Discussion :

[Stéphane le calme]

USA : cette plainte de l'EFF pourra-t-elle constituer le début de la fin pour les DRM ?
L'organisation saisit la justice américaine sur des dispositions du Copyright Act

Mise à jour du 31 / 10 / 2016 : la justice américaine a publié une liste d'exceptions à la section 1201 du Copyright Act

La justice américaine a publié une liste d'exceptions au DMCA qui va permettre de protéger les professionnels en sécurité comme le réclamait l’EFF dans un combat lancé depuis des mois déjà. Pour les deux prochaines années, les chercheurs pourront contourner les contrôles d'accès numériques, faire de la rétro-ingénierie, avoir accès, copier et manipuler du contenu numérique qui est protégé par le droit d'auteur sans craindre de poursuite judiciaire dans la limite du raisonnable. La Federal Trade Commission parle d’actes qui doivent être perpétrés de « bonne foi ».

La liste des exceptions comprend :

• les logiciels fonctionnant sur des dispositifs légaux et la rétro-ingénierie logicielle pour la recherche en cybersécurité ;
• les dispositifs de consommation, tels que les smartphones, les tablettes et les machines de vote à des fins de recherche ;
• les véhicules de tests ;
• l’exploration de dispositifs médicaux par les patients pour accéder aux données ;
• les jeux vidéo, les bibliothèques et le streaming vidéo à des fins éducatives.

L’EFF s’en félicite : « les bidouilleurs et les chercheurs doivent accéder au logiciel sous copyright dans leurs appareils, et il n'y avait aucun argument crédible indiquant qu'ils allaient violer les droits d’auteur », a déclaré Kit Walsh, avocat de l’EFF. Il trouve néanmoins le délai de 2 ans qui a été accordé trop court et souhaite voir tout simplement disparaître la section 1201.

Source : registre fédéral, FTC, EFF

l'EFF lance une pétition contre la section 1201 du Copyright Act

Dans son combat contre la disposition anti-contournement de la DMCA (l’article 1201), après avoir glané le support d’organisations comme la Open Source Initiative ou encore la WHATWG, l’EFF se tourne cette fois-ci vers le public pour demander son soutien. L’entreprise a lancé une pétition contre cet article qui, selon le défenseur des droits numériques, constitue une « entrave légale à la créativité, l'innovation, la concurrence, la sécurité ainsi que la vie privée ».

L’EFF s’était déjà inquiété par exemple du fait que cette disposition ne protège pas les chercheurs en sécurité qui étudie les DRM. Avec cette pétition, la fondation espère faire comprendre au Copyright Office ainsi qu’aux législateurs la portée négative de cette disposition.

pétition

Source : EFF

Le défenseur des droits numériques EFF a récemment porté plainte contre l’article 1201(a), 1203 et 1204 du Digital Millenium Copyright Act (DMCA) qui, selon l’organisation, prévoit un renforcement juridique face aux contournements techniques de la gestion numérique des droits (GND en français, DRM en anglais).

Pour rappel, la GND désigne un ensemble de mesures techniques de protection qui ont pour objectif de contrôler l'utilisation qui est faite des œuvres numériques. Ces mesures peuvent par exemple restreindre la lecture du support à une zone géographique prévue, restreindre ou empêcher la copie privée du support (transfert vers un appareil externe), restreindre ou verrouiller certaines fonctions de lecture du support (comme la désactivation de l'avance rapide sur certains passages d'un DVD) ce qui peut s’avérer très utile pour obliger l'exposition aux annonces publicitaires.

Toutefois, il est souvent arrivé que la GND soit « contournée » par des personnes qualifiées qui vont ensuite distribuer au public des outils pour automatiser le processus. Ce qui aura pour effet d’obtenir un « contournement » de la GND à grande échelle. Frustrés par ce défi lancé à leur autorité, les lobbys de médias ont cherché à trouver un compromis avec le gouvernement. C’est alors que sont apparus des articles comme l’article 1201, pour rendre illégal le fait de contourner la GND ou de partager des outils pour le faire.

