La DADVSI et vous, deuxième

Je viens d'écrire à mon député, au sujet de la DADVSI qui doit être votée repoussée le 30 juin prochain. Voici le texte du message, moins quelques précisions personnelles ou géographiques. Attention, c'est long.

Cher M. B*,

Je vous écris suite à une discussion téléphonique, cet après-midi, avec votre assistant. Je vous avais appelé, comme l'indique le sujet de ce message, au sujet de la DADVSI qui devrait être votée le 30 juin.

Comme vous le noterez dans ma signature, mon métier est -exclusivement- le conseil en sécurité informatique. C'est un métier quelque peu spécial qui m'amène à voir beaucoup de choses situées sous la surface de l'usage des systèmes informatiques et des réseaux. Je ne suis donc pas juriste; toutefois, je crois avoir quelques lumières sur le plan technique et informatique.

Je réside à MonPtitBled, et vous êtes donc mon député, ayant de plus reçu ma voix lors des dernières législatives.

Je me permets de vous signaler non seulement mon opposition à cette loi et le vif souhait que vous votiez contre, mais aussi mon inquiétude quant à la vision de notre société qu'elle reflète. Je souhaite avoir votre avis, sur la DADVSI dans son ensemble ainsi que sur les différents points que je mets en avant ci-après.

Les textes des articles ont été récupérés sur le site du Sénat.

A toutes fins utiles, ce message sera publié sur mon blog (www.nuitsdechine.org). J'en aurai seulement retiré votre nom ainsi que le mien, et quelques autres informations anecdotiques. Je m'engage bien sûr à publier votre réponse sans y apporter de modifications, sauf les éléments nominatifs de nouveau.

D'une manière générale
Vous n'ignorez pas que les entreprises évoluent dans un environnement extrêmement compétitif. Parfois, elles vivent ou meurent sur une information qu'elles ont obtenue ou qui leur a été dérobée. L'intelligence économique, comme on dit pudiquement, est une réalité. La dépendance et la confiance dans leur système informatique en est une autre - mon métier m'amène d'ailleurs à voir de bien nombreux cas où cette confiance est fort mal placée.

Aucune entreprise ne peut tolérer de ne pas contrôler son système informatique. Aucune entreprise ne peut accepter que des logiciels "non prévus" s'exécutent sur ses systèmes. Or, c'est l'aboutissement logique de la DADVSI telle qu'elle va vous être proposée au vote le 30 juin.

Pour s'assurer qu'un ordinateur ne reproduit pas des oeuvres protégées, il est nécessaire de contrôler totalement l'ordinateur. Il n'existe aucune demi-mesure possible. Il faut savoir quels fichiers sont ouverts et quels logiciels s'exécutent. Il faut savoir quels périphériques sont branchés, et ce qu'ils font.
Dans l'idéal (façon de parler, évidemment), pour éviter le "trou analogique", il faut contrôler l'environnement de l'ordinateur. Si une carte son dispose d'une sortie audio sur laquelle on peut brancher un dispositif d'enregistrement, on peut reproduire l'oeuvre en cours d'écoute. Si une carte vidéo dispose d'une sortie vers un périphérique, elle peut être utilisée pour reproduire une oeuvre. Il faut donc pouvoir "désactiver" certaines fonctions du système (sortie audio, sortie vidéo autre que vers l'écran normal, etc.). Pour cela, il faut contrôler l'ordinateur.

Quel législateur peut accepter d'ainsi livrer totalement les systèmes informatiques de nos entreprises à des tierces parties ? On pourrait dire que les collaborateurs n'ont pas à écouter de disques sur leurs postes de travail. C'est un voeux pieu irréalisable.

Certains outils diffusés par des éditeurs (musique ou jeux) tentent de mettre en oeuvre ce type de protection. S'ils repèrent quelque chose qui leur déplaît sur le système, que ce soient des logiciels ou des fichiers, ils entrent en action. Deux outils de ce genre, présents sur une même machine, peuvent se tirer dessus, mal interagir, et empêcher l'utilisation de la machine, en l'absence même de tout fichier piraté ou logiciel de copie.

