Directive copyright : pourquoi l’échec, comment lutter

Oui, le vote de la directive Copyright est encore un violent coup contre les libertés numériques chères aux libristes. Notre mobilisation a-t-elle manqué de vigueur pour alerter les députés européens et faire pression sur leur vote ? 

Ont-ils été plus réceptifs une fois encore au puissant lobbying combiné de l’industrie du divertissement, des médias traditionnels et des ayants droit ? Outre ces hypothèses et sans les exclure, Cory Doctorow, militant de longue date (dont nous traduisons les articles depuis longtemps) pense qu’il existe chez les eurodéputés une sorte d’ignorance doublée d’une confiance naïve dans les technologies numériques.

Dans l’article dont Framalang vous propose la traduction, il expose également les conséquences concrètes de la calamiteuse Directive Copyright1 pour tous les internautes, et particulièrement les créateurs indépendants. Enfin, sans en masquer le niveau de difficulté, il indique les points d’appui d’une lutte qui demeure possible, et qui doit être incessante, au-delà des prétendues « victoires » et « défaites ».

Aujourd’hui, L’Europe a perdu Internet. Maintenant, nous contre-attaquons.

par Cory Doctorow

Article original sur le site de l’EFFToday, Europe Lost The Internet. Now, We Fight Back.

Traduction Framalang : rama, Sonj, FranBAG, goofy, hello, Util-Alan, dr4Ke, Savage, david, Piup

La semaine dernière, lors d’un vote qui a divisé presque tous les grands partis de l’Union européenne, les députés européens ont adopté toutes les terribles propositions de la nouvelle directive sur le droit d’auteur et rejeté toutes les bonnes, ouvrant la voie à la surveillance de masse automatisée et à la censure arbitraire sur Internet : cela concerne aussi bien les messages – comme les tweets et les mises à jour de statut sur Facebook – que les photos, les vidéos, les fichiers audio, le code des logiciels – tous les médias qui peuvent être protégés par le droit d’auteur.

 

Trois propositions ont été adoptées par le Parlement européen, chacune d’entre elles est catastrophique pour la liberté d’expression, la vie privée et les arts :

1. Article 13 : les filtres de copyright. Toutes les plateformes, sauf les plus petites, devront adopter défensivement des filtres de copyright qui examinent tout ce que vous publiez et censurent tout ce qu’ils jugent être une violation du copyright.

2. Article 11 : il est interdit de créer des liens vers les sites d’information en utilisant plus d’un mot d’un article, à moins d’utiliser un service qui a acheté une licence du site vers lequel vous voulez créer un lien. Les sites d’information peuvent faire payer le droit de les citer ou le refuser, ce qui leur donne effectivement le droit de choisir qui peut les critiquer. Les États membres ont la possibilité, sans obligation, de créer des exceptions et des limitations pour réduire les dommages causés par ce nouveau droit.

3. Article 12a : pas d’affichage en ligne de vos propres photos ou vidéos de matchs sportifs. Seuls les « organisateurs » d’événements sportifs auront le droit d’afficher publiquement tout type d’enregistrement d’un match. Pas d’affichage de vos selfies sur fond de spectacle, ou de courtes vidéos de pièces de théâtre passionnantes. Vous êtes le public, votre travail est de vous asseoir là où on vous le dit, de regarder passivement le match et de rentrer chez vous.

Au même moment, l’UE a rejeté jusqu’à la plus modeste proposition pour adapter le droit d’auteur au vingt-et-unième siècle :

1. Pas de « liberté de panorama ». Quand nous prenons des photos ou des vidéos dans des espaces publics, nous sommes susceptibles de capturer incidemment des œuvres protégées par le droit d’auteur : depuis l’art ordinaire dans les publicités sur les flancs des bus jusqu’aux T-shirts portés par les manifestants, en passant par les façades de bâtiments revendiquées par les architectes comme étant soumises à leur droit d’auteur. L’UE a rejeté une proposition qui rendrait légal, à l’échelle européenne, de photographier des scènes de rue sans craindre de violer le droit d’auteur des objets en arrière-plan ;

2. Pas de dispense pour les « contenus provenant des utilisateurs », ce qui aurait permis aux États membres de l’UE de réserver une exception au droit d’auteur à l’utilisation d’extraits d’œuvres pour « la critique, la revue, l’illustration, la caricature, la parodie ou le pastiche. »

J’ai passé la majeure partie de l’été à discuter avec des gens qui sont très satisfaits de ces négociations, en essayant de comprendre pourquoi ils pensaient que cela pourrait être bon pour eux. Voilà ce que j’ai découvert.

Ces gens ne comprennent rien aux filtres. Vraiment rien.

L’industrie du divertissement a convaincu les créateurs qu’il existe une technologie permettant d’identifier les œuvres protégées par le droit d’auteur et de les empêcher d’être montrées en ligne sans une licence appropriée et que la seule chose qui nous retient est l’entêtement des plateformes.

La réalité, c’est que les filtres empêchent principalement les utilisateurs légitimes (y compris les créateurs) de faire des choses légitimes, alors que les véritables contrefacteurs trouvent ces filtres faciles à contourner.

En d’autres termes : si votre activité à plein temps consiste à comprendre comment fonctionnent les filtres et à bidouiller pour les contourner, vous pouvez devenir facilement expert⋅e dans ce domaine. Les filtres utilisés par le gouvernement chinois pour bloquer les images, par exemple, peuvent être contournés par des mesures simples.

Cependant, ces filtres sont mille fois plus efficaces que des filtres de copyright, parce qu’ils sont très simples à mettre en œuvre, tandis que leurs commanditaires ont d’immenses moyens financiers et techniques à disposition.

Mais si vous êtes un photographe professionnel, ou juste un particulier qui publie son propre travail, vous avez mieux à faire que de devenir un super combattant anti-filtre. Quand un filtre se trompe sur votre travail et le bloque pour violation du copyright, vous ne pouvez pas simplement court-circuiter le filtre avec un truc clandestin : vous devez contacter la plateforme qui vous a bloqué⋅e, vous retrouvant en attente derrière des millions d’autres pauvres gogos dans la même situation que vous.

Croisez les doigts et espérez que la personne surchargée de travail qui prendra votre réclamation en compte décidera que vous êtes dans votre droit.

Bien évidemment, les grosses entreprises du divertissement et de l’information ne sont pas inquiétées par ce résultat : elles ont des points d’entrée directe dans les plateformes de diffusion de contenus, des accès prioritaires aux services d’assistance pour débloquer leurs contenus quand ceux-ci sont bloqués par un filtre. Les créateurs qui se rallieront aux grandes sociétés du divertissement seront ainsi protégés des filtres – tandis que les indépendants (et le public) devront se débrouiller seuls.

Ils sous-estiment lourdement l’importance de la concurrence pour améliorer leur sort.

La réalisation des filtres que l’UE vient d’imposer coûtera des centaines de millions de dollars. Il y a très peu d’entreprises dans le monde qui ont ce genre de capital : les géants de la technologie basés aux États-Unis ou en Chine et quelques autres, comme VK en Russie.

L’obligation de filtrer Internet impose un seuil plancher à l’éventuel fractionnement des grandes plateformes par les régulateurs anti-monopole : puisque seules les plus grandes entreprises peuvent se permettre de contrôler l’ensemble du réseau à la recherche d’infractions, elles ne pourront pas être forcées à se séparer en entités beaucoup plus petites. La dernière version de la directive prévoit des exemptions pour les petites entreprises, mais celles-ci devront rester petites ou anticiper constamment le jour où elles devront elles-mêmes endosser le rôle de police du droit d’auteur. Aujourd’hui, l’UE a voté pour consolider le secteur des technologies, et ainsi pour rendre beaucoup plus difficile le fonctionnement des créateurs indépendants. Nous voyons deux grandes industries, faisant toutes deux face à des problèmes de compétitivité, négocier un accord qui fonctionne pour elles, mais qui diminuera la concurrence pour le créateur indépendant pris entre les deux. Ce qu’il nous fallait, c’était des solutions pour contrer le renforcement des industries de la technologie comme de celles de la création : au lieu de cela, nous avons obtenu un compromis qui fonctionne pour elles, mais qui exclut tout le reste.

Comment a-t-on pu en arriver à une situation si désastreuse ?

Ce n’est pas difficile à comprendre, hélas. Internet fait partie intégrante de tout ce que nous faisons, et par conséquent, chaque problème que nous rencontrons a un lien avec Internet. Pour les gens qui ne comprennent pas bien la technologie, il y a un moyen naturel de résoudre tout problème : « réparer la technologie ».

Dans une maxime devenue célèbre, Arthur C. Clarke affirmait que « toute technologie suffisamment avancée est indiscernable de la magie ». Certaines réalisations technologiques semblent effectivement magiques, il est naturel d’être témoin de ces miracles du quotidien et d’estimer que la technologie peut tout faire.

L’incapacité à comprendre ce que la technologie peut ou ne peut pas faire est la source d’une infinité d’erreurs : depuis ceux qui affirment hâtivement que les machines à voter connectées peuvent être suffisamment sécurisées pour être utilisées lors d’une élection nationale ; aux officiels qui claironnent qu’il est possible de créer un système de chiffrement qui empêche les truands d’accéder à nos données, mais autorise la police à accéder aux données des truands ; en passant par la croyance que le problème de la frontière irlandaise post-Brexit peut être « solutionné » par de vagues mesures techniques.

Dès que quelques puissants décideurs des industries du divertissement ont été persuadés que le filtrage massif était possible et sans conséquence néfaste, cette croyance s’est répandue, et quand les spécialistes (y compris les experts qui font autorité sur le sujet) disent que ce n’est pas possible, ils sont accusés d’être bornés et de manquer de vision, pas d’apporter un regard avisé sur ce qui est possible ou non.

C’est un schéma assez familier, mais dans le cas de la directive européenne sur le copyright, il y a eu des facteurs aggravants. Lier un amendement sur les filtres de copyright à une proposition de transfert de quelques millions d’euros des géants de l’informatique vers les propriétaires de médias a garanti une couverture médiatique favorable de la part de la presse, qui cherche elle-même une solution à ses problèmes.

Enfin, le problème est qu’Internet favorise une sorte de vision étriquée par laquelle nous avons l’illusion que la petite portion du Net que nous utilisons en constitue la totalité. Internet gère des milliards de communications publiques chaque jour : vœux de naissance et messages de condoléances, signalement de fêtes et réunions prochaines, campagnes politiques et lettres d’amour. Un petit bout, moins d’un pour cent, de ces communications constitue le genre de violation du droit d’auteur visé par l’article 13, mais les avocats de cet article insistent pour dire que le « but premier » de ces plateformes est de diffuser des œuvres protégées par le droit d’auteur.

Il ne fait aucun doute que les gens de l’industrie du divertissement interagissent avec beaucoup d’œuvres de divertissement en ligne, de la même façon que la police voit beaucoup de gens qui utilisent Internet pour planifier des crimes, et les fashionistas voient beaucoup de gens qui utilisent Internet pour montrer leurs tenues.

L’Internet est plus vaste qu’aucun⋅e d’entre nous ne peut le concevoir, mais cela ne signifie pas que nous devrions être indifférent⋅e⋅s à tous les autres utilisateurs d’Internet et à ce qu’ils perdent lorsque nous poursuivons nos seuls objectifs, aux dépens du reste du monde numérique.

Le vote récent de la directive sur le copyright ne rend pas seulement la vie plus difficile aux créateurs, en donnant une plus grande part de leurs revenus à Big contenus et Big techno – il rend la vie plus difficile pour nous tous. Hier, un spécialiste d’un syndicat de créateurs dont je suis membre m’a dit que leur travail n’est pas de « protéger les gens qui veulent citer Shakespeare » (qui pourraient être bloqués par l’enregistrement bidon de ses œuvres dans les filtres du droit d’auteur) – mais plutôt de protéger les intérêts des photographes du syndicat dont l’œuvre est « volée ». Non seulement l’appui de mon syndicat à cette proposition catastrophique ne fait aucun bien aux photographes, mais il causera aussi d’énormes dommages à ceux dont les communications seront prises entre deux feux. Même un taux d’erreur de seulement un pour cent signifie encore des dizaines de millions d’actes de censure arbitraire, chaque jour.

Alors, que faut-il faire ?

En pratique, il existe bien d’autres opportunités pour les Européens d’influencer leurs élu⋅es sur cette question.

* Tout de suite : la directive rentre dans une phase de « trilogues » , des réunions secrètes, à huis clos, entre les représentants des gouvernements nationaux et de l’Union européenne ; elles seront difficiles à influencer, mais elles détermineront le discours final présenté au parlement pour le prochain vote (difficulté : 10/10).

* Au printemps prochain, le Parlement européen votera sur le discours qui ressort de ces trilogues. Il est peu probable qu’ils puissent étudier le texte plus en profondeur, on passera donc à un vote sur la directive proprement dite. Il est très difficile de contrecarrer la directive à ce stade (difficulté : 8/10).

* Par la suite les 28 États membres devront débattre et mettre en vigueur leurs propres versions de la législation. Sous bien des aspects, il sera plus difficile d’influencer 28 parlements distincts que de régler le problème au niveau européen, quoique les membres des parlements nationaux seront plus réceptifs aux arguments d’internautes isolés, et les victoires obtenues dans un pays peuvent être mises à profit dans d’autres (« Tu vois, ça a marché au Luxembourg. On n’a qu’à faire la même chose. ») (difficulté : 7/10).

* À un moment ou à un autre : contestations judiciaires. Étant donné l’ampleur de ces propositions, les intérêts en jeu et les questions non résolues sur la manière d’équilibrer tous les droits en jeu, nous pouvons nous attendre à ce que la Cour de justice européenne soit saisie de cette question. Malheureusement, les contestations judiciaires sont lentes et coûteuses (difficulté : 7/10).

En attendant, des élections européennes se profilent, au cours desquelles les politiciens de l’UE devront se battre pour leur emploi. Il n’y a pas beaucoup d’endroits où un futur membre du Parlement européen peut gagner une élection en se vantant de l’expansion du droit d’auteur, mais il y a beaucoup d’adversaires électoraux potentiels qui seront trop heureux de faire campagne avec le slogan « Votez pour moi, mon adversaire vient de casser Internet » ;

Comme nous l’avons vu dans le combat pour la neutralité du Net aux USA, le mouvement pour protéger l’Internet libre et ouvert bénéficie d’un large soutien populaire et peut se transformer en sujet brûlant pour les politiciens.

Écoutez, on n’a jamais dit que notre combat se terminerait par notre « victoire » définitive – le combat pour garder l’Internet libre, juste et ouvert est toujours en cours.

Tant que les gens auront :

a) des problèmes,

b) liés de près ou de loin à Internet,

il y aura toujours des appels à casser/détruire Internet pour tenter de les résoudre.

Nous venons de subir un cuisant revers, mais cela ne change pas notre mission. Se battre, se battre et se battre encore pour garder Internet ouvert, libre et équitable, pour le préserver comme un lieu où nous pouvons nous organiser pour mener les autres luttes qui comptent, contre les inégalités et les trusts, les discriminations de race et de genre, pour la liberté de la parole et de la légitimité démocratique.

Si ce vote avait abouti au résultat inverse, nous serions toujours en train de nous battre aujourd’hui. Et demain. Et les jours suivants.

La lutte pour préserver et restaurer l’Internet libre, équitable et ouvert est une lutte dans laquelle vous vous engagez, pas un match que vous gagnez. Les enjeux sont trop élevés pour faire autrement.

*   *   *

Pour donner suite à cette lecture, nous vous recommandons l’article de Calimaq dont le titre est un peu à contre-courant : La directive Copyright n’est pas une défaite pour l’Internet Libre et Ouvert !




La FIFA ne veut pas qu’on danse de joie devant sa télé

Le football déclenche en ce moment même de féroces passions, mais aussi la rapacité de la FIFA. Voici un fait-divers qui l’illustre, il est digne de figurer dans le célèbre Copyright Madness de Numerama… c’est à la fois drôle et consternant.

Danser devant sa télé ? Pas question, dit la FIFA 

Source : FIFA Is Not Okay With Dancing In Front of the TV

Traduction Framalang : wyatt, simon, goofy

Nous voilà en pleine Coupe du monde de foot. Ça veut dire qu’on marque des buts. Et chaque but marqué donne lieu à une célébration enthousiaste. Voici par exemple une compilation (lien vers YouTube) de fans de football aux États-Unis qui fêtent un but de la dernière minute pendant la Coupe du monde de 2010. Ah, que de souvenirs.

Eh bien pourtant, la FIFA ne semble pas aimer que les fans de foot fêtent les victoires devant leur écran de télé. Cet organisme vient d’envoyer une mise en demeure de retrait pour une vidéo de 5 secondes montrant un petit garçon qui danse de joie dans le salon familial.

On distingue à l’arrière-plan l’écran de télévision dont l’image a été floutée depuis

 

Suite à un but marqué pendant le match Angleterre-Tunisie, Kathryn Conn a mis en ligne une vidéo de 5 secondes de son fils de 7 ans qui fête le but. Mrs Conn a expliqué que son fils est un« fan absolu des Spurs et qu’il voue littéralement un culte à Harry Kane, donc il s’est mis à danser de joie dans le salon. Malheureusement, la danse s’est déroulée devant l’écran de télévision qui diffusait encore le match. Et s’il y a une chose avec laquelle la FIFA ne rigole pas du tout, c’est bien leur copyright.

Mrs Conn raconte que le lendemain matin au réveil elle s’est rendu compte que la vidéo avait été supprimée de Twitter accompagnée d’un avertissement indiquant que c’était dû à une demande de retrait relative au DMCA (Digital Millennium Copyright Act) venant de la FIFA, laquelle était apparemment très ennuyée qu’une image floue en arrière-plan d’une partie de football dans une vidéo de 5 secondes puisse influer sur l’audience de l’événement sportif le plus attendu à la télé britannique en 2018.

Hmmm. un gamin qui danse dans une brève vidéo avec du matériel sous copyright en arrière-plan ? Nous espérons que ça ne prendra pas 10 ans de procédure comme dans l’affaire du bébé dansant pour que la FIFA en tire la leçon. La FIFA devrait respecter le fair use (usage raisonnable et acceptable) et respecter ses propres fans aussi…

 




Hommage à John P. Barlow

Gee utilise souvent ses BD pour critiquer assez vertement les GAFAM… mais aujourd’hui, il a préféré nous résumer la vie de John P. Barlow, un grand monsieur d’Internet qui nous a quittés il y a peu.

Lire aussi :

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)




Qui veut cadenasser le Web ?

Durant longtemps, des canaris et des pinsons ont travaillé dans les mines de charbon. Ces oiseaux étaient utilisés pour donner l’alarme quand les émanations de monoxyde de carbone se faisaient menaçantes.

Dès qu’ils battaient des ailes ou se hérissaient voire mouraient, les mineurs étaient avertis de la présence du gaz avant qu’eux-mêmes ne la perçoivent. Depuis, les alarmes électroniques ont pris le relais, évitant ainsi le sacrifice de milliers d’oiseaux.

(source)

Pour Cory Doctorow (faut-il encore présenter cet écrivain et militant des libertés numériques ?), le canari mort dans la mine, c’est le W3C qui a capitulé devant les exigences de l’industrie du divertissement et des médias numériques.

Il fait le bilan des pressions qui se sont exercées, explique pourquoi l’EFF a quitté le W3C et suggère comment continuer à combattre les verrous numériques inefficaces et dangereux.

Avant de commencer la lecture, vous pourriez avoir besoin d’identifier les acronymes qu’il mentionne fréquemment :

EFF : une organisation non-gouvernementale (Electronic Frontier Foundation) et internationale qui milite activement pour les droits numériques, notamment sur le plan juridique et par des campagnes d’information et de mobilisation. En savoir plus sur la page Wikipédia

W3C : un organisme a but non lucratif (World Wide Web Consortium) qui est censé proposer des standards des technologies du Web pour qu’elles soient compatibles. En savoir plus sur la page Wikipédia

DRM : la gestion des droits numériques (Digital Rights Management). Les DRM visent à contrôler l’utilisation des œuvres numériques. En savoir plus sur la page Wikipédia

EME : des modules complémentaires (Encrypted Media Extensions) créés par le W3C qui permettent aux navigateurs d’accéder aux contenus verrouillés par les DRM. En savoir plus sur la page Wikipédia

Traduction Framalang : FranBAG, simon, jums, Moutmout, Lumibd, Makoto242, redmood, Penguin, goofy

(article original sur le site de l’EFF)

Alerte aux DRM : comment nous venons de perdre le Web, ce que nous en avons appris , et ce que nous devons faire désormais

Par CORY DOCTOROW

Cory Doctorow (CC-BY-SA Jonathan Worth)

L’EFF s’est battue contre les DRM et ses lois depuis une quinzaine d’années, notamment dans les affaires du « broadcast flag » américain, du traité de radiodiffusion des Nations Unies, du standard européen DVB CPCM, du standard EME du W3C, et dans de nombreuses autres escarmouches, batailles et même guerres au fil des années. Forts de cette longue expérience, voici deux choses que nous voulons vous dire à propos des DRM :

1. Tout le monde sait dans les milieux bien informés que la technologie DRM n’est pas pertinente, mais que c’est la loi sur les DRM qui est décisive ;
2. La raison pour laquelle les entreprises veulent des DRM n’a rien à voir avec le droit d’auteur.

Ces deux points viennent d’être démontrés dans un combat désordonné et interminable autour de la standardisation des DRM dans les navigateurs, et comme nous avons consacré beaucoup d’argent et d’énergie à ce combat, nous aimerions retirer des enseignements de ces deux points, et fournir une feuille de route pour les combats à venir contre les DRM.

