Mesures Techniques de Protection

Depuis un certain temps les Mesures Techniques de Protection suscitent quelques polémiques, notamment suite à la fameuse DADVSI. Pourtant, celles-ci existent depuis longtemps et personne n’y trouve quoi que ce soit à redire, pour autant que l’on soit au courant de leur existence.

Petit historique

Je ne saurai pas dire depuis combien de temps existent ces Mesures Techniques de Protection (que j’abrégerai désormais par MTP), mais lorsque j’ai débuté l’informatique en 1983, elles étaient déjà là… tout comme les pirates d’ailleurs. Au tout début, les logiciels n’étaient pas pourvus de MTP. Pendant un certain temps, les logiciels grand public se faisaient allégrement dupliquer, au grand dam des éditeurs et distributeurs. Fort de ce constat, les éditeurs de logiciels en question se sont mis à concevoir un certain nombre de MTP toutes plus sophistiquées les unes que les autres, afin d’enrayer le processus bien désastreux à leurs yeux.

Cela a d’ailleurs suscité des vocations, et de nombreux groupes d’individus se sont créés afin de contourner ces fameuses MTP, dans le but noble à leurs yeux de faire découvrir au maximum de personnes les joies de l’utilisation de tel ou tel jeu dernièrement sorti. En effet, et par un effet plus pervers que l’on aurait imaginé, ce qui attirait ces individus n’était pas le logiciel proprement dit, mais la MTP associée. J’ai le souvenir des disquettes 5 pouces 1/4 sur Apple II contenant des jeux précédés par une « intro » mentionnant le nom ou plus précisément le pseudonyme de l’artiste ayant contourné la MTP afin d’en réaliser des copies. La mesure de protection devenait alors l’objet central, et plus celle-ci était coriace à contourner, plus l’artiste ayant réalisé l’exploit pouvait s’en vanter, devenant ainsi un personnage (sous couvert de son pseudonyme) vénéré dans le milieu. S’ensuivirent même des concours de contournement, voire même des querelles entre différents clans, le but avoué étant de contourner la MTP la plus en vogue avant les autres… si possible en quelques heures (voire quelques minutes) pour les meilleurs.

Les éditeurs ne se sont pas fait prier pour inventer toutes sortes de MTP plus solides, car en étant eux-mêmes à l’écoute du milieu de ces artistes ils étaient en mesure de savoir que leur dernière astuce de protection n’avait tenu qu’une semaine, et qu’il faudrait trouver autre chose pour la suite. En fait, cela a engendré cette fois-ci une course au plus fort entre les éditeurs et nos fameux artistes… Durant ces années, tout y passa : protections logicielles, codes imprimés sur les manuels et les emballages, dongles (clefs matérielles à connecter sur l’ordinateur), mécanismes obscurs, trous au laser dans les disquettes puis les CD, et j’en passe… Mais, fait incroyable, chaque mesure de protection tendait à ne pas résister plus de quelques mois.

Pourquoi concevoir une MTP est difficile ?

Les éditeurs ont un désavantage, par rapport à ces artistes… ces derniers sont jeunes et dynamiques, passionnés et ont du temps, beaucoup de temps, ce qui leur permet de consacrer l’énergie nécessaire au contournement de la MTP, quitte à y passer week-ends et nuits blanches. On imagine mal un éditeur ayant de telles ressources à sa disposition pour contrer un tel attaquant.

De plus, concevoir une mesure de protection est bien plus complexe que de la contourner, pour de multiples raisons. D’une part car l’on ne connait pas l’attaquant et qu’il faudrait idéalement se mettre à sa place en adoptant son comportement et en « pensant » comme lui… Or compte-tenu de la large diffusion des logiciels et oeuvres munies de MTP, on a à faire face non pas à un attaquant avec une logique déterminée, mais à de multiples attaquants, chacun ayant son mode de réflexion qui lui est propre, et si l’un seul d’entre eux réussit ce contournement, tout les efforts de l’éditeur n’auront servi à rien.

D’autre part, la MTP est statique. En d’autres termes, elle est inscrite de manière définitive et inaltérable sur un support de type disquette ou CD-Rom ou DVD, et l’attaquant pourra ainsi analyser sans contrainte ladite protection. A l’instar de l’entomologue, l’artiste en question pourra chausser ses binocles afin d’analyser puis de disséquer la curiosité qui se présente à lui. Cela ne lui explosera pas à la figure, cela n’endommagera pas son ordinateur. L’éditeur est presque totalement démuni face à cela. Parmi les solutions se présentant à lui et qui se mettent progressivement en place pour limiter cet inconvénient, la MTP dynamique permet, une fois le produit installé sur l’ordinateur, d’amorcer un retour d’informations vers l’éditeur, afin que celui-ci prenne bonne note de l’installation du produit, et si possible altère la MTP d’origine afin de compliquer la vie de l’artiste. Les mécanismes d’activation de logiciels par Internet, fax ou téléphone sont issus de ce constat.

Une autre difficulté pour l’éditeur, est que la puissance de calcul des ordinateurs, et les capacités des logiciels évoluent sans cesse. Ce qui n’était pas contournable autrefois car utilisant des clefs de chiffrement de 40 bits est désormais à la portée de certains, et ce qui était protégé par le biais de mesures techniques basées sur le matériel est désormais contournable grâce aux extraordinaires progrès des émulateurs et autres machines virtuelles. Les outils de contournement qui, il ne faut pas se leurrer existent bel et bien, sont également en constant progrès et comportent de plus en plus de fonctions sophistiquées permettant à des artistes de moins en moins compétents (ce ne sont donc plus des artistes, mais des « script-kiddies », ou des « lamers » en termes plus anciens) de contourner ces fameuses MTP.

MTP et juridique

La crainte de l’éditeur, finalement, est ressentie face à ces vrais artistes, qui vont désormais concevoir de tels outils et les mettre à disposition sur Internet. En effet, si un artiste pouvait faire un mal aux conséquences limitées, depuis que de tels outils se trouvent à la portée de chacun et qu’il ne suffit que de cliquer sur un bouton ou d’insérer un CD/DVD/etc. dans le lecteur pour que ladite MTP soit contournée, les conséquences sont dramatiques pour l’éditeur et le distributeur.

C’est la raison pour laquelle les éditeurs se sont à juste titre démunis face à ce problème. Et non seulement je les comprends mais je les soutiens totalement. Ne sachant pas comment résoudre la difficulté sur le plan technique, puisque depuis au moins deux décennies leurs MTP se font allégrement contourner, celles-ci se sont résignées à faire appel aux instances supérieures, à savoir aux juristes. Ceux-ci ont bien compris la difficulté et ont par conséquent édicté un certain nombre de lois permettant de limiter les dégâts, et incitant tous les artistes potentiels à mettre le holà sur leurs ambitions et compétences, afin de ne pas pénaliser le marché. La directive Eucd, pour le cas de l’Europe, en est un exemple qui donnera naissance à la controversée Dadvsi mais il y en a bien d’autres, comme la fort également controversée DMCA.

Comme je viens de l’affirmer, je suis d’accord sur le fait que les lois sont la seule « méthode » permettant d’éviter des débordements et notamment un déferlement d’oeuvres ou de logiciels de provenance douteuse sur nos réseaux, car les Mesures Techniques de Protection seront toujours plus ou moins rapidement mises en échec par les Mesures Techniques de Contournement concoctées par des artistes doués de part le monde.

Mais là où je ne suis pas d’accord, c’est le décalage pernicieux qu’a engendré toute cette polémique autour des MTP et autres Dadvsi, tant du côté des promoteurs que des opposants. Protéger le contournement des MTP par des lois au lieu de protéger ladite oeuvre reste pour moi un échec cuisant de l’appréhension du problème par les acteurs, qu’ils soient pour ou contre. Jusqu’à présent, et à ma connaissance – certes faible – du droit on légifère sur le vol des biens et non sur la manière de procéder. Prenons le cas du vol de voiture. Cela est répréhensible, bien entendu. Il y a fort à parier que le juge s’intéressera à l’acte (la voiture de monsieur X a été retrouvée chez monsieur Y) et non à la manière dont monsieur Y s’y est pris. A ma connaissance également, il n’y a pas de textes de lois précisant qu’il est interdit de forcer la serrure du contact, ou de contourner les mesures de protection de l’anti-démarrage ! Seul le fait compte.