Je vous encourage vivement, si ce n'est pas déjà fait, à lire les articles concernant le RootKit Sony, dont l'objectif était exactement celui cité ci-dessus. Ces articles sont en anglais. Une MTP, c'est ça.

http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html
http://en.wikipedia.org/wiki/2005_Sony_CD_copy_protection_controversy
http://en.wikipedia.org/wiki/XCP

ARTICLE 1 BIS A
Le réseau est mondial. Vraiment mondial. Un article publié sur un site Internet est visible par tous les internautes, sauf s'il est protégé par un mot de passe, qui faut alors diffuser à toutes les parties intéressées. Pour reprendre la citation de Churchill, un secret partagé entre trois personnes peut rester secret si vous abattez les deux autres personnes. Diffuser un même mot de passe à un grand nombre de personnes revient à mettre l'article en accès libre. Diffuser un mot de passe différent à chaque personne voulant un accès à l'article revient à mettre le gestionnaire de mots de passe à l'asile.
Quand je lis l'article 1bis, qui traite a priori des exceptions pédagogiques, je m'inquiète un peu :


1° bis (nouveau) a. Le 3° est complété par un e ainsi rédigé :

e) La représentation ou la reproduction de courtes oeuvres ou d'extraits d'oeuvres, autres que des oeuvres elles-mêmes conçues à des fins pédagogiques, à des fins exclusives d'illustration ou d'analyse dans le cadre de l'enseignement et de la recherche, à l'exclusion de toute activité ludique ou récréative, et sous réserve que le public auquel elles sont destinées soit strictement circonscrit à un cercle composé majoritairement d'élèves, d'étudiants, d'enseignants et de chercheurs directement concernés, que leur utilisation ne donne lieu à aucune exploitation commerciale et qu'elle soit compensée par une rémunération négociée sur une base forfaitaire nonobstant la cession du droit de reproduction par reprographie mentionnée à l'article L. 122-10.


L'un des points qui m'inquiète est le "strictement circonscrit à un cercle composé majoritairement d'élèves, d'étudiants, d'enseignants et de chercheurs directement concernés". Une thèse, par exemple, qui citerait une oeuvre protégée, ne pourra plus être mise en ligne sur Internet. Pourquoi ? Parce qu'il est impossible de s'assurer que les lecteurs seront "strictement circonscrit à un cercle composé majoritairement d'élèves, d'étudiants, d'enseignants et de chercheurs directement concernés". Cela sera donc au détriment de l'efficacité intellectuelle, le partage des idées étant un moteur majeur de l'avancée de la recherche.

Bien sûr, l'accès à la thèse peut être protégée par un mot de passe. Mais qui va le distribuer ? Si un thésard de Mulhouse, par exemple, travaille sur un sujet connexe à une thèse faite à Montpellier, comment le premier va-t-il prendre connaissance de l'existence de la seconde, qui ne sera pas indexée sur les moteurs de recherche (qui n'auront pas le mot de passe d'accès à la thèse) ? Si un résumé public est indexé, comment (c'est-à-dire à qui) l'étudiant s'adressera-t-il pour obtenir le mot de passe ? Et je n'envisage là que des cas purement nationaux, mais si l'étudiant est à Sydney, cela risque d'être encore plus délicat.

