup de lois à faire disparaitre.
2  0 
Avatar de 23JFK
Membre expérimenté https://www.developpez.com
Le 03/04/2017 à 15:36
Dès que je dois avoir affaire à un fichier protégé par DRM, soit j'essaye de trouver une alternative sans DRM, soit je me gratte le menton pour voir comment déplomber le fichier par moi-même, ceci car j'utilise trop de machines différentes, avec quasiment 100% de chances qu'un DRM m'empêche d'utiliser l'information que je désire consulter sur la machine la plus adaptée à ma situation du moment.
2  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web