Les DRM : un échec technologique, une arme létale au plan légal

Voici, à peu près, comment fonctionnent les DRM : une entreprise veut fournir à un client (vous) un contenu dématérialisé (un film, un livre, une musique, un jeu vidéo, une application…) mais elle veut contrôler ce que vous faites avec ce contenu une fois que vous l’avez obtenu.

Alors elles chiffrent le fichier. On adore le chiffrement. Parce que ça fonctionne. Avec relativement peu d’efforts, n’importe qui peut chiffrer un fichier de sorte que personne ne pourra jamais le déchiffrer à moins d’obtenir la clef.

Supposons qu’il s’agisse de Netflix. Ils vous envoient un film qui a été chiffré et ils veulent être sûrs que vous ne pouvez pas l’enregistrer ni le regarder plus tard depuis votre disque dur. Mais ils ont aussi besoin de vous donner un moyen de voir le film. Cela signifie qu’il faut à un moment déchiffrer le film. Et il y a un seul moyen de déchiffrer un fichier qui a été entièrement chiffré : vous avez besoin de la clef.

Donc Netflix vous donne aussi la clef de déchiffrement.

Mais si vous avez la clef, vous pouvez déchiffrer les films de Netflix et les enregistrer sur votre disque dur. Comment Netflix peut-il vous donner la clef tout en contrôlant la façon dont vous l’utilisez ?

Netflix doit cacher la clef, quelque part dans votre ordinateur, dans une extension de navigateur ou une application par exemple. C’est là que la technologie atteint ses limites. Bien cacher quelque chose est difficile. Mais bien cacher quelque chose dans un appareil que vous donnez à votre adversaire pour qu’il puisse l’emporter avec lui et en faire ce qu’il veut, c’est impossible.

Peut-être ne pouvez-vous pas trouver les clefs que Netflix a cachées dans votre navigateur. Mais certains le peuvent : un étudiant en fin d’études qui s’ennuie pendant un week-end, un génie autodidacte qui démonte une puce dans son sous-sol, un concurrent avec un laboratoire entier à sa disposition. Une seule minuscule faille dans la fragile enveloppe qui entoure ces clefs et elles sont libérées !

Et une fois que cette faille est découverte, n’importe qui peut écrire une application ou une extension de navigateur avec un bouton « sauvegarder ». C’est l’échec et mat pour la technologie DRM (les clés fuitent assez souvent, au bout d’un temps comparable à celui qu’il faut aux entreprises de gestion des droits numériques pour révoquer la clé).

Il faut des années à des ingénieurs talentueux, au prix de millions de dollars, pour concevoir des DRM. Qui sont brisés au bout de quelques jours, par des adolescents, avec du matériel amateur. Ce n’est pas que les fabricants de DRM soient stupides, c’est parce qu’ils font quelque chose de stupide.

C’est là qu’intervient la loi sur les DRM, qui donne un contrôle légal plus puissant et plus étendu aux détenteurs de droits que les lois qui encadrent n’importe quel autre type de technologie. En 1998, le Congrès a adopté le Digital Milennium Copyright Act, DCMA dont la section 1201 prévoit une responsabilité pénale pour quiconque contourne un système de DRM dans un but lucratif : 5 ans d’emprisonnement et une amende de 500 000 $ pour une première infraction. Même le contournement à des fins non lucratives des DRM peut engager la responsabilité pénale. Elle rend tout aussi dangereux d’un point de vue légal le simple fait de parler des moyens de contourner un système de DRM.

Ainsi, la loi renforce les systèmes de DRM avec une large gamme de menaces. Si les gens de Netflix conçoivent un lecteur vidéo qui n’enregistrera pas la vidéo à moins que vous ne cassiez des DRM, ils ont maintenant le droit de porter plainte – ou faire appel à la police – contre n’importe quel rival qui met en place un meilleur service de lecture vidéo alternatif, ou un enregistreur de vidéo qui fonctionne avec Netflix. De tels outils ne violent pas la loi sur le droit d’auteur, pas plus qu’un magnétoscope ou un Tivo, mais puisque cet enregistreur aurait besoin de casser le DRM de Netflix, la loi sur les DRM peut être utilisée pour le réduire au silence.

La loi sur les DRM va au-delà de l’interdiction du contournement de DRM. Les entreprises utilisent aussi la section 1201 de la DMCA pour menacer des chercheurs en sécurité qui découvrent des failles dans leurs produits. La loi devient une arme qu’ils peuvent pointer sur quiconque voudrait prévenir leurs consommateurs (c’est toujours vous) que les produits auxquels vous faites confiance sont impropres à l’usage. Y compris pour prévenir les gens de failles dans les DRM qui pourraient les exposer au piratage.

Et il ne s’agit pas seulement des États-Unis, ni du seul DCMA. Le représentant du commerce international des États-Unis a « convaincu » des pays dans le monde entier d’adopter une version de cette règle.

Les DRM n’ont rien à voir avec le droit d’auteur

La loi sur les DRM est susceptible de provoquer des dommages incalculables. Dans la mesure où elle fournit aux entreprises le pouvoir de contrôler leurs produits après les avoir vendus, le pouvoir de décider qui peut entrer en compétition avec elles et sous quelles conditions, et même qui peut prévenir les gens concernant des produits défectueux, la loi sur les DRM constitue une forte tentation.

Certaines choses ne relèvent pas de la violation de droits d’auteur : acheter un DVD pendant que vous êtes en vacances et le passer quand vous arrivez chez vous. Ce n’est de toute évidence pas une violation de droits d’auteur d’aller dans un magasin, disons à New Delhi, d’acheter un DVD et de le rapporter chez soi à Topeka. L’ayant droit a fait son film, l’a vendu au détaillant, et vous avez payé au détaillant le prix demandé. C’est le contraire d’une violation de droits d’auteur. C’est l’achat d’une œuvre selon les conditions fixées par l’ayant droit. Mais puisque le DRM vous empêche de lire des disques hors-zone sur votre lecteur, les studios peuvent invoquer le droit d’auteur pour décider où vous pouvez consommer les œuvres sous droit d’auteur que vous avez achetées en toute honnêteté.

D’autres non-violations : réparer votre voiture (General Motors utilise les DRM pour maîtriser qui peut faire un diagnostic moteur, et obliger les mécaniciens à dépenser des dizaines de milliers de dollars pour un diagnostic qu’ils pourraient sinon obtenir par eux-mêmes ou par l’intermédiaire de tierces parties); recharger une cartouche d’encre (HP a publié une fausse mise à jour de sécurité qui a ajouté du DRM à des millions d’imprimantes à jet d’encre afin qu’elles refusent des cartouches reconditionnées ou venant d’un tiers), ou faire griller du pain fait maison (même si ça ne s’est pas encore produit, rien ne pourrait empêcher une entreprise de mettre des DRM dans ses grille-pains afin de contrôler la provenance du pain que vous utilisez).

Ce n’est pas non plus une violation du droit d’auteur de regarder Netflix dans un navigateur non-approuvé par Netflix. Ce n’est pas une violation du droit d’auteur d’enregistrer une vidéo Netflix pour la regarder plus tard. Ce n’est pas une violation du droit d’auteur de donner une vidéo Netflix à un algorithme qui pourra vous prévenir des effets stroboscopiques à venir qui peuvent provoquer des convulsions potentiellement mortelles chez les personnes atteintes d’épilepsie photosensible.

Ce qui nous amène au W3C

Le W3C est le principal organisme de normalisation du Web, un consortium dont les membres (entreprises, universités, agences gouvernementales, associations de la société civile entre autres) s’impliquent dans des batailles sans fin concernant le meilleur moyen pour tout le monde de fournir du contenu en ligne. Ils créent des « recommandations » (la façon pour le W3C de dire « standards »), ce sont un peu comme des étais invisibles qui soutiennent le Web. Ces recommandations, fruits de négociations patientes et de compromis, aboutissent à un consensus des principaux acteurs sur les meilleures (ou les moins pires) façons de résoudre certains problèmes technologiques épineux.

En 2013, Netflix et quelques autres entreprises du secteur des médias ont convaincu le W3C de commencer à travailler sur un système de DRM pour le Web. Ce système de DRM, Encrypted Media Extensions, constitue un virage à 180 degrés par rapport aux habitudes du W3C. Tout d’abord, les EME ne seraient pas un standard à part entière : l’organisation spécifierait une API au travers de laquelle les éditeurs et les vendeurs de navigateurs pourraient faire fonctionner les DRM, mais le « module de déchiffrement du contenu » (content decryption module, CDM) ne serait pas défini par la norme. Ce qui signifie que les EME n’ont de norme que le nom : si vous lanciez une entreprise de navigateurs en suivant toutes les recommandations du W3C, vous seriez toujours incapables de jouer une vidéo Netflix. Pour cela, vous auriez besoin de la permission de Netflix.

Je n’exagère pas en disant que c’est vraiment bizarre. Les standards du Web existent pour assurer « une interopérabilité sans permission ». Les standards de formatage de texte sont tels que n’importe qui peut créer un outil qui peut afficher les pages du site web du New York Times, les images de Getty ou les diagrammes interactifs sur Bloomberg. Les entreprises peuvent toujours décider de qui peut voir quelles pages de leur site web (en décidant qui possède un mot de passe et quelles parties du site sont accessibles par chaque mot de passe), mais elles ne décident pas de qui peut créer le programme de navigateur web dans lequel vous entrez le mot de passe pour accéder au site.

Un Web où chaque éditeur peut choisir avec quels navigateurs vous pouvez visiter son site est vraiment différent du Web historique. Historiquement, chacun pouvait concevoir un nouveau navigateur en s’assurant qu’il respecte les recommandations du W3C, puis rivaliser avec les navigateurs déjà présents. Et bien que le Web ait toujours été dominé par quelques navigateurs, le navigateur dominant a changé toutes les décennies, de sorte que de nouvelles entreprises ou même des organisations à but non lucratif comme Mozilla (qui a développé Firefox) ont pu renverser l’ordre établi. Les technologies qui se trouvaient en travers de cette interopérabilité sans permission préalable – comme les technologies vidéos brevetées – ont été perçues comme des entraves à l’idée d’un Web ouvert et non comme des opportunités de standardisation.

Quand les gens du W3C ont commencé à créer des technologies qui marchent uniquement quand elles ont reçu la bénédiction d’une poignée d’entreprises de divertissement, ils ont mis leurs doigts – et même leurs mains – dans l’engrenage qui assurera aux géants de la navigation un règne perpétuel.

Mais ce n’est pas le pire. Jusqu’aux EME, les standards du W3C étaient conçus pour donner aux utilisateurs du Web (i.e. vous) plus de contrôle sur ce que votre ordinateur fait quand vous visitez les sites web d’autres personnes. Avec les EME, et pour la toute première fois, le W3C est en train de concevoir une technologie qui va vous enlever ce contrôle. Les EME sont conçus pour autoriser Netflix et d’autres grosses entreprises à décider de ce que fait votre navigateur, même (et surtout) quand vous êtes en désaccord avec ce qui devrait se passer.