La disposition anti-contournement de la DMCA stipule que « nul n’est autorisé à contourner une mesure technologique qui contrôle l’accès à une œuvre protégée par cet article ». L’article 1201 est clair et indique que « contourner une mesure technologique signifie déchiffrer une œuvre chiffrée ou procéder autrement pour éviter, contourner, désactiver ou altérer une mesure technologique, et ce, sans l’autorité du propriétaire du copyright ».

Mais l’EFF estime que ces restrictions violent le premier amendement américain, qui est la liberté d’expression. Dans sa plainte, l’organisme explique que « promulguée en 1998, ces dispositions limitent à grande échelle la capacité du public à avoir accès, à parler de, et à utiliser du matériel protégé par le droit d’auteur sans les garanties traditionnelles - comme la doctrine de “l’usage acceptable” - qui sont nécessaires pour protéger la liberté d’expression et permettre à la loi sur le droit d’auteur de coexister avec le premier amendement ».

Par ailleurs, l’EFF rappelle que le 28 octobre dernier, la bibliothèque du Congrès, qui assure la fonction de bibliothèque de recherche du Congrès des États-Unis et, de facto, constitue la bibliothèque nationale américaine, a échoué à l’élaboration de règles de dérogation à la disposition anti-contournement de la DCMA, ce qui constitue une violation du premier amendement et de l’APA (Administrative Procedure Act).

Si la plainte aboutit, alors la voie sera ouverte à « l’élimination des lois anti-contournement » comme l’explique l’organisation Defective by Design. Par ailleurs, elle affirme « qu’il est important de se rappeler qu’éradiquer les lois anti-contournement ne représente qu’un pas sur le chemin menant à la fin de l’injustice des GND ». Et d’avancer que « même si elles ne sont pas soutenues par les forces de l’ordre, les GND ôtent les facultés des utilisateurs et les insultent en retournant leurs ordinateurs contre eux. Tous ses effets négatifs - vulnérabilité de sécurité, accessibilité limitée pour les personnes handicapées, suppression de médias à distance, incompatibilité avec les logiciels libres et plus encore - vont toujours exister même quand ces lois anti-contournements ne seront plus, quoique sous une forme plus assouplie qui sera plus facile à éviter par les utilisateurs. À long terme, pour que les gens puissent jouir pleinement de leurs droits numériques, chaque utilisateur doit avoir le contrôle sur tout ce qui s’exécute sur son ordinateur, jusqu’au code source.»

Source : plainte de l'EFF

Voir aussi :

Vers un statut juridique, des droits d'auteur et un salaire pour les robots ? Des suggestions du projet du Parlement européen sur la robotique

Procès API Java : en fin de compte, de quoi Google est-il accusé par Oracle ? De violation de droits d'auteur ou de vol d'opportunité ?

Google Books, le projet de bibliothèque numérique de Google obtient la faveur de la justice US, dans une affaire de violation de droits d'auteur

[MikeRowSoft]

Ubuntu Linux a fait l'objet des versions spécifiques à l'édition de textes, l'édition audio/vidéo, etc... (Ubuntu Studio par exemple)
Entre le mode play et le mode édition je crois qu'il y a les professionnelles et les particuliers qui se demande se qui va leurs être données ?

Entre temps le scanner des imprimantes scanner devrait permettre de faire des copies mais pas d'être scanner depuis un ordinateur de particulier (sauf pour le O.C.R. si l'utilisateur est aveugle ou déficient visuel). Le cas des imprimantes scanner pour entreprises devrait surement être drôle.

P.S.: J'attend quelques commentaires sur O.C.R. en anglais ou R.O.C. en français. Mais aussi pour tout se qui est méthodes de traductions.

