Titre: La guerre des droits numériques peut changer le Web libre à tout jamais
Auteur: Thibault Prévost
Date: Thu 23 Feb 2017 07:00:00 +0100
Lien: https://motherboard.vice.com/fr/article/la-guerre-des-droits-numeriques-peut-changer-le-web-libre-a-tout-jamais
URL de téléchargement de Podcast: https://video-images.vice.com/articles/58ada574fb5cbf0c9de57859/lede/1487775094459-1620.jpeg

Lorsque Tim Berners-Lee, fraîchement débarqué du CERN au MIT pour travailler 
sur son excitant projet informatique, créa la World Wide Web Corporation (W3C) 
en 1994, il n'avait probablement pas imaginé qu'un quart de siècle plus tard, 
ses inventions – le WWW, les adresses URL et les protocoles HTTP et HTML - 
formeraient le socle de la plus grande invention de l'humanité et que la moitié
de la population mondiale passerait ses journées rivée sur un écran pour 
profiter de l'incommensurable offre de contenu dispensée par Internet. Avant 
d'être le Saint-Patron du Web, « TimBL » est un chercheur, et les chercheurs 
ont souvent le réflexe de mettre gratuitement leur travail à disposition. 
Depuis sa création, les brevets du système sont donc libres, et le concept 
d'ouverture et de partage est gravé à jamais dans l'ADN du Web[1]. On appelle 
ça l'Internet libre, et ça fonctionnait vachement bien lorsque le réseau 
n'était utilisé que par la communauté scientifique. Sauf qu'en 2017, Netflix, 
Hollywood et les ayant-droits ne diffusent pas des contenus par pure 
philanthropie, et c'est là qu'entre en scène la gestion numérique des droits[2]
, ou  digital rights management (DRM).

Pour résumer, les DRM sont tous les dispositifs numériques qui contrôlent (et, 
de fait, restreignent) l'utilisation que vous pouvez faire de contenus en ligne
appartenant à des distributeurs. Pensez à la restriction géographique des 
contenus (que l'UE commence doucement à faire sauter[3]), à l'interdiction de 
télécharger ou de copier, à l'exclusivité d'un contenu sur tel support ou tel 
distributeur, aux pubs obligatoires entre deux scènes, aux jeux vidéo 
impossible à jouer sans connexion Web, bref, à tous les trucs qui vous 
rappellent que, malgré votre abonnement Premium acquis à prix d'or, vous n'êtes
jamais vraiment libres de faire ce que vous voulez de l'œuvre que vous avez 
achetée. 

Seulement, si les DRM permettent effectivement à Hollywood et aux majors du 
disque de se faire un peu plus de pognon lorsque vous consommez en ligne, elles
permettent également à vos chers artistes et créateurs indés luttant 
héroïquement contre les systèmes de production culturelle de masse de ne pas 
disparaître à cause des salopards de pirates que vous êtes. Du moins en 
théorie, parce que dans les faits, les DRM sont plus une nuisance qu'un 
véritable obstacle et n'ont généralement pas une espérance de vie très longue, 
au point que même un distributeur comme Ubisoft a jeté l'éponge[4] à force de 
perdre chaque bataille. Apparemment, mettre des antivols virtuels sur des CD, 
DVD ou jeux vidéo n'empêche pas des communautés de millions d'individus de les 
ouvrir, ou de simplement vouloir les exploser par simple question de principe. 
Las ! Netflix et compagnie[5] s'entêtent à dessiner des dispositifs coercitifs.

Au-delà de savoir à qui profite le stream entre pirates et distributeurs, le 
problème fondamental, argumentent les partisans du Web libre[6], c'est que ces 
dispositifs empêchent les utilisateurs honnêtes de faire des trucs parfaitement
légaux avec des contenus qu'ils ont acheté, comme filer un e-book à un pote, 
créer une liste de lecture audio ou tout simplement visionner un film 
indéfiniment. Transposez le concept dans le monde physique, et c'est comme si 
vous achetiez un objet vendu fondamentalement défectueux (ou  defective by 
design[7]), qui s'autodétruit après un certain nombre d'utilisations et que 
vous ne pouvez en aucun cas modifier, tripatouiller ou utiliser d'une autre 
manière que celle prévue par le vendeur – dites voir, ça s'appellerait pas 
l'obsolescence programmée, par hasard ? Pour illustrer l'absurdité de la 
situation, Thibaut Brevet et son équipe ont installé un DRM sur une chaise, qui
la ronge progressivement à mesure que des utilisateurs s'assoient dessus. Vu 
comme ça, c'est tout de suite plus clair.

