Le texte de l'intervention à la DDM - Interopérabilité : l'Arlésienne du DRM
Ce document reprend et approfondit la démonstration faite par l'auteur, lors de son intervention à la Direction du Développement des Médias le 19 janvier 2004. A cette occasion, il devait répondre à la question suivante : les outils développés par la communauté du logiciel libre sont-ils oui ou on une solution à l'interopérabilité sur le marché des mesures techniques de protection (MTP) ?
Au delà de la question posée, son intervention avait pour objectif de démontrer que le projet de loi sur le droit d'auteur et les droits voisins dans la société de l'information (DADVSI), proposé en novembre 2003 par le Ministre de la Culture, M. Jean-Jacques Aillagon, et par la Ministre délégué de l'Industrie, Mme Nicole Fontaine, est contraire à la libre concurrence sur le marché de l'édition logicielle, car revenant sur le droit à l'interopérabilité.
Bien que prétendant le contraire, ce projet de loi est discriminatoire pour les petits éditeurs de logiciels propriétaires et pour les auteurs de logiciels libres qui ont besoin du droit à la recherche de l'interopérabilité pour pouvoir exister sur plusieurs segments du marché, face à de grandes entreprises utilisant souvent abusivement leur position dominante.
Si le projet de loi était voté en l'état, à terme, les petits éditeurs de logiciels propriétaires devront systématiquement payer une dîme aux grands éditeurs et les auteurs de logiciels libres ne pourraient, eux, même plus publier leurs logiciels. Sauf à risquer des poursuites au pénal (deux ans de prison et 150 000 euros d'amende) [NDA : depuis la loi Perben II, la peine a été portée à trois ans de prison et 300 euros d'amende]
Tous les points évoqués dans ce document n'ont malheureusement pu être abordés par manque de temps, et aussi par choix de l'orateur - eu égard au contexte dans lequel il est intervenu, aux interlocuteurs en présence et à la tournure prise par le débat final. N'ont ainsi pas été abordés la différence interopérabilité et compatibilité, l'historique d'Internet, la problématique du traçage des préférences littéraires et artistiques, le cas de Dimitri Skyliarov, la comparaison MTP/RFID, et les propositions de modification du projet de loi pour le rendre acceptable (propositions cependant toutes déjà connues des ministères concernés car répétées par EUCD.INFO depuis des mois sans aucun résultat pour l'instant).
L'auteur a également souhaité rajouter une note sur la contre-vérité prétendant que l'impossibilité "ontologique" du DRM libre serait une illustration de la prétendue "infériorité" des logiciels libres en matière de sécurité informatique. Au passage, il a aussi tenté d'expliquer pourquoi la prétendue "informatique de confiance", vendue comme un remède, n'est finalement que l'aboutissement de la logique qui sous-tend les mesures techniques de protection : protéger des positions dominantes tout en contrôlant l'utilisateur, au mépris du droit de la concurrence, du droit d'usage du consommateur et du droit au respect de la vie privée.
Définition de l'interopérabilité
Tout d'abord, je tiens à remercier Phillipe Chantepie et Jean Berbineau pour m'avoir invité à m'exprimer devant vous sur cet épineux problème que pose les mesures techniques de protection en matière d'interopérabilité - notamment pour les auteurs de logiciels libres mais pas seulement.
Pour commencer, je souhaiterais rappeler ce qu'est l'interopérabilité.
L'interopérabilité est la capacité qu'ont deux systèmes de communication à communiquer de façon non ambiguë, que ces systèmes soient similaires ou différents. L'interopérabilité n'est pas la compatibilité. Il est possible de rendre interopérables deux systèmes à l'origine incompatibles. On peut dire que rendre interopérable, c'est créer de la compatibilité.
L'interopérabilité est la pierre angulaire du réseau Internet qui est un réseau conçu dès l'origine pour être interopérable, contrairement aux réseaux propriétaires qui l'ont précédé et qui ne pouvait pas être interconnectés. C'est pourquoi l'on dit qu'Internet est le réseau des réseaux.
Internet s'appuie sur un protocole (TCP/IP) qui se concentre sur le transport de l'information, ce qui fait que tout système implémentant ce protocole sait qu'il pourra échanger des informations via Internet sans avoir à se soucier du type de système avec lequel il communique. Sans cette approche, il ne serait pas possible de faire communiquer sur Internet des ordinateurs fonctionnant sous des systèmes d'exploitation différents, existants ou à venir.
Comment parvenir à l'interopérabilité ?
Traditionnellement, on peut appréhender les différentes possibilités pour parvenir à l'interopérabilité au travers du ying et du yang.
Le ying c'est la spécification ouverte, la norme aux spécifications publiques, librement implémentable par tous, non soumise à royalties (HTTP, HTML, TCP/IP, etc..). C'est grâce à ces normes, édictées par des organismes publics comme l'IETF ou le W3C que le réseau Internet a pu connaître un tel succès.
Le yang, c'est la spécification fermée, seulement connue de l'éditeur du logiciel, qui se sert souvent de ce secret pour tenter de bloquer la concurrence. C'est le côté obscur si j'ose dire. Ce type de pratique a tout de même ses limites puisqu'un éditeur en situation de position dominante se doit de communiquer à ses concurrents les informations essentielles pour garantir l'interopérabilité.
Entre ces deux pôles, ce que les industriels appellent " des standards ", et qui sont en fait des spécifications ouvertes aux membres d'un consortium moyennant ticket d'entrée, et utilisables uniquement sous certaines conditions.
Dans le cas d'une norme ouverte de type ying, aucun problème pour parvenir à l'interopérabilité. Un éditeur utilise une norme ouverte et son concurrent n'a qu'a se baser sur les spécifications publiques pour interopérer. C'est le meilleur moyen pour tendre vers une concurrence pure et parfaite sur le marché de l'édition logicielle.
Dans le cadre du yang ou d'une norme " consortium " , il est possible de faire en sorte qu'un système communique avec un autre au travers de l'ingénierie inverse - si l'on ne souhaite pas intenter un procès à un éditeur retors ou si l'on n'envisage pas de payer pour pouvoir interopérer. L'ingénierie inverse consiste, par exemple, à étudier un fichier pour déduire son format. C'est une activité tout à fait légale tant qu'elle a pour but de permettre l'interopérabilité.
L'ingénierie inverse permet notamment de récupérer des données stockées dans un format fermé, à l'origine uniquement lisible par un logiciel propriétaire, pour les convertir dans un format ouvert, lisible lui par tout logiciel concurrent, libre ou propriétaire. Que le créateur du logiciel initial soit au courant ou non, qu'il soit d'accord ou pas, qu'il soit mort ou vivant.
Le cas DECSS est une illustration. En s'appuyant sur des techniques d'ingénierie inverse, Jon Johansen, l'auteur de ce logiciel libre, a contourné une mesure technique de protection de DVD pour pouvoir le lire sous GNU/Linux. Il n'a jamais été condamné malgré l'acharnement de la MPAA, le puissant syndicat des producteurs de films hollywoodiens.
Et c'est bien ce droit à l'ingénierie inverse qui est remis en cause par la protection légale des mesures techniques de protection introduite par la directive européenne EUCD et reprise dans le projet de loi français. Pratiquement, c'est donc le droit de lire un DVD sur le système d'exploitation de son choix que l'on cherche à supprimer.
Note sur les dangers des mesures techniques de protection
Avant de répondre à la question qui nous a été posée - à savoir les outils développés par la communauté du libre sont-ils oui ou non une solution à l'interopérabilité sur le marché des mesures techniques de protection -, je tiens à préciser que le collectif EUCD.INFO est contre l'idée même de mesure technique de protection -ou plus précisément contre l'idée de contrôle d'usage - pour des raisons à la fois éthiques et juridiques. Si le contrôle d'accès type Canal + ne nous pose pas de problème, il n'en est pas de même pour le contrôle d'usage.