[lelutin]

Richard Stallman a possédé l'EFF .
Troll à part, il me semble que le 1er amendement a souvent été citer en ce qui concerne les DRM et a toujours été débouté.
Le combat est honorable et juste, mais déloyal vu les moyens déployés par l'industrie.
Je voudrai, personnellement, juste un peu plus de souplesse dans les DRM; ne pas pouvoir accéder à une oeuvre digitale sur l'ensemble de mes appareil (vous achetez un livre numérique sur votre pc et le matin dans le métro impossible de le lire sur votre tel) et idem si la connexion internet ne fonctionne pas...
Parallèlement, je comprend tout à fait que les maisons d'éditions, producteurs etc cherchent à préserver leur gagne-pain et ce n'est que justice.

Sur un autre plan, je regrette les modèles de nos bibliothèques de quartiers et je me demande si il ne serait pas possible de faire le même en ligne: un abonnement annuel très faible, une DRM flottante pour les oeuvres possédées ou cédées.
Et là on touche un gros problème comme cité,: l'accès à la culture. Il me semble qu'on ne peut pas céder une oeuvre digitale avec DRM, sauf avec des démarches extrêmement longues et fastidieuses. D'ailleurs, si j'ai bonne mémoire on acquière pas la copie de l'oeuvre sur son support mais un contrat d'utilisation, donc juste "locataire".

@MikeRowSoft: y a que moi qui suis bête ou c'est hors sujet et incompréhensible... Une DRM dans du papier?! c'est nouveau ça! un scanner avec un OCR et comparateur de texte online? ... non juste HS

[Stéphane le calme]

Le W3C refuse de protéger les chercheurs en sécurité qui étudient les extensions web DRM,
la WHATWG s'allie à l'EFF pour lui demander de changer d'avis

En août dernier, l’EFF (Electronic Frontier Foundation) a porté plainte contre l’article 1201(a), 1203 et 1204 du Digital Millenium Copyright Act (DMCA) qui, selon l’organisation, prévoit un renforcement juridique face aux contournements techniques de la gestion numérique des droits (GND en français, DRM en anglais).

Il est souvent arrivé que la GND soit « contournée » par des personnes qualifiées qui vont ensuite distribuer au public des outils pour automatiser le processus. Ce qui aura pour effet d’obtenir un « contournement » de la GND à grande échelle. Frustrés par ce défi lancé à leur autorité, les lobbys de médias ont cherché à trouver un compromis avec le gouvernement. C’est alors que sont apparus des articles comme l’article 1201, pour rendre illégal le fait de contourner la GND ou de partager des outils pour le faire.

La disposition anti-contournement de la DMCA stipule que « nul n’est autorisé à contourner une mesure technologique qui contrôle l’accès à une œuvre protégée par cet article ». L’article 1201 est clair et indique que « contourner une mesure technologique signifie déchiffrer une œuvre chiffrée ou procéder autrement pour éviter, contourner, désactiver ou altérer une mesure technologique, et ce, sans l’autorité du propriétaire du copyright ».

Dans un billet , l’EFF a rappelé que « le Wide Web Consortium mondial a entrepris un projet mal avisé de normaliser la gestion des droits numériques (DRM) pour la vidéo à la demande des entreprises comme Netflix : ce faisant, ils sont, pour la première fois, en train de définir une norme dont l’implémentation sera couverte en vertu des lois anti-contournement comme l'article 1201 du DMCA, ce qui fait de la révélation des défauts dans les produits sans l’autorisation de l’éditeur un crime potentiel.

Cela est particulièrement inquiétant parce que l'aspiration du W3C pour la nouvelle version de HTML est qu'il va remplacer des applications comme l'interface utilisateur pour l'internet des objets, et rendre difficiles à signaler sans responsabilité juridique sérieuse toutes sortes de bogues potentiellement compromettant (voire même mortelles) ».

À son combat se sont ralliées plusieurs autres organisations comme la Open Source Initiative. Cette fois-ci, une autre entité a décidé de la rejoindre dans sa bataille pour empêcher que le travail technique de la W3C ne devienne une arme légale : la WHATWG (Web Hypertext Application Technology Working Group), la communauté des différents développeurs de navigateurs web ayant pour but le développement de nouvelles technologies destinées à faciliter l'écriture et le déploiement d'applications à travers le Web.

