DRM dans HTML 5 : la Free Software Foundation appelle ses partisans à dire non
Pour maintenir la sécurité et les droits des utilisateurs en ligne

Le , par Michael Guilloux, Chroniqueur Actualités
Dans moins de deux semaines, la spécification EME (Encrypted Media Extensions) pourrait recevoir l’approbation finale du World Wilde Web Consortium (W3C). Elle pourra donc faire partie des standards du Web, et ce, en dépit des polémiques autour de cette initiative. Cela pourra avoir pour conséquence de booster la publication de contenu protégé par DRM sur le Web. Si la spécification elle-même ne définit pas de système de protection de contenu ou de gestion de droits numériques, elle définit une API commune qui peut être utilisée pour découvrir, sélectionner et interagir avec de tels systèmes ainsi qu'avec des systèmes de chiffrement de contenu plus simples.

Le 13 avril, nous saurons si la spécification EME sera validée par le W3C, et la Free Software Foundation (FSF) tente donc une dernière fois de freiner son intégration dans les standards du Web. La FSF demande en effet à ses partisans d’appeler Tim Berners-Lee « à ne pas mettre en danger les utilisateurs en intégrant une technologie oppressive dans les standards de base du Web ». Celui qui est à la tête du W3C s’est en fait affiché comme partisan de cette spécification, estimant que les DRM existent déjà et qu’il est peu probable qu’ils disparaissent dans un avenir proche, au moins du côté des vidéos. Il estime donc qu’il est préférable que le contenu protégé fasse partie de l’écosystème Web au lieu d’être séparé de celui-ci. Un standard permettra également d’éviter que chaque navigateur implémente différentes technologies pour la manipulation de contenu protégé par DRM, ce qui créerait des problèmes de compatibilité, en sachant également que l’implémentation de ces technologies pourra ne pas être à la portée des petits navigateurs.


Rappelons-le, les DRM (Digital Rights Management) offrent un ensemble de mesures techniques de protection qui ont pour objectif de contrôler l'utilisation qui est faite des œuvres numériques. Le premier problème avec les fichiers protégés par DRM (vidéos ou ebook par exemple) est donc le fait qu’ils imposent des restrictions aux utilisateurs sur du contenu qu'ils ont acheté et dont ils devraient disposer librement en principe. Les utilisateurs pourront par exemple ne pas être en mesure de les enregistrer sur leur machine, ou encore les lire avec d'autres logiciels, ou en dehors d'une plateforme unique proposée par le fournisseur du contenu. Bref, l'utilisateur ne dispose que d'un usage restreint du contenu qu'il a obtenu légalement, et pendant ce temps, d'autres personnes l'ayant obtenu illégalement pourront l'utiliser sans restriction. En effet, si les DRM visent à protéger les contenus de la piraterie, cet objectif n'est pas vraiment atteint. Les DRM sont très souvent contournés par certaines personnes qui vont ensuite publier les contenus piratés sur des sites pour les rendre disponibles au public.

Comme l’explique encore la FSF, les DRM ont déjà montré qu’ils pourraient exposer les utilisateurs à des risques de sécurité énormes et porter atteinte à leur vie privée. Le défenseur du Libre évoque par exemple le cas du DRM de Sony en 2005. La solution DRM utilisée par Sony pour protéger ses CD installait un rootkit sur le système des utilisateurs. Cet outil utilisant des techniques de dissimulation employées par des hackers permettait de s’assurer en toute discrétion qu’aucune copie n’est réalisable. La FSF rappelle encore que plus récemment, en 2014, il a été découvert que la DRM Digital Editions d’Adobe collectait les informations des utilisateurs et les envoyait à son éditeur en texte clair, sans une protection de chiffrement basique ; ce qui les exposait aux pirates.

La FSF estime donc la spécification EME ne devrait pas être validée par le W3C s’il est impossible d’analyser le code de ses systèmes DRM pour la recherche de problèmes de sécurité ; ce qui sera le cas, si la spécification est validée le 13 avril. Avec cette norme, les DRM seront en effet couverts par des lois anticontournement qui qualifient de crime potentiel, la révélation des défauts dans les produits sans l’autorisation de l’éditeur. Ces lois stipulent que « nul n’est autorisé à contourner une mesure technologique qui contrôle l’accès à une œuvre protégée », en précisant que « contourner une mesure technologique signifie déchiffrer une œuvre chiffrée ou procéder autrement pour éviter, contourner, désactiver ou altérer une mesure technologique, et ce, sans l’autorisation du propriétaire du copyright ».

La FSF estime donc que si cette API est ajoutée aux outils dont disposent les développeurs Web, il faudrait nécessairement inclure des protections pour les personnes qui découvrent des vulnérabilités de sécurité. Ces protections devraient couvrir aussi « les personnes qui adaptent les outils Web pour les personnes handicapées et les personnes qui créent de nouvelles technologies légitimes et novatrices pour améliorer les vidéos sur Internet ».