En outre, comment fonctionnera la compensation "par une rémunération négociée sur une base forfaitaire" ? Cela signifie-t-il que nos universités, déjà cruellement limitées en moyens, devront tous les ans verser un écôt forfaitaire à la SACEM et à toutes les autres organisations de collectes de droits d'auteurs ? Y compris une université scientifique, qui ne produit aucune thèse usant d'oeuvres protégées ? Seront-ce les Ministères de l'Education ou de l'Industrie/Recherche qui feront les chèques (dans les deux cas, ce sera le contribuable qui payera) ?
Et qu'en sera-t-il pour un chercheur du privé ? Que devra faire un professeur d'art qui, emballé par une oeuvre moderne, l'analyse et la décortique pour ses élèves ? Devra-t-il attendre 50 ans que les droits expirent ? Le télé-enseignement ne pourra-t-il aborder que des oeuvres tombées dans le domaine public ?

ARTICLE 7
L'article 7 protège les MTP (mesures techniques de protection) au titre de la propriété intellectuelle.


Art. L. 331-5. - Les mesures techniques efficaces destinées à empêcher ou limiter les utilisations non autorisées par les titulaires d'un droit d'auteur ou d'un droit voisin du droit d'auteur d'une oeuvre autre qu'un logiciel, d'une interprétation, d'un phonogramme, d'un vidéogramme ou d'un programme sont protégées dans les conditions prévues au présent titre.

On entend par mesure technique au sens du premier alinéa toute technologie, dispositif, composant qui, dans le cadre normal de son fonctionnement, accomplit la fonction prévue par cet alinéa. Ces mesures techniques sont réputées efficaces lorsqu'une utilisation visée au même alinéa est contrôlée par les titulaires de droits grâce à l'application d'un code d'accès, d'un procédé de protection tel que le cryptage, le brouillage ou toute autre transformation de l'objet de la protection ou d'un mécanisme de contrôle de la copie qui atteint cet objectif de protection.

Les licences de développement des mesures techniques de protection sont accordées aux fabricants de systèmes techniques ou aux exploitants de services qui veulent mettre en oeuvre l'interopérabilité, dans des conditions équitables et non discriminatoires, lorsque ces fabricants ou exploitants s'engagent à respecter, dans leur domaine d'activité, les conditions garantissant la sécurité de fonctionnement des mesures techniques de protection qu'ils utilisent.


Je prends le cas réel, et vécu par de nombreux de nos concitoyens, d'un DVD importé. Les DVDs peuvent être zonés, c'est-à-dire codés afin de n'être lus que par certains lecteurs. Il s'agit d'un codage géographique (très schématiquement : Amérique, Europe, Asie). La France est dans la Zone 2. Si j'achète à la FNAC un DVD Import US (Zone 1), comment le lire sur mon lecteur zoné ? Si je fais dézoner mon lecteur (beaucoup de sociétés de réparation de lecteurs savent faire ça), je passe outre une MTP, alors que je souhaite uniquement profiter d'un DVD légalement acheté. Est-ce une utilisation légitime ? Pour moi, oui, mais aurais-je les moyens financiers de supporter une procédure judiciaire intentée par l'éditeur dudit DVD ? Serai-je déclaré innocent ?

Autre situation, j'achète une vidéo sur Internet. Cette vidéo m'est livrée dans un format propriétaire incluant des MTP. Je veux lire cette vidéo sur ma plate-forme Linux. Que fais-je ? L'éditeur du format ne fournit pas de lecteur pour ma plate-forme. VideoLAN, développé à l'Ecole Centrale de Paris, me permettrait de lire cette vidéo. Mais, pour cela, les étudiants de l'ECP ont écrit les programmes nécessaires au décodage du format en question, qui contournent donc une MTP. Dois-je payer la "taxe éditeur", en achetant une machine appropriée avec les bons outils, pour profiter d'une oeuvre légalement acquise mais dans un format propriétaire ?

Dans une future version de ses outils, un éditeur de bureautique pourrait mettre en oeuvre des MTP sur les documents produits avec ses outils. Originellement, cela sera présenté pour que "seuls les destinataires légitimes puissent lire le document". Indirectement, cela permettra aussi d'attaquer les développeurs d'OpenOffice (et autres) puisque, pour lire ces mêmes documents, il va falloir contourner les MTP de l'éditeur. Je m'inquiète pour l'équilibre des gendarmes, qui vont devoir prendre sous OpenOffice le procès-verbal de l'infraction que constitue l'utilisation d'OpenOffice pour lire des documents produits sous une certaine suite bureautique du commerce.