Il y a un débat persistant depuis les débuts de l’informatique pour savoir si les ordinateurs existent pour contrôler leurs utilisateurs, ou vice versa (comme le disait l’informaticien visionnaire et spécialiste de l’éducation Seymour Papert « les enfants devraient programmer les ordinateurs plutôt que d’être programmés par eux » – et ça s’applique aussi bien aux adultes). Tous les standards du W3C jusqu’en 2017 ont été en faveur du contrôle des ordinateurs par les utilisateurs. Les EME rompent avec cette tradition. C’est un changement subtil mais crucial.

…et pourquoi le W3C devrait faire ça ?

Aïe aïe aïe. C’est la question à trois milliards d’utilisateurs.

La version de cette histoire racontée par le W3C ressemble un peu à ce qui suit. L’apparition massive des applications a affaibli le Web. À l’époque « pré-applis», le Web était le seul joueur dans la partie, donc les sociétés devaient jouer en suivant ses règles : standards libres, Web libre. Mais maintenant que les applications existent et que presque tout le monde les utilise, les grandes sociétés peuvent boycotter le Web, obligeant leurs utilisateurs à s’orienter vers les applications. Ce qui ne fait qu’accélérer la multiplication des applis, et affaiblit d’autant plus le Web. Les applications ont l’habitude d’implémenter les DRM, alors les sociétés utilisant ces DRM se sont tournées vers les applis. Afin d’empêcher les entreprises du divertissement de tuer le Web, celui-ci doit avoir des DRM également.

Toujours selon cette même théorie, même si ces sociétés n’abandonnent pas entièrement le Web, il est toujours préférable de les forcer à faire leurs DRM en suivant le W3C que de les laisser faire avec les moyens ad hoc. Laissées à elles-mêmes, elles pourraient créer des DRM ne prenant pas en compte les besoins des personnes à handicap, et sans l’influence modératrice du W3C, ces sociétés créeraient des DRM ne respectant pas la vie privée numérique des utilisateurs.

On ne peut pas espérer d’une organisation qu’elle dépense des fortunes pour créer des films ou en acquérir des licences puis distribue ces films de telle sorte que n’importe qui puisse les copier et les partager.

Nous pensons que ces arguments sont sans réel fondement. Il est vrai que le Web a perdu une partie de sa force liée à son exclusivité du début, mais la vérité c’est que les entreprises gagnent de l’argent en allant là où se trouvent leurs clients. Or tous les clients potentiels ont un navigateur, tandis que seul les clients déjà existants ont les applications des entreprises. Plus il y aura d’obstacles à franchir entre vous et vos clients, moins vous aurez de clients. Netflix est sur un marché hyper-compétitif avec des tonnes de nouveaux concurrents (p.ex. Disney), et être considéré comme « ce service de streaming inaccessible via le Web » est un sérieux désavantage.

Nous pensons aussi que les médias et les entreprises IT auraient du mal à se mettre d’accord sur un standard pour les DRM hors W3C, même un très mauvais standard. Nous avons passé beaucoup de temps dans les salles remplies de fumée où se déroulait la standardisation des systèmes de DRM ; la dynamique principale était celles des médias demandant le verrouillage complet de chaque image de chaque vidéo, et des entreprises IT répondant que le mieux que quiconque puisse espérer était un ralentissement peu efficace qu’elles espéraient suffisant pour les médias. La plupart du temps, ces négociations s’effondrent sans arriver nulle part.

Il y a aussi la question des brevets : les entreprises qui pensent que les DRM sont une bonne idée adorent les brevets logiciels, et le résultat est un fouillis sans nom de brevets qui empêchent de parvenir à faire quoi que ce soit. Le mécanisme de regroupement de brevets du W3C (qui se démarque par sa complétude dans le monde des standards et constitue un exemple de la meilleure façon d’accomplir ce genre de choses) a joué un rôle indispensable dans le processus de standardisation des DRM. De plus, dans le monde des DRM, il existe des acteurs-clefs – comme Adobe – qui détiennent d’importants portfolios de brevets mais jouent un rôle de plus en plus réduit dans le monde des DRM (l’objectif avoué du système EME est de « tuer Flash »).

Si les entreprises impliquées devaient s’asseoir à la table des négociations pour trouver un nouvel accord sur les brevets sans le framework du W3C, n’importe laquelle de ces entreprises pourrait virer troll et décider que les autres doivent dépenser beaucoup d’argent pour obtenir une licence sur leurs brevets – elle n’aurait rien à perdre à menacer le processus de négociations et tout à gagner même sur des droits par utilisateur, même minuscules, pour quelque chose qui sera installé dans trois milliards de navigateurs.

En somme, il n’y a pas de raison de penser que les EME ont pour objectif de protéger des intérêts commerciaux légitimes. Les services de streaming vidéo comme Netflix reposent sur l’inscription de leurs clients à toute une collection, constamment enrichie avec de nouveaux contenus et un système de recommandations pour aider ses utilisateurs à s’y retrouver.

Les DRM pour les vidéos en streaming sont ni plus ni moins un moyen d’éviter la concurrence, pas de protéger le droit d’auteur. L’objectif des DRM est de munir les entreprises d’un outil légal pour empêcher des activités qui seraient autorisées sinon. Les DRM n’ont pas vocation à « fonctionner » (au sens de prévenir les atteintes au droit d’auteur) tant qu’ils permettent d’invoquer le DMCA.

Pour vous en convaincre, prenez simplement l’exemple de Widevine, la version des EME de Google. Ce mastodonte a racheté la boîte qui développait Widevine en 2010, mais il a fallu attendre 2016, pour qu’un chercheur indépendant se penche réellement sur la façon dont elle empêchait la fuite de ses vidéos. Ce chercheur, David Livshits a remarqué que Widevine était particulièrement facile à contourner, et ce dès sa création, et que les erreurs qui rendaient Widevine aussi inefficace étaient évidentes, même avec un examen superficiel. Si les millions de dollars et le personnel hautement qualifié affectés aux EME avaient pour but de créer une technologie qui lutterait efficacement contre les atteintes au droit d’auteur, alors vous pourriez croire que Netflix ou une des autres entreprises de médias numériques impliquées dans les négociations auraient utilisé une partie de toutes ces ressources à un rapide audit, pour s’assurer que leur produit fonctionne réellement comme annoncé.

(Détail amusant : Livshits est un Israélien qui travaille à l’université Ben Gourion, et il se trouve que l’Israël est un des rares pays qui ne condamnent pas les violations de DRM, ce qui signifie que les Israéliens font partie des seules personnes qui peuvent faire ce type de recherche, sans craintes de représailles juridiques)

Mais la plus belle preuve que les EME étaient tout simplement un moyen d’éliminer les concurrents légitimes, et non une tentative de protection du droit d’auteur, la voici.

Une expérience sous contrôle

Lorsque l’EFF a rejoint le W3C, notre principale condition était « ne faites pas de DRM ».

Nous avons porté l’affaire devant l’organisation, en décrivant la façon dont les DRM interférent avec les exceptions aux droits auteurs essentielles (comme celles qui permettent à chaque individu d’enregistrer et modifier un travail protégé par droits d’auteur, dans le cadre d’une critique, ou d’une adaptation) ainsi que la myriade de problèmes posés par le DMCA et par d’autres lois semblables à travers le monde.

L’équipe de direction de la W3C a tout simplement réfuté tous les arguments à propos des usages raisonnables et des droits d’utilisateurs prévus par le droit d’auteur, comme étant, en quelque sorte, des conséquences malheureuses de la nécessité d’éviter que Netflix n’abandonne le Web, au profit des applications. Quant au DMCA, ils ont répondu qu’ils ne pouvaient faire quoi que ce soit à propos de cette loi irrationnelle, mais qu’ils avaient la certitude que les membres du W3C n’avaient aucunement l’intention de violer le DMCA, ils voulaient seulement éviter que leurs films de grande valeur ne soient partagés sur Internet.

Nous avons donc changé de stratégie, et proposé une sorte d’expérience témoin afin de savoir ce que les fans de DRM du W3C avaient comme projets.

Le W3C est un organisme basé sur le consensus : il crée des standards, en réunissant des gens dans une salle pour faire des compromis, et aboutir à une solution acceptable pour chacun. Comme notre position de principe était « pas de DRM au W3C » et que les DRM sont une si mauvaise idée, il était difficile d’imaginer qu’un quelconque compromis pouvait en sortir.

Mais après avoir entendu les partisans du DRM nier leurs abus du DCMA, nous avons pensé que nous pouvions trouver quelque chose qui permettrait d’avancer par rapport à l’actuel statu quo et pourrait satisfaire le point de vue qu’ils avaient évoqué.

Nous avons proposé un genre de pacte de non-agression par DRM, par lequel les membres du W3C promettraient qu’ils ne poursuivraient jamais quelqu’un en justice en s’appuyant sur des lois telles que la DMCA 1201, sauf si d’autres lois venaient à être enfreintes. Ainsi, si quelqu’un porte atteinte à vos droits d’auteur, ou incite quelqu’un à le faire, ou empiète sur vos contrats avec vos utilisateurs, ou s’approprie vos secrets de fabrication, ou copie votre marque, ou fait quoique ce soit d’autre, portant atteinte à vos droits légaux, vous pouvez les attaquer en justice.

Mais si quelqu’un s’aventure dans vos DRM sans enfreindre aucune autre loi, le pacte de non-agression stipule que vous ne pouvez pas utiliser le standard DRM du W3C comme un moyen de les en empêcher. Cela protégerait les chercheurs en sécurité, cela protégerait les personnes qui analysent les vidéos pour ajouter des sous-titres et d’autres outils d’aide, cela protégerait les archivistes, qui ont légalement le droit de faire des copies, et cela protégerait ceux qui créent de nouveaux navigateurs.

Si tout ce qui vous intéresse c’est de créer une technologie efficace contre les infractions à la loi, ce pacte ne devrait poser aucun problème. Tout d’abord, si vous pensez que les DRM sont une technologie efficace, le fait qu’il soit illégal de les critiquer ne devrait pas avoir d’importance.

Et étant donné que le pacte de non-agression permet de conserver tous les autres droits juridiques, il n’y avait aucun risque que son adoption permette à quelqu’un d’enfreindre la loi en toute impunité. Toute personne qui porterait atteinte à des droits d’auteur (ou à tout autre droit) serait dans la ligne de mire du DMCA, et les entreprises auraient le doigt sur la détente.

Pas surprenant, mais très décevant

Bien entendu, ils ont détesté cette idée.

Les studios, les marchands de DRM et les grosses entreprises membres du W3C ont participé à une « négociation » brève et décousue avant de voter la fin des discussions et de continuer. Le représentant du W3C les a aidés à éviter les discussions, continuant le travail sur la charte de EME sans prévoir de travail en parallèle sur la protection du Web ouvert, même quand l’opposition à l’intérieur du W3C grandissait.