Ian Hickson

C’est Ian Hickson (qui a supervisé autrefois HTML5 pour le W3C, et édite désormais la spécification HTML au sein du WHATWG, tout en travaillant pour Google) qui s’est chargé d’en expliquer les raisons. Après avoir rappelé la pléthore de billets argumentant contre les DRM qui seraient une mauvaise chose pour l’utilisateur final en expliquant par exemple que c’était un outil pour contrôler les distributeurs, Hickson regrette l’article contre le contournement : « cela a provoqué un effet dissuasif au sein de la communauté des chercheurs en sécurité, étant donné que des scientifiques évitent d'étudier tout ce qui pourrait se rapporter à un système de DRM, de peur d'être poursuivis en justice. Plus la technologie intègre DRM, moins notre pile technologie est sécurisée puisque chaque couche de DRM touchées aura de moins en moins de personnes disponibles pour amorcer des analyses de sécurité.

Nous ne pouvons pas permettre un effet dissuasif sur la recherche de la sécurité des navigateurs Web. Les navigateurs sont continuellement attaqués. Toute personne qui va sur le web utilise un navigateur, et tout le monde serait donc vulnérable si la recherche de la sécurité sur les navigateurs devait cesser. Depuis que l’EME a introduit les DRM pour les navigateurs, elle a apporté ce risque ».

Pour y remédier, l’EFF avait proposé que chaque organisation qui travaille sur la spécification EME (Encrypted Media Extensions) signe un accord stipulant qu’aucune poursuite ne sera intentée contre un chercheur qui étudie cette spécification. « Le W3C exige déjà que les membres signent un accord similaire en matière de brevets, de sorte que ceci est une simple extension. Un tel accord ne va pas empêcher les membres d'engager des poursuites pour violation du droit d'auteur, il ne va pas réduire l'influence des producteurs de contenu sur les distributeurs de contenu; il ne fait que tenter de résoudre ce problème encore plus critique qui conduirait à une réduction de la recherche sur la sécurité sur les navigateurs », a précisé Hickson. .

Pourtant, le W3C refuse de céder. Aussi, il continue en disant que « nous demandons au W3C de changer d'avis à ce sujet. La sécurité de la pile technologique du web est essentiel pour la santé du Web dans son ensemble ».

Source : billet de l'EFF, billet de WHATWG

[nchal]

Ça ressemble un peu à une guerre d'ego...

[Squisqui]

Ce n'est pourtant que du bon sens. S'il est illégal d'étudier une solution de sécurité alors seuls les crackers l'étudieront. Il n'y a aucun bénéfice ni pour l'utilisateur final (toujours le dindon de la farce) ni pour les diffuseurs de contenus qui investissent dans de potentielles passoires.
J'espère qu'on se souvient du rootkit de Sony sur ses CD qui étaient exploités par des crackers.

[derderder]

suppression de médias à distance, incompatibilité avec les logiciels gratuits et plus encore

Logiciels libre plutôt que gratuit non ? ( Probablement free software dans la version originale. )

[Traroth2]

Pétition signée.

[Stéphane le calme]

L'EFF relance le débat sur la protection des chercheurs qui étudient la sécurité des DRM,
deux mois avant la fin de la validité des exceptions à la section 1201 du DMCA

En 2016, l’EFF a porté plainte contre l’article 1201(a), 1203 et 1204 du Digital Millenium Copyright Act (DMCA) qui, selon l’organisation, prévoit un renforcement juridique face aux contournements techniques de la gestion numérique des droits.

La disposition anti-contournement de la DMCA stipule que « nul n’est autorisé à contourner une mesure technologique qui contrôle l’accès à une œuvre protégée par cet article ». L’article 1201 est clair et indique que « contourner une mesure technologique signifie déchiffrer une œuvre chiffrée ou procéder autrement pour éviter, contourner, désactiver ou altérer une mesure technologique, et ce, sans l’autorité du propriétaire du copyright ».