Nous estimons en effet qu'il n'est pas acceptable que la technique se substitue à la loi, c'est à dire qu'un logiciel puisse décider en lieu et place du juge de ce qui est licite et de ce qui ne l'est pas.
- primo, parce qu'aucun logiciel n'est capable d'interpréter la loi et donc encore moins de la faire appliquer. Il est impossible de programmer un logiciel en prévoyant à l'avance tous les usages que le public peut faire d'une uvre de l'esprit. Les débats sur ce qu'est ou n'est pas la copie privée sont une illustration. Transférer le contenu d'un CD vers un baladeur MP3, c'est de la copie privée, pourtant les mesures techniques de protection actuelles ne le permettent pas. Et les mesures à venir ne le feront pas non plus ;
- secundo, ce serait remettre entre les mains du titulaire de droit et de l'éditeur du logiciel, un pouvoir excessif : celui de contrôler et de surveiller l'usage que peut faire le public d'une oeuvre dans la sphère privée. Jamais une bibliothèque ou un vidéoclub ne chercheront à savoir ce que vous avez fait du livre prêté ou de la cassette louée.De plus, ce serait enlever le contrôle de son ordinateur à l'utilisateur, et à l'heure d'Internet, ce serait prendre le risque d'un traçage massif des préférences littéraires et artistiques de millions d'individus avec les risques que cela comporte quant à la création de bases données centralisées permettant l'identification de préférences politiques ou religieuses.
Media-s : un cas d'école
Ceci étant précisé, l'équipe d'EUCD.INFO, principalement par souci d'honnêteté, a essayé de voir s’il était possible de développer une MTP qui serait diffusée sous une licence libre. La question est en fait la suivante : une MTP distribuée sous licence libre peut-elle prétendre protéger efficacement un contenu protégé par le droit d'auteur ?
En effet, les mesures techniques de protection ne peuvent qu'avoir une prétention de protection car si elle étaient réellement efficaces, il n'y aurait pas besoin de les protéger légalement. Ce qui a d'ailleurs fait dire ironiquement à Michel Vivant, grand professeur de droit et spécialiste du droit d'auteur, que " la technique doit venir protéger le droit et on me dit le droit doit venir protéger la protection technique ". Ce qui est, il est vrai, assez paradoxal ...
Toujours est-il que, pour éviter de réinventer la roue, nous avons donc déjà chercher sur le web s’il existait des MTP libres prétendant être efficace. Et nous avons trouvé un logiciel appelé Media-S (http://www.sidespace.com/products/oggs/) qui est disponible sous licence propriétaire mais aussi sous licence libre.
Media-S est un logiciel utilisable dans le cadre d'un service de musique en ligne. Il permet, d'une part, de chiffrer une oeuvre (module serveur), d'autre part, d'obtenir une clé pour déchiffrer cette oeuvre (module client). Le module client de Media-S n'implémente pas le contrôle d'usage laissant ce soin aux développeurs du lecteur multimédia l'utilisant. Le module client se contente d'aller chercher la clé nécessaire au déchiffrement et de déchiffrer l'oeuvre quand le lecteur multimédia le lui demande suite à une action de l'utilisateur (clic sur la touche " play " par exemple). A charge du lecteur multimédia de représenter l'oeuvre une fois décryptée, de la graver ou de la transférer vers un baladeur numérique.
Media-S s'appuie sur des standards ouverts. Il utilise https, - version sécurisée du protocole HTTP - pour communiquer, et ogg-vorbis - format de fichier comparable à MP3 mais aux spécifications publiques- pour compresser l'oeuvre. Il utilise des algorithmes de cryptage publics pour protéger l'oeuvre (ce qui ne change rien à la solidité du chiffrement) et le format XML pour stocker les informations de licence. Ces informations peuvent décrire le nombre de copies autorisées ou bien encore le type de périphériques autorisés pour le transfert.
