DRM : Quels risques, quels enjeux ? Version 1.0 "At last" Même si c'est resté relativement confidentiel en dehors du petit monde des informaticiens, le 3 octobre a été sacrée "Journée Anti-DRM". Au niveau mondial, comme au niveau national, des groupes d'action se mettent en place pour lutter contre un phénomène qui, silencieusement, envahit peu à peu notre quotidien : les DRM. Mais qu'est-ce donc ? Avant de comprendre à quoi sont censés servir les DRM, il faut revenir à quelques notions de droit d'auteur. En France, et dans tous les pays ayant signé la convention de Berne, le créateur d'une œuvre (au sens large - il n'y a aucun seuil minimal de qualité), dès que celle-ci se retrouve sous forme fixe (écrite, filmée, enregistrée), dispose de droits exclusifs sur cette œuvre, pendant un certain temps (se prolongeant de quelques décennies après sa mort, c'est alors transmis aux héritiers) : par exemple, la communication de son œuvre au public, la création de nouvelles œuvres à partir de l'œuvre de départ (des œuvres dérivées), etc. Le fait que les droits soient exclusifs signifie que nul autre que le créateur de l'œuvre n'a le droit d'en faire usage, à moins qu'il ne décide d'autoriser d'autres personnes, de transférer ses droits à quelqu'un d'autre (un éditeur, par exemple), ou de renoncer à leur exclusivité (c'est à dire, autoriser d'avance tout le monde à en faire usage). Si je suis le créateur d'une œuvre, c'est donc à moi de fixer ce que les gens peuvent et ne peuvent pas faire dessus, et la loi dit que ceux qui ne respectent pas mes exigences sont dans l'illégalité (si je les attaque, et si les faits sont prouvés devant un tribunal, ça ira mal pour eux). Je peux donc dire, par exemple, que j'autorise tout le monde à passer des copies de mon œuvre à leurs amis tant que celle-ci n'est pas modifiée, que ce n'est pas à but commercial, et que il reste clairement indiqué que je suis l'auteur. À chacun ses exigences, dans la limite de ce qui est prévu par la loi : en effet, il y a certaines choses que je ne peux pas interdire. La copie privée, par exemple : le droit français autorise chacun à faire des copies des œuvres de son choix pour son usage privé, peu importe ce qu'en dit le créateur de l'œuvre. En contrepartie, les Français payent une redevance sur les supports vierges (disques durs, baladeurs, CD-R) qui est reversée aux maisons de disques. Le système semble cohérent : je crée quelque chose, je peux dire ce que les autres peuvent en faire et ne peuvent pas en faire, dans la limite de droits minimaux que la loi autorise de toute manière. Tout cela fonctionnait très bien avant Internet. À l'époque, lorsque vous achetiez une cassette audio, il était difficile et laborieux d'en faire des copies. L'œuvre était fixée sur un support, ce qui garantissait à peu près qu'on ne pouvait pas la copier ou la modifier. Maintenant, une fois qu'un CD a été transformé en fichiers MP3, rien de plus facile que de les éditer, ou de les dupliquer à toute vitesse sur le peer-to-peer. Lorsque vous avez une version numérique d'une œuvre - un fichier MP3 -, il n'y a rien pour vous empêcher de le copier autant de fois que vous voulez, et Internet rend sa diffusion en masse extrêmement facile et bon marché. Le problème fondamental provient d'un constat simple : lorsque vous avez un fichier informatique, au niveau technique, vous pouvez en faire ce que vous voulez (le modifier, l'étudier, le copier, etc.) - mais le détenteur des droits sur le fichier a interdit certaines de ces actions. Les DRM ont été conçus comme une solution à ce problème. Ce sont des dispositifs techniques dont le but est de protéger les fichiers en vous empêchant de les utiliser d'une manière non-autorisée par leur auteur. Officiellement, le sigle "DRM" signifie "Digital Rights Management" (soit en français, Gestion Numérique des Droits ou GDN). Cependant, à en croire ses