Journal L'EFF quitte le W3C

Posté par (page perso) . Licence CC by-sa
Tags : aucun
27
18
sept.
2017

C'est écrit là -> https://www.eff.org/deeplinks/2017/09/open-letter-w3c-director-ceo-team-and-membership

Je vous cite les deux parties les plus importantes : «An open letter to the W3C Director, CEO, team and membership» au début et «Effective today, EFF is resigning from the W3C.» à la fin.

Je vous laisse débattre de la portée et de l'implication d'une telle déclaration.

  • # Il sers à quoi

    Posté par (page perso) . Évalué à 1 (+4/-5).

    En pratique, ils font quoi de nos jours les mecs qui bossent pour le W3C ?

    • [^] # Re: Il sers à quoi

      Posté par . Évalué à -1 (+7/-9).

      et l'EFF ?

      • [^] # Re: Il sers à quoi

        Posté par (page perso) . Évalué à 10 (+16/-1).

        EFF a pondu des plugins que j'estime indispensable pour avoir une navigation un minimum "privée" et moins trackée de partout : https everythere et privacy badger.
        Et ils font des actions, des pétitions, et se battent pour libérer le net.

    • [^] # Re: Il sers à quoi

      Posté par (page perso) . Évalué à 3 (+2/-0).

      Ils standardisent, normalisent et font avancer 'l'internet'.
      Par exemple, la normalisation des paiements en ligne

    • [^] # Re: Il sers à quoi

      Posté par (page perso) . Évalué à 6 (+5/-1).

      Le W3C est l'organisme qui rédige et maintient les spécifications de HTML et CSS. Cela permet à tous les navigateurs de suivre ces recommandations et de participer à leur rédaction. Normalement, ça évite qu'un navigateur fasse plein d'extensions non-standard et permet que les sites internet marchent à peu près pareil partout.

      D'où la question: est-ce qu'il vaut mieux des DRM standardisés, ou des DRM avec une implémentation et une spécification propriétaires qui ne marche qu'avec un seul navigateur? (bien sûr, la bonne réponse est qu'il vaut mieux pas de DRM du tout, mais le W3C a choisi de répondre "ça, on n'y peut rien").

      • [^] # Re: Il sers à quoi

        Posté par . Évalué à 10 (+23/-1).

        Justement la position de l'EFF n'est pas celle que tu crois. L'EFF dit "ok on standardise mais on veut que ce soit légal de faire du reverse-engineering" alors que le W3C dit "on standardise et c'est illégal de faire du reverse-engineering".
        La différence est cruciale: si pas de reverse-engineering alors on ne peut pas chercher les bugs de sécurité donc par définition les navigateurs vont embarqué du code non légalement auditable, je trouve que c'est plutôt grave.

        • [^] # Re: Il sers à quoi

          Posté par . Évalué à 4 (+4/-2).

          Sauf que je ne comprends pas comment le W3C est en droit de prétendre quoi que ce soit sur la légalité du reverse-engineering. Jusqu'à preuve du contraire, c'est quand même les parlements nationaux qui décident de ce qui est légal ou non…

          Sur le fond, ça me semble quand même un désaccord plutôt mineur, et sans réel intérêt (puisqu'en pratique, il est évident que le code sera audité. C'est juste la publication du résultat des audits qui est problématique).

          Personnellement, j'avoue ne jamais avoir compris comment on pouvait concevoir des DRM efficaces pour empêcher la copie sans verouiller la totalité du système, du BIOS au moniteur. Si tu veux pomper ton film, tu captures le flux audio ou vidéo après le navigateur, non?

          • [^] # Re: Il sers à quoi

            Posté par . Évalué à 6 (+7/-1).

            Je ne suis pas expert mais je pense que ce que voulais l'EFF c'est obliger les distributeurs de DRM a mettre dans leur licence que le reverse-engineering est autorisé (ou un truc du genre). En effet aux US c'est illégal par défaut avec le DMCA. Or les grands distributeurs de DRM sont basés aux États-Unis.

            • [^] # Re: Il sers à quoi

              Posté par . Évalué à 3 (+1/-0).

              Je dis peut-être une connerie, mais il me semble qu'en France il est illégal de pratique la rétro-ingénierie sur un dispositif doté de protections?
              Pas moyen de me souvenir le nom de la loi qui aurait poussé ça… je me trompe peut-être.

              • [^] # Re: Il sers à quoi

                Posté par (page perso) . Évalué à 5 (+2/-0).

                C'est interdit depuis la loi pré-Hadopi, mais cela reste autorisé dans le cadre d’interopérabilité ou si c'est pour permettre l'exploitation d'une copie personnelle (par exemple tu ne parviens pas à lire ton DVD, tu peux cracker localement la protection si cela te permet de le lire).

                • [^] # Re: Il sers à quoi

                  Posté par . Évalué à 2 (+0/-0).

                  ou si c'est pour permettre l'exploitation d'une copie personnelle

                  Vraiment? C'est surprenant, il me semblait que la copie personnelle relève plutôt des us tolérés que du droit?

                  • [^] # Re: Il sers à quoi

                    Posté par . Évalué à 6 (+4/-0).

                    C'est une exception, mais elle est explicitement autorisée.

                    CPI article 122-5:
                    Lorsque l'oeuvre a été divulguée, l'auteur ne peut interdire :
                    […]
                    Les copies ou reproductions réalisées à partir d'une source licite et strictement réservées à l'usage privé du copiste […]

                    Note la finesse avec laquelle sont formulées les exceptions: «l'auteur ne peut interdire». Ça date d'une époque où on savait écrire des lois qui traversent les décennies. Quand on compare avec, par exemple puisqu'on en parle, l'article 331-5 sur les mesures techniques (un gloubiboulga incompréhensible et jargonnant)…

                • [^] # Re: Il sers à quoi

                  Posté par . Évalué à 2 (+0/-0). Dernière modification le 20/09/17 à 19:02.

                  Sauf que oui mais non, ce n'est pas si simple.

                  C'est un bel exemple de malfaçon législative, bien plus que le verbiage sur les mesures MTP(E) pointé par arnaudus< plus bas haut(en fait), car on a truc qui est à la fois autorisé (L122-5) et interdit (L331-5). Il n'est absolument pas gagné pour moi que dans ce cas le L122-5 l'emporte sur le L331-5 sans l'aide d'une jurisprudence(*) car il ne me semble pas qu'il y ait un équivalent de hiérarchie des normes quel qu'il soit entre deux articles de loi du même niveau. D'ailleurs, il y a plus ou moins le même genre de gag avec les retranscriptions des actes de GPA/PMA (interdites car GPA/PMA) à l'étranger (autorisées car retranscription d'actes licites à l'étranger), d'où les renversements de jurisprudence par le passé.

                  J'ai méga la flemme de chercher dans les comptes rendus de séance, mais il est bien possible que ce trou ait été vu mais laissé délibérément pour des raisons de lâcheté politique (ne fâcher ni les majors ni les citoyens et laisser le juge se démerder), vu la cristallisation de l'opinion en 2009. La façon correcte de rédiger ça aurait été de modifier L122-5 ou de préciser L331-5.

                  Une autre analyse possible de ce dawa est de dire que "tu peux faire une copie machin tant que le système ne t'en empêche pas".

                  (*) et je n'ai jamais vu passer de jurisprudence là dessus.

                  • [^] # Re: Il sers à quoi

                    Posté par . Évalué à 1 (+0/-0).

                    Côté jurisprudence : le cas VLC + libdvdcss n'est pas passé favorablement devant un juge déjà ?

          • [^] # Re: Il sers à quoi

            Posté par (page perso) . Évalué à 10 (+11/-0).

            Personnellement, j'avoue ne jamais avoir compris comment on pouvait concevoir des DRM efficaces pour empêcher la copie sans verouiller la totalité du système, du BIOS au moniteur. Si tu veux pomper ton film, tu captures le flux audio ou vidéo après le navigateur, non?

            Tout à fait. Et maintenant que le W3C a dit "ok" pour le navigateur, la prochaine étape sera le système d'exploitation, puis ensuite le BIOS. Pour le matériel, c'est déjà fait avec HDCP pour le HDMI, le DVI et le DisplayPort, par exemple. Enfin, ils essaient en tout cas, car il existe du matériel permettant de contourner le HDCP.

            L'EME, c'est donc la porte d'entrée qui permettra à un site web de vérifier si oui ou non, ton ordinateur est bien verrouillé comme il faut, avec son écran HDCP, son navigateur qui implémente les DRM, et son OS et son BIOS qui vérifient que tu n'interceptes pas les informations.

            Après, je ne doute pas qu'il y aura rapidement un plug-in pour le navigateur qui répondra "oui oui c'est bon" sans rien vérifier. Mais, est-ce que la fondation Mozilla ou Google accepteront de le mettre dans leurs magasins d'extensions (où leur signature est maintenant obligatoire)?

            • [^] # Re: Il sers à quoi

              Posté par (page perso) . Évalué à 5 (+5/-1).

              On ne demande pas au navigateur de répondre 'oui oui' mais de chiffrer un token avec une clef privée. Bien sûr si tu peux examiner la mémoire, tu peux récupérer la clef d'où l'intérêt d'avoir une 'chaîne de confiance' (OS et matériels font de même pour garantir qu'il n'y a pas un debugger qui tourne, une VM …). Il y'a tellement de maillons dans la chaîne qu'il est difficile d'imaginer qu'aucun ne soit cassé mais il suffit alors de révoquer la clef correspondante et tant pis pour les utilisateurs honnêtes qui ne peuvent alors plus accéder à leur contenu à moins d'acheter un nouvel écran, de nouvelles enceintes ou un nouveau PC. Ah c'est beau l'obsolescence programméeWW les DRMs.