Source : Defective by Design

Et vous ?

Qu’en pensez-vous ?
Êtes-vous d'accord avec l'intégration de cette spécification dans les standards du Web ? Pourquoi ?

Voir aussi :

Le W3C refuse de protéger les chercheurs en sécurité qui étudient les DRM, la WHATWG s'allie à l'EFF pour lui demander de changer d'avis
USA : la justice a publié une liste d'exceptions à la section 1201 du Copyright Act, pour protéger les chercheurs qui étudient la sécurité des DRM


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de 23JFK 23JFK - Membre éclairé https://www.developpez.com
le 03/04/2017 à 15:36
Dès que je dois avoir affaire à un fichier protégé par DRM, soit j'essaye de trouver une alternative sans DRM, soit je me gratte le menton pour voir comment déplomber le fichier par moi-même, ceci car j'utilise trop de machines différentes, avec quasiment 100% de chances qu'un DRM m'empêche d'utiliser l'information que je désire consulter sur la machine la plus adaptée à ma situation du moment.
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 04/04/2017 à 0:28
DRM dans HTML5 : pourquoi le W3C renoncera à ses principes
s’il valide la proposition sur les extensions pour médias chiffrés

Dans une dernière vague de mouvements visant à empêcher la validation de la spécification EME (Encrypted Media Extensions), Kẏra, bien connue dans la communauté Haskell et ancienne militante de la Free Culture Foundation a sorti un ancien billet dans lequel elle accuse le W3C d’avoir trahi tous les internautes. Rappelons que plus tôt, c’était la Free Software Foundation qui appelait ses partisans à demander à Tim Berners-Lee, le patron de la W3C, de « ne pas mettre en danger les utilisateurs en intégrant une technologie oppressive dans les standards de base du Web ».

« Ne laissez pas les mythes vous tromper : le plan du W3C pour le DRM dans HTML5 est une trahison pour tous les utilisateurs du Web », tel était le titre du billet de blog de Kẏra, datant de 2013. Elle explique en effet que le Web Consortium s’est basé sur trois mythes pour défendre la nécessité d’intégrer le DRM dans HTML5.

Le premier mythe serait la croyance selon laquelle « le DRM ne fonctionne pas, qu’il existe pour protéger les créateurs, mais comme il peut être facilement contourné, il est complètement inefficace et impertinent ». D’après Kẏra, c’est complètement faux, parce que le DRM ne vise pas à protéger les droits d'auteur, mais plutôt à limiter les fonctionnalités des œuvres et commercialiser des fonctionnalités sous forme de services. « La perception publique selon laquelle le DRM existe pour empêcher la copie non autorisée est une erreur grave qui dissimule la fonction réelle du DRM, qui a un succès majeur : éviter les utilisations légales de la technologie afin que les entreprises de médias puissent facturer à plusieurs reprises pour des services qui fournissent des fonctionnalités qui ne devraient jamais être supprimées pour commencer. »

L’un des arguments avancés pour défendre l’intégration du DRM dans HTML5 est que cela constitue « un compromis nécessaire pour finalement mettre fin à la prolifération de plugins de navigateurs propriétaires comme Adobe Flash Player et Microsoft Silverlight ». D’après Kẏra, c’est également une fausse idée. Elle estime en effet que le DRM dans HTML5 n’entrainera pas la fin de ces plugins propriétaires, mais les encourage. La spécification Encrypted Media Extensions pourrait en effet offrir à ces plugins propriétaires « un nouvel espace en tant que module de déchiffrement de contenu (CDM) ». À propos, l’Electronic Frontier Foundation avait dénoncé le fait que « la proposition EME abdique explicitement la responsabilité sur les problèmes de compatibilité et permet aux sites Web de disposer d'un logiciel tiers exclusif ou même d'un matériel spécial et de systèmes d'exploitation particuliers (tous désignés sous le nom générique « modules de déchiffrement du contenu », et aucun d'entre eux n'est spécifié par la proposition EME). »

Notons déjà que certains contenus protégés par DRM peuvent être lus en utilisant les plugins Microsoft Silverlight et Adobe Flash. Autrement dit, Kẏra sous-entend que la spécification EME pourra intégrer de nouvelles implémentations de ces plugins sur le Web. « Les extensions pour médias chiffrés prévoient de prendre ce qui rend ces technologies particulières terribles pour les utilisateurs (gestion des restrictions numériques, support multiplateforme médiocre, etc.) et l'injecter directement dans le tissu du Web », dit-elle. « Ceci équivaut à inviter Microsoft Silverlight, Adobe Flash Player et autres technologies similaires à faire partie de la norme HTML5. »

Le dernier mythe serait le fait que le Web a besoin du DRM dans HTML5 afin que Hollywood et d'autres géants des médias puissent finalement commencer à donner la priorité au Web, plutôt qu’aux voies traditionnelles, pour la distribution de médias. Ici, elle rappelle que ce sont les grands médias qui dépendent du Web et non l'inverse, et les grandes entreprises médiatiques savent qu'elles doivent s'adapter pour survivre.

