Gestion Numérique des droits (DRM) : une question de confiance

J'ai déjà eu l'occasion de dire que je n'aime pas les DRM qui protègent notamment les vidéo et les musiques vendues sur Internet, mais je vais tâcher de mieux explique mon point de vue dans cet article.

Avertissement

Pour que les choses soient bien claires, non je n'encourage pas la mise à disposition sur Internet d'oeuvres dont les auteurs n'en ont pas explicitement donné l'autorisation. Bien au contraire, j'estime que les poursuites des internautes contrevenants, et leur condamnation lorsqu'ils sont jugés coupables, sont justifiées, à défaut d'être judicieux pour l'image des majors.

Personnellement quand je télécharge, je ne télécharge que des oeuvres dont les auteurs ont explicitement autorisé la diffusion sur Internet, généralement sur leur site. Et j'achète les CD qui m'intéressent (enfin, je demande d'abord au vendeur si c'est un véritable CD, pas un faux CD qui ne fonctionne donc pas sur tous les lecteurs CD). Et si je ne peux pas acheter, pour quelque raison que ce soit, je m'en passe, tout simplement.

Un autre point qui m'agace, c'est l'amalgame entre une technologie (MP3, P2P, etc...) et l'utilisation déviante possible de ces technologie (des phrases telle que Le MP3 c'est du piratage, ou encore Le téléchargement gratuit et légal n'existe pas)

Enfin, l'exposé est relativement simplfié, mais j'estime que je reste raisonnablement proche de la réalité.

La gestion numérique des droits, comment ça marche ?

Le but de la gestion numérique des droits, c'est de vérifier qu'une oeuvre (musique, vidéo, logiciel, etc...) distribuée sous la forme d'un fichier informatique est légitimement utilisable par un spectateur (écouter de la musique, regarder une vidéo, utiliser un programme, etc...)

La gestion numérique implique donc 2 machines reliées entre elles, généralement via Internet :

  • La machine de l'utilisateur final (auditeur, spectateur, utilisateur, etc...), qu'on appellera client
  • La machine du fournisseur du fichier, qu'on appellera serveur

Permis d'ouvrir...

Afin de déterminer si le client a le droit d'exploiter un fichier protégé par la gestion numérique des droits, il faut d'abord savoir ce que signifie exploiter un fichier. C'est l'objet de la licence, le texte super long et super soporifique qui s'affiche à l'installation d'un logiciel par exemple, qu'en général on ne lit jamais car on clique de suite sur le bouton suivant, éventuellement après avoir fait défiler le texte jusqu'au bout et coché la case j'accepte le contrat. La licence est donc le contrat qui définit l'usage du fichier par le client.

Le fichier protégé contient donc les termes de la licenses sous une forme électronique, directement exploitable par le système d'exploitation ou un autre logiciel (lecteur multimédia par exemple).

Vos papiers s'il vous plaît !

Le client dispose donc d'un fichier protégé, dont les conditions d'utilisations sont incluses. Mais comment le client peut-il vérifier que la license est valable ? Si ça se trouve, le fichier protégé provient d'un e-mail d'un copains, ou bien on l'a téléchargé grâce au P2P.

Pour vérifier le fichier protégé a été légitimement acquis, le client va contacter le serveur, et lui fournir la license à vérifier, et des éléments d'identification de l'ordinateur. (En général, ces éléments d'identifications sont déterminer lors de la première connexion au serveur, ou encore lors de l'inscription). En retour, le serveur confirmera la licence ou la rejettera. Dans ce dernier cas, le fichier n'est pas ouvert.

Une question de confiance

Le coeur d'un système de gestion numérique des droits est donc le serveur, qui a littéralement droit de vie ou de mort sur les fichiers qu'il protège (certains systèmes effacent les fichiers protégés dont la licence n'est pas valable). Ce serveur appartient au fournisseur du fichier, et par conséquent, l'utilisateur n'a aucun contrôle dessus.

L'utilisateur doit donc faire confiance au fournisseur pour maintenir l'intégrité et le bon fonctionnement du serveur. Pour reprendre le discours commercial de Microsoft Corporation, c'est l'informatique de confiance (trusted computing).

Et voilà, moi je ne fais pas confiance. Qui me dit que le fournisseur ne va pas changer les termes du contrats sans mon accord ? Qui me dit que le fournisseur ne vas pas espionner mes habitudes ? Qui me dit que le fournisseur sera capable de maintenir l'intégrité et le bon fonctionnement du serveur ? Qui me dit que mes contrats seront toujours valides lorsque je changerais d'ordinateur ou de système d'exploitation ?