Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

W3C : les Encrypted Media Extensions en phase finale de standardisation

Réponse d'ici le 13 avril

W3C : les Encrypted Media Extensions en phase finale de standardisation

Le 21 mars 2017 à 13h00

Les EME, ou Encrypted Media Extensions, arrivent désormais dans la dernière étape de leur voyage vers la standardisation au W3C. Pour rappel, elles permettent de gérer les DRM au sein des pages web.

Les Encrypted Media Extensions sont initialement une proposition faite par trois développeurs en 2012 : David Dorwin (Google), Adrian Bateman (Microsoft) et Mark Watson (Netflix). Leur idée, créer une structure standardisée pour obliger les DRM à se conformer à un moule strict, avec des règles précises.

Les EME doivent donc être considérées comme un système de tuyauterie, qui n’influe en rien sur le type de média, le codec utilisé ni même le verrou numérique utilisé. Par contre, puisqu’il doit intégrer le HTML5 à terme, il fournit un repère que les navigateurs peuvent comprendre sans nécessiter l’installation d’un module binaire, souvent vecteurs de failles de sécurité.

Une standardisation décidée d'ici le 13 avril 

Mais les EME sont également vues comme la reconnaissance par le W3C de l’existence des DRM. Le consortium tente pour sa part d’emprunter la voie du milieu : puisqu’il n’est pas possible de se débarrasser des verrous numériques et que les plateformes de streaming y tiennent, autant en structurer l’utilisation. On se rappelle notamment comment l’EFF avait publié une lettre ouverte au W3C l’invitant justement à limiter les dégâts sur la vie privée.

Voilà pourquoi l’arrivée des Extensions dans l’étape finale de standardisation est surveillée de près. Les EME sont en effet désormais une Proposed Recommendation, la dernière version du futur standard ayant été publiée le 16 mars. Désormais, le « brouillon » est entre les mains du comité consultatif du consortium, qui va devoir décider – d’ici le 13 avril – s’il est propulsé en tant que standard ou non.

w3c eme drm

Validation ou renvoi à une étape antérieure

À partir de là, plusieurs possibilités existent. Si le comité valide la technologie en l’état, elle devient une recommandation à part entière. Elle sera donc considérée comme un standard finalisé et pourra être utilisée par l’ensemble des éditeurs intéressés. Notez d’ailleurs que beaucoup n’attendent pas cette étape pour commencer à implémenter.

Si le comité refuse la validation, les Extensions seront renvoyées à un stade antérieur de préparation. Dans la plupart des cas, il s’agit d’une Recommandation Candidate pour corriger certains points. Mais si des problèmes plus sérieux sont détectés ou si les membres ne parviennent pas à un consensus, le presque-standard peut redevenir un simple brouillon de travail, avec potentiellement plusieurs années d’efforts supplémentaires à prévoir.

Les navigateurs et principaux services intègrent déjà les EME

Tous les navigateurs principaux intègrent déjà les EME sous leur forme de brouillon. En outre, des services comme Netflix et YouTube s’en servent déjà, avec pour bénéfice de se débarrasser des modules tiers comme Flash, AIR ou Silverlight. La publication du standard ne changera donc rien en pratique pour l’utilisateur. Même si le code est modifié pour tenir compte d’éventuelles modifications, les fonctionnalités existantes seront inchangées.

Enfin, on notera que le W3C a mis à jour plus tôt dans le mois ses bonnes pratiques pour la divulgation des failles de sécurité détectées dans les DRM. Puisque les EME ne sont qu’une tuyauterie et que des lois comme le DMCA américain punissent tout contournement des mesures de protection numérique, le consortium cherche ainsi à prémunir contre toute poursuite dans ce type de cas.

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
votre avatar

trop tard pour éditer, mais en fait ils fournissent directement une version sans les EME

https://ftp.mozilla.org/pub/firefox/releases/51.0/win64-EME-free/fr/ (à chercher selon la version et langue souhaitée)

votre avatar

MErci pour les deux liens. Je ne savais pas que Mozilla elle-même fournissait cette version sans les DRM, c’est une bonne nouvelle !



Sinon ton lien à une petite erreur, je le corrige :

https://ftp.mozilla.org/pub/firefox/releases/51.0/linux-x86_64-EME-free/fr/

<img data-src=" />

votre avatar







Jarodd a écrit :



Sinon ton lien à une petite erreur, je le corrige :

https://ftp.mozilla.org/pub/firefox/releases/51.0/linux-x86_64-EME-free/fr/

<img data-src=" />





<img data-src=" />


votre avatar

<img data-src=" /><img data-src=" />

votre avatar

tu peux passer en “non support de l’EME” dans les options &gt; contenu (décocher “Lire le contenu DRM”)

(de mémoire, Mozilla proposait un installeur avec EME et un sans à partir de la version 38 à peu près puis ils ont l’air d’avoir lâché l’affaire en l’intégrant en tant que paramètre))



edit : ah bah les infos sont plus propres sous Linux ^^

votre avatar







matroska a écrit :



Les extensions médias chiffrées en français.