En somme, pour Kẏra comme pour nombreux observateurs, le DRM n’a pas sa place dans HTML5, surtout que cela va à l’encontre de la mission du W3C. Celle-ci consiste en effet à rendre les avantages du Web « disponibles à tous, quels que soient leur matériel, leur logiciel, leur infrastructure réseau, leur langue maternelle, leur culture, leur situation géographique ou leur capacité physique ou mentale », comme indiqué sur le site officiel de l’organisme de normalisation. Kẏra conclut donc que la proposition pour les extensions de médias chiffrés n’est pas un compromis pour l'avancement du Web, mais plutôt « une concession complète des principes du W3C. »

Source : Kẏra

Et vous ?

Qu’en pensez-vous ?
Avatar de Shepard Shepard - Membre confirmé https://www.developpez.com
le 04/04/2017 à 11:28
Les navigateurs qui cherchent à rendre le web ouvert tels que Firefox et Google Chrome vont-ils suivre la recommandation du W3C ? Rien ne les y force a posteriori de cette décision d'intégrer le support des DRM au HTML5 ...

Je ne suis pas franchement calé en "webopolitique", si quelqu'un est plus éclairé que moi sur la question, je ne demande qu'à parfaire ma culture
Avatar de thelvin thelvin - Modérateur https://www.developpez.com
le 05/04/2017 à 13:04
Citation Envoyé par Shepard Voir le message
Les navigateurs qui cherchent à rendre le web ouvert tels que Firefox et Google Chrome vont-ils suivre la recommandation du W3C ?
Google a ses propres services de vente de vidéo, et utilise pour cela cette recommandation (depuis bien avant que ce soit au stade recommandation.) On peut imaginer qu'ils ne seraient revendeurs de rien du tout s'ils ne le faisaient pas car aucun ayant-droit ne leur confierait de vidéo à revendre. Quoi qu'il en soit, ils s'en servent et fournissent eux-même le module de déchiffrement directement dans Chrome.

Firefox a été assez clair que cela lui soulève le cœur. Mais il a décidé que puisque le web utilisait déjà en grande partie cette recommandation, et donc que les navigateurs concurrents peuvent lire les vidéos restrictives sans problème pour les gens qui s'en servent, il ne voulait pas être volontairement incapable de lire les vidéos restrictives que ses utilisateurs lui demandent de lire. Tout ce qu'ils y verraient, c'est que Firefox ne marche pas pour lire des vidéos, et donc qu'il faut utiliser un autre navigateur. Un autre navigateur qui ne propose pas les valeurs que Firefox applique sur tout le reste que sur ce point-là précis.
Concrètement Firefox gère deux modules de déchiffrement, celui de Google et un autre, qui sont chacun téléchargés et activés automatiquement quand l'utilisateur visite une page qui en a besoin. Il est possible de le voir dans la pages des add-ons. Le plus simple pour vérifier est d'aller acheter une vidéo sur Google Play et la regarder.

Cela fait donc belle lurette qu'ils suivent cette recommandation, l'un sans trop dire pourquoi mais en même temps il y a du bénéfice qui en dépend. L'autre ça lui fait du mal mais c'est ça ou passer pour un navigateur qui ne fonctionne pas, les utilisateurs n'étant pas du genre à se demander les valeurs qui poussent à ce que leur vidéo ne marche pas, ils prennent juste un navigateur qui marche.

Rien ni personne n'est, certes, forcé de suivre une recommandation du W3C. Il y en a une cinquantaine pourtant bien abouties que personne ne suit. Parce que ça ne les intéresse pas. Quand par contre, une nouvelle fonctionnalité populaire apparaît dans la technologie web, et que plusieurs navigateurs la gèrent plutôt bien, les autres ont juste intérêt à faire pareil s'ils veulent une raison d'exister. C'est en général bien après ce passage qu'ils se réunissent pour standardiser cette technologie et qu'elle devient un jour une recommandation W3C.
Avatar de CoderInTheDark CoderInTheDark - Membre éclairé https://www.developpez.com
le 06/04/2017 à 21:05
C'est très dangereux un contenu protégé est potentiellement inaccessible
Donc pour faire des profits ils sont prèts à exclure des utilisateurs
Déjà que je galère pour promouvoir l'accessibilité.
M'adresser a ces acteurs qui méprisent déjà leur utilisateurs lambdas, vont pas se soucier des 2 ou 3 %% de défficients visuels.
Offres d'emploi IT
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil