Dans une note confidentielle adressée à plusieurs sociétés de gestion collective, la Haute autorité a détaillé le versant technique des Box dites Kodi. Avec des  « add-ons », elles peuvent devenir un nid à consommation de contenus « pirates ».

Ce n’est pour l’heure qu’une note technique, plutôt dense, mais à partir de laquelle la Hadopi entend alerter les principaux concernés d’un risque à venir. Ce n’est pas tant le lecteur multimédia libre (et neutre) Kodi (autrefois XBMC) qui l’interpelle, mais davantage une myriade d’add-ons accessibles sur Internet.

Menace sur le modèle économique des chaînes payantes

En effet, prévient ce document de 30 pages, si certaines extensions sont destinées à personnaliser par exemple l’interface du logiciel, d’autres « souvent les plus populaires permettent d’accéder à des sources de contenus disponibles sur le web ». Sont citées 1Channel, Glow movies HD, Go Movies, Icefilms, Much Movies, Much Movies HD, Istream, ou encore Exodus, Velocity, SALT, ZEN, Specto et Phoenix.

Dans ce lot, des extensions puisent des contenus non autorisés sur les réseaux P2P, d’autres sur les sites de streaming, ou à partir de retransmissions de programmes télévisés en direct avec des flux provenant de Canal+, SFR Sports ou HBO.

Certes, « les add-ons dédiés au piratage pour Kodi, relativise la Hadopi, se contentent la plupart du temps de lire des contenus qui sont déjà disponibles illégalement sur Internet. Ces extensions ne sont donc pas destinées à contourner directement des mesures techniques de protection afin d’accéder illégalement à des plateformes de vidéo à la demande licites ou à des flux télévisés originaux ».

Néanmoins, à son goût, « le modèle économique des chaines payantes de cinéma ou de sports, de même que celui des offres de vidéo à la demande, sont gravement menacés ». Canal+, SFR Sport, OCS, beIN SPORTS, myCANAL, Netflix, Amazon Prime Video seraient tous concernés.

Des systèmes prêts à pirater

Autre point épinglé dans le document : l’arrivée sur le marché de box « prêtes à pirater ». La Haute autorité signale « certains modèles (…) à peine plus grands qu’un Post-It [qui] disposent de ports USB, de lecteurs de cartes mémoire, de prises audio/vidéo, d’une connexion réseau et d’une antenne Wi-Fi intégrée. En sortie, un port vidéo HDMI permet l’affichage des contenus sur un écran externe, en haute (voire très haute) définition ». Ces box se retrouvent ainsi sur Amazon en version « fully loaded », préchargée de plusieurs add-ons pour quelques dizaines d’euros.

La Hadopi insiste : « les difficultés ne proviennent donc pas des boitiers électroniques eux-mêmes, ni du logiciel Kodi, mais bien de l’installation sur ces boitiers d’extensions dédiées au piratage, développées pour Kodi par des tiers peu soucieux du respect des droits d’auteur et droits voisins », sachant « qu’il est possible d’installer Kodi et ses add-ons sur des boxes telles que la Freebox mini 4K ou la Bbox Miami ».

Kodi, de plus en plus populaire ?

Si la Hadopi ne parvient pas à jauger la popularité de ces dispositifs, elle note que Kodi a été téléchargé sur Google Play plus de 10 millions de fois à travers le monde, et se trouve également sur le Microsoft Store, mais non sur iTunes.

Une récente étude de la Rue de Texel, menée avec l’IFOP et relative aux risques encourus sur les sites illicites, a par ailleurs montré que « 14% des internautes français connaissent déjà Kodi (4% l'ont déjà utilisé, 10% connaissent sans utiliser) ». Chez ceux qui téléchargent régulièrement de manière illégale, les chiffres sont plus importants : « 26% d'entre eux savent ce qu'est Kodi (et 8% utilisent cette application) »

La position officielle des développeurs de Kodi est résumée ainsi : elle serait « de désapprouver le commerce de boxes dédiées au piratage ainsi que certaines extensions tierces, non officielles et parfois payantes, qui sont susceptibles de perturber le fonctionnement normal du logiciel et de créer des failles de sécurité ».

Cependant, la Hadopi considère que ces développeurs n’ont jamais envisagé « de bloquer ou de lutter contre ces extensions illégales », ni imposer une mesure technique de protection qui pourrait limiter l’hémorragie.

Un écosystème dense

L’étude de la Hadopi, une première sur le sujet, a tenté de dénouer les flux financiers qui peuvent exister. « Les revendeurs de boitiers sont évidemment les principaux profiteurs du système » avance-t-elle. En outre, « bien que les repositories (dépôt de mise à jour, ndlr) et les sites d’informations consacrés à Kodi soient libres d’accès et gratuits pour les internautes, ces services sont souvent monétisés grâce à l’affichage direct de plusieurs bannières publicitaires sur chaque page ».

S’agissant des add-ons, ceux payants « restent encore rares et ne connaissent pas de large succès comparé aux add-ons gratuits ». Mais ces sites n’hésitent pas à faire des appels aux dons.

Enfin, « il existe manifestement des connexions parfois très fortes entre les différents acteurs de l’écosystème Kodi. Ainsi, on retrouvait de nombreux développeurs « bénévoles » du très populaire add-on dédié au piratage Exodus dans l’équipe qui gérait le célèbre site et repository TVaddons.ag (add-ons destinés à récupérer les métadonnées, ndlr) jusqu’à sa fermeture en juin 2017 ». Un site financé par la publicité, propriété d’une société offshore basée dans les Caraïbes. « Ces liens sont donc de nature à remettre en cause l’aspect totalement désintéressé des développeurs d’extensions non officielles de Kodi ».

Parmi les grands perdants, les sites de référencement illicites

Pour la Hadopi, finalement, « avec Kodi, les grands perdants sont les sites de référencement illicites, et en particulier les sites de référencement qui sont consultés par les scrapers des extensions de Kodi, à la recherche de liens vers des contenus mis à disposition illégalement ». Ces solutions vont récupérer les sources des flux en streaming, évitent à l’utilisateur d’avoir à charger les bannières publicitaires. « Ils ne font que récupérer et analyser le code source des sites pour en extraire des liens contrefaisants ».

Plusieurs risques sont énumérés dans le document, en particulier, un « faible niveau de sécurité et le risque d’une zombification », qui consisterait à transformer les add-ons en une plateforme pour une attaque par déni de service distribué  (voir aussi ce billet de CheckPoint).

Des produits ont de plus été repérés en ligne sans indication sur l’identité du constructeur. Parfois encore, « aucun logo correspondant aux normes de sécurité CE / FCC / CCC ne figure sur certains modèles de boitiers (ni sur le transformateur électrique livré avec). D’autres modèles reprennent bien ces logos, mais l’absence systématique de certificat de garantie ou de note de conformité ne permet pas de déterminer si ces normes sont effectivement respectées. »

La jurisprudence européenne et les boitiers multimédias

Si l’étude de la Hadopi envisage d'étudier maintenant la partie juridique, en avril dernier, la Cour de Justice a estimé que Filmspeler, un boitier chargé d’add-ons dédié au piratage des contenus, réalisait bien un « acte de communication au public ». Une telle étiquette permet aux juridictions nationales d’examiner désormais ces dispositifs au regard de la contrefaçon, sans être bloqué par des exceptions au droit d’auteur, telle la copie provisoire. Ajoutons que la police, outre-Manche, a déjà arrêté des revendeurs de box fully loaded comme le rapportait en février 2017, la BBC.

Malgré cet arrêt, la Hadopi, qui poursuit sa mission d'observation des usages illicites, considère que « l'écosystème du logiciel Kodi est particulièrement complexe et en fait un cas à part ». Elle suggère aux sociétés de gestion collective une lutte contre son utilisation à des fins de piratage avec « la mise en œuvre de mesures simultanées, coordonnées et complémentaires ».