En octobre 2016, suite à la pression, la justice américaine a publié une liste d'exceptions au DMCA dont l’objectif était de protéger les professionnels en sécurité comme le réclamait l’EFF : sur deux ans (c’est à dire jusqu’en octobre 2018), la justice a estimé que les chercheurs peuvent contourner les contrôles d'accès numériques, faire de la rétro-ingénierie, avoir accès, copier et manipuler du contenu numérique qui est protégé par le droit d'auteur sans craindre de poursuite judiciaire dans la limite du raisonnable. La Federal Trade Commission parle d’actes qui doivent être perpétrés de « bonne foi ».

La liste des exceptions comprend :

• les logiciels fonctionnant sur des dispositifs légaux et la rétro-ingénierie logicielle pour la recherche en cybersécurité ;
  
• les dispositifs de consommation, tels que les smartphones, les tablettes et les machines de vote à des fins de recherche ;
  
• les véhicules de tests ;
  
• l’exploration de dispositifs médicaux par les patients pour accéder aux données ;
  
• les jeux vidéo, les bibliothèques et le streaming vidéo à des fins éducatives.

À l’approche de la fin de validité de ces exceptions, l’EFF veut relancer le débat face à une solution qui n’était que provisoire et propose une sortie qui va engager les entreprises technologiques.

Les systèmes de divulgation

L’EFF a noté que « Le Congrès n’a jamais promulgué de loi disant : "Les entreprises devraient pouvoir décider qui va publier des informations véridiques sur les défauts de leurs produits”, d’ailleur le premier amendement n’autoriserait pas une telle loi, mais cela n’a pas empêché les entreprises d’en invoquer une. à partir de rien, puis de la défendre comme si c'était un droit naturel qu'elles avaient toujours eu ».

Le défenseur des droits numérique s’érige contre les entreprises qui s’appuient sur la section 1201 du DMCA pour engager des poursuites contre les chercheurs qui divulguent des failles aussi bien sur leur software que sur leur hardware.

L'argument des entreprises se présente comme suit : « Nos conditions d'utilisation interdisent toute recherche de problème de sécurité dans notre système. Lorsque vous vous connectez à notre serveur à cette fin, vous “outrepassez votre autorisation”, en violation de la loi sur la fraude et les abus informatiques ».

Il y a aussi celui-ci : « Nous avons conçu nos produits avec un verrou que vous devez contourner pour découvrir les défauts de notre logiciel. Comme notre logiciel est protégé par des droits d’auteur, ce verrou est un "contrôle d’accès à une œuvre protégée« et votre recherche est interdite. Toute publication expliquant comment reproduire vos découvertes est un discours illégal, car aider les autres à contourner nos serrures constitue du “trafic” ».

Cependant, pour l’EFF tout est clair :

« Le premier amendement ne permettrait certainement pas au Congrès de promulguer une loi interdisant de divulguer de véritables informations techniques. Même (et surtout!) si ces divulgations révélaient des défauts de sécurité dont le public devait être conscient avant de décider de faire confiance à un produit ou un service.

« Mais la présence de ces lois a convaincu le secteur de la technologie, ainsi que les sociétés qui ont ajouté des technologies “intelligentes” à leurs produits “idiots”, qu’il est tout à fait naturel qu’il soit le seul dépositaire de l’autorité pour les embarrasser ou les déranger [les dénonciateurs]. Les pires de ces acteurs utilisent des menaces d’invoquer CFAA et DMCA 1201 pour faire taire les chercheurs ce qui fait que la première fois que vous découvrez que vous faites confiance à un produit défectueux est lorsque les criminels et les grifters l’ont tellement exploité qu’il est impossible d’empêcher que le problème ne devienne largement connu.

« Même les meilleures entreprises, les plus responsables, se trompent. Des sociétés technologiques comme Mozilla, Dropbox et, plus récemment, Tesla ont élaboré des politiques de "divulgation coordonnée" dans lesquelles elles font des promesses sincères et juridiquement exécutoires de prendre au sérieux les divulgations de sécurité et de les respecter dans un délai défini. Et elles promettent même de ne pas se servir de lois comme le DMCA 1201 pour se venger des chercheurs en sécurité qui suivent leurs directives ».

Pour l’EFF, c'est un bon début, mais c'est une solution tardive et limitée à un problème beaucoup plus important.

« Le fait est que presque toutes les entreprises sont des “entreprises technologiques”, des fournisseurs d’implantations médicales aux sociétés de machines à voter, et elles ne sont pas toutes aussi remarquables et aussi enthousiastes que Mozilla.

L’EFF note par exemple que bon nombre de ces entreprises ont des politiques de « divulgation coordonnée » dans lesquelles elles espèrent inciter les chercheurs en sécurité à venir vers elle en premier dès lors qu’ils découvrent des problèmes avec leurs produits et services.

De l’honnêteté

Toutefois, l’EFF n’est pas dupe : « Ces entreprises n’y vont pas de bonté de coeur : ces politiques existent parce qu’elles sont le meilleur espoir de ces entreprises d’empêcher les chercheurs en sécurité de les embarrasser en publiant simplement le bogue sans avertissement. Si les entreprises peuvent simplement faire taire les chercheurs qui ne jouent pas selon leurs règles, nous devrions nous attendre à ce qu’elles le fassent. Il n’est pas rare de voir des PDG qui fantasment sur la façon dont ils pourraient faire taire les critiques à leur égard ».

Pour l’EFF, plutôt que d’élaborer une politique de divulgation qui dit : « Nous resterons à l’écart de ces interprétations injustes et absurdes de ces lois mal écrites, à condition que vous ne disiez que la vérité de la manière dont nous approuvons », les entreprises devraient mettre quelque chose comme ça dans leurs politiques de divulgation :

« Nous pensons que transmettre des avertissements véridiques sur les défauts des systèmes est toujours légal. Bien entendu, nous préférons que vous utilisiez notre système de divulgation [LIEN] où nous nous engageons à enquêter sur vos bogues et à les résoudre rapidement. Mais nous ne croyons pas avoir le droit de vous forcer à utiliser notre système.

« En conséquence, nous nous engageons à NE JAMAIS invoquer de droit statutaire - par exemple, des droits qui nous sont accordés en vertu de la loi sur le secret commercial, la loi anti-piratage ou la loi anti-contournement - contre quiconque fait une divulgation véridique d'un défaut de l'un de nos produits ou services, quelle que soit la manière dont cette divulgation est faite.

« Nous pensons vraiment que la meilleure façon de garantir la sécurité de nos clients et nos produits sans bogue est d'entrer dans une relation de coopération avec des chercheurs en sécurité et c’est la raison pour laquelle notre système de divulgation existe et nous espérons vraiment que vous l'utiliserez, bien que nous ne pensions pas avoir le droit de vous forcer à l'utiliser ».

Source : EFF

Et vous ?

Que pensez-vous de l'idée de permettre aux chercheurs de divulguer les failles de sécurité hardware ou software de la manière qu'ils le souhaitent ?
Vous rangez-vous du côté de l'EFF qui soutient que les entreprises doivent promettre de ne pas lancer de poursuites ?

Voir aussi :

FCK DRM : une campagne anti-DRM lancée sur la plateforme GOG du studio polonais CD Projekt à qui on doit déjà The Witcher et Cyberpunk 2077
Le Comité JPEG explore l'utilisation de la blockchain pour introduire des DRM dans JPEG, une mauvaise idée selon un observateur
Play Store : Google annonce une mesure de sécurité qui s'apparenterait à un DRM introduit dans les applications Android
DRM dans HTML5 : la spécification EME devient un standard du Web malgré l'absence de consensus, l'EFF décide donc de se retirer du W3C
IFLA, une association américaine de bibliothécaires, appelle à son tour le W3C à reconsidérer l'adoption des DRM sur le Web

[Yseurk]

Dans un monde où la sécurité commence à devenir une priorité, c'est tout de même aberrant de ne pas permettre à des chercheurs en sécurité de détecter librement des failles

Et puis soyons honnête, si ce ne sont pas des gens qui luttent contre la cybercriminalité qui le font, les cybercriminels, eux, ne se gêneront pas le moins du monde.