DRM dans HTML 5 : la Free Software Foundation appelle ses partisans à dire non
Pour maintenir la sécurité et les droits des utilisateurs en ligne

Le , par Michael Guilloux, Chroniqueur Actualités
Dans moins de deux semaines, la spécification EME (Encrypted Media Extensions) pourrait recevoir l’approbation finale du World Wilde Web Consortium (W3C). Elle pourra donc faire partie des standards du Web, et ce, en dépit des polémiques autour de cette initiative. Cela pourra avoir pour conséquence de booster la publication de contenu protégé par DRM sur le Web. Si la spécification elle-même ne définit pas de système de protection de contenu ou de gestion de droits numériques, elle définit une API commune qui peut être utilisée pour découvrir, sélectionner et interagir avec de tels systèmes ainsi qu'avec des systèmes de chiffrement de contenu plus simples.

Le 13 avril, nous saurons si la spécification EME sera validée par le W3C, et la Free Software Foundation (FSF) tente donc une dernière fois de freiner son intégration dans les standards du Web. La FSF demande en effet à ses partisans d’appeler Tim Berners-Lee « à ne pas mettre en danger les utilisateurs en intégrant une technologie oppressive dans les standards de base du Web ». Celui qui est à la tête du W3C s’est en fait affiché comme partisan de cette spécification, estimant que les DRM existent déjà et qu’il est peu probable qu’ils disparaissent dans un avenir proche, au moins du côté des vidéos. Il estime donc qu’il est préférable que le contenu protégé fasse partie de l’écosystème Web au lieu d’être séparé de celui-ci. Un standard permettra également d’éviter que chaque navigateur implémente différentes technologies pour la manipulation de contenu protégé par DRM, ce qui créerait des problèmes de compatibilité, en sachant également que l’implémentation de ces technologies pourra ne pas être à la portée des petits navigateurs.


Rappelons-le, les DRM (Digital Rights Management) offrent un ensemble de mesures techniques de protection qui ont pour objectif de contrôler l'utilisation qui est faite des œuvres numériques. Le premier problème avec les fichiers protégés par DRM (vidéos ou ebook par exemple) est donc le fait qu’ils imposent des restrictions aux utilisateurs sur du contenu qu'ils ont acheté et dont ils devraient disposer librement en principe. Les utilisateurs pourront par exemple ne pas être en mesure de les enregistrer sur leur machine, ou encore les lire avec d'autres logiciels, ou en dehors d'une plateforme unique proposée par le fournisseur du contenu. Bref, l'utilisateur ne dispose que d'un usage restreint du contenu qu'il a obtenu légalement, et pendant ce temps, d'autres personnes l'ayant obtenu illégalement pourront l'utiliser sans restriction. En effet, si les DRM visent à protéger les contenus de la piraterie, cet objectif n'est pas vraiment atteint. Les DRM sont très souvent contournés par certaines personnes qui vont ensuite publier les contenus piratés sur des sites pour les rendre disponibles au public.

Comme l’explique encore la FSF, les DRM ont déjà montré qu’ils pourraient exposer les utilisateurs à des risques de sécurité énormes et porter atteinte à leur vie privée. Le défenseur du Libre évoque par exemple le cas du DRM de Sony en 2005. La solution DRM utilisée par Sony pour protéger ses CD installait un rootkit sur le système des utilisateurs. Cet outil utilisant des techniques de dissimulation employées par des hackers permettait de s’assurer en toute discrétion qu’aucune copie n’est réalisable. La FSF rappelle encore que plus récemment, en 2014, il a été découvert que la DRM Digital Editions d’Adobe collectait les informations des utilisateurs et les envoyait à son éditeur en texte clair, sans une protection de chiffrement basique ; ce qui les exposait aux pirates.

La FSF estime donc la spécification EME ne devrait pas être validée par le W3C s’il est impossible d’analyser le code de ses systèmes DRM pour la recherche de problèmes de sécurité ; ce qui sera le cas, si la spécification est validée le 13 avril. Avec cette norme, les DRM seront en effet couverts par des lois anticontournement qui qualifient de crime potentiel, la révélation des défauts dans les produits sans l’autorisation de l’éditeur. Ces lois stipulent que « nul n’est autorisé à contourner une mesure technologique qui contrôle l’accès à une œuvre protégée », en précisant que « contourner une mesure technologique signifie déchiffrer une œuvre chiffrée ou procéder autrement pour éviter, contourner, désactiver ou altérer une mesure technologique, et ce, sans l’autorisation du propriétaire du copyright ».

La FSF estime donc que si cette API est ajoutée aux outils dont disposent les développeurs Web, il faudrait nécessairement inclure des protections pour les personnes qui découvrent des vulnérabilités de sécurité. Ces protections devraient couvrir aussi « les personnes qui adaptent les outils Web pour les personnes handicapées et les personnes qui créent de nouvelles technologies légitimes et novatrices pour améliorer les vidéos sur Internet ».

Source : Defective by Design

Et vous ?

Qu’en pensez-vous ?
Êtes-vous d'accord avec l'intégration de cette spécification dans les standards du Web ? Pourquoi ?

Voir aussi :

Le W3C refuse de protéger les chercheurs en sécurité qui étudient les DRM, la WHATWG s'allie à l'EFF pour lui demander de changer d'avis
USA : la justice a publié une liste d'exceptions à la section 1201 du Copyright Act, pour protéger les chercheurs qui étudient la sécurité des DRM


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de 23JFK 23JFK - Membre éclairé https://www.developpez.com
le 03/04/2017 à 15:36
Dès que je dois avoir affaire à un fichier protégé par DRM, soit j'essaye de trouver une alternative sans DRM, soit je me gratte le menton pour voir comment déplomber le fichier par moi-même, ceci car j'utilise trop de machines différentes, avec quasiment 100% de chances qu'un DRM m'empêche d'utiliser l'information que je désire consulter sur la machine la plus adaptée à ma situation du moment.
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 04/04/2017 à 0:28
DRM dans HTML5 : pourquoi le W3C renoncera à ses principes
s’il valide la proposition sur les extensions pour médias chiffrés

Dans une dernière vague de mouvements visant à empêcher la validation de la spécification EME (Encrypted Media Extensions), Kẏra, bien connue dans la communauté Haskell et ancienne militante de la Free Culture Foundation a sorti un ancien billet dans lequel elle accuse le W3C d’avoir trahi tous les internautes. Rappelons que plus tôt, c’était la Free Software Foundation qui appelait ses partisans à demander à Tim Berners-Lee, le patron de la W3C, de « ne pas mettre en danger les utilisateurs en intégrant une technologie oppressive dans les standards de base du Web ».

« Ne laissez pas les mythes vous tromper : le plan du W3C pour le DRM dans HTML5 est une trahison pour tous les utilisateurs du Web », tel était le titre du billet de blog de Kẏra, datant de 2013. Elle explique en effet que le Web Consortium s’est basé sur trois mythes pour défendre la nécessité d’intégrer le DRM dans HTML5.

Le premier mythe serait la croyance selon laquelle « le DRM ne fonctionne pas, qu’il existe pour protéger les créateurs, mais comme il peut être facilement contourné, il est complètement inefficace et impertinent ». D’après Kẏra, c’est complètement faux, parce que le DRM ne vise pas à protéger les droits d'auteur, mais plutôt à limiter les fonctionnalités des œuvres et commercialiser des fonctionnalités sous forme de services. « La perception publique selon laquelle le DRM existe pour empêcher la copie non autorisée est une erreur grave qui dissimule la fonction réelle du DRM, qui a un succès majeur : éviter les utilisations légales de la technologie afin que les entreprises de médias puissent facturer à plusieurs reprises pour des services qui fournissent des fonctionnalités qui ne devraient jamais être supprimées pour commencer. »

L’un des arguments avancés pour défendre l’intégration du DRM dans HTML5 est que cela constitue « un compromis nécessaire pour finalement mettre fin à la prolifération de plugins de navigateurs propriétaires comme Adobe Flash Player et Microsoft Silverlight ». D’après Kẏra, c’est également une fausse idée. Elle estime en effet que le DRM dans HTML5 n’entrainera pas la fin de ces plugins propriétaires, mais les encourage. La spécification Encrypted Media Extensions pourrait en effet offrir à ces plugins propriétaires « un nouvel espace en tant que module de déchiffrement de contenu (CDM) ». À propos, l’Electronic Frontier Foundation avait dénoncé le fait que « la proposition EME abdique explicitement la responsabilité sur les problèmes de compatibilité et permet aux sites Web de disposer d'un logiciel tiers exclusif ou même d'un matériel spécial et de systèmes d'exploitation particuliers (tous désignés sous le nom générique « modules de déchiffrement du contenu », et aucun d'entre eux n'est spécifié par la proposition EME). »

Notons déjà que certains contenus protégés par DRM peuvent être lus en utilisant les plugins Microsoft Silverlight et Adobe Flash. Autrement dit, Kẏra sous-entend que la spécification EME pourra intégrer de nouvelles implémentations de ces plugins sur le Web. « Les extensions pour médias chiffrés prévoient de prendre ce qui rend ces technologies particulières terribles pour les utilisateurs (gestion des restrictions numériques, support multiplateforme médiocre, etc.) et l'injecter directement dans le tissu du Web », dit-elle. « Ceci équivaut à inviter Microsoft Silverlight, Adobe Flash Player et autres technologies similaires à faire partie de la norme HTML5. »

Le dernier mythe serait le fait que le Web a besoin du DRM dans HTML5 afin que Hollywood et d'autres géants des médias puissent finalement commencer à donner la priorité au Web, plutôt qu’aux voies traditionnelles, pour la distribution de médias. Ici, elle rappelle que ce sont les grands médias qui dépendent du Web et non l'inverse, et les grandes entreprises médiatiques savent qu'elles doivent s'adapter pour survivre.

En somme, pour Kẏra comme pour nombreux observateurs, le DRM n’a pas sa place dans HTML5, surtout que cela va à l’encontre de la mission du W3C. Celle-ci consiste en effet à rendre les avantages du Web « disponibles à tous, quels que soient leur matériel, leur logiciel, leur infrastructure réseau, leur langue maternelle, leur culture, leur situation géographique ou leur capacité physique ou mentale », comme indiqué sur le site officiel de l’organisme de normalisation. Kẏra conclut donc que la proposition pour les extensions de médias chiffrés n’est pas un compromis pour l'avancement du Web, mais plutôt « une concession complète des principes du W3C. »

Source : Kẏra

Et vous ?

Qu’en pensez-vous ?
Avatar de Shepard Shepard - Membre éclairé https://www.developpez.com
le 04/04/2017 à 11:28
Les navigateurs qui cherchent à rendre le web ouvert tels que Firefox et Google Chrome vont-ils suivre la recommandation du W3C ? Rien ne les y force a posteriori de cette décision d'intégrer le support des DRM au HTML5 ...

Je ne suis pas franchement calé en "webopolitique", si quelqu'un est plus éclairé que moi sur la question, je ne demande qu'à parfaire ma culture
Avatar de thelvin thelvin - Modérateur https://www.developpez.com
le 05/04/2017 à 13:04
Citation Envoyé par Shepard Voir le message
Les navigateurs qui cherchent à rendre le web ouvert tels que Firefox et Google Chrome vont-ils suivre la recommandation du W3C ?
Google a ses propres services de vente de vidéo, et utilise pour cela cette recommandation (depuis bien avant que ce soit au stade recommandation.) On peut imaginer qu'ils ne seraient revendeurs de rien du tout s'ils ne le faisaient pas car aucun ayant-droit ne leur confierait de vidéo à revendre. Quoi qu'il en soit, ils s'en servent et fournissent eux-même le module de déchiffrement directement dans Chrome.

Firefox a été assez clair que cela lui soulève le cœur. Mais il a décidé que puisque le web utilisait déjà en grande partie cette recommandation, et donc que les navigateurs concurrents peuvent lire les vidéos restrictives sans problème pour les gens qui s'en servent, il ne voulait pas être volontairement incapable de lire les vidéos restrictives que ses utilisateurs lui demandent de lire. Tout ce qu'ils y verraient, c'est que Firefox ne marche pas pour lire des vidéos, et donc qu'il faut utiliser un autre navigateur. Un autre navigateur qui ne propose pas les valeurs que Firefox applique sur tout le reste que sur ce point-là précis.
Concrètement Firefox gère deux modules de déchiffrement, celui de Google et un autre, qui sont chacun téléchargés et activés automatiquement quand l'utilisateur visite une page qui en a besoin. Il est possible de le voir dans la pages des add-ons. Le plus simple pour vérifier est d'aller acheter une vidéo sur Google Play et la regarder.

Cela fait donc belle lurette qu'ils suivent cette recommandation, l'un sans trop dire pourquoi mais en même temps il y a du bénéfice qui en dépend. L'autre ça lui fait du mal mais c'est ça ou passer pour un navigateur qui ne fonctionne pas, les utilisateurs n'étant pas du genre à se demander les valeurs qui poussent à ce que leur vidéo ne marche pas, ils prennent juste un navigateur qui marche.

Rien ni personne n'est, certes, forcé de suivre une recommandation du W3C. Il y en a une cinquantaine pourtant bien abouties que personne ne suit. Parce que ça ne les intéresse pas. Quand par contre, une nouvelle fonctionnalité populaire apparaît dans la technologie web, et que plusieurs navigateurs la gèrent plutôt bien, les autres ont juste intérêt à faire pareil s'ils veulent une raison d'exister. C'est en général bien après ce passage qu'ils se réunissent pour standardiser cette technologie et qu'elle devient un jour une recommandation W3C.
Avatar de CoderInTheDark CoderInTheDark - Membre éclairé https://www.developpez.com
le 06/04/2017 à 21:05
C'est très dangereux un contenu protégé est potentiellement inaccessible
Donc pour faire des profits ils sont prèts à exclure des utilisateurs
Déjà que je galère pour promouvoir l'accessibilité.
M'adresser a ces acteurs qui méprisent déjà leur utilisateurs lambdas, vont pas se soucier des 2 ou 3 %% de défficients visuels.
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 09/07/2017 à 0:18
DRM dans HTML5 : Tim Berners-Lee approuve la spécification Encrypted Media Extensions
les organisations membres du W3C peuvent encore faire appel

Le 6 juillet 2017, Tim Berners-Lee, le patron du World Wild Web Consortium (W3C) a approuvé la controversée spécification EME (Encrypted Media Extensions). Si elle ne définit pas de système de protection de contenu ou de gestion de droits numériques (DRM), la spécification EME définit une API commune qui peut être utilisée pour découvrir, sélectionner et interagir avec de tels systèmes ainsi qu'avec des systèmes de chiffrement de contenu plus simples. Elle pourra donc avoir pour conséquence de booster la publication de contenu protégé par DRM sur le Web, raison pour laquelle elle fait l’objet de controverse. Rappelons-le, les DRM (Digital Rights Management) offrent un ensemble de mesures techniques de protection qui ont pour objectif de contrôler l'utilisation qui est faite des œuvres numériques.

La décision de Tim Berners-Lee était attendue depuis avril dernier, mais semble-t-il, a été retardée pour un examen approfondi, vu l’importance et la polémique autour de cette spécification. Plusieurs objections ont été soulevées au cours de la dernière révision de la spécification. « Le directeur [du W3C] a examiné très attentivement ces objections et a également discuté avec les experts et le grand public », rapporte Philippe Le Hégaret, Project Management Lead, au nom de Tim Berners-Lee. « Dans certains cas, le directeur a constaté que les objections avaient déjà été traitées, mais a demandé au groupe de travail de préciser la manière dont ces questions étaient traitées [...] Dans d'autres cas, les objections ont été rejetées. Sur la base de cela, et le fait que [la spécification] EME améliore l'expérience de l'utilisateur par rapport aux solutions d'aujourd'hui, le directeur a décidé de publier la spécification EME révisée en tant que Recommandation du W3C. »

Tim Berners-Lee estime en effet que « par rapport aux méthodes précédentes de visualisation de vidéo chiffrée sur le Web, EME a l'avantage que toutes les interactions se produisent au sein du navigateur Web et sont gérées par le navigateur et non les plugins. De cette manière, EME offre une meilleure expérience utilisateur, offrant une plus grande interopérabilité, confidentialité, sécurité et accessibilité à la visualisation de vidéos chiffrées sur le Web. » Bien que cette spécification ne supprime pas le fait que l'utilisateur doit interagir avec un module de déchiffrement de contenu (CDM), le patron du W3C pense qu’il s'agit d'une « amélioration par rapport à la situation pré-EME et une étape vers des améliorations futures également ».

Cette décision peut toutefois être encore renversée, et pour cela, la Free Software Foundation (FSF), avec sa campagne Defective by Design, lance un appel aux organisations membres du comité consultatif du W3C à réagir. « Les organisations membres du W3C doivent prendre leurs responsabilités pour les droits numériques des utilisateurs du Web et faire appel de la décision désastreuse de Tim Berners-Lee », a déclaré Zak Rogoff, responsable des campagnes FSF. « Les priorités de ceux qui définissent les normes doivent être la liberté, la confidentialité, la sécurité, l'interopérabilité et l'accessibilité des utilisateurs, et ne pas aider Hollywood et les entreprises de streaming à rendre leur DRM anti-utilisateur plus efficace », dit-il. Il suffirait que 5 % des 475 membres du comité du W3C rejoignent la campagne anti-EME pour déclencher un vote de l'ensemble du comité afin de prendre une décision définitive soit pour ratifier, soit pour rejeter la spécification EME.

Sources : Décision de Tim Berners-Lee, FSF

Et vous ?

Qu'en pensez-vous ?
Avatar de poma88 poma88 - Nouveau membre du Club https://www.developpez.com
le 09/07/2017 à 2:36
Concrètement il va se passer quoi ?

Fini le DDL avec un soft ou plugin, des vidéos sur YT, vimeo, etc... ?
Avatar de thelvin thelvin - Modérateur https://www.developpez.com
le 09/07/2017 à 4:43
Citation Envoyé par poma88 Voir le message
Concrètement il va se passer quoi ?
Il ne va rien se passer. Comme la plupart du temps quand une recommandation W3C atteint l'approbation, ça s'est déjà passé depuis longtemps. C'est juste Tim qui dit, "ouais, c'est bon" à propos d'un truc qui est déjà utilisé par tous ceux qui seraient intéressés à l'utiliser.

À la rigueur, il reconnaît que ça a l'air de bien coller en l'état et qu'il va pas y avoir de changement nécessaire à la manière dont ça fonctionne. Quand ça changera ce sera une évolution avec compatibilité ascendante. Ce qui peut motiver des sites plus frileux à se lancer maintenant que ça semble annoncé stable. Mais dans ce cas-là il vaut mieux attendre que les oppositions soient encore un peu rebutées, au cas où. Mais bon dans ce cas très précis, les oppositions à la recommandation ne s'opposent pas à des points techniques, mais à l'existence même de proposer une recommandation pour cela. Du coup, leur but n'est pas d'améliorer la recommandation mais de lui retirer son aspect officiellement approuvé.

Ce qui s'est passé, quand cette recommandation a commencé à bien prendre forme il y a quelques temps, c'est que des sites web, comme YouTube et Google Play, sont devenus capables d'afficher des vidéos avec restrictions de droits numériques, et cela sans utiliser de plugin du genre Flash. Uniquement en utilisant un plugin de déchiffrement de vidéo conforme à cette recommandation. C'est à dire infiniment plus léger que Flash, et moins sujet aux bugs, attaques de sécurité et plantages. Pour la simple raison que Flash cherche à faire tout et n'importe quoi alors qu'un déchiffreur de vidéo cherche à déchiffrer des vidéos. Pas besoin de planter la machine pour ça. Du moins en principe.

Quant à ce que ça veut dire concrètement jouer les vidéos avec restriction de droits numériques, ça veut dire la même chose que quand ils le faisaient avec Flash : rien de très réel. En théorie quand on joue des vidéos sans restriction, il est "facile" de brancher quelque part un programme qui enregistre cette vidéo dans un fichier. Ce qui te permet ensuite de donner ce fichier à tes amis ou de le regarder à nouveau plus tard, dans ton propre lecteur vidéo au lieu de sur le site, sans session ouverte et sans payer d'abonnement. D'ailleurs quand on fait une simple balise <video> avec une simple URL source, le navigateur propose d'enregistrer la vidéo avec un clic droit.

En pratique si jamais cette vidéo est diffusée en streaming contrôlé par JavaScript et non pas en spécifiant une URL, le navigateur ne peut pas deviner comment l'enregistrer et donc ne le propose déjà pas. Et cela, avec ou sans restriction de droits. C'est censé être "facile" de concevoir un programme qui va le faire, ouais ben on peut raisonnablement demander à voir. L'idée de la restriction des droits, c'est de rendre l'enregistrement de la vidéo "pas facile" en chiffrant cette vidéo lors des échanges réseaux et en ne la déchiffrant qu'à l'intérieur d'un plugin qui tourne sur la machine et ne propose pas l'enregistrement. Sauf que dans la réalité, il est discutable que ce soit compliqué de faire un programme qui intercepte les vidéos déchiffrées par le plugin. Si les gens ne le font pas, c'est plutôt parce qu'on n'en a pas besoin pour l'instant.

Quant aux DDL dont tu parles, rien ne change. On pouvait les télécharger parce qu'ils n'étaient pas chiffrés avant et ils ne l'étaient pas plus après. Ils ne sont pas chiffrés parce que ça n'intéressait pas les sites en question de faire du chiffrement. S'ils avaient voulu en faire, ils pouvaient le faire avant par d'autres moyens.
Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 09/07/2017 à 8:52
Au lieu de télécharger le flux vidéo on fera une capture vidéo de l'écran, voila voila (qu'ils sont con quand meme )
Avatar de Michel Michel - Membre confirmé https://www.developpez.com
le 09/07/2017 à 9:35
Citation Envoyé par Michel Rotta Voir le message
Si l'on regarde bien à l'usage, les DRM ne permettent pas de protéger un contenu contre la copie, il permet d’emmerder ceux qui payent pour voir légalement ce contenu.

Il reste encore beaucoup de lois à faire disparaitre.
Entièrement d'accord; il suffit d'enregistrer la sortie vidéo et là on en fait ce qu'on veut !
Avatar de poma88 poma88 - Nouveau membre du Club https://www.developpez.com
le 09/07/2017 à 10:28
Citation Envoyé par RyzenOC Voir le message
Au lieu de télécharger le flux vidéo on fera une capture vidéo de l'écran, voila voila (qu'ils sont con quand meme )


Ce qui implique que tu devras avoir une fenetre active pour capturer la video... pas top
Avatar de AndMax AndMax - Membre du Club https://www.developpez.com
le 09/07/2017 à 11:04
Rappelons qu'aujourd'hui c'est la journée mondiale contre les DRM.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 09/07/2017 à 11:08
Citation Envoyé par RyzenOC Voir le message
Au lieu de télécharger le flux vidéo on fera une capture vidéo de l'écran, voila voila (qu'ils sont con quand meme )
Sauf que, toute la subtilité de cette norme, c'est qu'elle est assez vague pour permettre d'aller bien au delà de ce qui est fait aujourd'hui.

Dans un premier temps oui, ça sera sans trop de douleur. Actuellement c'est juste un plugin, produit par un tiers, sandboxé, qui est préinstallé dans les navigateurs. D’ailleurs ça me fait bien rire quand Tim Berners-Lee dit que ça permet d’échapper au plugins. On a exactement le même problème qu'avec Flash : un plugin propriétaire de Adobe maintenant remplacé par celui de Google. Ça limite les plateformes supportables et ça posera des problèmes le jour le support viendra à défaillir.

Mais le deuxième effet Kisscool, c'est que comme les mécanismes de protection ne sont absolument pas définis : ils peuvent passer s'ils le souhaitent aux DRM matériels, et tu peux être sur qu'ils le feront lorsque EME sera si bien installé que passer aux solutions alternatives sera trop compliqué. Pour info, les cartes graphiques est les moniteurs actuels ont tous des protections qui ne sont pas encore activées dans la plupart des cas. Ils sont capable de traiter eux même un signal HDMI crypté sans décodage du coté de l'ordinateur.

Bref cette norme est une reconnaissance de fait des chevaux de Troie dans les navigateurs web.
Avatar de AndMax AndMax - Membre du Club https://www.developpez.com
le 09/07/2017 à 11:22
Citation Envoyé par Uther Voir le message
Bref cette norme est une reconnaissance de fait des chevaux de troie dans les navigateurs web.
Exactement. Chevaux de Troie dans tous les sens du terme: ajouter une monstrueuse couche de complexité par dessus un traitement qui n'est déjà pas forcément très simple, cela signifie introduire aussi un grand nombre de vulnérabilités qui seront exploitées tôt ou tard. Dans le cas d'un navigateur web, vous imaginez ce que cela signifie. Ce n'est pas pour rien qu'un DRM c'est du "Defective by Design". Pas seulement parce que ça emmerde le client qui paie ses "contenus", mais aussi parce qu'une telle technologie apporte toujours son lot de bugs et de failles.
Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 09/07/2017 à 13:41
Citation Envoyé par Uther Voir le message
Sauf que, toute la subtilité de cette norme, c'est qu'elle est assez vague pour permettre d'aller bien au delà de ce qui est fait aujourd'hui.

Dans un premier temps oui, ça sera sans trop de douleur. Actuellement c'est juste un plugin, produit par un tiers, sandboxé, qui est préinstallé dans les navigateurs. D’ailleurs ça me fait bien rire quand Tim Berners-Lee dit que ça permet d’échapper au plugins. On a exactement le même problème qu'avec Flash : un plugin propriétaire de Adobe, ce qui limite les plateformes supportables et qui posera des problèmes le jour le support viendra à défaillir.

Mais le deuxième effet Kisscool, c'est que comme les mécanismes de protection ne sont absolument pas définis, ils peuvent passer s'ils le souhaitent aux DRM matériels, et tu peux être sur qu'ils le feront lorsque EME sera si bien installé que passer aux solutions alternatives sera trop compliqué. Pour info, les cartes graphiques est les moniteurs actuels ont tous des protections qui ne sont pas encore activées dans la plupart des cas. Ils sont capable de traiter eux même un signal HDMI crypté sans décodage du coté de l'ordinateur.

Bref cette norme est une reconnaissance de fait des chevaux de Troie dans les navigateurs web.
Dans tous les cas ils n'arriverons jamais à nous interdire de filmer l'écran avec une caméra en fasse
Dans mon précédent poste, je voulais juste dire que les DRM c'est au final une vaste blague (Denuvo est mort, plus aucun jeu n'arrive à tenir 3 mois)... les drm serons toujours contournée par les pirates et le client honnête sera toujours le dindon de la farce car il profitera d'un service moins performant et/ou avec plus de contrainte que le pirate.

Y'a qu'a voir Netflix qui impose la derriere gen de cpu intel et Windows 10 + edge pour profiter de la 4K...alors que sur mon raspberry 1 de 2012 sous libre-elec je peut regarder un film en 4K
et j'ai appris récemment que les plateforme de streaming légale ne supporte meme pas le surround 7.1...

C'est en bossant sur la qualité qu'on limite le piratage, pas en bossant sur les drm.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 09/07/2017 à 18:39
Citation Envoyé par RyzenOC Voir le message
Dans tous les cas ils n'arriverons jamais à nous interdire de filmer l'écran avec une caméra en fasse .
Bien sur qu'il y a toujours moyen, c'est juste une question de rapport complexité/cout/qualité. Si tu filmes l'écran, tu as un perte de qualité catastrophique. Tu peux aussi détourner l’électronique et/ou le firmware embarqué dans l'écran mais ça devient un exploit qui n'est pas a la portée de tous.

Citation Envoyé par RyzenOC Voir le message
Dans mon précédent poste, je voulais juste dire que les DRM c'est au final une vaste blague (Denuvo est mort, plus aucun jeu n'arrive à tenir 3 mois)... les drm serons toujours contournée par les pirates et le client honnête sera toujours le dindon de la farce car il profitera d'un service moins performant et/ou avec plus de contrainte que le pirate.
Bien évidement et même en sachant ça depuis longtemps, les distributeurs de contenus n'ont pas arrête pour autant. C'est bien qu'ils y ont un intérêt. Le but des DRM n'est pas d’empêcher le piratage en soi, on sait très bien que ça ne marche pas, mais de retirer un peu plus au client le contrôle de ce qu'il achète.
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 13/07/2017 à 22:23
Bonjour,

Je voudrais vous raconter une expérience. il y a très longtemps j'ai acheté de la musique avec DRM, après trois reformatage de PC je n'ai plus pu les lire . Depuis, j'ai banni le DRM de musique et j'évite autant que possible justement pour des raisons de droit à la copie privée Qui est permis en Suisse . Il paraît qu'en France avec ados pille c'est différent c'est un contenu protégé par le droit d'auteur on ne peut même pas le télécharger à des fins privées ce qui me paraît un peu exagéré . Il se peut en effet que la musique ne soit plus disponible sur les réseaux légaux et qu'on souhaite simplement la télécharger de manière illégal mais juste une musique est-ce que vraiment Hadoop va sévir pour ça ?
Les médias disais à l'époque les systèmes contre la copie ça n'embêtes que ceux qui achètent. Pour louer des films comme avec Netflix je vois l'intérêt d'un DRM par contre si Netflix se mettait à offrir la possibilité d'acheter des films là ils ne devriez pas avoir de DRM pour des raisons d'archivage et lecture à long terme

Donc je suis contre parce que les soucis qu'avec l'introduction de ce système de DRM les diffuseurs de contenu on abuse et nous empêche d'archiver ou de copier quelque chose qu'on aurait acheté Comme cela était le cas avec mes fichiers musicaux que j'ai dû racheter sur iTunes son DRM après coup

Et vous avez-vous vécu des expériences avec le DRM positive ou négative ?

Êtes-vous pour ou contre l'introduction des DRM dans HTML ?

Meilleures salutations
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 14/07/2017 à 11:38
L'EFF fait appel de la décision de Tim Berners-Lee qui a approuvé la spécification Encrypted Media Extensions,
la Foundation s'explique

Le 6 juillet 2017, Tim Berners-Lee, le patron du World Wild Web Consortium (W3C) a approuvé la controversée spécification EME (Encrypted Media Extensions) sur HTML. Si elle ne définit pas de système de protection de contenu ou de gestion de droits numériques (DRM), la spécification EME définit une API commune qui peut être utilisée pour découvrir, sélectionner et interagir avec de tels systèmes ainsi qu'avec des systèmes de chiffrement de contenu plus simples. Elle pourra donc avoir pour conséquence de booster la publication de contenu protégé par DRM sur le Web, raison pour laquelle elle fait l’objet de controverse.

L’EFF a entrepris de faire appel de cette décision et en explique les raisons.

1. La protection améliorée de la vie privée d'un bac à sable est seulement aussi bonne que le bac à sable lui-même, nous devons donc pouvoir auditer le bac à sable.

Les contraintes de protection de la vie privée que le sandbox impose au code ne fonctionnent que si les contraintes ne peuvent pas être contournées par des logiciels malveillants ou défectueux. Étant donné que la sécurité est un processus, pas un produit et parce qu'il n'y a pas de sécurité par obscurantisme, les avantages revendiqués du bac à sable d'EME nécessitent une vérification continue et indépendante sous la forme d'un examen par les pairs qui ne doivent en aucun cas être tenus pour responsables lorsqu'ils révèlent des failles dans les produits.

L’EFF rappelle une norme qui accompagne chaque recommandation du W3C : que les chercheurs en sécurité sont habilités à dire la vérité sur les défauts dans les implémentations des normes. Pourtant, l’EFF note qu’EME est unique parmi toutes les normes du W3C passées et présentes dans le fait que les lois DRM confèrent aux membres du W3C le pouvoir de faire taire les chercheurs en sécurité.

« EME est décrite comme respectueuse de la vie privée des utilisateurs grâce à l'intégrité de ses bacs à sable. Une alliance est absolument essentielle pour assurer cette intégrité », affirme l’EFF.

2. Les considérations d'accessibilité d'EME omettent toute considération de la génération automatisée de métadonnées d'accessibilité, et sans cela, les avantages d'accessibilité d'EME sont au détriment des personnes handicapées.

L’EFF rappelle qu’il est vrai que EME va plus loin que les autres systèmes DRM dans la mesure où elle rend de l'espace disponible pour l'ajout de métadonnées qui aident les personnes handicapées à utiliser des vidéos. « Cependant, comme EME est destiné à restreindre l'utilisation et la lecture de la vidéo à l'échelle du Web, nous devons également nous demander comment les métadonnées qui remplissent cet espace disponible seront générées. »

Par exemple, les canaux de métadonnées d'EME pourraient être utilisés pour intégrer des avertissements sur les effets stroboscopiques à venir (qui pourraient déclencher des convulsions épileptiques photosensibles). Appliquer un tel filtre par exemple sur tout le corpus de vidéos disponibles pour les abonnés de Netflix qui intègrent EME va permettre de protéger les personnes à risque.

« Il n'y a pas de moyen pratique pour un groupe de personnes à risque de pouvoir visionner toutes ces vidéos Netflix et les annoter avec des avertissements sur les effets stroboscopiques à venir, ou les générer à la volée à mesure que la vidéo est diffusée. En revanche, un tel exploit pourrait être accompli avec une quantité de code insignifiante. Pour que ce code soit déployé sur les vidéos verrouillées par EME, les restrictions d'EME devraient être contournées », explique l’EFF.

Il est légal d'effectuer ce type d'analyse d'accessibilité automatisée sur tous les autres médias et les transports que le W3C n’a jamais standardisés. Ainsi, la portée traditionnelle de la conformité à l'accessibilité dans une norme W3C est insuffisante ici. L’EFF estime que nous devons nous poser la question de savoir si le W3C a pris des mesures pour s'assurer que la génération de données d'accessibilité n'est pas compromise par sa norme.

Il existe de nombreux types de métadonnées d'accessibilité qui pourraient être appliquées aux vidéos qui disposent d’une restriction par EME à l’instar des sous-titres. L’EFF estime que la demande et l'utilité de ces données sont tellement importantes qu’il ne serait pas possible de tout traiter manuellement : « Même si nous avions travaillé pendant tous nos jours pour annoter les vidéos retreintes par EME restreint, nous risquerions de gratter la surface. Cependant, dès lors qu’une alliance sera établie, les logiciels pourront faire ce travail répétitif pour nous, sans beaucoup de frais ou d'efforts. »

3. Les avantages de l'interopérabilité ne peuvent être réalisés que si les responsables d'exécution sont protégés contre toute responsabilité pour des activités légitimes.

L’EFF explique que EME ne fonctionne que pour rendre la vidéo avec l'ajout d'un composant exclusif, propriétaire, appelé module de décryptage de contenu (CDM - Content Decryption Module). Les licences du CDM ne sont disponibles que pour ceux qui promettent de ne pas se livrer à une conduite légitime que les titulaires du marché n'aiment pas.

« Pour qu'un nouveau participant au marché soit compétitif, il doit généralement offrir un nouveau type de produit ou de service, une offre novatrice qui surmonte les inconvénients naturels qui sont déjà sur le marché. Par exemple, Apple a pu entrer dans l'industrie de la musique en s'engageant dans une activité licite que d'autres membres de l'industrie avaient verrouillée. De même, Netflix s'engage régulièrement dans une conduite (l’envoi de DVD par la poste) que DRM déplore, mais n’arrive pas à arrêter, car il s’agit d’une activité licite. L'ensemble de l'industrie du câble – y compris Comcast – doit son existence à la volonté des nouveaux entrants du marché de rompre avec les limites existantes du “comportement poli” », note l’EFF.

Pourtant, l’EFF indique que l’existence d'EME tend à valider l’affirmation selon laquelle la lecture vidéo haut de gamme est essentielle à la réussite d'un acteur du web. Il s'ensuit que les nouveaux acteurs auront besoin d'une lecture vidéo premium pour réussir. Pourtant, les nouveaux acteurs n'ont jamais réussi à entrer dans un marché en apportant un produit qui n’apporte rien de plus que les autres.

Raison pour laquelle l’EFF estime que le W3C ne devrait pas faire de normes qui permettent aux participants de briser l'interopérabilité. Ce faisant, EME viole la norme établie par toutes les autres normes W3C, passées et présentes.

Source : EFF

Et vous ?

Que pensez-vous des raisons évoquées par l'EFF ?
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 21/07/2017 à 10:22
IFLA, une association américaine de bibliothécaires, appelle à son tour le W3C
à reconsidérer l'adoption des DRM sur le Web

La Fédération internationale des associations et institutions de bibliothèques (IFLA) a demandé au World Wide Web Consortium (W3C) de reconsidérer sa décision d'intégrer les verrous numériques aux normes HTML officielles. La semaine dernière, W3C a annoncé sa décision de publier des extensions multimédias cryptées (EME) – une norme pour appliquer des verrous à la vidéo sur le Web – dans ses spécifications HTML.

L'IFLA demande instamment au W3C d'examiner l'impact que EME aura sur le travail des bibliothèques et des archives : « Tout en reconnaissant à la fois le potentiel de mesures de protection technologique pour entraver les utilisations contrefaites, ainsi que la simplicité supplémentaire offerte par cette solution, l'IFLA est préoccupée par le fait qu'il sera plus facile d'appliquer de telles mesures au contenu numérique sans pour autant faciliter aux bibliothèques et leurs utilisateurs la possibilité de supprimer les mesures qui empêchent les utilisations légitimes des travaux. »

Et de poursuivre en affirmant que « Les mesures de protection technologique [...] ne s'arrêtent pas toujours à prévenir les activités illicites et peuvent souvent empêcher les bibliothèques et leurs utilisateurs de faire des utilisations équitables des œuvres. Cela peut affecter des activités telles que la conservation ou l'approvisionnement en documents entre bibliothèques. Faciliter l'application des TPM, indépendamment de la nature des activités qu'ils empêchent, c'est risquer de déséquilibrer le droit d'auteur lui-même. »

L’EFF estime que les préoccupations de l'IFLA sont un excellent exemple des dangers des verrous numériques que sont les DRM : en vertu du Digital Millenium Copyright Act des États-Unis (DMCA) et des lois de droit d'auteur similaires dans de nombreux autres pays, il est illégal de contourner ces verrous numériques ou de fournir aux autres les moyens de le faire. Cette disposition met les bibliothécaires face à un danger légal lorsqu'ils rencontrent des DRM dans le cadre de leur travail, sans oublier les éducateurs, les historiens, les chercheurs en sécurité, les journalistes et tout autre nombre de personnes qui travaillent avec du matériel protégé par des droits d'auteur.

Bien sûr, comme l'indique la déclaration de l'IFLA, le W3C n'a pas le pouvoir de modifier la loi sur le droit d'auteur, mais il devrait tenir compte des implications du droit d'auteur dans ses décisions politiques : « Bien qu'il soit évident qu'il ne soit pas du ressort du W3C de changer les lois et règlements régissant le droit d'auteur dans le monde entier, ils doivent tenir compte des implications de leurs décisions sur les droits des utilisateurs des œuvres protégées par le droit d'auteur. »


L’EFF a fait appel de la décision de Tim Berners-Lee qui a approuvé la spécification Encrypted Media Extensions. L’EFF a fait valoir les points suivants.

1. La protection améliorée de la vie privée d'un bac à sable est seulement aussi bonne que le bac à sable lui-même, nous devons donc pouvoir auditer le bac à sable.

Les contraintes de protection de la vie privée que le sandbox impose au code ne fonctionnent que si les contraintes ne peuvent pas être contournées par des logiciels malveillants ou défectueux. Étant donné que la sécurité est un processus, pas un produit et parce qu'il n'y a pas de sécurité par obscurantisme, les avantages revendiqués du bac à sable d'EME nécessitent une vérification continue et indépendante sous la forme d'un examen par les pairs qui ne doivent en aucun cas être tenus pour responsables lorsqu'ils révèlent des failles dans les produits.

2. Les considérations d'accessibilité d'EME omettent toute considération de la génération automatisée de métadonnées d'accessibilité, et sans cela, les avantages d'accessibilité d'EME sont au détriment des personnes handicapées.

L’EFF rappelle qu’il est vrai que EME va plus loin que les autres systèmes DRM dans la mesure où elle rend de l'espace disponible pour l'ajout de métadonnées qui aident les personnes handicapées à utiliser des vidéos. « Cependant, comme EME est destiné à restreindre l'utilisation et la lecture de la vidéo à l'échelle du Web, nous devons également nous demander comment les métadonnées qui remplissent cet espace disponible seront générées. »

Par exemple, les canaux de métadonnées d'EME pourraient être utilisés pour intégrer des avertissements sur les effets stroboscopiques à venir (qui pourraient déclencher des convulsions épileptiques photosensibles). Appliquer un tel filtre par exemple sur tout le corpus de vidéos disponibles pour les abonnés de Netflix qui intègrent EME va permettre de protéger les personnes à risque.

3. Les avantages de l'interopérabilité ne peuvent être réalisés que si les responsables d'exécution sont protégés contre toute responsabilité pour des activités légitimes.

L’EFF explique que EME ne fonctionne que pour rendre la vidéo avec l'ajout d'un composant exclusif, propriétaire, appelé module de décryptage de contenu (CDM - Content Decryption Module). Les licences du CDM ne sont disponibles que pour ceux qui promettent de ne pas se livrer à une conduite légitime que les titulaires du marché n'aiment pas.

Source : EFF

Et vous ?

Que pensez-vous des raisons évoquées ?
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 22/07/2017 à 11:45
Citation Envoyé par Battant Voir le message
Et vous avez-vous vécu des expériences avec le DRM positive ou négative ?
J'ai eu que des expériences positives. Principalement lié avec des contenus multimédia. Et cela simplement parce que j'ai pu utiliser les fichiers.
Si besoin d'amélioration, je proposerais un service proche de celui proposé par www.yesitis.fr tout en restant dématérialisé.

Le côté négatif serait une trop forte liaison avec des techno comme HDMI HDCP et des signaux qu'il n'est pas toujours possible de "copie" ou du contenus par toujours accessible en fonction du matériel utilisé. Je crois que beaucoup de forum en parle...

Alors que chaque circuit tend à trouver une spécialité, l'annonce de se type de rapprochement de techno en HW libre serait suffisant pour que par défaut le HW grand public soit limité et respect le copyright. Je vois bien les musiques avec un signal non audible pour animaux et humains et dans le même genre pour la vidéo. Pour peu qu'une erreur de "filtre matériel" soit impossible. Ce serait bien la première fois, qu'un système HW/SW serait d'abords pensé sécurisé pour le copyright sachant que les fichiers perso n'en ont pas forcément et que les fichiers de firmware "retouchés" pour toutes sortes d'équipements, il y en a un peu partout sur Internet...

Citation Envoyé par Battant Voir le message
Êtes-vous pour ou contre l'introduction des DRM dans HTML ?
Neutre, tant que je peux encore utiliser mon vieux système et que si je dois changer, que cela ne coûte pas trop chère. ("On n'arrête pas le progrès.")
Offres d'emploi IT
Consultant / ingénieur bi
Finelog - Ile de France - Ile de France
Data ingénieur F/H
Zenika - Nord Pas-de-Calais - Lille (59000)
Ingénieur sécurité du SI (H/F)
Atos - Ile de France - Bezons (95870)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil