DRM : le W3C standardise les Encrypted Media Extensions, l’EFF fait appel

Le W3C a donc mis un point final aux EME, un nouveau standard qui se veut une infrastructure de référence pour la gestion des DRM sur le web. L’EFF ne décolère pas et a déjà annoncé son intention de faire appel de la décision. Dans la pratique, cette étape ne bousculera pas les habitudes.

Les Encrypted Media Extensions n’ont, en pratique, rien de nouveau. Elles sont dans les tuyaux du World Wide Web Consortium (W3C) depuis plus de cinq ans, et font débat depuis aussi longtemps.

L’approche du W3C se veut depuis le début assez pragmatique. Le consortium répète en effet depuis le début que les DRM ne vont dans tous les cas pas disparaître. Plutôt que de laisser chacun faire ce qu’il veut dans ce domaine et se tourner vers des plugins comme Flash et Silverlight, pourquoi dès lors ne pas proposer une architecture commune qui permettrait aux éditeurs de navigateurs et de contenus de fonctionner sur le même modèle ?

Mais les EME comportent pour bon nombre d’acteurs un problème inhérent : en dépit de ses bonnes intentions, la technologie sacralise en quelque sorte les DRM, puisqu’en les canalisant, ils leur ouvrent une autoroute officielle. N'en déplaise aux critiques, les Extensions sont désormais un standard.

Les EME, pour harmoniser les pratiques

Quand l’idée d'un standard de référence pour les DRM a émergé au W3C, les mesures de protection des contenus étaient gérées par chaque entreprise comme elle le pouvait (ou voulait). Chacun y allait de sa propre solution, les technologies Flash et Silverlight étant en première ligne.

La situation ennuyait passablement l’organe de standardisation. Non seulement les pratiques étaient multiples, mais elles prolongeaient l’existence de solutions que beaucoup souhaitaient voir disparaître. Les plugins étaient en effet condamnés, notamment à cause des problèmes de sécurité qu’ils engendraient. Ce sont pour rappel des binaires fermés dont les éditeurs de navigateurs se méfient depuis longtemps, car ils n’ont pas de prise sur ce qui s’est révélé finalement être des réserves de failles de sécurité.

Comme indiqué, le discours du W3C était alors pragmatique : il est impossible que les éditeurs de contenus renoncent aux DRM, alors autant harmoniser les pratiques. C’est ce que sont les EME. Elles mettent en place un canal de communication entre le navigateur et l’agent en charge des DRM. Si vous utilisez Netflix ou YouTube, vous faites déjà face aux EME.

Ces dernières se basent sur les Media Source Extensions, qui permettent d’adapter le flux aux conditions de la connexion ou de l’appareil servant à le lire. Elles se présentent aux développeurs comme une API (Application Programming Interface) permettant d’interagir avec les DRM de manière prévisible pour le navigateur, qui peut donc tabler en retour sur un lot commun de fonctions pour gérer les contenus multimédias.

Le point important est que les EME ne sont pas elles-mêmes des DRM mais définissent un cadre dans lequel ils peuvent s’ébattre. Mais l’approche du W3C ne fait clairement pas l’unanimité.

L’EFF va faire appel de la décision

Depuis plus de cinq ans, les critiques pleuvent sur les EME. Pour l’Electronic Frontier Foundation (EFF) notamment, il n’est pas dans les prérogatives du W3C de sacraliser les DRM, qui constituent une menace pour certaines libertés, tout en provoquant d’éventuels problèmes de sécurité.

Dans une réaction publiée en fin de semaine dernière, la fondation s’inquiète tout particulièrement des chercheurs en sécurité qui trouveraient des failles dans les agents DRM utilisés par les éditeurs de contenus, comme Adobe et Google. Aux États-Unis, le DMCA punit ainsi tous ceux qui contournent des technologies de sécurité, les DRM chiffrant les données. Comment donc le W3C pourrait-il entériner un tel système ?

Les autres critiques sont nombreuses. Par exemple, les éditeurs de contenus peuvent décider de manière unilatérale si un utilisateur a le droit de regarder un contenu. Problèmes d’accessibilité, de compétition ou de licences sont également évoqués.

Mais il y a un point sur lequel l’EFF ne décolère pas. Si elle ne remet pas en cause le bien-fondé du concept central des EME, elle estime que le W3C aurait pu aller beaucoup plus loin dans le contrôle des DRM. Elle avait donc proposé que les membres s’engagent officiellement à n’attaquer en justice que ceux qui enfreignaient le copyright. En d’autres termes, laisser tranquille ceux qui le faisaient pour des questions de sécurité et d’accessibilité.

Cette mesure, soutenue par bon nombre d’acteurs – Unesco, Internet Archive, chercheurs en sécurité, associations, Open Source Initiative – a provoqué une scission dans le groupe de travail. L’EFF indique que les promoteurs des DRM ont quitté la table des négociations, poussant le W3C à garder le futur standard en l’état. Le Center for Democracy and Technology a proposé par la suite de n’appliquer cette idée qu’aux recherches en sécurité, mais Netflix ne voulait pas en entendre parler.

Finalement, le W3C recommande simplement aux entreprises concernées de ne pas appliquer la clause de protection du DMCA aux chercheurs en sécurité qui trouveraient des failles. Mais il ne s’agit que d’un conseil, jugé très insuffisant par l’EFF. La fondation a donc décidé de faire appel pour faire annuler le passage en recommandation, via un processus interne au W3C.

Pour le W3C, le travail avait déjà pris trop de temps

Le consortium s’attendait naturellement à ce type de critiques, puisqu’elles n’ont jamais cessé ces dernières années. Philippe Le Hégaret (qui gère l’avancée des projets au W3C) a donné dans la foulée sa position, la même d’ailleurs que celle du directeur, Tim Berners-Lee : la gestation des EME n’avait que trop duré.

Pour Le Hégaret, il était évident que le standard ne ferait jamais l’unanimité. Selon lui, Berners-Lee aurait longuement examiné le dossier, jugeant que la plupart des critiques avaient été déjà réglées, tout en mettant de côté les autres. Il n’était ainsi plus question de retarder le passage en recommandations et de perdre encore du temps en discussions.

Quel impact pour la situation actuelle ?

Aucun, ou presque. Dans la pratique en effet, de très nombreux éditeurs se servaient déjà d’un brouillon des EME, améliorant le support du standard au fur et à mesure de ses développements. Un choix pas très différent de ce que l’on peut voir par exemple avec le Wi-Fi, les constructeurs n’attendant jamais la standardisation finale pour supporter les nouvelles normes.

En d’autres termes, un utilisateur de YouTube ou Netflix ne verra aucune différence. La version finale étant pratiquement identique à la dernière version de travail, les changements ne seront que peu nombreux. Tous les navigateurs les supportent depuis 2015.

Notez dans tous les cas que les EME, à l’instar du HTML5, sont un standard amené à évoluer. Il y aura des points à retravailler, à améliorer, à renforcer, et ainsi de suite. Tout n’est donc pas perdu pour ceux qui aimeraient rendre le standard plus contraignant.