Pour un éditeur de MTP concurrent, il semble donc - à première vue - plus facile d'interopérer avec une MTP comme Media-S puisqu'on connaît les spécifications techniques utilisées pour encoder l'oeuvre et décrire les droits de l'utilisateur.
En effet, pour garantir l'interopérabilité entre deux MTP, il faut deux choses :
- un accès à l'oeuvre en clair pour la représenter
- un accès aux informations de licence pour autoriser ou interdire certains actes à l'utilisateur en fonction des desiderata du titulaire de droit
Dans le cas de Media-S, inutile d'aller quémander des informations essentielles à l'interopérabilité auprès des auteurs de Media-S pour représenter l'oeuvre et appliquer la licence. Il suffit de demander au module client de déchiffrer l'oeuvre grâce aux clés distribuées par le module serveur.
Cependant, le logiciel Media-S peut-il prétendre être efficace quand il est distribué sous une licence libre puisque comme je l'ai dit Media-S est disponible, soit sous licence libre, soit sous licence propriétaire ? Et si ce n'était pas le cas, Media-S peut-il être utilisé par un logiciel libre quand il est distribué sous licence propriétaire tout en conservant sa prétendue efficacité ?
Media-S : l'illusion du bonheur
Je rappellerais déjà ce qu'est une licence libre. Une licence peut être qualifiée de " libre " quand elle permet à tout utilisateur d'utiliser, d'étudier, de modifier et de redistribuer le logiciel avec ou sans modifications. Une licence libre ne peut pas restreindre l'utilisation qui est faite du logiciel pas plus qu'elle ne peut exclure tel ou tel type d'utilisateur. Une licence libre n'est jamais discriminatoire. Elle n'exclut donc en aucune façon l'interopérabilité avec les logiciels propriétaires. Dans le monde du logiciel libre, tous les acteurs ayant les mêmes armes en mains, la différence se fait sur le service.
Je tiens à souligner que "liberté " n'est pas " gratuité " et qu'il est possible de faire de l'argent avec des logiciels libres, mais aussi bien sûr d'en économiser en réutilisant ce que d'autres ont bien fait. Le fait que des sociétés comme IBM, Novell ou France Télécom participent à d'importants projets libres en est une preuve. Le fait que Microsoft redistribue des logiciels libres pour garantir l'interopérabilité à ses utilisateurs avec des systèmes UNIX en est une autre.
Pour revenir à Media-S, j'ai donc personnellement installé ce logiciel sur mon ordinateur et ai étudié son code source, puisque bien entendu l'accès au code source est un corollaire au fait de pouvoir modifier le logiciel, et donc aux licences libres. Assez rapidement, je me suis rendu compte que le fait que Media-S soit proposé sous dual-licence était symptomatique de la problématique.
En effet, j'ai dit précédemment qu'il fallait pour interopérer avec une MTP avoir, d'une part, accès à l'oeuvre en clair, d'autre part, avoir accès aux informations de licence. Si une mesure technique de protection est distribuée sous licence libre, un utilisateur pourra facilement disposer de tels accès puisque ayant accès au code source. Et il pourra donc facilement ne pas respecter la licence, que ce soit à des fins légitimes ou non. D'ailleurs, les auteurs de Media-S précisent bien qu'il faut utiliser la version propriétaire pour que Media-s puisse prétendre être efficace et qu'il faut donc les rémunérer.
