Si vous aviez manqué les épisodes précédents, jetez un œil à ma couverture du dossier des drm et des problèmes politiques concernant le code source html. Ou regardez la conclusion « Everything is a remix : Erreur système » par Kirby Ferguson, obligement traduit par votre serviteur.
TL;DR : un jeu de dupes, un pari dangereux pour notre futur. Le web a réussi parce que le html et tous ses composants sont ouverts et interopérables. Les drm prônent exactement l'inverse. À terme, l'un des deux perdra.
Ultime intérêt des plugins : cadenasser des vidéos
La protection de contenu passe soit passivement par filigrane, soit activement par le chiffrage/cryptage/embrouillage.
Jusqu'ici, pour chiffrer du contenu audiovisuel sur le web, la seule possibilité fut d'utiliser les plugins : Windows Media, Real Player, QuickTime, Silverlight et Flash sont les unique moyens de garantir aux majors, détenteurs majoritaires des contenus AAA, que leurs musiques, leurs séries, leurs films à gros budgets ne seront pas repompés par des tiers. Or les plugins vont mourir.
Enfin, quand j'écris que ces contenus ne seront pas repompés
, c'est une plaisanterie monthy-pythonesque ! Ayant bossé dans une entreprise qui se spécialisait dans la distribution de ce genre de contenu, je peux vous assurer qu'aucun dispositif de protection/restriction n'a tenu très longtemps.
À cela, trois raisons fondamentales :
- Vous fournissez forcément la clé de décryptage au consommateur pour qu'il puisse lire ce contenu ;
- Vous payez des chercheurs pour concevoir ces dispositifs de restrictions, mais vous vous heurtez à des millions de personnes qui les cassent sur leur temps de loisir
- Vous punissez les utilisateurs légitimes par des contraintes ubuesques, mais les pirates industriels ne sont pas pénalisés.
Contrôles, cadenassages, pertes & profits
Dans la lutte contre le piratage audiovisuel, l'approche qui a donné le meilleur résultat est de fournir une offre de qualité et simultanée à l'échelle mondiale. Parce que le principe de la régionalisation des DVD et des Blu-Ray est illusoire sur internet. Le meilleur exemple récent vient de la BBC : fournir à J+1, localisé pour le public cible. Et les résultats sont payants au sens propre : on coupe l'herbe sous le pied des traducteurs fan-subers qui faisaient la valeur ajoutée du contenu piraté (ou presque).
Mais pour les ayants-droits, cela ne fait pas tout : il faut protéger sa propriété du mieux possible. À cela, il y a une raison philosophique : Dans le droit anglo-saxon, comme tout titre de propriété, le copyright n'est maintenu que si et seulement si il y a une réelle volonté par des propriétaires de le défendre. Sinon, il y a une déshérence de fait, ce qui en fait une œuvre orpheline. Le droit anglo-saxon n'ayant pas de Code Civil, c'est la jurisprudence ou le fait établi qui prédomine.
Un exemple : le cas « Damnatus ». Un fan-film dans l'univers de Warhammer ne peut être laissé impunément par l'ayant-droit Games Workshop. Car dans ce cas, n'importe quel avocat considérera comme caducs et open-bar les droits cinématographiques sur la franchise. Et donc adieu la gloire Hollywoodienne pour les légions de l'Imperator.
Donc toute distribution doit être verrouillée du mieux possible, avoir le fameux « contrôle total de l'œuvre [d'Hergé] » que Nick Rodwell opère si farouchement. D'où les frictions homériques avec les fameux tintinologues, ce qui a mené à la disparition de la Bibliothèque de Moulinsart : laisser des études critiques employer des extraits graphiques ou de dialogues au moment où l'on négociait des adaptations par Spielberg, ça faisait désordre…
Oui, la position des ayants-droits est compréhensive
quand on assimile ce point-là. Elle est même défendable
car elle démontre qu'une ré-écriture des lois est nécessaire, ce qui permettra des business-models différents et équitablement profitables. Imposée par un système juridique incomplet, la défense des majors est auto-destructrice et dangereuse pour nos libertés. Ce comportement suicidaire des saltimbanques met nos libertés numériques en très grand danger, et rendent les technologies personnelles hostiles contre nous. Nous devons donc les convaincre de leur erreur, et que la monétisation de contenus totalement libre par son auteur est possible et pas moins rémunérateur (notre interview de Pouhiou lors du précédent Capitole Du Libre est éclairante).