détracteurs, "Digital Restrictions Management" (Gestion des Restrictions Numériques) serait une description plus appropriée. Ce qui se passe, c'est que vos possibilités d'utilisation d'un fichier avec DRM sont restreintes pour exclure toutes celles que le détenteur des droits sur le fichier n'autorise pas. Ça a l'air d'être une bonne chose, ça paraît normal, n'est-ce pas ? Le problème, comme nous allons le voir, est de faire fonctionner cette bonne idée. Un DRM, comment ça marche ? Voici un exemple de DRM possible. Lorsque vous achetez en ligne votre fichier, il est codé, ce qui fait que votre ordinateur ne peut pas l'ouvrir. Pour ce faire, il faut que votre lecteur, à chaque tentative d'ouverture, aille demander au fournisseur du fichier une clé de décodage : celui-ci peut accepter ou refuser en fonction de ce que vous essayez de faire, de vos autorisation quant à la lecture de ce fichier, etc. Avant de faire quoi que ce soit avec le fichier, il faut que vous alliez demander la clé d'accès aux ayant-droits. Ils peuvent donc contrôler que ce que vous comptez faire est conforme à leurs exigences. Un autre exemple : la clé est inscrite au fin fond d'un logiciel de lecture fourni avec l'œuvre, et c'est le logiciel qui va vérifier ce que vous voulez faire avant de décoder le fichier. Dans tous les cas, on contrôle ce que vous faites avant de vous autoriser à le faire. Ce simple exemple nous montre que la mise en œuvre d'un DRM est une tâche délicate : il faut transmettre à l'utilisateur à la fois le contenu chiffré et la clé de déchiffrement. Si l'utilisateur arrivait à intercepter une de ces clés, il pourrait s'en servir pour décoder le fichier de manière permanente, et donc, faire ce qu'il veut. Ou bien, lorsque le fichier est décrypté pour que l'utilisateur puisse s'en servir, il peut essayer de conserver quelque part une copie de ce contenu sans protection, pour s'en resservir par la suite. Pour éviter cela, il faut que le logiciel de lecture fonctionne d'une manière secrète, empêchant les utilisateurs de récupérer la précieuse clé ou le contenu en clair. Mais il faut aussi que le système d'exploitation en dessous (Microsoft Windows, par exemple) dissimule le tout de la même manière, pour éviter que le signal ne soit détourné. Mieux encore, il faut que le matériel de votre ordinateur reçoive un signal crypté, que les câbles soit certifiés pour éviter que vous n'interceptiez ces précieuses données, que l'écran soit certifié, pour enfin afficher le signal sans vous donner la possibilité de le copier. C'est toute une forteresse qui se met en place chez vous, pour vous empêcher de faire ce que le détenteur des droits sur le fichier ne veut pas que vous fassiez ! Ça vous paraît délirant ? Je n'invente rien. La HD (Haute Définition), en plus de l'amélioration de la qualité, intègre aussi le HDCP (High-Bandwidth Digital Content Protection) qui requiert bien des câbles et écrans certifiés - sinon, pas d'image ! Peut-être ricanez-vous en pensant qu'il reste toujours possible - malaisé, mais possible - de récupérer une vidéo, par exemple, d'une manière simple : pointer un caméscope sur l'écran, enregistrer, et on récupère un signal dégradé, mais clair. C'est une autre vulnérabilité fondamentale des DRM : nos yeux, nos oreilles, sont faits pour recevoir des signaux analogiques, et une fois convertis en analogique, plus rien n'empêche leur copie. À moins que... à moins d'imposer aux équipements d'enregistrement eux-mêmes de rajouter des DRM sur tout ce qu'ils enregistrent ! Cette solution est envisagée à l'heure actuelle aux États-Unis : un texte de loi (Digital Transition Content Security Act) est même en cours d'examen depuis décembre 2005... Les DRM sont donc par définition instables. On ne peut installer des coffres-forts chez les gens et être sûr qu'ils n'en viendront pas à bout, surtout si on leur en donne régulièrement les clés