<img data-src=" />









tpeg5stan a écrit :



qui permettent de gérer les GDN des sites accessibles via ptht (protocole de transfert hypertexte) de la TM (toile mondiale), sur des pages écrites en LBHT (langage de balisage hypertexte) avec des FSC (feuilles de style en cascade).<img data-src=" />



 Bon si tu pouvais follower, william <img data-src=" />







Il faut causer Molière <img data-src=">


votre avatar







127.0.0.1 a écrit :



La complexité du schéma ! <img data-src=" />



Tant que la solution “DRM” ne sera pas aussi simple que cela:





  1. Client requests a media

  2. Server sends the chunk/file

  3. Client plays the chunk/file



    …alors le piratage aura de beaux jours devant lui.





    Quel rapport entre la “complexité du schéma” et le piratage?



    L’utilisateur n’en voit rien de cette complexité donc je ne vois pas comment ça pourrait justifier du piratage…


votre avatar







Ulfr Sarr a écrit :



Quel rapport entre la “complexité du schéma” et le piratage?



L’utilisateur n’en voit rien de cette complexité donc je ne vois pas comment ça pourrait justifier du piratage…





cherche pas, pas mal de “pirates” trouveront toujours toutes les excuses possibles pour se justifier

on finira bien un jour par lire “tant que les bluray couteront 1€, le piratage aura de beaux jours devant lui” ^^


votre avatar







Ulfr Sarr a écrit :



Quel rapport entre la “complexité du schéma” et le piratage?



L’utilisateur n’en voit rien de cette complexité donc je ne vois pas comment ça pourrait justifier du piratage…







Quand je vois:




  • “Content Decryption Module (CDM) is the client component that provides the functionality, including decryption”

  • “CDM implementations may return decrypted frames or render them directly”

    je me dis que ca ne sera sans doute pas écrit en pur javascript car trop compliqué, pas assez performant (rendering) et aussi trop facilement “piratable”.



    Donc ce CDM sera surement spécifique à chaque plateforme… Et la plateforme “web client” sera elle surement spécifique à la plateforme OS+hardware.



    Quelle sont les chances pour que ce CDM soit dispo et fonctionne à la fois pour ta box FAI, ta smartTV, ton htpc linux, ta console de jeu, ton smatphone Sailfish…. ? A mon avis, assez maigre.



    Alors soit tout le monde passe en “Windows+Chrome”, soit on aura des “ca marche pas chez moi”.

    Et au final, ca sera plus simple de télécharger le contenu sur megauploadfile.com au format avi/mkv


votre avatar

Je crois que le premier paragraphe de la dernière partie de l’article répond à ta problématique…



Après honnêtement, une fois que tu t’es penché sur le “ou trouver mes films de vacances tranquillement” et que tu as trouvé la réponse, ça sera toujours plus simple de pirater…

&nbsp;&nbsp;

votre avatar

Justement, ca devrait être plus simple de ne PAS pirater.

votre avatar







Gu0sur20 a écrit :



C’est ce qu’ils font en pratique. Ils rajoutent juste les échanges de clefs qui vont bien pour te permettre d’accéder légitimement au contenu protégé.







La légitimité d’accéder au contenu est contractuelle: abonnement/licence entre le consommateur et le distributeur du contenu. Avec cette architecture, il s’agit à l’inverse de “légitimer” la plateforme à recevoir du contenu.



Soyons franc, la seule raison d’exister de ce standard c’est de permettre le décodage “via une boite-noire propriétaire” de contenu protégé. La légitimité n’a rien a voir la dedans. La légitimité est gérée par l’authentification de l’utilisateur et la signature d’un contrat.



Autre effet collatéral, ce standard c’est l’acceptation pour un logiciel d’avoir une interface vers du binaire proprio. Est-ce que VLC va implémenter ce standard ?


votre avatar

Il y a une mésentente sur le vocabulaire. C’est ma faute, je le reconnais.



En cybersécurité et quelque soit le discipline concernée (crypto, contrôle d’accès, gestion de risques, …), la notion de légitimité d’un accès est toujours relative à une politique de sécurité plus ou moins formelle.



Ici, il s’agit de déterminer si l’utilisateur, ou plutôt le navigateur ;), est en droit d’accéder ou non au contenu protégé. Pour cela, il y a une première phase d’authentification avec le serveur de licence qui, si le navigateur est reconnu, va associer le dit navigateur à, j’imagine, un profil utilisateur et donc aux contenus auxquels il peut accéder. &nbsp;Si cette phase d’authentification échoue alors toute demande d’accès au contenu protégé doit être considérée comme illégitime et donc doit être bloquée.



En gros, c’est aussi simple que ça:





  • Browser –&gt; Bonjour je m’appelle Roger !

  • Serveur —&gt; Bonjour Roger, je te reconnais.

  • Browser –&gt; Est-ce que moi, Roger, je peux regarder Bambi ?

  • Serveur —&gt; Bien sûr Roger.



    Ça ressemble furieusement à ce que tu décrivais, non ? ^^



    &nbsp;

    &nbsp;

votre avatar

De toute façon…



à partir du moment où ça apparait à l’écran, il y a moyen de détourner la vidéo et de l’enregistrer en clair <img data-src=" />



Les ordinateurs sont des machines à copier, jamais il ne sera possible d’aller contre ça.

votre avatar

<img data-src=" />&nbsp;<img data-src=" />

votre avatar

Les extensions médias chiffrées en français.