Les ayants-droits ont compris une chose : il fallait faire accepter universellement leurs verrous pour qu'ils puissent durer
sur le web. Commence la blague :
Un ingénieur très embêté entre dans le bar du W3C
Cet ingénieur représente auprès du W3C le plus gros distributeur de séries et de films via internet. Netflix est un géant de contenus, dont l'audience en soirée aux USA est supérieure à un network national, son débarquement prévisible en France fait relâcher les sphincters des FAI au point qu'ils disent des ©ůn~ə®1eß et oublient leur métier premier. Netflix utilise toujours les plugins, dont la mort prochaine est annoncée. Et il doit avancer sur la standardisation de EME, Encrypted Media Extension, une API javascript censée permettre au navigateur web de gérer du contenu audiovisuel protégé et cadenassé. À ce jour, il est partiellement implémenté dans IE11 et Chrome. L'objectif, c'est que EME soit universel, parce qu'on est plus en 2004.
Relisons (je me le suis tapé à 6h du matin, ma lecture était peut-être inexacte) les réponses qu'il s'est pris sur une des mailing-lists de la W3C, là où se construisent les standards du web.
En résumé : les spécifications des mesures techniques de protection ne sont pas gérées par les sociétés qui les développent. Elles sont dictées par la RIAA/MPAA, c'est à dire les producteurs premium. Lesdites spécifications sont soumises à NDA, ce qui veut dire qu'elles resteront secrètes. Donc qu'il est impossible d'auditer l'API définie pour EME, puisque les conditions d'acceptance sont secrets. Par exemple, on demande que la recopie d'écran ou le réenregistrement de sonore soit impossible ou dégradé, mais dans quelle mesure… mystère et divination…
De la l'ensemble des commentaires sont unanimes : ne rien dire n'amènera à rien.
Et oui, les navigateurs open-source ne peuvent donc implémenter ces API.
Et c'est là qu'Apple, Google et Microsoft se frottent les mains, puisqu'il leur suffit d'ajouter une part proprio (ce qui est déjà le cas) à du source éventuellement libre pour proposer à leur écosystème l'accès au contenu premium qui permettrait de faire pencher une partie des consommateurs.
Je sais, mais il ne faut pas se voiler la face : c'est une prime au code source propriétaire et fermé, et ça fait mal au web.
Et l'étape d'après, le javascript
Mais si nous ne parlions jusque-là que du contenu <audio>/<video>, les jalons de l'étape suivante sont déjà posés : protéger le contenu exécutable, offusquer le javascript. Le rendre illisible, inauditable.
La raison est que les applications passent de mode, et que le HTML5 gagne. Mais évidemment, cela gène les producteurs d'applications qui demandent beaucoup de travail. Les applications financières, industrielles, les jeux, ce sont des productions en général closed-source.
Mais que se passerait-il si on laisse entrer du javascript crypté dans nos navigateurs ?
C'est ce que demande le Web App Source Code Protection Group. Si on accepte leur revendication, on ouvre la boîte de Pandore d'où s'en échapperaient tout ce qui rendrait moins fiables nos navigateurs web, et donc nos ordinateurs et téléphones portables. Nous ne serions plus capable d'auditer les comportement suspects des javascripts chiffrés. Et donc les virus, les chevaux de troie, les saloperies nous feraient la nique très facilement à nos dépends. Cela ne vous rappelle rien ?
C'est justement ce que Brendan Eich, directeur technique de la Mozilla Foundation, éditrice de Firefox, dénonce. Tant qu'un logiciel libre au code source ouvert, il est moins facile d'y planquer une backdoor, d'en faire un spyware ou d'y oublier un bug puisque (théoriquement) n'importe qui peut se pencher sur le code.
Oui mais bon, bon courage, et en apnée.
TL;DR : La vérité non dite sur EME et les DRM dans le HTML
Depuis une semaine, la MPAA fait désormais partie de la W3C. Elle participe donc, en tant que membre de plein droit, aux discussions sur le sujet. Ce n'est pas un mal, car c'est un organisme où les discussions sont forcément ouvertes à tous, les commentaires tiers bienvenus (n'oubliez pas : bougez-vous !) et les validations documentées.
En soit, la situation est un peu plus ouverte que les négociations de traités “commerciaux” transatlantiques comme SOPA, PIPA, TAFTA, etc… ou même que la normalisation de facto des cartes-mères des ordinateurs, songez qu'on a de grosses interrogations sur les UEFI ou modules matériels TPM. Cela fait pratiquement 10 années que j'en parle sur mon blog, et j'ai l'impression qu'on a toujours la même situation de guerre de tranchées.
Si EME tente d'être standardisé, les constructeurs de navigateurs web font le pari que le soufflé va s'effondrer faute d'une implémentation unifiée et possible dans l'open source.
Personnellement, je pense que c'est vouloir défier à la roulette russe face au Diable.
Do not want.
2 réactions
1 De JM Planche - 15/01/2014, 15:16
Bien amené et positionné. Merci.
Il est clair que Vidéo et "open Internet", c'est un peu comme chien et chat. Ca doit pouvoir cohabiter, mais cela va avoir du mal si on n'y prend garde.
Une des possibilités serait aussi de se dire : quel besoin d'avoir de la video à DRM dans un navigateur alors que des Apps peuvent aussi bien, si ce n'est mieux faire l'affaire (Youtube, BBC-iPlayer ...) ? (je sens Tristan bouillir)
Je ne vais pas refaire le débat que nous avions eu chez Techtoc.tv avec Tristan sur le danger des Apps / AppCenter versus l'ouverture que permet le navigateur.
C'est peut être d'ailleurs à ce prix que le navigateur peut continuer à être une ouverture "ouverte" : refuser le fermé, le propriétaire et apparaitre comme un ilot de résistance dans un océan de données trop "network centric". Il y a beaucoup de philosophie, de choix d'architecture, de société là dedans ... et je comprends aussi que ceux qui sont du coté navigateur n'ont pas envie de se voir "ringardiser" ou plutôt mis sur le coté par des solutions propriétaires d'Apps ou même, à partir du moment ou l'un craque (IE) ... il est difficile aux autres de ne pas faire au moins aussi mal^h^h^hbien.
Bref, compliqué et ton billet est d'autant plus important qu'il faut avant de se prononcer, avoir l'éclairage nécessaire. Les mots clefs là dedans me semblent d'ailleurs moins être HTML, fusse t'il 5 que MPEG DASH.
Nous vivons une véritable révolution de la vidéo amenées non pas par l'IPTV (du moins pas seulement), mais par le "smooth streaming", l'ABR et tout le reste. C'est à dire qu'à partir du moment où l'iPad a gagné et bouté en dehors, des technologies obsolètes, lourdes comme Flash, il amenait une vraie possibilité USER CENTRIC. Dans ces technologies, ce n'est plus le serveur qui est intelligent, mais le client et cela change tout. Donc il est normal que le sujet soit complexe car il fait remonter dans la chaine, jusque dans la poche de l'utilisateur, le besoin du contrôle.
Si on n'y prend garde, c'est bien sûr le contrôle complet de la chaine qui est visé ... d'où aussi l'intérêt aux navigateurs d'anticiper le coup et peut être d'être le dernier ilot de liberté en refusant ce qui pourrait demain les tuer. J'avoue que le choix est cornélien ... c'est globalement le choix de sa propre mort. Veut on mourir assurément à petit feu ou tenter de se sauver en risquant une mort rapide ?
Je ne dis pas que le navigateur est mort, mais je dis qu'il va être compliqué de conserver tout cela suffisamment ouvert et neutre pour permettre une évolution sans risque. Chaque pas qui sera fait dans un sens risque de rendre compliqué l'autre chemin.
Après le tableau noir, esquissons une piste "utopique" ... et si MPEG DASH est bien le format unifiant que nous attendons tous, qui peut réunir différentes sortes de DRM. Des DRM "ouverts" et des DRM "fermés" (j'aime bien écrire cela ;-)) ... le navigateur n'aurait alors qu'à implémenter ce qu'il faut coté format "méta" pour ensuite savoir s'il doit / peut traiter le sujet lui même (DRM "ouvert") ou s'il doit passer le contrôle à un exécutable / plugin tierce, un peu comme certaines applet java sécurité que l'on retrouve dans le monde bancaire.
#jdcjdr bien sûr, je n'ai pas assez suivi le sujet pour savoir si 1/ c'est en cours 2/ c'est totalement impossible 3/ c'est souhaité / souhaitable par les forces en présence.
PS: à la question sur la mort que je pose ... j'ai une réponse, voir le titre de mon blog pour la connaitre ;-)
2 De olivier - 16/01/2014, 09:46
Merci pour cet article qui met bien les choses à plat.
En revanche, depuis quelques jours, je vois pas mal de monde s'insurger sur le sujet notamment sur certains blogs.
Juste pour rappeler à certaines personnes, c’est pas parce SVG ou HTML5 est une norme que tout le monde l’utilise... Limite j'ai l'impression que c'est liberticide ce que fait le W3C.
/my2cts