sous le contrôle de logiciels au fonctionnement délibérément obscur. En tout cas, pour éviter que les DRM ne soient contournés, le mieux reste de rendre illégal leur contournement. Ou bien, méthode encore plus astucieuse, de rendre illégaux les outils nécessaires pour les contourner. La France a adopté pour cela la très controversée loi DADVSI (Droits d'Auteur et Droits Voisins dans la Société de l'Information), publiée au Journal Officiel le 3 août 2006. Elle punit de 3750 € d'amende "le fait de porter atteinte sciemment, à des fins autres que la recherche, à une mesure technique efficace telle que définie à l'article L. 331-5", et de six mois d'emprisonnement et de 30 000 € d'amende "le fait de procurer ou proposer sciemment à autrui, directement ou indirectement, des moyens conçus ou spécialement adaptés pour porter atteinte à une mesure technique efficace telle que définie à l'article L. 331-5". Si les DRM reposent manifestement sur des principes bancals, il n'en reste pas moins que la loi est l'arme ultime pour les rendre imparables. Et aujourd'hui, ces DRM sont partout. On les trouve sur le catalogue de la quasi-totalité des vendeurs légaux de musique en ligne, à commencer par l'iTunes Store d'Apple, et aussi chez certains fournisseurs de vidéo (achetez un film sur le site de l'INA, par exemple, et il sera protégé par DRM). Certains morceaux de musique sont vendus sur des supports s'apparentant au CD-Audio, mais ne fonctionnant que sur ordinateur et sont protégés par un DRM. Bien entendu, les nouveaux médias tels que l'HD-DVD et le Blu-Ray seront particulièrement bien garnis : par exemple, un mécanisme a été mis en place pour que, si la sécurité d'un lecteur Blu-Ray avait été compromise et permettait de contourner les protections, tous les disques Blu-Ray mis en vente par la suite ne fonctionneraient plus avec ce modèle de lecteur (et ses utilisateurs resteraient le bec dans l'eau) ! Sans même attendre jusque là, on trouve déjà une protection anti-copie, DeCSS, sur la quasi-totalité des DVD en vente actuellement... Tout cet arsenal législatif et technique part d'un but louable : assurer le respect de la loi. L'ennui, c'est qu'en pratique, ça ne marche pas très bien. À commencer pour les risques pour la vie privée. En demandant à chaque lecture une clé de décryptage au détenteur des droits, vous lui indiquez régulièrement : "Bonjour, je suis Jean Dupont, et aujourd'hui le 24 décembre, à 23h40, je voudrais écouter la chanson Petit Papa Noël, sur laquelle vous détenez les droits d'auteur." L'ennui, c'est que le plus souvent, celui qui publie un fichier transmet ses droits d'auteur à son éditeur. Et vu qu'il y a peu d'éditeurs, cela veut dire que les DRM leur donnent accès à une quantité immense d'informations personnelles quant à votre usage des œuvres sur lesquelles ils détiennent des droits... Ils peuvent suivre à la trace l'utilisation que vous en faites. Et comme nul n'est à l'abri d'une erreur, leurs données pourraient être récupérées par des pirates malintentionnés ou révélées par erreur à la planète entière. Plutôt gênant... Ensuite, il y a la menace sur le logiciel libre. Les logiciels libres sont un type particulier de logiciels donnant à leurs utilisateurs quatre libertés (1. exécuter le programme pour tous les usages ; 2. étudier le fonctionnement du programme ; 3. redistribuer des copies ; 4. améliorer le programme et publier ses améliorations). Ils sont peu connus, mais très courants dans le monde des serveurs et des périphériques embarqués (deux tiers des sites web existants utilisent le logiciel libre Apache pour fonctionner, par exemple). L'ennui, c'est que, pour les DRM, il faut que le fonctionnement du logiciel soit obscur. Avec un logiciel libre, ce n'est pas le cas : vous pouvez non seulement étudier son fonctionnement, mais aussi modifier le logiciel pour désactiver la mise en œuvre de la