<img data-src=" />

votre avatar

Le monde change et évolue, nous devons nous y adapter même si comme beaucoup je ne vois pas les EME d’un très bon oeil. D’un autre coté, quitte à ne pas pouvoir empêcher les DRM autant les réguler et en faire un système honnête du point de vue de l’éditeur et du consommateur tout en ayant en tête que ce dernier doit être protégé et que les arts, la sciences, la connaissance et le savoir doivent impérativement être accessible à tous facilement et sans contrainte technique ou de surveillance.

votre avatar

qui permettent de gérer les GDN des sites accessibles via ptht (protocole de transfert hypertexte) de la TM (toile mondiale), sur des pages écrites en LBHT (langage de balisage hypertexte) avec des FSC (feuilles de style en cascade).<img data-src=" />



&nbsp;Bon si tu pouvais follower, william&nbsp;<img data-src=" />

votre avatar

La complexité du schéma ! <img data-src=" />



Tant que la solution “DRM” ne sera pas aussi simple que cela:





  1. Client requests a media

  2. Server sends the chunk/file

  3. Client plays the chunk/file



    …alors le piratage aura de beaux jours devant lui.

votre avatar







127.0.0.1 a écrit :



La complexité du schéma ! <img data-src=" />



Tant que la solution “DRM” ne sera pas aussi simple que cela:





  1. Client requests a media

  2. Server sends the chunk/file

  3. Client plays the chunk/file



    …alors le piratage aura de beaux jours devant lui.





    C’est aussi simple que tu le dis… mais en plus compliqué&nbsp;<img data-src=" />


votre avatar







boogieplayer a écrit :



Le monde change et évolue, nous devons nous y adapter même si comme beaucoup je ne vois pas les EME d’un très bon oeil.





Non mais on parle de contenu sur le web là, pas de changement climatique ou de résistance bactérienne.

Si Netflix veut imposer des drm à ses utilisateurs ou que le dernier blog bd de cagole veut interdire le copier-coller et que les gens s’y précipitent c’est très bien pour eux, mais ça n’a rien d’un processus inéluctable ou de la voix d’allah.


votre avatar







lincruste_2_la vengeance a écrit :



Non mais on parle de contenu sur le web là, pas de changement climatique ou de résistance bactérienne.

Si Netflix veut imposer des drm à ses utilisateurs ou que le dernier blog bd de cagole veut interdire le copier-coller et que les gens s’y précipitent c’est très bien pour eux, mais ça n’a rien d’un processus inéluctable ou de la voix d’allah.





certes, mais ça fait partie du monde. Comme toujours, tu peux t’impliquer activement avec les associations ou les groupements qui visent à lutter contre cela afin, en effet, que ce ne soit pas inéluctable.


votre avatar







127.0.0.1 a écrit :



Tant que la solution “DRM” ne sera pas aussi simple que cela:





  1. Client requests a media

  2. Server sends the chunk/file

  3. Client plays the chunk/file





    &nbsp;Il faut bien déchiffré à un moment donnée. Il pour cela il faut une clé donc il faut un moyen de récupérer la clé.


votre avatar

Tu te rends compte qu’une simple requête HTTPS a déjà un schéma au moins aussi compliqué que celui décrit si on inclut toutes les opérations ?



Faut arrëter d’abuser, ce schéma c’est juste de l’implémentation technique, l’utilisateur ne voit même pas qu’il y a un DRM, regarde Youtube ou Netflix !

votre avatar

C’est ce qu’ils font en pratique. Ils rajoutent juste les échanges de clefs qui vont bien pour te permettre d’accéder légitimement au contenu protégé.

&nbsp;

votre avatar

Il me semble avoir lu qu’un fork de Firefox avait été fait pour ne pas intégrer ces EME ? Je ne retrouve plus le lien.

votre avatar

tu sors <img data-src=" />

votre avatar

Correction:

Alors soit tout le monde passe en “Windows 10 +Chrome”, soit on aura des “ca marche pas chez moi”.



C’est vers ça que tendent les EME. C’est un moyen supplémentaire de controler les moutonsommateurs.

votre avatar

sauf que la question n’est pas:

“Est-ce que moi, Roger, je peux regarder Bambi ?”

auquel cas la réponse est “oui”, tu peux regarder car tu as payé ton abonnement.



Mais c’est:

“Est-ce que moi, Roger, je peux avoir une clé de déchiffrement pour le CDM YoutubeDRMEngine-v1.02-win7-x64 afin de regarder le contenu Movie-MPEG-DASH-FullHD-A54F8D4587EA485F ?”



… auquel cas la réponse peut être non car cette version de CDM ne gère pas le FullHD sur win7.

W3C : les Encrypted Media Extensions en phase finale de standardisation

  • Une standardisation décidée d'ici le 13 avril 

  • Validation ou renvoi à une étape antérieure

  • Les navigateurs et principaux services intègrent déjà les EME

Fermer