Ceci illustre bien que :
- primo, une mesure technique ne peut pas être distribuée sous licence libre ou plus exactement la communauté du logiciel libre ne peut pas prétendre développer des mesures techniques prétendues efficaces - de par la nature même des licences utilisées. Pour la même raison, un logiciel libre qui utiliserait une mesure technique propriétaire annihilerait l'efficacité prétendue de la mesure technique. Par conséquent, la protection par le secret sous-jacente au concept de mesure technique équivaut à exclure les développeurs de logiciels libres de segments entiers du marché [NB : Pour reprendre l'expression du représentant de Microsoft présent lors de mon intervention, pour prétendre à l'efficacité, "il faut une protection de bout en bout"]
- secundo, quand on cherche à contrôler les actes de l'utilisateur, l'interopérabilité ne peut même plus être atteinte par l'utilisation de formats aux spécifications ouvertes. Il faut forcément faire du logiciel propriétaire, interdire l'ingénierie inverse et restreindre les accès à l'oeuvre en clair à quelques logiciels considérés comme "sûrs". Pour entrer sur un marché qui s'appuie sur des MTP (logiciel de lecture audio ou vidéo, de gravure, de transfert de fichiers protégés, de télévision interactive, ...), il faut forcément passer par son concurrent et le rémunérer.
- tertio, la protection légale des mesures techniques de protection va créer des péages incontournables sur les technologies d'accès à la culture et à l'information, en raison notamment de la structure du marché de l'édition logicielle où un éditeur détient plus de 90% du marché des OS grand public. Cette société -Microsoft pour ne pas le nommer - en profite pour pousser ses mesures techniques de protection via son lecteur multimédia systématiquement installé sur les ordinateurs vendus en grande surface. Microsoft est d'ailleurs actuellement soupçonné à ce sujet d'abus de position " extraordinairement dominante ", pour reprendre la qualification utilisée par la direction européenne de la concurrence.
Interopérabilité des MTP : la vérité est ailleurs
Cela veut t-il dire que les logiciels libres ne sont pas une solution à l'interopérabilité ?
En étant optimiste et un peu provoquant, je dirais que non.
Primo, si j'en crois le projet de loi actuel, il devrait être possible de développer un lecteur multimédia distribué sous licence libre mais qui utilisera une mesure technique de protection distribuée sous licence propriétaire à partir du moment où ce logiciel libre respecte -par défaut- les informations de licence. Le projet de loi français précise en effet que les éditeurs de mesures techniques se doivent de proposer leurs outils sous des licences non discriminatoires à partir du moment ou un éditeur concurrent met tout en oeuvre dans son domaine d'activité pour garantir la protection.
Et s’il n'est pas possible de développer un logiciel libre accédant à une mesure technique distribuée sous licence propriétaire, c'est que la protection légale des mesures techniques de protection est, par essence, discriminatoire puisque privilégiant un modèle de développement à un autre, un modèle économique à un autre et rendant responsable le développeur original des actes de l'utilisateur.
Ce qui m'amène au secundo. Si le projet de loi est conservé tel quel, et que les éditeurs de mesures techniques propriétaires refusent de fournir les informations essentielles à l'interopérabilité aux auteurs de logiciels libres (ce qui sera sûrement le cas), ces derniers proposeront - quoiqu'il arrive - des outils permettant l'interopérabilité comme ils l'ont toujours fait : en contournant les mesures techniques de protection à des fins d'interopérabilité. Dans ce cas, ils seront sûrement poursuivis, passeront devant un juge et ce dernier reconnaîtra, - espérons le - qu'ils peuvent contourner à partir du moment où leur outil n'est pas spécifiquement conçu pour commettre un délit. C'est à dire si il n'a que pour objectif de garantir l'interopérabilité et donc, indirectement, de permettre au consommateur d'utiliser les logiciels de son choix et de jouir de son droit d'usage.