              • [^] # Re: Il sers à quoi

                Posté par . Évalué à 3 (+2/-1).

                il suffit alors de révoquer la clef correspondante

                Que d'efforts pour pas grand chose… Dans un monde dominé par Apple où il n'existe que 3 modèles de smartphone et 2 portables, pourquoi pas… Mais dans le monde réel, il faudrait que toutes les combinaisons possibles de matériel, du bas niveau aux périphériques, soient certifiées? Tout ça pour empêcher les copies numériques, ce qui va reporter le problème sur des captures analogiques de très bonne qualité? Pour l'audio par exemple, j'imagine qu'il est quasiment impossible de distinguer une copie numérique d'une copie analogique. Jusqu'à preuve du contraire, les yeux et les oreilles ne pourront pas intégrer de DRM, et il faudra bien, d'une manière où d'une autre, passer par là pour qu'on puisse écouter de la musique…

            • [^] # Re: Il sers à quoi

              Posté par . Évalué à 3 (+5/-3).

              Petit à petit, les 2 parties de la chaine se mettent en place. C'est lent, mais ils ne sont pas pressés pour les lier.
              Tout est une question de présentation. (Surveillance ? noooon Sécurité !)

              15 ans que tout ceci avait été présenté par Microsoft (qui d'autre se souvient de palladium ?) , et on voit que ca avance doucement mais surement…

              • [^] # Re: Il sers à quoi

                Posté par . Évalué à 0 (+0/-2).

                Palladium, c'est aujourd'hui Secure Boot, rien de plus.

                Autrement dit, le truc qui empêche de se taper des rootkits DRMs de la part de Sony, comme au temps de Windows XP. :p

                "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                • [^] # Re: Il sers à quoi

                  Posté par . Évalué à 3 (+2/-1).

                  Palladium, c'est aujourd'hui Secure Boot, rien de plus.

                  Non Palladium ça aurait été bien plus que Secure Boot, ça aurait été toute une chaîne dont Restricted Boot aurait été l'un des maillons. L'idée c'était de tout certifier : t'as une clé dans le hardware qui vérifie le firmware de la carte mère, qui elle même contient une clé qui vérifie le bootloader, qui lui même vérifie le kernel, qui lui-même vérifie l'OS qui tourne dessus, etc. Et du coup t'as toute une chaîne de trucs signés du hardware aux fichiers DRMisés de l'utilisateur.

                  Le truc qui s'en rapproche le plus aujourd'hui c'est les smartphones : le hardware vérifie le bootloader, qui lui-même vérifie le kernel. Je ne pense pas que la chaîne de vérification aille plus loin que le kernel, mais ça viendra sûrement un jour.

                  splash!

                  • [^] # Re: Il sers à quoi

                    Posté par (page perso) . Évalué à 3 (+0/-0).

                    Je ne pense pas que la chaîne de vérification aille plus loin que le kernel, mais ça viendra sûrement un jour.

                    Le kernel permet déjà de vérifier que les modules sont signés. Mais je ne crois pas que c'est en place pour les smartphones.

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Il sers à quoi

            Posté par . Évalué à 2 (+1/-0).

            Personnellement, j'avoue ne jamais avoir compris comment on pouvait concevoir des DRM efficaces pour empêcher la copie sans verouiller la totalité du système, du BIOS au moniteur. Si tu veux pomper ton film, tu captures le flux audio ou vidéo après le navigateur, non?

            Le truc à la mode en ce moment c'est la Whitebox crypto :
            https://en.wikipedia.org/wiki/Obfuscation#White_box_cryptography
            http://whiteboxcrypto.com/

            Par contre, effectivement, ça ne protège pas contre la capture du flux vidéo…

  • # The Lunduke Show

    Posté par . Évalué à 10 (+19/-0).

    L'EFF qui sur l'ensemble des organisations1 participant au W3C, était la seule à s'être opposée à la normalisation des DRM.

    Bryan Lunduke a fait son show sur cette mascarade, et ça vaut le détour2. Vote secrets, débats secrets, degré de censure proportionnel au degré d'ouverture et de transparence revendiqué par le W3C, conférence de presse sans presse (sauf le pauvre Bryan qui se demande comment il a pu être le seul journaliste de la planète à y assister, avec un autre bonhomme qui ne disait rien), droits d'entrée en dizaines de milliers d'€… La vidéo est en anglais mais des sous-titre sont disponibles.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.