protection. Même un logiciel fermé sur un système d'exploitation libre (GNU/Linux, par exemple) ne peut pas fonctionner, car on peut modifier le fonctionnement du système pour que celui-ci enregistre le signal décodé qui passe par le système pour aller du logiciel de lecture à votre carte son. Et ainsi de suite pour l'opposition entre les projets balbutiants de matériel libre, et les composants scellés de cryptage (puces TPM, par exemple) pour mettre en place les DRM au niveau matériel ; ces composants sont d'ailleurs déjà présents sur certains ordinateurs du commerce... Les concepteurs de DRM ne fournissent donc pas de logiciels de lecture sur les systèmes libres, et essayer de contourner les protections pour lire quand même le fichier est illégal. La lecture d'un DVD sous Linux correspond au contournement d'un DRM : avec la loi DADVSI, c'est (en théorie) interdit. Et l'acheteur du DVD - qui a payé pour avoir le droit de le regarder - se retrouve avec une galette inutilisable. C'est tout de même problématique... On peut aussi parler du problème de la pérennité du contenu acheté : et si le détenteur des droits disparaît, comment ouvrir ses fichiers ? Quand on change de lecteur, comment être sûr que le nouveau sera toujours capable de lire les vieux fichiers, de comprendre leurs DRM ? Que restera-t-il d'une collection de musique pleine de de DRM dans quelques années ? Quels témoignages historiques seront légués aux générations futures ? Autant de questions à long terme qui se poseront sans doute dans pas si longtemps que ça... Plus drôle encore, l'affaire de la copie privée. Vous vous souvenez ? Vous payez une taxe pour y avoir droit, et on ne peut pas vous l'interdire. Malheureusement, les DRM ne peuvent pas vraiment faire la différence entre copies privées et copies illégales : ils bloquent tout ! Et la loi DADVSI rend leur contournement illégal ! Pourtant, elle dit aussi garantir le droit à la copie privée. L'astuce, c'est de dire que le nombre de copies privées que vous pouvez faire peut être limité par un DRM, mais de ne pas préciser qu'il doit être supérieur à zéro. Si vous trouvez qu'un DRM est trop restrictif, il vous reste une option, selon la loi DADVSI : porter plainte auprès d'une autorité spéciale. Inutile de dire que ce n'est pas vraiment pratique... Ces DRM posent un autre problème en terme de liberté de la concurrence. Prenons Apple. Lorsque vous achetez un morceau de musique sur l'iTunes Store, vous le recevez avec le DRM d'Apple, FairPlay. Pour lire votre fichier avec le DRM FairPlay, il vous faut le logiciel d'Apple, iTunes. Et le fichier ne fonctionnera que sur les baladeurs d'Apple, les iPod (ce qui pose encore un problème : le fichier que vous avez acheté ne fonctionne pas partout, c'est aussi absurde que d'imposer, disons, une marque de lunettes particulière pour la lecture d'un livre). Ainsi, les alternatives à Apple peinent à décoller - car il faut qu'elles s'imposent simultanément à tous les niveaux. Et pendant ce temps, Apple est libre de faire ce qu'il lui plaît - pas de concurrence, donc pas de concurrents, donc, pas de guerre des prix pour attirer une clientèle qui n'a de toute manière pas le choix... À moins qu'il existe un choix ? Celui de l'opposition aux DRM ? Certains l'ont fait. Au niveau français, vous avez l'initiative StopDRM. Celle-ci a organisé un certain nombre de manifestations-éclair (ou flashmobs) : rassemblez quelques activistes en civil dans une Fnac, et, au signal, faites-leur brandir des pancartes contre les DRM. Simple et efficace. Une action d'un tout autre genre a eu lieu récemment : trois volontaires, reconnaissant qu'ils avaient violé la loi DADVSI, sont allés se dénoncer à un commissariat de Paris. On attend toujours de savoir si des poursuites seront engagées contre eux... Au niveau mondial, vous avez "Defective By Design". Ce nom peut se traduire par "conceptuellement