Chercheur en sécurité informatique = criminel ?

Plus clair, mais toujours pas réglé : depuis la publication de son ébauche de 
standard [8] le 13 mai 2013, la W3C, qui contrôle l'implémentation de nouvelles
normes et standards du Web, n'a toujours pas pris de décision officielle 
concernant la standardisation des DRM dans le protocole HTML 5. Quatre ans sans
évolution, c'est long. Résultat : en l'absence de standard, les principaux 
navigateurs web ont choisi tout seuls d'implanter Encrypted Media Extensions 
(EME), une interface de programmation permettant d'intégrer gentiment les DRM 
personnels de Netflix et consorts –Internet Explorer vient avec Silverlight, 
Chrome est désormais fourni automatiquement avec le sien[9], Widewine, tandis 
que Firefox vous laisse le choix[10].

Et voilà à quoi ressemble la guerre de tranchées depuis 2013 : d'un côté, les 
producteurs et distributeurs de contenu, comme Netflix, Hollywood et les 
majors ; de l'autre, l'Electronic Frontier Foundation[11] , les médias 
spécialisés (en France, Korben[12] ou Framablog[13]) ,les partisans du Web 
libre et une liste impressionnante de chercheurs en sécurité informatique[14], 
qui craignent une généralisation des DRM sur tout et n'importe quoi (polices, 
images, etc..), qui cadenasserait définitivement le Web en en faisant un 
sanctuaire remplis de trucs intouchables. Au milieu, les navigateurs, qui 
voudraient bien afficher le contenu de Netflix sans être forcément des 
inconditionnels des DRM, et la W3C, prise entre deux feux, qui ne parvient pas 
à trancher. Tim Berners-Lee, directeur de la W3C que les deux camps 
s'arrachent, s'est prononcé en faveur de la standardisation des DRM ? Tollé 
général[15] de l'autre côté. Car l'enjeu n'est ni plus ni moins que la 
sauvegarde de l'identité du Web originel. Et, dans un autre registre, la 
protection des chercheurs en sécurité informatique. 

Car comme l'explique magistralement un long papier d'Ars Tecnica[16], publié le
13 février dernier, la prolifération des DRM et leur possible standardisation 
officielle par la W3C a un autre effet collatéral : elle expose les chercheurs 
en sécurité informatique à des poursuites pénales. Car en soi, les DRM n'ont 
pas de valeur légale, et servent de simples barrières posées là pour dissuader 
les gens d'utiliser librement les contenus. Pour combattre réellement le 
piratage, les distributeurs font appel au paragraphe 1201 du Digital Millenium 
Copyright Act américain (la fameuse « DMCA » que vous voyez invoquée dès que 
Youtube vous interdit de mater une vidéo tranquille) et son équivalent 
européen, l'European Union Copyright Directive (EUCD)[17], pour traduire les 
pirates en justice. Problème : la DMCA, si les DRM étaient standardisés par Tim
Berners-Lee et sa corporation,  empêcherait également toute modification d'un 
contenu, ce qui est précisément le boulot des experts en sécurité informatique[18]
, qui passent littéralement leur temps à désassembler intégralement des 
programmes pour les autopsier et proposer des correctifs aux bugs identifiés.

Ironie de la situation : le DRM de Google, Wisewine, a connu un bug pendant six
ans[19] avant qu'un  white hat israélien (le pays n'a pas de loi similaire à la
DMCA) ne le détecte. Si la standardisation passait, Google aurait pu l'attaquer
en justice… et gagner. Le voilà, l'autre récif[20] qui s'annonce avec la 
standardisation des DRM : la fin de la culture du piratage éthique et de 
l'audit de sécurité indépendant, la criminalisation de chercheurs en sécurité 
informatique[11] pourtant systématiquement responsables de l'amélioration de 
logiciels. Bref, un énorme déséquilibre à l'horizon dans la structure du Web, 
selon le directeur du MIT Labs Joi Ito[21], qui anticipe un avenir où  
« l'intérieur des navigateurs sera hors-limites pour les chercheurs en 
sécurité, qui feront face à des punitions violentes pour avoir tenté de savoir 
si votre porte d'entrée sur Internet est digne de confiance. » Et, 
accessoirement, la naissance d'un véritable Eden du  backdoor, puisque personne
n'aurait plus le droit de vérifier leur présence dans les entrailles des 
logiciels propriétaires.

Conscients des enjeux, les anti-DRM ont désormais adopté une position plus 
diplomate, en proposant à la W3C une alternative[22] : quitte à ce que la 
standardisation passe, tous les membres de la W3C (y compris les distributeurs 
de contenus) devraient s'engager à ne mener aucune poursuite contre les 
chercheurs en sécurité informatique triturant leurs programmes. Une manière 
d'obtenir, au moins, une garantie sur cet aspect, que la W3C semble avoir 
comprise : l'organisation a annoncé en janvier[23] qu'elle dévoilera, le 2 mars
prochain,  « une série de directives qui protégeront les chercheurs en sécurité
et en vie privée (…). Cela représentera notre vision initiale des meilleures 
pratiques et servira d'entrée à un travail plus approfondi », a ajouté la W3C. 
S'ensuivra un appel à révision de Tim Berners-Lee au sujet du projet de 
standardisation sur l'EME. Après 4 ans passés à attendre un arbitrage, les deux
camps de la bataille des DRM auront sans aucun doute les yeux braqués sur Tim 
Berners-Lee, qui pourrait potentiellement faire muter « son » Web après 25 ans 
de bons et loyaux services… ouverts et libres.

Liens:
[1]: http://home.cern/about/updates/2013/04/twenty-years-free-open-web (lien)
[2]: https://fr.wikipedia.org/wiki/Gestion_des_droits_num%C3%A9riques (lien)
[3]: https://www.nextinpact.com/news/103214-europe-portabilite-contenus-realite-mitigee-des-2018.htm (lien)
[4]: http://www.numerama.com/magazine/29784-drm-ubisoft-piratage.html (lien)
[5]: http://www.numerama.com/magazine/30636-netflix-en-html5-avec-drm-sous-linux-aussi.html (lien)
[6]: http://drm.info/what-is-drm.fr.html (lien)
[7]: https://www.defectivebydesign.org/ (lien)
[8]: http://www.theinquirer.net/inquirer/news/2267658/w3c-publishes-draft-html-drm-specification-amid-growing-opposition (lien)
[9]: http://boingboing.net/2017/01/30/google-quietly-makes-optiona.html (lien)
[10]: https://korben.info/drm-mozilla-pris-bonne-decision.html (lien)
[11]: https://www.eff.org/fr/node/93071 (lien)
[12]: https://korben.info/retour-sur-le-drm-dans-html5-le-point-de-vue-de-robin-du-w3c.html (lien)
[13]: https://framablog.org/2013/10/11/drm-html5-video-tim-berbers-lee/ (lien)
[14]: https://www.eff.org/deeplinks/2016/03/security-researchers-tell-w3c-protect-researchers-who-investigate-browsers (lien)
[15]: https://www.eff.org/deeplinks/2013/10/lowering-your-standards (lien)
[16]: https://arstechnica.co.uk/information-technology/2017/02/future-of-the-www-timbl-drm/ (lien)
[17]: https://fr.wikipedia.org/wiki/Directive_europ%C3%A9enne_sur_l'harmonisation_de_certains_aspects_du_droit_d'auteur_et_des_droits_voisins_dans_la_soci%C3%A9t%C3%A9_de_l'information_(2001) (lien)
[18]: https://www.theregister.co.uk/2017/02/13/w3c_drm_security_battle/?page=1 (lien)
[19]: https://arstechnica.co.uk/security/2016/06/chrome-drm-download-netflix-piracy/ (lien)
[20]: https://www.theregister.co.uk/2017/02/13/w3c_drm_security_battle/?page=2 (lien)
[21]: http://pubpub.ito.com/pub/dmca-drm-aml-kyc-backdoors (lien)
[22]: https://www.eff.org/pages/objection-rechartering-w3c-eme-group (lien)
[23]: https://lists.w3.org/Archives/Public/public-html-media/2017Jan/0006.html (lien)