Le temps que la poussière retombe, les EME ont été publiés après le vote le plus controversé que le W3C ait jamais vu, avec le représentant du W3C qui a déclaré unilatéralement que les problèmes concernant la sûreté des recherches, l’accessibilité, l’archivage et l’innovation ont été traités au mieux (malgré le fait que littéralement rien de contraignant n’a été décidé à propos de ces sujets). La recherche de consensus du W3C a été tellement détournée de son cours habituel que la publication de EME a été approuvée par seulement 58% des membres qui ont participé au vote final, et nombre de ces membres ont regretté d’avoir été acculés à voter pour ce à quoi ils avaient émis des objections.

Quand le représentant du W3C a déclaré que n’importe quelle protection pour un Web ouvert était incompatible avec les souhaits des partisans des DRM, cela ressemblait à une justification ironique. Après tout, c’est comme ça que l’on a commencé avec l’EFF insistant sur le fait que les DRM n’étaient pas compatibles avec les révélations de faille de sécurité, avec l’accessibilité, avec l’archivage ou encore l’innovation. Maintenant, il semble que nous soyons tous d’accord.

De plus, ils se sont tous implicitement mis d’accord pour considérer que les DRM ne concernent pas la protection du droit d’auteur. Mais concerne l’utilisation du droit d’auteur pour s’emparer d’autres droits, comme celui de décider qui peut critiquer ou non votre produit – ou qui peut le concurrencer.

Le simulacre de cryptographie des DRM implique que ça marche seulement si vous n’êtes pas autorisé à comprendre ses défauts. Cette hypothèse s’est confirmée lorsqu’un membre du W3C a déclaré au consortium qu’il devrait protéger les publications concernant les « environnements de tests de confidentialité » des EME permettant l’espionnage intrusif des utilisateurs, et dans la minute, un représentant de Netflix a dit que cette option n’était même pas envisageable.

D’une certaine façon, Netflix avait raison. Les DRM sont tellement fragiles, tellement incohérents, qu’ils sont simplement incompatibles avec les normes du marché et du monde scientifique, où tout le monde est libre de décrire ses véritables découvertes, même si elles frustrent les aspirations commerciales d’une multinationale.

Le W3C l’a implicitement admis, car il a tenté de réunir un groupe de discussion pour élaborer une ligne de conduite à destination des entreprises utilisant l’EME : dans quelle mesure utiliser la puissance légale des DRM pour punir les détracteurs, à quel moment autoriser une critique.

« Divulgation responsable selon nos règles,

ou bien c’est la prison »

Ils ont appelé ça la divulgation responsable, mais elle est loin de celle qu’on voit aujourd’hui. En pratique, les entreprises font les yeux doux aux chercheurs en sécurité pour qu’ils communiquent leurs découvertes à des firmes commerciales avant de les rendre publiques. Leurs incitations vont de la récompense financière (bug bounty), à un système de classement qui leur assure la gloire, ou encore l’engagement de donner suite aux divulgations en temps opportun, plutôt que de croiser les doigts, de s’asseoir sur les défauts fraîchement découverts et d’espérer que personne d’autre ne les redécouvrira dans le but de les exploiter.

La tension qui existe entre les chercheurs indépendants en sécurité et les grandes entreprises est aussi vieille que l’informatique. Il est difficile de protéger un ordinateur du fait de sa complexité. La perfection est inatteignable. Garantir la sécurité des utilisateurs d’ordinateurs en réseau nécessite une évaluation constante et la divulgation des conclusions, afin que les fabricants puissent réparer leurs bugs et que les utilisateurs puissent décider de façon éclairée quels systèmes sont suffisamment sûrs pour être utilisés.

Mais les entreprises ne réservent pas toujours le meilleur accueil aux mauvaises nouvelles lorsqu’il s’agit de leurs produits. Comme des chercheurs ont pu en faire l’expérience — à leurs frais — mettre une entreprise face à ses erreurs peut être une question de savoir-vivre, mais c’est un comportement risqué, susceptible de faire de vous la cible de représailles si vous vous avisez de rendre les choses publiques. Nombreux sont les chercheurs ayant rapporté un bogue à une entreprise, pour constater l’intolérable durée de l’inaction de celle-ci, laissant ses utilisateurs exposés au risque. Bien souvent, ces bogues ne font surface qu’après avoir été découverts par ailleurs par des acteurs mal intentionnés ayant vite fait de trouver comment les exploiter, les transformant ainsi en attaques touchant des millions d’utilisateurs. Bien trop nombreux pour que l’existence de bogues puisse plus longtemps être passée sous silence.

Comme le monde de la recherche renâclait de plus en plus à leur parler, les entreprises ont été obligées de s’engager concrètement à ce que les découvertes des chercheurs soient suivies de mesures rapides, dans un délai défini, à ce que les chercheurs faisant part de leurs découvertes ne soient pas menacés et même à offrir des primes en espèces pour gagner la confiance des chercheurs. La situation s’est améliorée au fil des ans, la plupart des grandes entreprises proposant une espèce de programme relatif aux divulgations.

Mais la raison pour laquelle les entreprises donnent des assurances et offrent des primes, c’est qu’elles n’ont pas le choix. Révéler que des produits sont défectueux n’est pas illégal, et donc les chercheurs qui mettent le doigt sur ces problèmes n’ont aucune obligation de se conformer aux règles des entreprises. Ce qui contraint ces dernières à faire preuve de leur bonne volonté par leur bonne conduite, des promesses contraignantes et des récompenses.

Les entreprises veulent absolument être capables de déterminer qui a le droit de dire la vérité sur leurs produits et quand. On le sait parce que, quand elles ont une occasion d’agir en ce sens, elles la saisissent. On le sait parce qu’elles l’ont dit au W3C. On le sait parce qu’elles ont exigé ce droit comme partie intégrante du paquet DRM dans le cadre EME.

De tous les flops du processus DRM au sein du W3C, le plus choquant a été le moment où les avocats historiques du Web ouvert ont tenté de convertir un effort de protection des droits des chercheurs à avertir des milliards de gens des vulnérabilités de leurs navigateurs web en un effort visant à conseiller les entreprises quant au moment où renoncer à exercer ce droit. Un droit qu’elles n’ont que grâce à la mise au point des DRM pour le Web par le W3C.

Les DRM sont le contraire de la sécurité

Depuis le début de la lutte contre les DRM au W3C, on a compris que les fabricants de DRM et les entreprises de médias qu’elles fournissent n’étaient pas là pour protéger le droit d’auteur, mais pour avoir une base légale sur laquelle asseoir des privilèges sans rapport avec le droit d’auteur. On savait aussi que les DRM étaient incompatibles avec la recherche en sûreté : puisque les DRM dépendent de l’obfuscation (NdT: rendre illisible pour un humain un code informatique), quiconque documente comment les DRM marchent les empêche aussi de fonctionner.

C’est particulièrement clair à travers ce qui n’a pas été dit au W3C : quand on a proposé que les utilisateurs puissent  contourner les DRM pour générer des sous-titres ou mener des audits de sécurité, les intervenants se demandaient toujours si c’était acceptable, mais jamais si c’était possible.

Il faut se souvenir que EME est supposé être un système qui aide les entreprises à s’assurer que leurs films ne sont pas sauvegardés sur les disques durs de leurs utilisateurs et partagés sur Internet. Pour que ça marche, cela doit être, vous savez, compliqué.

Mais dans chaque discussion pour déterminer quand une personne peut être autorisée à casser EME, il était toujours acquis que quiconque voulait le faire le pouvait. Après tout, si vous cachez des secrets dans le logiciel que vous donnez aux mêmes personnes dont vous voulez cacher les secrets, vous allez probablement être déçu.

Dès le premier jour, nous avons compris que nous arriverions à un point où les défenseurs des DRM au W3C seraient obligés d’admettre que le bon déroulement de leur plan repose sur la capacité à réduire au silence les personnes qui examineront leurs produits.

Cependant, nous avons continué à espérer : une fois que cela sera clair pour tout le monde, ils comprendront que les DRM ne peuvent coexister pacifiquement avec le Web ouvert.

Nous avions tort.

Photo par Elitatt (CC BY 2.0)

Le canari dans la mine de charbon

Le succès des DRM au W3C est une parabole de la concentration des marchés et de la fragilité du Web ouvert. Des centaines de chercheurs en sécurité ont fait du lobbying au W3C pour protéger leur travail, l’UNESCO a condamné publiquement l’extension des DRM au Web, et les nombreuses crypto-monnaies membres du W3C ont prévenu que l’utilisation de navigateurs pour des applications critiques et sûres, par exemple pour déplacer les avoirs financiers des gens, ne peut se faire que si les navigateurs sont soumis aux mêmes normes de sécurité que les autres technologies utilisées dans nos vies (excepté les technologies DRM).

Il ne manque pas de domaines d’activités qui veulent pouvoir contrôler ce que leurs clients et concurrents font avec leurs produits. Quand les membres du Copyright Office des États-Unis ont entendu parler des DRM en 2015, il s’agissait pour eux des DRM dans des implants médicaux et des voitures, de l’équipement agricole et des machines de votes. Des entreprises ont découvert qu’ajouter des DRM à leurs produits est la manière la plus sûre de contrôler le marché, une façon simple et fiable de transformer en droits exclusifs les choix commerciaux pour déterminer qui peut réparer, améliorer et fournir leurs produits .

Les conséquences néfastes sur le marché économique de ce comportement anticoncurrentiel sont faciles à voir. Par exemple, l’utilisation intempestive des DRM pour empêcher des magasins indépendants de réparer du matériel électronique provoque la mise à la poubelle de tonnes de composants électroniques, aux frais des économies locales et de la possibilité des clients d’avoir l’entière propriété de leurs objets. Un téléphone que vous recyclez au lieu de le réparer est un téléphone que vous avez à payer pour le remplacer – et réparer crée beaucoup plus d’emplois que de recycler (recycler une tonne de déchets électroniques crée 15 emplois, la réparer crée 150 emplois). Les emplois de réparateurs sont locaux et incitent à l’entrepreneuriat, car vous n’avez pas besoin de beaucoup de capital pour ouvrir un magasin de réparations, et vos clients voudront amener leurs objets à une entreprise locale (personne ne veut envoyer un téléphone en Chine pour être réparé – encore moins une voiture !).

Mais ces dégâts économiques sont seulement la partie émergée de l’iceberg. Des lois comme le DMCA 1201 incitent à l’utilisation de DRM en promettant de pouvoir contrôler la concurrence, mais les pires dommages des DRM sont dans le domaine de la sécurité. Quand le W3C a publié EME, il a légué au Web une surface d’attaque qu’on ne peut auditer dans des navigateurs utilisés par des milliards de personnes pour leurs applications les plus risquées et importantes. Ces navigateurs sont aussi l’interface de commande utilisée pour l’Internet des objets : ces objets, garnis de capteurs, qui peuvent nous voir, nous entendre, et agir sur le monde réel avec le pouvoir de nous bouillir, geler, électrifier, blesser ou trahir de mille façons différentes.

Ces objets ont eux-mêmes des DRM, conçus pour verrouiller nos biens, ce qui veut dire que tout ce qui va de votre grille-pain à votre voiture devient hors de portée de l’examen de chercheurs indépendants qui peuvent vous fournir des évaluations impartiales et sans fard sur la sécurité et de la fiabilité de ces appareils.

Dans un marché concurrentiel, on pourrait s’attendre à ce que des options sans DRM prolifèrent en réaction à ce mauvais comportement. Après tout, aucun client ne veut des DRM : aucun concessionnaire automobile n’a jamais vendu une nouvelle voiture en vantant le fait que c’était un crime pour votre mécanicien préféré de la réparer.

Mais nous ne vivons pas dans un marché concurrentiel. Les lois telles que DMCA 1201 minent toute concurrence qui pourrait contrebalancer leurs pires effets.

Les entreprises qui se sont battues pour les DRM au W3C – vendeurs de navigateurs, Netflix, géants de la haute technologie, l’industrie de la télévision par câble – trouvent toutes l’origine de leur succès dans des stratégies commerciales qui ont, au moment de leur émergence, choqué et indigné les acteurs du secteur déjà établis. La télévision par câble était à ses débuts une activité qui retransmettait des émissions et facturait ce service sans avoir de licence. L’hégémonie d’Apple a commencé par l’extraction de cédéroms, en ignorant les hurlements de l’industrie musicale (exactement comme Firefox a réussi en bloquant les publicités pénibles et en ignorant les éditeurs du web qui ont perdu des millions en conséquence). Bien sûr, les enveloppes rouges révolutionnaires de Netflix ont été traitées comme une forme de vol.

Ces boîtes ont démarré comme pirates et sont devenus des amiraux, elles traitent leurs origines comme des légendes de courageux entrepreneurs à l’assaut d’une structure préhistorique et fossilisée. Mais elles traitent toute perturbation à leur encontre comme un affront à l’ordre naturel des choses. Pour paraphraser Douglas Adams, toute technologie inventée pendant votre adolescence est incroyable et va changer le monde ; tout ce qui est inventé après vos 30 ans est immoral et doit être détruit.

Leçons tirées du W3C

La majorité des personnes ne comprennent pas le danger des DRM. Le sujet est bizarre, technique, ésotérique et prend trop de temps à expliquer. Les partisans des DRM veulent faire tourner le débat autour du piratage et de la contrefaçon, qui sont des histoires simples à raconter.

Mais les promoteurs des DRM ne se préoccupent pas de ces aspects et on peut le prouver : il suffit de leur demander s’ils seraient partants pour promettre de ne pas avoir recours au DMCA tant que personne ne viole de droit d’auteur. On pourrait alors observer leurs contorsions pour ne pas évoquer la raison pour laquelle faire appliquer le droit d’auteur devrait empêcher des activités connexes qui ne violent pas le droit d’auteur. À noter : ils n’ont jamais demandé si quelqu’un pourrait contourner leurs DRM, bien entendu. Les DRM sont d’une telle incohérence technique qu’ils ne sont efficaces que s’il est interdit par la loi de comprendre leur fonctionnement. Il suffit d’ailleurs de les étudier un peu attentivement pour les mettre en échec.

Demandez-leur de promettre de ne pas invoquer le DMCA contre les gens qui ont découvert des défauts à leurs produits et écoutez-les argumenter que les entreprises devraient obtenir un droit de veto contre la publication de faits avérés sur leurs erreurs et manquements.

Ce tissu de problèmes montre au moins ce pour quoi nous nous battons : il faut laisser tomber les discussions hypocrites relatives au droit d’auteur et nous concentrer sur les vrais enjeux : la concurrence, l’accessibilité et la sécurité.

Ça ne se réglera pas tout seul. Ces idées sont toujours tordues et nébuleuses.

Voici une leçon que nous avons apprise après plus de 15 ans à combattre les DRM : il est plus facile d’inciter les personnes à prêter attention à des problèmes de procédure qu’à des problèmes de fond. Nous avons travaillé vainement à alerter le grand public sur le Broadcasting Treaty, un traité d’une complexité déconcertante et terriblement complexe de l’OMPI, une institution spécialisée des Nations Unies. Tout le monde s’en moquait jusqu’à ce que quelqu’un dérobe des piles de nos tracts et les dissimule dans les toilettes pour empêcher tout le monde de les lire. Et c’est cela qui a fait la Une : il est très difficile de se faire une idée précise d’un truc comme le Broadcast Treaty, mais il est très facile de crier au scandale quand quelqu’un essaie de planquer vos documents dans les toilettes pour que les délégués ne puissent pas accéder à un point de vue contradictoire.

C’est ainsi qu’après quatre années de lutte inefficace au sujet des DRM au sein du W3C, nous avons démissionné ; c’est alors que tout le monde s’est senti concerné, demandant comment résoudre le problème. La réponse courte est « Trop tard : nous avons démissionné, car il n’y a plus rien à faire ».

Mais la réponse longue laisse un peu plus d’espoir. EFF est en train d’attaquer le gouvernement des États-Unis pour casser la Section 1201 du DMCA. Comme on l’a montré au W3C, il n’y a pas de demande pour des DRM à moins qu’il y ait une loi comme le DMCA 1201. Les DRM en soi ne font rien d’autre que de permettre aux compétiteurs de bloquer des offres innovantes qui coûtent moins et font plus.

Le Copyright Office va bientôt entendre des nouveaux échos à propos du DMCA 1201.

Le combat du W3C a montré que nous pouvions ramener le débat aux vrais problèmes. Les conditions qui ont amené le W3C à être envahi par les DRM sont toujours d’actualité et d’autres organisations vont devoir faire face à cette menace dans les années à venir. Nous allons continuer à affiner notre tactique et à nous battre, et nous allons aussi continuer à rendre compte des avancées afin que vous puissiez nous aider. Tout ce que nous demandons est que vous continuiez à être vigilant. Comme on l’a appris au W3C, on ne peut pas le faire sans vous.




À qui iront les clés de la ://Surveillance ?

Parmi les interrogations nombreuses et inquiètes qui ont accompagné l’élection du nouveau président des USA, nous retenons aujourd’hui la question de la maîtrise des armes les plus dangereuses dont va disposer l’exécutif. On pense bien sûr à l’arme nucléaire et au danger de son usage inconsidéré, mais une actualité tout aussi préoccupante nous invite à nous demander avec Cory Doctorow quelles conséquences la machine industrielle de la surveillance étatique peut avoir sur nos libertés, si elle tombe aux mains de… [mettre ici le nom de toute personnalité politique dont on peut redouter l’autoritarisme].

Cory Doctorow, qui est Canadien, réagit ici à la situation nord-américaine, mais la surveillance étatique est planétaire et nous sommes en France assez lourdement pourvus en outils de surveillance générale pour éprouver quelques inquiétudes : que deviendront par exemple le fichier TES (voir ce billet de Korben) et l’état d’urgence indéfiniment prolongé que veut imposer M. Cazeneuve si un gouvernement autoritaire accède au pouvoir bientôt ?

Au risque réel Doctorow répond par la nécessité de lutter avec nos armes, celles d’Internet. Cela suffira-t-il ?

On a donné à un cinglé les clés de la surveillance d’État

par Cory Doctorow

Article original A madman has been given the keys to the surveillance state

Traduction Framalang : Goofy, Framasky, Diane

Cory Doctorow CC-BY-SA J onathan Worth
Cory Doctorow par Jonathan Worth (CC-BY-SA)

Quand le Patriot Act a été promulgué aux USA le 26 octobre 2001, il a fait disparaître un grand nombre des contrepouvoirs vitaux qui s’interposaient entre le peuple américain et son gouvernement. Alors que les partisans de Bush applaudissaient le pouvoir sans précédent que leurs représentants à Washington détenaient désormais, les militants des libertés civiles les avertissaient : « Votre président vient de créer une arme qui sera utilisée par tous ceux qui le suivront ».

Lorsque les démocrates ont pris la Maison-Blanche en 2008, les Américains de droite ont tardé à se rendre compte qu’une nouvelle administration qui ne s’appuyait pas sur eux pour exercer son pouvoir avait la possibilité de surveiller tous leurs mouvements, pouvait pister toutes leurs communications, pouvait les soumettre à une détention sans mandat dans des « zones frontalières » qui couvraient la majeure partie de la population américaine, pouvaient saisir leurs biens sans les accuser d’aucun crime, et ils ont commencé à s’inquiéter sérieusement.

Lorsque l’administration Obama a doublé le programme Bush de surveillance de masse, en lui ajoutant de lois secrètes et une liste d’Américains et d’étrangers qui pourraient être carrément assassinés en toute impunité n’importe où dans le monde, ses partisans démocrates n’ont pas accepté d’entendre la moindre critique. Obama était un politicien expérimenté, le père tranquille de l’Amérique, un type avec tant d’équanimité qu’il avait besoin d’un interprète pour traduire sa colère. Il n’allait pas abuser de cette autorité.

Les sept années de G.W. Bush après le 11 Septembre nous ont donné les bases d’un État de surveillance auquel il manquait un fou dangereux pour devenir totalitaire. Ensuite, huit ans après la mise en œuvre concrète de cet État de surveillance, Obama a indiqué aux administrateurs compétents et aux divers intervenants — police locale, partenaires internationaux, entrepreneurs militaires et industriels avec de gros budgets de lobbying — que cette surveillance doit se maintenir indéfiniment.

Aujourd’hui, c’est à un cinglé qu’on a donné le contrôle d’un arsenal de surveillance qui inclut l’autorité légale pour nous espionner tous, tout le temps ; des offres commerciales des monopoles des télécoms qui transforment les dépenses d’un gouvernement impopulaire en affaires rentables avec de l’argent comptant qui servira au lobbying pour élargir leur clientèle ; et un stock de vulnérabilités technologiques mortelles dans les outils dont nous dépendons, que l’Amérique a transformés en armes pour attaquer ses ennemis, même si cela implique de laisser les Américains sans défense contre les criminels, les harceleurs nihilistes, l’espionnage d’États étrangers et l’espionnage industriel.

050-056c026d-1c66-4d42-9fae-a8e96df290c5-1020x1209
image : http://www.trumpshair.com/

Le Royaume-Uni est sur le point d’adopter une loi de surveillance qui éclipse tous les pouvoirs de surveillance de Bush et Obama. Le cyber-arsenal que Theresa May veut déchaîner sur le monde ne permettra pas seulement de vous pister en temps réel avec un degré d’intrusion qui ne peut pas être surestimé, il va également amasser des stocks énormes de données de ce suivi qui seront inévitablement fuitées, à la fois publiquement — pensez au piratage de Sony — et en privé, ce que nous découvrirons seulement des années après les faits, quand nous verrons que des escrocs minables ont exploité nos moments de chagrin et de détresse les plus privés pour en faire leur profit.