défectueux", il fait référence aux produits du commerce qui, à cause des DRM, vous interdisent certaines actions pourtant légales (comme la copie privée) et ont donc des défauts - délibérés. Par exemple, le fait que les lecteurs DVD ne permettent pas de passer les publicités est aussi un méfait des DRM. "Defective By Design" sont les organisateurs de la journée mondiale d'action anti-DRM du 3 octobre. Vous pensez peut-être que les DRM sont un problème marginal qui n'intéresse personne ? Certes, ça reste de l'informatique, mais, vu son importance sans cesse croissante dans notre société, c'est au final quelque chose qui concerne tous ceux d'entre vous qui ont déjà acheté en ligne un morceau qui a soudain cessé de fonctionner - ceux qui ont déjà vu leur lecteur DVD refuser de passer la pub. À titre d'exemple, la pétition du site Eucd.info contre le projet de loi DADVSI (pendant l'examen de la loi) avait recueilli plus de 170 000 signatures. Comment s'opposer ? Avoir lu cet article est déjà un grand pas en avant. "Si les consommateurs savent qu’il y a un DRM, ce que c’est, et comment ça marche, alors nous avons déjà perdu.", disait Peter Lee, un cadre exécutif chez Disney. Sans nécessairement aller jusqu'à se joindre aux actions des groupes cités ci-dessus, le plus urgent reste de s'informer, et d'informer les autres. Et, lorsque vous achetez un CD, de la musique, ou un film, c'est à vous de vérifier que l'emballage ou les conditions générales de vente n'indiquent pas la présence d'un DRM, et garantissent donc que vous pourrez lire sans restriction le fichier que vous achetez (encore que leur présence ne soit malheureusement pas toujours précisée...). Pour décider ce que vous voulez acheter, vous considériez jusqu'à présent son prix et sa qualité : il faudra maintenant ajouter la présence ou l'absence d'un DRM, qui peut vous interdire la copie privée et occasionner tous les désagréments étudiés précédemment. Sans oublier la question des nouveautés : Windows Vista, la HD, le Blu-Ray, le HD-DVD, et ainsi de suite. Avant de céder aux sirènes du "plus simple, plus nouveau, plus mieux", vérifiez que ces géniales innovations ne sont pas qu'un prétexte pour vous faire dépenser de l'argent et pour vous surveiller et vous restreindre davantage dans l'utilisation que vous faites de ces produits. Les maisons de disques, les grandes entreprises sont prêtes à tout pour prendre le contrôle de vos données et pour espionner vos actions - à vous de les en empêcher. Sources : Wikipédia. [En ligne]. Wikimedia Foundation, 2006 [consulté le 8 octobre 2006]. Disponible à l'adresse : http://fr.wikipedia.org/ Wikipedia. [En ligne]. Wikimedia Foundation, 2006 [consulté le 8 octobre 2006]. Disponible à l'adresse : http://en.wikipedia.org/ A Five Minute Guide to Opposing DRM. [En ligne]. Bruce Byfield, 2006 [consulté le 8 octobre 2006]. Disponible à l'adresse : http://www.linuxjournal.com/node/1000073 Loi n° 2006-961 du 1er août 2006 relative au droit d'auteur et aux droits voisins dans la société de l'information. Pourquoi les DRM ne sont pas le diable ? [En ligne]. Syndicat National de l'Édition Phonographique, 2006 [consulté le 8 octobre 2006]. Disponible à l'adresse : http://www.disqueenfrance.com/internet/drm.htm StopDRM! [En ligne]. StopDRM, 2006 [consulté le 8 octobre 2006]. Disponible à l'adresse : http://stopdrm.info/ DefectiveByDesign.org. [En ligne]. Free Software Foundation, Inc., 2006 [consulté le 8 octobre 2006]. Disponible à l'adresse : http://defectivebydesign.org/ Eucd.info. [En ligne]. FSF France, 2006. [consulté le 8 octobre 2006]. Disponible à l'adresse : http://eucd.info/ Copyright © 2006-2007 Antoine Amarilli This work is licensed under the Creative Commons Attribution-Share Alike 3.0 License. To view a copy of this license, visit http://creativecommons.org/licenses/by-sa/3.0/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.