Un récent jugement en Italie relatif à l'EUCD a d'ailleurs montré que les mesures techniques de protection ne pouvaient pas être utilisées pour aller à l'encontre des droits de l'utilisateur puisque Sony s'est vu déboutée de sa demande d'interdire l'installation de modchips sur les Playstation. (un modchip étant une puce qui permet de lire des jeux stockés sur des supports zonés). Le juge a estimé qu'un consommateur était tout à fait en droit de contourner une mesure technique dès que cette dernière était utilisée pour mettre en oeuvre des pratiques monopolistiques, et que, de plus, quand le consommateur achète une console et un jeu il est libre d'en faire ce qu'il veut tant qu'il ne redistribue pas le jeu. Il a qualifié les protections techniques mises en place par Sony " d'absurdes " car interdisant la copie privée et ne permettant de jouer qu'à des jeux édités par Sony.
De même, aux Etats-Unis, une société russe - dont l'un des développeurs avait contourné une mesure technique de protection permettant de transférer le contenu d'un livre électronique protégé (ebook) vers un ordinateur - a été attaqué sur les bases du DMCA, équivalent américain de l'EUCD. Après procès, elle a été reconnue innocente au nom de la libre concurrence. Le développeur en question, Dimitri Skyliarov, qui avait fait l'erreur de se rendre aux Etats-Unis pour donner une conférence sur le format ebook - a tout de même été arrêté par le FBI suite à une plainte de l'éditeur Adobe et a fait plusieurs mois de prison pour rien.
Conclusion
Pour conclure, je dirais que :
- l'interopérabilité n'est pas un problème technique mais un problème légal, actuellement dans les mains du politique, et demain du juge si le premier ne fait rien ;
- la préservation du droit à l'interopérabilité -et donc à l'ingénierie inverse- est nécessaire à la libre concurrence et à la diversité des acteurs et des modèles économiques sur le marché de l'édition logicielle;
- les industriels de l'électronique grand public -comme Phillips, Sony ou les industriels chinois- ne sont visiblement pas tous prêts à payer des royalties à Microsoft ce qui va créer une guerre des "standards". Cette guerre, déjà commencée, ralentira sûrement l'adoption des nouveaux périphériques par le grand public et nuira finalement à toute l'industrie électronique et informatique (sans compter les risques de boycott des produits intégrant des MTP);
- en matière de lutte contre la contrefaçon, les mesures techniques de protection ne résolvent rien malgré leur coût puisqu'elles sont systématiquement contournées, et bien souvent à des fins légitimes. Il est cependant dangereux - et inacceptable - de laisser des entreprises utiliser des protections techniques pour tenter de limiter la concurrence et les droits du public, et de miser uniquement sur l'astuce et le courage de quelques développeurs pour résoudre le problème ;
- la technologie est neutre mais l'usage qu'on en fait ne l'est pas et doit donc être guidé par l'éthique et pas uniquement par des intérêts économiques. Le déploiement massif de mesures techniques de protection " nouvelle génération ", communiquant avec des serveurs centraux ou s'appuyant sur des étiquettes intelligentes (RFID), présente des risques conséquents d'atteinte aux libertés individuelles (comme la CNIL l'a d'ailleurs relevé) ;
- l'expérience montrant que la protection légale des mesures techniques a principalement pour objectif de bloquer la concurrence et de revenir sur les droits des utilisateurs, il serait judicieux de modifier le projet de loi actuel pour éviter d'inutiles procès, souvent long et coûteux, voire de mettre en prison des innocents. Il faudrait, au minimum, exclure les formats de fichiers, les algorithmes et les protocoles de la définition du terme "mesure technique", rappeler que l'ingénierie inverse à des fins d'interopérabilité est autorisée sur les MTP et prévoir une autorisation de contournement à des fins d'usage licite, comme par exemple pour la copie privée. Idéalement, il faudrait supprimer l'article 14 du projet de loi, surtout que certains juristes estiment que la France a déjà transposé l'article 6 de la directive EUCD qui instaure la protection légale des mesures techniques de protection (voir à ce sujet, le travail de l'équipe juridique d'EUCD.INFO remis au Ministère de la Culture, il y a déjà plusieurs mois).