Reprenons les choses plus clairement. Oui pour des lois sanctionnant la possession d’oeuvres et autres biens matériels acquis illégalement. Pas vraiment d’accord pour des lois que je qualifie de demi-mesures, car ne traitant que d’un aspect du problème sans pour autant le résoudre parfaitement, et qui plus est générant plus de soucis qu’autres choses.

Comme le rappelle mon historique du début, cela fait plus de deux décennies que les MTP se font contourner, et que l’obsolescence progressif de celles-ci face aux évolutions technologiques les rendent inutiles, voire néfastes. J’ai déjà bien du mal à relire mes propres disquettes 5 pouces 1/4 de Commodore 64 même sans MTP, comment ferais-je dans dix ou quinze ans lorsque les lois de l’évolution technologique m’auront poussé à changer mes chaînes Hi-Fi et autres ordinateurs ? … et si à l’instar des disques vinyles, des cassettes audio puis VHS, il ne devenait plus possible d’acheter de lecteurs de CD puis de DVD dans les magasins ? Devrais-je alors racheter l’intégralité des quelque 200 à 300 CD audio et 100 DVD que j’ai accumulés depuis quelques temps afin de pouvoir en profiter ? Il semble malheureusement que oui.

Pour moi, le fait de mentionner les MTP dans les textes de loi sont une mauvaise idée à la base, pour toutes les raisons évoquées préalablement, mais également parce que comme leur nom l’indique très explicitement, elles sont d’ordre Technique, et donc soumises à l’obsolescence de la technique…

les MTP et les faussaires

Pour finir ce long billet, j’ai une petite anecdote que je me suis remémoré suite à mon passage récent sur l’album photo de NewS0ft.

Il y a déjà quelques années qu’une MTP est en place sur bon nombre d’équipements de bureau, logiciels professionnels et autres produits, mais que curieusement peu de monde cite en ces temps de Dadvsi… il s’agit de la mesure de protection technique visant à interdire la reproduction de billets de banque. Celle-ci a été conçue par un consortium de banques souhaitant s’attaquer au problème de la reprographie non autorisée des billets, passible comme chacun est en mesure de le savoir de lourdes peines de prison dans tous (je crois) les pays du monde. Et cela est tout à fait normal. Ce consortium à l’acronyme sympathique (CBCDG – Central Bank Counterfeit Deterrence Group) a édicté un certain nombre de mesures visant à interdire par tous les moyens possibles la contrefaçon de billets. L’un de leurs sites explique notamment quels sont les objectifs et les moyens utilisés. Il s’agit notamment de mettre en place des mesures de protection techniques (encore elles !) au sein de tout équipement ou dispositif susceptible de permettre la reproduction de billets.

Il faut savoir que malgré le silence relatif autour de ce sujet délicat, ces MTP sont en place depuis quelques années. Ainsi, toute tentative (n’essayez pas, même la tentative est interdite) de reprographier un billet sur une photocopieuse couleur aboutira sur un gentil message dudit copieur précisant que ce n’est pas bien et qu’il faut aller sur www.rulesforuse.org pour en savoir plus. N’allez pas penser que les logiciels ont été épargnés par cette mesure. Certains pilotes de scanners et d’imprimantes sous Windows semblent à même de déterminer s’ils ont affaire à des billets et refusent alors leur acquisition ou impression. D’ailleurs à ce sujet je me demande par quel biais les sociétés en question ont procédé et si ils ont embarqué dans le pilote l’ensemble des caractéristiques des billets recto-verso pour toutes les monnaies du monde, ce qui doit représenter une « très légère » augmentation de la taille du pilote. Mais ce ne sont pas mes oignons, je ne suis pas faussaire. Autre fait amusant, d’après d’autres messages que j’ai lus sur Internet, il semble qu’un certain nombre de logiciels de retouches de photos tels que le célèbre Adobe Photoshop bloquent également l’impression des billets.

On est bel et bien en face d’une MTP, en place et incontestée… Analysons par conséquent ce qui s’est passé depuis sa mise en place :

1. Certains archivistes ont porté plainte car ils n’étaient plus en mesure d’ouvrir ou de scanner de « vieux » documents datant d’avant la mise en place de ces mesures, et comportant des illustrations et photos de billets de banques.

2. Si certains logiciels sont effectivement en mesure de prévenir la reprographie des billets, de nombreux autres logiciels notamment issus du monde libre (The Gimp pour ne pas le citer) ne sont bien évidemment pas munis de tels dispositifs, on imagine mal le consortium livrer au monde entier le code source de leur MTP. A mon avis les contrefacteurs éventuels n’ont aucun intérêt à utiliser Photoshop puisque des équivalents aussi performants (paraît-il, moi je n’y connais rien) et non bridés existent. C’est d’ailleurs ce risque qui a provoqué tant de remous lors de la Dadvsi : les opposants avaient peur que le logiciel libre soit interdit car ne possédant pas de MTP (enfin je schématise un peu, mea culpa pour les puristes).

3. Comment se passe l’introduction de nouveaux billets sur le marché ? On est passé en quinze ans en France, des billets en franc ancien modèle, puis nouveau modèle, juste avant de passer à l’Euro. Les constructeurs de photocopieuses et les éditeurs de logiciels doivent-ils à chaque fois mettre à jour leurs firmwares, drivers et autres systèmes ? Vu le nombre de pays dans le monde, et vu le continuel bouillonnement politique et économique, je suppose que de nouvelles devises ou au moins de nouvelles formes de billets voient de temps en temps le jour… Peut-on alors techniquement (je sais, légalement c’est interdit !) les dupliquer sur un dispositif n’étant pas à jour ?

4. Il est certain que cette MTP est incontestée car nul ne songerait à devenir faussaire (du moins je l’espère), ne serait-ce que parce que d’une part le risque encouru est trop gros, et d’autre part on a appris depuis le plus jeune âge que cela ne se fait pas dans nos sociétés. La dérive que l’on connaît actuellement et qui touche la duplication à grande échelle d’oeuvres, serait-elle dûe à une notion de la valeur et de la propriété qui soit différente de celle des billets de banque ? J’en suis certain. Pourtant, la monnaie papier est elle-même une forme d’abstaction de la valeur, et je serais bien curieux de savoir à quelles difficultés nos « banquiers » d’autrefois ont du faire face lorsqu’ils ont commencé à introduire ce premier niveau de dématérialisation de la valeur, en lieu et place du troc…

Conclusion

Je souligne encore une fois :

  • que les lois interdisant la détention non autorisée d’oeuvres et de biens me conviennent parfaitement et que je les respecte.
  • que la notion de « Mesure de Protection Technique » inscrite dans les récents textes de loi me gêne.
  • que la contrefaçon de billets est très sévèrement réprimée.

PS : j’écoutais une émission sur France Culture il y à deux semaines il me semble, où des économistes parlaient de la Dadvsi. Ils ont raison sur bien des points, tout comme les artistes, tout comme les distributeurs, tout comme le législateur. Le problème est qu’il s’agit d’un sujet transverse impliquant tous ces acteurs voire plus encore (internautes, utilisateurs etc.), et que comme chacun ne veut défendre que son petit bout de jardin, car il ne voit que du petit bout de la lorgnette, cela aboutit à des conflits. Par exemple, je suis d’accord avec les artistes, distributeurs, juristes et économistes sur les grandes idées, mais la méthode (MTP) employée ne me semble pas adaptée, ni dans le temps, ni sur un plan pratique.

Cela étant dit, bonne méditation.


ABSTRACT : Why TPM (Technical Protection Measures), also known in english speaking countries as DRM, shouldn’t be included in text laws.

3 Comments »

Bruno Kerouanton on septembre 2nd 2006 in IT Security

3 Responses to “Mesures Techniques de Protection”

  1. Athalyan responded on 04 Sep 2006 at 13:01 #

    Ben quel roman tu nous fais pour la rentrée 😉
    Cela dit ton sujet est super bien traité. Je suis ignare dans tous ces trucs là, je ne fais même pas de téléchargement !!! Mais c’est bien pensé ! Merci pour ce beau billet !!

  2. Bruno Kerouanton responded on 04 Sep 2006 at 17:16 #

    De rien !

  3. Ma petite parcelle d'Internet... responded on 08 Sep 2006 at 10:59 #

    Quand les DRM font aller plus vite…

    La vitesse à laquelle un éditeur publie ses patches est toujours question à polémique…

Trackback URI | Comments RSS

Laisser un commentaire