Certes, le dernier paragraphe de l'article 7 laisse penser que le législateur oblige à l'interopérabilité. Je doute toutefois que toutes les sociétés jouent le jeu aussi sympatiquement et donnent à des concurrents potentiels ce genre d'informations, si elles n'y sont pas forcées par une décision de justice qui ne sera probablement rendue qu'après des années de procédure.
Cependant, la fin du paragraphe rend tout cela inutile : "... lorsque ces fabricants ou exploitants s'engagent à respecter, dans leur domaine d'activité, les conditions garantissant la sécurité de fonctionnement des mesures techniques de protection qu'ils utilisent."

Comment "garantir la sécurité de fonctionnement des MTP" dans un logiciel ouvert, dont par nature le code source est disponible et modifiable ? On peut arguer que le logiciel peut n'être que partiellement ouvert, les MTP étant simplement fournies par l'éditeur (avec la documentation appropriée) sous une forme exécutable. Dans ce cas, le logiciel libre active la MTP "aux bons moments" afin de récupérer le contenu protégé, que le logiciel libre peut alors afficher ou jouer. Mais rien n'empêche personne, à partir du même logiciel "légèrement modifié", de récupérer le contenu protégé, toujours via les MTP fournies sous une forme exécutable uniquement, et de le sauvegarder en clair dans un fichier. Sauf évidemment si lesdites MTP sont aussi chargées de jouer le contenu (affichage, sortie audio ou les deux), mais alors ce ne sont plus des MTP mais un logiciel complet de visualisation, et un logiciel fermé fourni uniquement sous forme exécutable.

Même dans un logiciel totalement fermé, comment le "fournisseur de MTP" peut-il s'assurer que la sécurité de fonctionnement est garantie, autrement qu'en procédant à des audits ? Quelle entreprise acceptera ainsi de se faire auditer par un concurrent pour pouvoir développer un produit inter-opérable ?

ARTICLE 12 BIS
Aujourd'hui, les logiciels et les réseaux sont une composante vitale de la vie économique et de la compétitivité de nos entreprises. Je ne doute pas que vous conviendrez que le développement de logiciels, qu'ils soient commerciaux ou libres, constitue l'un des axes industriels à favoriser dans notre pays. Or, que fera la loi DADVSI, si ce n'est amener tous les créateurs un peu prudents à aller sous des cieux plus cléments ? Les entrepreneurs sont, tout le monde le sait, allergiques aux risques non maîtrisés, et l'incertitude juridique est à même de les faire reculer sur certains projets de développement.

L'article 12 bis, ainsi, dit


Art. L. 335-2-1. - Est puni de trois ans d'emprisonnement et de 300 000 € d'amende le fait :
1° D'éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d'oeuvres ou d'objets protégés ;
2° D'inciter sciemment, y compris à travers une annonce publicitaire, à l'usage d'un logiciel mentionné au 1°.


Qui va juger qu'un logiciel est "manifestement destiné à la mise à disposition du public non autorisée d'oeuvres ou d'objets protégés", si ce n'est les détenteurs des droits sur les oeuvres, par le biais de dépôts de plaintes ? Il appartiendra aux tribunaux de juger si l'allégation est vraie ou non, mais cela ne sera tranché qu'en fin de parcours judiciaire.

Avec la DADVSI, le développement d'un outil comme DivX (écrit par un français, mais pour des raisons qui n'ont rien à voir avec la DADVSI et tout avec la facilité de créer des entreprises, la société DivX est nord-américaine) serait totalement impossible en France. Est-ce vraiment un progrès ?

Imaginons qu'une entreprise bien de chez nous travaille sur un système de GED (Gestion Electronique de Documents) pouvant être utilisé au travers d'Internet. Que cet outil, libre de surcroît, est bon, efficace, performant et fonctionne sur toutes les plate-formes, libres ou non.

Si un groupe de personnes utilise ce logiciel pour échanger des copies d'oeuvres protégées par les droits d'auteurs, que va-t-il advenir de la société créatrice ? Vous conviendrez avec moi, je l'espère tout au moins, que le logiciel n'est pas "manifestement destiné" à la mise à disposition non autorisée d'oeuvres protégées. Nous pouvons même espérer -mais ce n'est là qu'un espoir, pas une certitude- qu'un tribunal en décidera de même.
Il n'empêche que la société pourrait fort bien devoir se défendre de l'usage qui est fait de son outil par des personnes peu scrupuleuses. Aucune société ne peut envisager sereinement de lourds frais de justice, quand bien même elle ne fait rien de répréhensible, uniquement pour prouver qu'elle est innocente. En résumé, soit la société ira développer son outil dans un autre pays (c'est bien plus facile avec du logiciel qu'avec des hauts-fourneaux), soit elle se privera de cet axe de développement, le laissant à d'autres entreprises non soumises à la DADVSI, c'est-à-dire hors de nos frontières.

ARTICLE 14 TER A
L'article 14 ter A dit ceci :


Art. L. 335-12. - Le titulaire d'un accès à des services de communication au public en ligne doit veiller à ce que cet accès ne soit pas utilisé à des fins de reproduction ou de représentation d'oeuvres de l'esprit sans l'autorisation des titulaires des droits prévus aux livres Ier et II, lorsqu'elle est requise, en mettant en oeuvre les moyens de sécurisation qui lui sont proposés par le fournisseur de cet accès.


En résumé, le titulaire d'un accès au réseau (vous, moi, Mme Michu...) doit installer les moyens de sécurisation qui lui sont imposés par le fournisseur de l'accès (Wanadoo, AOL, Free...). Ces "moyens de sécurisation" auront accès à l'intégralité des échanges que le titulaire de l'accès fera sur Internet et pourront bloquer les échanges qui leur paraissent illégitimes.
A ce titre, d'ailleurs, l'article 14 ter A est en contradiction avec la fin de l'article 7 ("Les dispositions du présent chapitre n'autorisent pas la mise en place de dispositifs matériels ou logiciels permettant la surveillance des données émises, traitées ou reçues par les personnes, sans autorisation préalable de la Commission nationale de l'informatique et des libertés"). Il est impossible de "veiller à ce que l'accès ne soit pas utilisé à des fins de reproductions ou de représentation..." sans contrôler le contenu échangé.

Cet article et ce qu'il propose n'est pas acceptable. Pour une raison simple, qui touche à la vie privée (pour les particuliers) et à la compétitivité (pour les entreprises). Pensez-vous qu'une entreprise verrait d'un bon oeil un outil géré par une entité tierce (le fournisseur d'accès examinant le moindre fichier transmis ?

Avez-vous déjà imaginé les précautions un peu bizarres qu'une entreprise peut mettre en place afin d'éviter que les informations qu'elle échange avec des collaborateurs mobiles ne "tombent pas en de mauvaises mains" (j'en connais, pour en avoir déployé un certain nombre) ?

J'interviens depuis de longues années en tant que conseil en sécurité informatique à la Mairie de ***. Le jour où j'ai proposé que toute la navigation Internet faite à partir du réseau de la Mairie soit tracée (simplement tracée : qui est allé lire quelle URL) restera gravé dans ma mémoire. La réponse a été immédiate, de l'ordre du réflexe : impossible, les élus ne tolèreront pas que qui que ce soit sache ce qu'ils vont consulter. Point final. Accepterez-vous qu'une tierce partie puisse savoir ce que vous allez consulter sur Internet, voire décider que vous n'y avez pas accès ? C'est pourtant sur cela que débouche l'article 14 ter A.

Vous pourrez me rétorquer, et vous aurez raison, que les fournisseurs d'accès peuvent d'ores et déjà examiner tous les échanges de tous leurs clients. En effet, ces échanges passent par leurs infrastructures techniques, sur lesquelles ils ont un contrôle total. Cependant, un tel contrôle serait alors réalisé par les équipements du fournisseur, ce qui suppose une puissance de traitement assez monstrueuse, et donc des coûts qui ne le seront pas moins (monstrueux). C'est pour cette raison que les fournisseurs d'accès, bien qu'en ayant la possibilité, ne le font pas : cela leur coûtera très cher, pour un résultat marginal, et ils ne pourront pas maintenir la qualité de service. Alors que si le contrôle est "déporté" sur les équipements des clients, le coût devient nul ou presque pour le fournisseur et la perte de performances sera unitairement négligeable (car répartie sur chaque utilisateur et payée -à tous les sens du terme- par ce dernier).

En conclusion
Je vous transmets quelques liens intéressants, que vous devez déjà connaître :
http://eucd.info/index.php?2006/06/23/324-que-fait-le-dadvsi
http://www.bcarayon-ie.com/articles/230606Fig.html
http://richardcazenave.com/?2006/06/23/167-l-interoperabilite-sacrifiee-en-cmp
http://michael.goldberg.free.fr/balivernes/index.php?2006/06/15/7-chere-amie-lectrice-cher-ami-lecteur

Ainsi qu'un article que j'ai rédigé en fin d'année dernière, sur le premier projet DADVSI :
http://www.nuitsdechine.org/index.php/2005/12/08/38

Si vous désirez que nous nous rencontrions pour discuter de certains points, notamment des éléments techniques, je suis à votre disposition. La distance qui sépare MonPtitBled de VotreVille est suffisamment faible pour permettre cela.

Dans l'attente de votre réponse, je vous prie de recevoir l'assurance de ma considération.

Commentaires

1. Le jeudi 29 juin 2006, 10:55 par Gertrude

Super intéressant... Moi j'insiste pour une rencontre ! Cela ferait peut être un député technopathe et informatiquement ignorant de moins.

2. Le jeudi 29 juin 2006, 14:23 par Nuits de Chine

Gertrude : certes, l'idée serait bonne et peut-être même efficace. J'ai proposé, mais pour le moment pas de réponse. Je n'ai même pas l'impression qu'il est venu lire par ici.
-- Xj

3. Le jeudi 29 juin 2006, 22:36 par Delphine Dumont

Bonsoir,

Vous y croyez encore ? Cela fait des mois que je m'efforce d'alerter tout le monde sur cette loi et ses dangers. A part quelques geeks et nerds qui étaient déjà sensibilisés, cela n'a intéressé personne. Ou alors, il y a eu des "Qu'est ce qu'on peut faire ?" mais qui ont abouti, au mieux, à la signature de la pétition de l'EUCD... :(

Le vote a lieu demain, les médias ne parlent que de foot, je n'y crois plus guère. Il y a eu un miracle en décembre, croyez-vous vraiment que l'on en verra un second en 6 mois sur le même projet ?

Pardon pour ce ton défaitiste, mais là, je suis vraiment inquiète.

4. Le vendredi 30 juin 2006, 02:32 par astra

M*** ! Je ne savais pas que le projet repassait demain (enfin, aujourd'hui maintenant ...) On n'entend parler que de foot en ce moment ... pffff .... Quelle plaie !!! Comme pour Delphine, chaque fois que j'en ai parlé, c'est comme si j'avais p*** ds un violon ... personne, ) moins d'avoir un minimum de connaissances techniques en informatique et logiciel, ainsi qu'en question de droits d'auteurs et droits assimilés ne se rend compte des ravages que provoqueraient ce projet hallucinament débile ... ça me désole ... J'ai trés peu que le texte ne passe cette fois ...