Le dernier gouvernement canadien a adopté un projet de loi de surveillance qu’on pourrait facilement qualifier de fanfiction du Patriot Act. Le gouvernement actuel — dirigé par un homme charismatique auquel beaucoup font confiance pour prendre les bonnes décisions — a voté pour elle, parce que ses membres ne voulaient pas être considérés comme « mous sur le terrorisme » à la veille de l’élection, mais ils ont promis de régler la question plus tard. Jusqu’à présent, ils n’ont strictement rien fait du tout, et ils n’ont pas de feuille de route pour faire quoi que ce soit qui pourrait transformer cette épée en un soc de charrue(1). Ce qui est particulier avec les pouvoirs que donne la surveillance, c’est qu’ils sont terriblement jouissifs. Une fois que vous en disposez, ils sont si pratiques qu’il est très difficile de les jeter dans les poubelles de l’Histoire.

Le gouvernement allemand de Mme Merkel — elle-même est hantée par ses souvenirs personnels d’enfance sous la surveillance intrusive des espions de la Stasi — a été scandalisé d’apprendre que le gouvernement des USA enregistrait les conversations téléphoniques de la Chancelière elle-même. Mais en fin de compte, Merkel a conclu un accord entre ses espions et leurs homologues américains et elle a officialisé le complexe industriel de surveillance. L’Allemagne est maintenant à deux doigts d’un gouvernement néo-nazi d’extrême-droite qui pourrait s’installer au milieu de la toile que Merkel a permis à ses services secrets de tisser dans tous les coins de son pays.

Après les terribles attaques de Paris, François Hollande a renié sa promesse de démantèlement de la surveillance française. Il l’a plutôt radicalement étendue, créant une arme immortelle et pluripotente pour espionner et contrôler le peuple français. Hollande est sur le point de perdre le contrôle du gouvernement français au bénéfice des néofascistes de Marine Le Pen, cheffe héréditaire d’une tribu de racistes vicieux et autoritaires.

Les mouvements politiques vont et viennent, mais les autorités institutionnelles demeurent. Les militants des partis ont offert une couverture politique à leurs leaders pendant qu’ils créaient tranquillement les conditions du fascisme clé en mains. Maintenant nous sommes à un clic du totalitarisme.

Il n’est pas trop tard.

Démanteler la surveillance d’État ne sera pas facile mais les choses importantes le sont rarement. Des organisations comme l’EFF (USA), Openmedia (Canada), la Quadrature du Net (France) et l’Open Rights Group ont mené cette bataille depuis des années, longtemps avant que la plupart d’entre nous ne prenne conscience du danger. Leur temps est maintenant : le moment où le danger est visible mais que le mal n’est pas irréversible. C’est le moment où jamais.

Les quatre ans à venir apporteront des batailles bien plus urgentes que l’avenir d’Internet : des batailles sur le droit des femmes à disposer de leur corps ; sur les meurtres racistes de la police et l’incarcération de masse, sur les déportations de masse et les camps de concentration ; sur la discrimination selon le genre et l’homophobie ; sur l’accès aux premières nécessités, depuis l’alimentation jusqu’au logement, en passant par la couverture maladie.

Chacune de ces batailles sera gagnée ou perdue en utilisant Internet.

Nous manquons de munitions, de forces vives, nous sommes trop peu nombreux et n’avons pas de plan, mais nous pouvons tout de même gagner. Internet donne l’avantage à la guerre asymétrique, là où le pouvoir brut et l’argent peuvent être contrés par des tactiques novatrices et une opposition agile.

capture-du-2016-11-10-22-27-31
Tor, Signal,l’identification à 2 facteurs, un VPN… des armes pour s’opposer à Trump ?

 

S’il nous faut remporter la victoire dans la lutte pour les droits humains et la dignité humaine, nous devons avoir pour arme un Internet libre, ouvert et équitable. Ça commence maintenant. Ça commence avec la prise de conscience suivante : nous ne pouvons pas nous permettre de créer des armes et des pouvoirs juste pour « notre camp » en croyant que l’autre camp, celui des « méchants », ne voudra pas s’en emparer. Nous avons chargé un fusil et l’avons mis entre les mains d’un cinglé. Engageons-nous à ne plus jamais le faire.

Nous continuons le combat.

 

À lire aussi sur le même sujet :

 

Note

(1) Dans la Bible, « De leurs glaives ils forgeront des houes, Et de leurs lances des serpes … » (Ésaïe 2:4). L’idée est bien sûr de convertir les armes de la guerre en outils pour la paix.




Les géants du Web nous veulent du bien

Lourdement mises en cause pour avoir laissé les agences gouvernementales accéder aux données de leurs clients, les grandes entreprises du Web ont vite senti qu’elles risquaient gros à passer aux yeux du monde entier pour des complices de l’espionnage de masse. Elles ont donc défendu leur position avec une belle énergie en clamant leur bonne foi : elles auraient été les victimes non consentantes des intrusions de la NSA.

Dans cette recherche d’une crédibilité essentielle pour leur survie économique — car à chaque utilisateur perdu c’est la monétisation d’un profil qui disparaît, elles multiplient les déclarations hostiles aux pressions, de plus en plus fortes aux USA, pour limiter voire interdire le chiffrement de haut niveau, comme pour leur imposer des portes dérobées. C’est ce que nous pouvons voir dans cette compilation réunie par l’EFF.

L’Electronic Frontier Foundation est une organisation non gouvernementale qui mène depuis vingt-cinq ans un combat sur de multiples fronts pour les libertés numériques, comme le fait La Quadrature du Net, qui est un peu son équivalent pour la France et l’Europe.

À lire cette suite d’extraits choisis, on hésite un peu à donner pleine absolution à toutes ces entreprises à but parfaitement lucratif. Ces déclarations sont-elles sincères, et surtout sont-elles concrètement suivies d’effets ? Sciemment ou non, elles ont laissé l’espionnage s’installer au cœur de leur activité, et même au cœur d’un système d’exploitation hégémonique. Aujourd’hui elles voudraient préserver le chiffrement comme outil indispensable aux transactions économiques, soit. Mais on sait bien que par ailleurs elles n’ont guère de scrupules à faire commerce de nos données privées. Ce que ces entreprises états-uniennes redoutent surtout c’est que l’administration Obama (elle-même sous la pression des agences d’espionnage) « tue le business ».
Quoi qu’il en soit, l’EFF trouve en elles des alliées inattendues puissantes pour faire pression sur le plan politique : l’enjeu est de taille et peut justifier une aussi paradoxale alliance de circonstance. En effet, le chiffrement fort, attaqué par de nombreux gouvernements dans le monde sous prétexte de sécurité, demeure un rempart qui protège nos libertés numériques.

Où en sont les grandes entreprises du numérique sur la question du chiffrement ?

Une comparaison des positions affichées par 21 des plus importantes entreprises du numérique

Article original sur le site de l’EFF : Where Do Major Tech Companies Stand on Encryption?
Traduction Framalang : Luke, Obny, goofy, KoS, Niilos, McGregor

En ce moment même une bataille décisive fait rage autour du chiffrement.

Les services de police essaient d’imposer des « portes dérobées » (backdoors) pour accéder à nos données et nos communications sensibles, tandis que les groupes de défense des libertés individuelles répliquent par une campagne intitulée SaveCrypto. Quant au président Obama, il s’efforce de trouver un compromis, en évitant de donner à ces demandes la force d’une loi, mais en continuant de façon informelle à faire pression sur les entreprises pour qu’elles fournissent un accès sans chiffrement aux données qu’elles récoltent.

Où en sont donc les entreprises du numérique sur ce front ?

Elles sont les seules à être à la fois en position de connaître et de résister aux pressions officieuses exercées par le gouvernement pour qu’elles donnent accès aux données de leurs utilisateurs. Nous leur offrons sur un plateau de gigantesques quantités de données sensibles tout en leur faisant confiance pour qu’elles les gardent en sécurité. Quelles sont les entreprises qui souhaitent afficher publiquement leur opposition aux portes dérobées ?

Nous avons rassemblé les politiques publiques des 21 plus importantes entreprises du numérique pour que vous puissiez les comparer. Certaines des déclarations proviennent de notre rapport annuel Who has your back et quelques-unes de blogs et de rapports sur la transparence issus des entreprises..

Voyez plutôt vous-même :

Adobe

Adobe n’a aménagé de « porte dérobée » pour aucun gouvernement – ni étranger ni américain – dans ses produits et ses services. Toutes les demandes du gouvernement pour obtenir des données de nos utilisateurs doivent passer par la grande porte (c’est-à-dire en menant suivant une procédure légale valide auprès du département juridique approprié d’Adobe). Adobe s’oppose vigoureusement à toute législation aux USA ou à l’étranger qui affaiblirait de quelque manière que ce soit la sécurité de nos produits ou la protection de la vie privée de nos utilisateurs.

Amazon

Alors que nous reconnaissons qu’il est légitime et nécessaire pour les autorités de mener des enquêtes sur le crime et les activités terroristes, qu’il est nécessaire de coopérer avec les autorités quand elles respectent le cadre légal pour mener de telles investigations, nous sommes opposés à une législation qui interdirait les technologies de sécurité et de chiffrement ou les soumettrait à une demande d’autorisation, cela aurait pour effet d’affaiblir la sécurité des produits, systèmes et services qu’utilisent nos clients, qu’ils soient des particuliers ou des entreprises.

Apple

De plus, Apple n’a jamais travaillé avec quelque agence gouvernementale de quelque pays que ce soit pour créer des « portes dérobées » dans nos produits ou services. Nous n’avons non plus jamais permis à un quelconque gouvernement d’accéder à nos serveurs. Et nous ne le ferons jamais.

L’entreprise Apple mérite d’être saluée pour sa prise de position encore plus ferme contre les portes dérobées sur son nouveau site consacré au respect de la vie privée qui explique la politique de l’entreprise. Cette nouvelle déclaration indique :

Le chiffrement sécurise des milliers de milliards de transactions en ligne chaque jour. Que ce soit en passant commande ou en payant, vous utilisez du chiffrement. Vos données sont transformées en un texte indéchiffrable qui ne peut être lu que si on dispose de la bonne clé. Depuis plus de dix ans nous protégeons vos données avec SSL et TLS [liens ici] dans Safari, FileVault pour Mac, et le chiffrement qui existe par défaut dans iOS. Nous refusons également d’ajouter des portes dérobées au moindre de nos produits parce qu’elles sapent les protections que nous avons mises au point. Et nous ne pouvons déverrouiller votre appareil pour personne parce que vous seul en avez la clé, votre unique mot de passe. Nous sommes résolus à utiliser un chiffrement fort parce que vous devez avoir la certitude que les données que contient votre appareil et les informations que vous partagez avec d’autres sont protégées.

Comcast

Comcast ne soutient pas la création de portes dérobées extra-légales ou l’insertion délibérée de failles de sécurité, dans les logiciels open source ou autres, pour faciliter la surveillance sans procédure légale appropriée.

