Les extensions de médias chiffrées (EME, Encrypted Media Extensions), qui permettent à une page Web d'inclure du contenu crypté en connectant un système DRM (Digital Rights Management, gestion numérique des restrictions) sous-jacent, a franchi une nouvelle étape dans la voie controversée de sa normalisation. En effet, le W3C, l’organisme de normalisation qui supervise la plupart des spécifications liées au Web, a annoncé que EME en est désormais à la phase de « recommandation proposée ».
Après cette étape, le Comité consultatif du W3C va examiner la proposition et, s’il la trouve correcte, la proposition va enfin faire partie des recommandations de la W3C.
Dans son annonce, la W3C rappelle que « cette spécification ne définit pas un système de protection du contenu ou de gestion des droits numériques. Elle définit plutôt une API commune qui peut être utilisée pour découvrir, sélectionner et interagir avec de tels systèmes ainsi qu'avec des systèmes de cryptage de contenu plus simples. La mise en œuvre de la gestion des droits numériques n'est pas requise pour se conformer à cette spécification : seul le système Clear Key doit être implémenté comme ligne de base commune ».
Depuis que l’organisme a commencé à travailler sur EME, de vives polémiques ont été soulevées. L’Electronic Frontier Foundation (EFF) ainsi que la Free Software Foundation (FSF), les groupes de défense des droits numériques, se sont montrés contre cette proposition. Accompagnés par d’autres associations, ils ont publié une lettre ouverte pour faire entendre leur opposition et ont encouragé à signer une pétition.
L’EFF s’interroge tout d’abord sur l’utilité d’un tel système. Le groupe avance que « les entreprises qui veulent l’EME disent qu'elles en ont besoin pour prévenir la violation des droits d'auteur. Mais, après une longue expérience avec les DRM, il est apparu maintes et maintes fois qu'il n'est pas difficile de contourner ces systèmes. Et une fois qu'une personne trouve comment faire cela, il est possible de télécharger des versions sans DRM de vidéos sur des sites Web où les gens qui veulent violer le droit d'auteur peuvent se rendre [ … ]. Si les DRM servent de prévention de la piraterie, elles ne font pas un très bon travail ».
Mais Tim Berners-Lee, le père du Web qui est à la tête du W3C, organisme qu’il a fondé, a soutenu qu’étant donné que les DRM existent déjà et qu’il est peu probable qu’ils disparaissent dans un avenir proche, au moins du côté des vidéos, il est donc préférable que le contenu protégé fasse partie de l’écosystème Web au lieu d’être séparé de celui-ci.
Il a assuré que, pour presque tous les fournisseurs de vidéos, l’alternative à une DRM dans le navigateur est une DRM comme application autonome. Il a également fait valoir que ces applications autonomes représentent un risque plus important pour la vie privée et la sécurité que l'environnement contraint et sécurisé du Web.
Bien entendu, il a reconnu que les DRM rencontrent des difficultés, notamment en ce qui concerne une utilisation équitable, les travaux dérivés, mais aussi les sauvegardes. Il note cependant qu'un grand nombre de consommateurs ne semblent pas trop préoccupés par ces questions, car ils continuent à acheter ou à souscrire à des contenus protégés par DRM.
Jusqu'à présent, ces préoccupations ont été sensiblement ignorées, car ce sont des problèmes inhérents aux DRM et non des problèmes liés à une spécification particulière. Mettre de côté ces préoccupations est implicite dans la décision de développer la spécification EME en premier lieu.
EME ne définit pas de DRM lui-même. La seule exigence obligatoire est de fournir un système Clear Key (qui utilise des clés en clair) pour déchiffrer du contenu protégé.
Le W3C a répondu à certaines autres préoccupations. En particulier, à cause d’une clause du Digital Millennium Copyright Act (DMCA) des États-Unis, les chercheurs en sécurité craignaient que faire des rapports de bogues concernant les systèmes DRM pût se transformer en poursuite judiciaire si les consortiums estimaient que ces bogues créent la possibilité de contourner la protection DRM.
À cette fin, le W3C développe un ensemble de bonnes pratiques de sécurité pour la divulgation de ces bogues. Ces règles sont conformes aux politiques communes de « divulgation coordonnée », dans lesquelles les entreprises disposent d'un délai raisonnable pour réagir et colmater les failles avant leur divulgation. Elles exigent également que l'entreprise en question ne porte pas plainte contre quiconque divulgue des failles ou coopère dans des enquêtes des forces de l’ordre liées à une telle divulgation.
Si EME n’est pas acceptée comme recommandation complète, la spécification peut par exemple être publiée sous forme d’une note de groupe de travail, une option vers laquelle se tourne la W3C sans former de consensus lorsqu’elle choisit d’abandonner le travail effectué sur une proposition particulière.
Même si la spécification EME est abandonnée, tous les principaux navigateurs (Chrome, Internet Explorer, Edge, Firefox et Safari) utilisent déjà des versions préliminaires et des modules DRM compatibles. D’ailleurs, les sites Web comme Netflix et YouTube peuvent déjà diffuser des vidéos cryptées dans le navigateur sans avoir besoin de plug-ins tels que Silverlight ou Flash.
Source : W3C (recommandation proposée), W3C (meilleures pratiques de divulgation de sécurité)
DRM dans HTML5 : la spécification EME franchit une nouvelle étape vers sa normalisation
Malgré l'opposition de défenseurs des droits numériques
DRM dans HTML5 : la spécification EME franchit une nouvelle étape vers sa normalisation
Malgré l'opposition de défenseurs des droits numériques
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !