Le 6 juillet 2017, Tim Berners-Lee, le patron du World Wild Web Consortium (W3C) a approuvé la controversée spécification EME (Encrypted Media Extensions) sur HTML. Si elle ne définit pas de système de protection de contenu ou de gestion de droits numériques (DRM), la spécification EME définit une API commune qui peut être utilisée pour découvrir, sélectionner et interagir avec de tels systèmes ainsi qu'avec des systèmes de chiffrement de contenu plus simples. Elle pourra donc avoir pour conséquence de booster la publication de contenu protégé par DRM sur le Web, raison pour laquelle elle fait l’objet de controverse.
L’EFF a entrepris de faire appel de cette décision et en explique les raisons.
1. La protection améliorée de la vie privée d'un bac à sable est seulement aussi bonne que le bac à sable lui-même, nous devons donc pouvoir auditer le bac à sable.
Les contraintes de protection de la vie privée que le sandbox impose au code ne fonctionnent que si les contraintes ne peuvent pas être contournées par des logiciels malveillants ou défectueux. Étant donné que la sécurité est un processus, pas un produit et parce qu'il n'y a pas de sécurité par obscurantisme, les avantages revendiqués du bac à sable d'EME nécessitent une vérification continue et indépendante sous la forme d'un examen par les pairs qui ne doivent en aucun cas être tenus pour responsables lorsqu'ils révèlent des failles dans les produits.
L’EFF rappelle une norme qui accompagne chaque recommandation du W3C : que les chercheurs en sécurité sont habilités à dire la vérité sur les défauts dans les implémentations des normes. Pourtant, l’EFF note qu’EME est unique parmi toutes les normes du W3C passées et présentes dans le fait que les lois DRM confèrent aux membres du W3C le pouvoir de faire taire les chercheurs en sécurité.
« EME est décrite comme respectueuse de la vie privée des utilisateurs grâce à l'intégrité de ses bacs à sable. Une alliance est absolument essentielle pour assurer cette intégrité », affirme l’EFF.
2. Les considérations d'accessibilité d'EME omettent toute considération de la génération automatisée de métadonnées d'accessibilité, et sans cela, les avantages d'accessibilité d'EME sont au détriment des personnes handicapées.
L’EFF rappelle qu’il est vrai que EME va plus loin que les autres systèmes DRM dans la mesure où elle rend de l'espace disponible pour l'ajout de métadonnées qui aident les personnes handicapées à utiliser des vidéos. « Cependant, comme EME est destiné à restreindre l'utilisation et la lecture de la vidéo à l'échelle du Web, nous devons également nous demander comment les métadonnées qui remplissent cet espace disponible seront générées. »
Par exemple, les canaux de métadonnées d'EME pourraient être utilisés pour intégrer des avertissements sur les effets stroboscopiques à venir (qui pourraient déclencher des convulsions épileptiques photosensibles). Appliquer un tel filtre par exemple sur tout le corpus de vidéos disponibles pour les abonnés de Netflix qui intègrent EME va permettre de protéger les personnes à risque.
« Il n'y a pas de moyen pratique pour un groupe de personnes à risque de pouvoir visionner toutes ces vidéos Netflix et les annoter avec des avertissements sur les effets stroboscopiques à venir, ou les générer à la volée à mesure que la vidéo est diffusée. En revanche, un tel exploit pourrait être accompli avec une quantité de code insignifiante. Pour que ce code soit déployé sur les vidéos verrouillées par EME, les restrictions d'EME devraient être contournées », explique l’EFF.
Il est légal d'effectuer ce type d'analyse d'accessibilité automatisée sur tous les autres médias et les transports que le W3C n’a jamais standardisés. Ainsi, la portée traditionnelle de la conformité à l'accessibilité dans une norme W3C est insuffisante ici. L’EFF estime que nous devons nous poser la question de savoir si le W3C a pris des mesures pour s'assurer que la génération de données d'accessibilité n'est pas compromise par sa norme.
Il existe de nombreux types de métadonnées d'accessibilité qui pourraient être appliquées aux vidéos qui disposent d’une restriction par EME à l’instar des sous-titres. L’EFF estime que la demande et l'utilité de ces données sont tellement importantes qu’il ne serait pas possible de tout traiter manuellement : « Même si nous avions travaillé pendant tous nos jours pour annoter les vidéos retreintes par EME restreint, nous risquerions de gratter la surface. Cependant, dès lors qu’une alliance sera établie, les logiciels pourront faire ce travail répétitif pour nous, sans beaucoup de frais ou d'efforts. »
3. Les avantages de l'interopérabilité ne peuvent être réalisés que si les responsables d'exécution sont protégés contre toute responsabilité pour des activités légitimes.
L’EFF explique que EME ne fonctionne que pour rendre la vidéo avec l'ajout d'un composant exclusif, propriétaire, appelé module de décryptage de contenu (CDM - Content Decryption Module). Les licences du CDM ne sont disponibles que pour ceux qui promettent de ne pas se livrer à une conduite légitime que les titulaires du marché n'aiment pas.
« Pour qu'un nouveau participant au marché soit compétitif, il doit généralement offrir un nouveau type de produit ou de service, une offre novatrice qui surmonte les inconvénients naturels qui sont déjà sur le marché. Par exemple, Apple a pu entrer dans l'industrie de la musique en s'engageant dans une activité licite que d'autres membres de l'industrie avaient verrouillée. De même, Netflix s'engage régulièrement dans une conduite (l’envoi de DVD par la poste) que DRM déplore, mais n’arrive pas à arrêter, car il s’agit d’une activité licite. L'ensemble de l'industrie du câble – y compris Comcast – doit son existence à la volonté des nouveaux entrants du marché de rompre avec les limites existantes du “comportement poli” », note l’EFF.
Pourtant, l’EFF indique que l’existence d'EME tend à valider l’affirmation selon laquelle la lecture vidéo haut de gamme est essentielle à la réussite d'un acteur du web. Il s'ensuit que les nouveaux acteurs auront besoin d'une lecture vidéo premium pour réussir. Pourtant, les nouveaux acteurs n'ont jamais réussi à entrer dans un marché en apportant un produit qui n’apporte rien de plus que les autres.
Raison pour laquelle l’EFF estime que le W3C ne devrait pas faire de normes qui permettent aux participants de briser l'interopérabilité. Ce faisant, EME viole la norme établie par toutes les autres normes W3C, passées et présentes.
Source : EFF
Et vous ?
Que pensez-vous des raisons évoquées par l'EFF ?
L'EFF fait appel de la décision de Tim Berners-Lee qui a approuvé la spécification Encrypted Media Extensions
La Foundation s'explique
L'EFF fait appel de la décision de Tim Berners-Lee qui a approuvé la spécification Encrypted Media Extensions
La Foundation s'explique
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !