solutions de DRM : l'avis des spécialistes ?

[freqelectro]

il faut bien aborder le sujet alors autant commencer en examinant ce qui se fait...

- Open Digital Rights Language (ODRL) Initiative : http://odrl.net
- http://solutions.journaldunet.com/0401/040108_drm.shtml
- http://supinfo-projects.com/fr/2005/ges ... roduction/

s'il y a des spécialistes de la question, notamment sur le plan technologique, je suis preneur de toute info(s) sur ces solutions de gestion de "drm" et le contexte de leur évolution actuelle.

@+

[Fulgore]

J'suis développeur et ingénieur réseaux, mais pas un expert en DRM. J'vais quand même donner mon avis.

L’avantage dans ODLR, c’est que le protocole est libre et gratuit donc implémentable par tout le monde y compris les logiciels libres. Puis c'est un système qui a l'air assez évolutif.
Par contre, j'ai l'impression qu'aucune application supportant ce format existe pour l’instant, donc difficile d'évaluer la fiabilité de ce système de DRM. Les doc que j’ai lu sur leur site ne précise que de grands principes, mais n’explique pas le coeur du système.

Voici une petite explication de mon avis sur la faisabilité de la chose. Tout système de DRM pour être un minimum fiable doit faire du cryptage. Le cryptage a besoin d'un algorithme et de clés. Pour éviter qu'un utilisateur "casse" le cryptage il faut soit cacher soit l'algorithme soit la clé.
Là où je trouve que DRM et open source sont un peu contradictoire, c'est que comme c'est de l’open source, l'algorithme est connue par tout le monde, et d’autre part la clé est connu par celui qui va écouter le fichier (car pour écouter le fichier, faudra bien le décrypter). Donc effectivement une DRM libre pourra permettre de s'assurer que le fichier que l'on distribue à une personne sera lisible que par cette personne, mais pour empêcher que cette personne enlève cette DRM c'est une autre histoire...
Puis y'a toujours l'histoire du trou "analogique". La solution du trou analogique c'est la chaine sécurisé de matériel. Il faut voir ça comme une suite de diffuseur-récepteur. Et là encore le récepteur en bout de chaine (haut-parleur) décryptera le flux, donc en remplaçant ton haut-parleur par autre chose ou en le trafiquant, c'est piratable. Et pour s'assurer que c'est pas piratable faut cacher les clés ou l'algorithme. Tu vois c'est toujours les mêmes difficultés que l'on rencontre.

Enfin c'est bien de voir que y'en a qui cherche dans ce domaine. Peut-être que quelqu'un trouvera l'astuce . Je reste toutefois très septique.

[Sub]

Le secret de l'algorithme est assez illusoire dans la mesure ou il est possible de le trouver par décompilation (ce n'est pas forcément simple).

Le secret de la clé doit être protégé, par exemple par une passphrase mais aussi en
associant la clé à un identifiant du matériel (c'est le cas pour la musique vendue en ligne).

Le trou analogique ou même le droit de créer des CD audio rendent de toute manière ces DRM illusoires. Je pense que les DRMs ne devraient être utilisées que dans le cas de la location mais n'ont pas de sens dans le cas de l'achat.

A la limite, le tatouage est moins restrictifs pour les usages de copie privée. Il rend gênant la mise à disposition, mais cette dernière devrait de toute façon donner lieu à rétribution.

[Fulgore]

Le tatouage est une technologie neutre, tout dépend des informations qui sont cachées par le tatouage. Si le tatouage transmet l'identifiant de l'oeuvre, ça permet d'intentifier l'oeuvre sur le réseaux, à la limite c'est pas trop dangereux. Si le tatouage transmet le nom de l'utilisateur qui à télécharger le fichier du diffuseur, là c'est nul.
C'est ce qu'a fait l'INA, notamment pour le contenu gratuit. Si je télécharge un truc gratuit chez eux, et que je le passe à quelque un (par mail ou cd par exemple), qui le passe à quelque qu'un, etc.... et qu'une personne en bout de chaîne met le fichier sur le peer to peer, celui qui risque un procès c'est moi, alors que ce que j'ai fait peut être considéré comme de la copie privé.

[freqelectro]

@ FULGORE :

merci... 1000 fois Super réponses ( merci à Patrick aussi de lancer le débat ).

donc si je résumé bien, il y a 2 grands principes pour l'instant :
1/ algorithme : on décompile et on le trouve...

2/ clé : plus sécurisé mais soucis dans le cas de l'opensource ( ou plutot paradoxe sauf si chaque personne peut générer une clé unique en fonction de ses besoins ? )... autre soucis puisque pour etre "vraiment" secure, il faut pouvoir identifier le matériel également donc dans le cas du libre, c'est pas forcément bon ? par clé on peut imaginer se retrouver avec du PGP également ou non ?

3/ sécurisation générale : est ce qu'il sera possible de "masquer" réellement ce qui transite comme l'URL d'un flux/contenu "drmisé" ( je sous-entend par la, masquer les données qui circulent en "clair" et que l'on peut retrouver facilement via un soft comme ethereal - www.ethereal.com ). Ceci pour combler le fait qu'une personne puisse "ripper" le flux ( "empêcher que cette personne enlève cette DRM c'est une autre histoire..." comme le dit Fulgore ) meme si ce n'est pas du tout dans l'esprit de la copie privée....

concernant ODRL, j'ajoute ceci au passage des fois que ca puisse servir pour mieux comprendre la technologie :
http://www.w3.org/TR/odrl/

Fulgore, peux tu m'envoyer tes coordonnées skype et/ou MSN et/ou AIM en privé merci

felectro

[Sub]

Le tatouage est une technologie neutre, tout dépend des informations qui sont cachées par le tatouage. Si le tatouage transmet l'identifiant de l'oeuvre, ça permet d'intentifier l'oeuvre sur le réseaux, à la limite c'est pas trop dangereux. Si le tatouage transmet le nom de l'utilisateur qui à télécharger le fichier du diffuseur, là c'est nul.
C'est ce qu'a fait l'INA, notamment pour le contenu gratuit. Si je télécharge un truc gratuit chez eux, et que je le passe à quelque un (par mail ou cd par exemple), qui le passe à quelque qu'un, etc.... et qu'une personne en bout de chaîne met le fichier sur le peer to peer, celui qui risque un procès c'est moi, alors que ce que j'ai fait peut être considéré comme de la copie privé.

Je n'ai pas vraiment réussi à me connecter sur le site de l'INA ce week end, il était bien trop chargé. S'il est vrai qu'il mettent dans leur tatouage l'identité du téléchargeur pour des oeuvres gratuites, c'est un peu extrème. Mais dans ce cas il suffit de n'envoyer par mail que le lien vers l'oeuvre et ils vont pleurer devant la bande passante nécessaire ... Bon, je suppose qu'il faut créer un compte tout de même.

A ces restrictions prés, ce site de VOD de l'INA est une excellente idée.

[TsT]

Mon avis en vrac.

Il ne faut pas se faire avoir par le mot "Open" de l'Open Digital Rights Language.
Ce n'est pas parce que c'est Open Source que ca fonctionnera sur son OS Open Source.

Ensuite l'Open Digital Rights Language. est bien un "Langage" ca n'oblige pas une implementation ouverte.

A mes yeux cette initiave resemble plus a une resolution du problème de l'existance de plusieurs DRM (Apple, Microsoft, etc.) en une unification d'un langage (equivalent "protocol") commun.

Tout comme le langage XML, ouvert, on peux injecter des donnees propriétaires (ce qu'à fait Micorosft avec le dernier format d'Office, il me semble).


Ensuite dans vos posts vous parlez de différents aspects je pense qu'il est important de d'abord fixer le but que doit remplir de DRM.

A mes yeux le mécanisme DRM est bien avant d'être réelement utilisé voué a l'échec.
Sur un systeme libre, on peux envisager de mettre en place un systeme pour que l'utilisateur soit limité par le system (DRM ou pas).

Si l'on considère qu'un utilisateur a le controle totale de sa machine (ce qui est le cas). je ne peux concevoir de logiciel capable de limiter quoi que ce soit.

J'ai longtemps réflechis et je n'ai trouvé qu'un modèle "open source" resemblant a du DRM qui marche et il implique du hardware...

Si on imagine une carte son avec mecanisme de DRM. Le mécanisme de DRM en lui meme pourrait etre opensource.
La carte génèrerait une clef publique et privé. La clef publique serait rendue accessible a l'OS (Windows, Linux, qu'importe)
Cette clef pourrait être envoyé au vendeur en ligne lors de l'achat de la musique par l'utilisateur.
Le vendeur pourrait alors chiffrer la musique avec la clef publique et l'envoyer a l'utilisateur/acheteur.
Ensuite la carte son serait la seule a pouvoir déchiffrer ces données.

Mais il me parrait difficile :
- de réaliser un driver libre qui ne puisse etre facilement détournable pour soit générer une clef bidon, ou rendre accessible la clef privé a l'OS.
- d'empecher de pirater la sortie de la carte son ou les données déchiffrées...
- Le chiffrement a l'air de clef asymétrique est très lourd, ca m'étonnerait que les vendeurs de musique en ligne est un jour une infrastructure pour le supporter.

Conclusion:
Pour moi l'évocation d'une initiative libre/open dans le monde du DRM est une utopie, ce n'est que de la poussiere au yeux permettant a certains d'argumenter que les DRM peuvent exister sur des systemes libres.
Que les formwares de systemes DRMiseurs (dans l'exemple carte son) ne pourront jamais etre ouvert.


Bonne vie dans ce monde daubesque.

PS: le silence est la plus douce des musique, sans DRM ajouté.