Dropbox

Les gouvernements ne devraient jamais installer de portes dérobées dans les services en ligne ou compromettre les infrastructures pour obtenir des données personnelles. Nous continuerons à travailler pour protéger nos systèmes et pour changer les lois afin d’établir clairement que ce type d’activité est illégal.

Nous constatons également que partout dans le monde, des administrations essaient de limiter les mesures de sécurité comme le chiffrement sans pour autant faire de progrès sur le renforcement de la protection légale que méritent les gens. Il en résulte les gouvernements demandent actuellement des informations sur une toute petite partie de nos clients, mais cherchent de plus en plus à perturber l’équilibre entre vie privée et sécurité publique d’une manière qui concerne tout le monde.
Comme nous le disions précédemment, les autorités ont parfois besoin d’accéder aux données privées pour protéger les citoyens. Cependant, cet accès devrait être réglementé par la loi et non en réclamant des « portes dérobées » ou en affaiblissant la sécurité de nos produits et services utilisés par des millions de clients respectueux de la loi. Ceci devrait concerner chacun d’entre nous.

Pinterest

Pinterest s’oppose aux portes dérobées contraintes et soutient les réformes visant à limiter les demandes de surveillance de masse.

Slack

La transparence est une valeur clé pour nous et une caractéristique importante de Slack lui-même. C’est cet engagement pour la transparence qui amène mon dernier point – Slack s’oppose aux portes dérobées des pouvoirs publics de toutes sortes, mais particulièrement aux exigences des gouvernements qui pourraient compromettre la sécurité des données.

Snapchat

La confidentialité et la sécurité sont des valeurs essentielles chez Snapshat, et nous nous opposons fermement à toute initiative qui viendrait affaiblir la sécurité de nos systèmes. Nous nous engageons à gérer vos données de manière sécurisée et mettrons à jour ce rapport tous les six mois.

Sonic

Enfin, nous déclarons publiquement notre position concernant l’inclusion forcée de portes dérobées, failles de sécurité volontaires ou divulgation de clés de chiffrement. Sonic ne soutient pas ces pratiques.

Tumblr

Sécurité : nous croyons qu’aucun gouvernement ne devrait installer de portes dérobées dans les protocoles de sécurité du web, ou encore compromettre l’infrastructure d’internet. Nous combattrons les lois qui permettraient cela, et nous travaillerons à sécuriser les données de nos utilisateurs contre de telles intrusions.

Wickr

Nous croyons au chiffrement robuste et généralisé et exhortons le gouvernement des États-Unis à adopter des normes de chiffrement fort pour assurer l’intégrité de l’information des particuliers, des entreprises et des organismes gouvernementaux à travers le monde.

WordPress

Certains gouvernements ont récemment cherché à affaiblir le chiffrement, au nom de l’application de la loi. Nous sommes en désaccord avec ces suggestions et ne croyons pas qu’il soit possible d’inclure une quelconque faille de sécurité délibérée ou autres portes dérobées dans les technologies de chiffrement, même pour le « seul » bénéfice des services de sécurité. Comme l’a dit un sage, « il n’existe pas de faille technologique qui puisse être utilisée uniquement par des personnes bienveillantes respectueuses de la loi ». Nous sommes entièrement d’accord.

Yahoo

Nous avons chiffré beaucoup de nos principaux produits et services pour les protéger de l’espionnage des gouvernements et autres acteurs. Ceci inclut le chiffrement du trafic entre les centres de données de Yahoo ; l’utilisation de HTTPS par défaut sur Yahoo Mail et la page d’accueil de Yahoo ; et l’implémentation de règles de bonne pratique en matière de sécurité, y compris le support de TLS 1.2, de la Confidentialité persistante et d’une clé RSA 2048 bits pour la plupart de nos services tels que la page d’accueil, la messagerie et les magazines numériques. Nous avons également mis en place une extension de chiffrement de bout en bout (e2e) pour Yahoo Mail, disponible sur GitHub. Notre but est de fournir une solution de chiffrement e2e intuitive à tous nos utilisateurs d’ici la fin 2015. Nous sommes engagés sur la sécurité de cette solution et nous opposons aux demandes de l’affaiblir délibérément ainsi que tout autre système de chiffrement.

Credo Mobile, Facebook, Google, LinkedIn, Twitter, WhatsApp, et la Wikimedia Foundation ont tous signé une lettre proposée par l’Open Technology Institute (OTI) qui s’oppose à l’affaiblissement volontaire des mesures de sécurité :

Nous vous exhortons à rejeter toute proposition poussant les entreprises américaines à affaiblir délibérément la sécurité de leurs produits… Que vous les appeliez portes avant ou portes dérobées, le fait d’introduire délibérément des vulnérabilités à usage gouvernemental dans des produits sécurisés à l’intention du gouvernement rendra ces produits moins sécurisés face à d’autres attaquants. Tous les experts en sécurité qui se sont exprimés sur cette question sont d’accord, y compris ceux du gouvernement.

Que pouvons-nous en conclure ? Il existe une très forte opposition des entreprises technologiques aux portes dérobées imposées.

La semaine dernière, l’EFF, accompagnée d’une coalition formée d’entreprises technologiques et de groupes de défense des libertés, a lancé SaveCrypto.org, une pétition en ligne où les parties concernées peuvent faire savoir au président Obama que l’administration devrait se prononcer en faveur d’un chiffrement fort. Alors qu’Obama a clarifié sa position initiale, il a aussi promis de répondre à toute pétition qui recueillerait plus de 100 000 signatures. Cela signifie qu’il est encore temps pour de l’influencer.

Dans une ère de piratage omniprésent et de violation des données sensibles, il est temps pour le président Obama d’écouter les utilisateurs d’Internet et les entreprises qui se battent pour la sécurité des utilisateurs et leur vie privée.

Vous pouvez ajouter votre voix à la pétition ci-dessous.
https://savecrypto.org/

ViePrivee




Réveillons… la lutte pour nos libertés numériques avec l’EFF (notamment)

Avant d’entrer en résistance contre la surveillance, il nous faut lutter contre notre faculté à oublier, tant tout nous invite à passer à autre chose. La surveillance, elle, ne connaît pas la trêve des confiseurs.
C’est pourquoi le rapide bilan proposé par l’EFF (Electronic Frontier Foundation) est précieux et s’accompagne d’une perspective pour 2015, celle de poursuivre le combat au plan de l’information mais aussi à celui de l’action judiciaire et politique.
Faut-il vraiment rappeler au lecteur que de notre côté de l’Atlantique aussi, une action vigilante et continue sur ces deux plans est évidemment nécessaire, aux côtés en particulier de la Quadrature du Net, qui a besoin de notre soutien permanent à ses initiatives, et pas seulement de notre soutien financier.
Que 2015 soit pour tous une année heureuse qui nous fasse faire un petit pas de plus vers des libertés numériques précieuses mais fragiles.
C’est à nous d’y veiller.

Ce que nous avons appris sur l’espionnage de la NSA en 2014 — et les combats que nous mènerons en 2015

Article original sur le site de l’EFF
Traduction Framalang : KoS, Sky, AFS, Achille, r0u, goofy

Après 2013, une année record où une lumière crue a été projetée sur les programmes de surveillance secrets de la NSA, à la fois de la part des lanceurs d’alerte et par les actions en justice engagées grâce à la Loi pour la liberté d’information (Freedom of Information Act), le rythme des révélations en 2014 a significativement ralenti.

Mais ce n’est pas parce que tous les secrets de la NSA ont été révélés.

En fait, quelques-unes des informations les plus significatives sur les programmes de surveillance de la NSA restent encore secrètes. Malgré l’une des plus importantes fuites de l’histoire américaine et malgré la promesse de déclassifier autant que possible des informations sur ces programmes, près de deux ans plus tard, le gouvernement continue de refuser de fournir au public les informations dont il a besoin. Par exemple, les responsables du gouvernement continuent à ne pas répondre à une question simple mais d’importance vitale : quel type d’information la NSA collecte-t-elle sur des millions ou des centaines de millions d’Américains, et sur des citoyens de tous les autres pays par la même occasion ? Et le gouvernement refuse toujours de communiquer les décisions les plus importantes du tribunal de surveillance du renseignement extérieur (United States Foreign Intelligence Surveillance Court : la cour secrète chargée en principe de contrôler les programmes de surveillance gouvernementaux).

Malgré un ralentissement en 2014, nous avons appris encore davantage de choses sur les programmes de surveillance de la NSA que nous ne connaissions pas auparavant :

  • avec le programme Mystic, la NSA enregistre toutes les communications par téléphones mobiles des Bahamas et de l’Afghanistan et les conserve pendant 30 jours ;
  • la NSA vise spécifiquement les administrateurs système — les personnes qui sont souvent chargées de maintenir les réseaux sains et sécurisés ;
  • la NSA et ses partenaires exploitent les applications mobiles, comme le populaire jeu Angry Birds, pour accéder aux informations privées des utilisateurs comme la localisation, l’adresse du domicile, le sexe et davantage encore ;
  • la NSA cherche à développer sa capacité à infecter des millions d’ordinateurs en implantant des logiciels malveillants avec son programme TURBINE ;
  • l’opération Dishfire de la NSA collecte quotidiennement 200 millions de messages (SMS) d’utilisateurs du monde entier ;
  • la NSA intercepte « des millions d’images par jour — incluant environ 55 000 images dont la qualité permet la reconnaissance faciale » et les traite avec de puissants logiciels de reconnaissance faciale.
  • la NSA espionne les leaders d’opinion et défenseurs des droits civiques — The Intercept a mis des visages sur certaines cibles de l’espionnage par la NSA, publiant les profils de cinq leaders musulmans américains qui ont été l’objet de surveillance. On y trouve un avocat, deux professeurs, un ancien membre de l’administration Bush et le fondateur du Conseil pour les relations américano-islamiques (Council on American-Islamic Relations) .

Malgré l’émergence de toutes ces informations, beaucoup trop demeurent encore secrètes.

Mais 2015 est pleine d’espoirs. Déjà, suite à des poursuites judiciaires engagées par l’EFF grâce à la Loi pour la liberté d’information, une cour fédérale a ordonné au gouvernement de rendre publique au début de l’année 2015 une partie des avis encore secrets rendus par l‘United States Foreign Intelligence Surveillance Court.
Nous avons également lancé une campagne pour réformer l’ordre exécutif 12333, et dans cette campagne, nous pressons le gouvernement à être clair par rapport au type d’informations collectées sur des millions de personnes à travers le monde. Que ce soit devant une cour fédérale ou dans l’opinion publique, en 2015 nous continuerons à nous battre pour le droit de savoir. L’EFF se bat pour les droits numériques de chacun, n’hésitez pas à les soutenir

eff.png

lqdn.png

  • Pour lire d’autres articles (en anglais) qui récapitulent les actions de l’EFF pour 2014, suivez ce lien.