![]() ![]() ![]() |
![]() |
![]() |
![]() |
![]() ![]() ![]() ![]() ![]() |
|
![]() |
![]() |
|
![]() |
![]() ![]() ![]() ![]() ![]() |
![]() |
Gestion des droits numériques et mesures de protection techniqueIntroductionRécemment, les médias ont fait état de l’utilisation de techniques dites de dissimulation (« rootkit ») comme mesure de protection pour la musique sur CD (Sony XCP) et les films sur DVD (Settec Alpha-DISC). Cela a attiré l’attention du public sur la question de la gestion des droits numériques (GDN), plus particulièrement sur les mesures de protection technique (MPT) du point de vue de la sécurité et de la protection des renseignements personnels. Qu’est-ce que la gestion des droits numériques? Que sont les mesures de protection technique? Comment tout cela fonctionne-t-il et pourquoi faut‑il s’en préoccuper? Mise en gardeLe présent document ne vise pas à examiner les mérites de l’utilisation de mesures de protection technique pour la mise en œuvre de la gestion des droits numériques ni à aborder des notions comme « l’utilisation équitable ». Par contre, le recours à des MPT peut sérieusement affecter le droit à la protection de la vie privée des personnes et, en envahissant leur univers et en rendant compte de leur comportement, avoir des répercussions sur d’autres libertés civiles comme la liberté d’association et la liberté d'expression. Bien que les titulaires de droit aient un point de vue tout à fait légitime sur la question, il est également raisonnable de s’attendre qu’ils fassent respecter leurs droits d’une manière qui tienne compte du droit à la protection de la vie privée d’autrui. Qu’est-ce que la gestion des droits numériques?La gestion des droits numériques (GDN) est une expression polyvalente qui fait référence à plusieurs technologies servant à renforcer des limites prédéfinies concernant l’utilisation et le transfert de matériel numérique protégé par le droit d’auteur. Le matériel le plus souvent limité par la GDN comprend la musique, les objets d’art visuel, les jeux informatisés et les jeux vidéo, ainsi que les films, mais la GDN peut s’appliquer à tout contenu numérique. Les logiciels de GDN de première génération ne visaient qu’à interdire la copie. Ceux de la seconde génération cherchent à contrôler le visionnement, la copie, l’impression, la modification, etc. d’un contenu numérique. L’expression « gestion des droits numériques » porte souvent à confusion avec des expressions comme « protection contre la copie », « prévention de la copie » et « contrôle de transfert ». L’expression « gestion des droits numériques » est plus générale parce qu’elle comprend toute forme de gestion des œuvres, y compris les restrictions à la copie, mais la protection contre la copie, la prévention de la copie et le contrôle du transfert peuvent comprendre des mesures qui ne sont pas numériques par nature (p. ex., les codes d’accès pour limiter l’utilisation des photocopieurs). De plus, la GDN comprend habituellement un ensemble d’autorisations légales, qui prennent souvent la forme d’une licence conventionnelle établissant ce qui peut être fait avec l’œuvre et ce qui ne peut l’être. L’expression « gestion des droits numériques » est également confondue avec l’expression « mesures de protection technique (MPT) », qui fait référence aux technologies qui contrôlent et/ou limitent l’utilisation et l’accès à des produits multimédias numériques sur des dispositifs électroniques comportant de telles technologies. De plus en plus, la GDN compte sur des MPT pour la mise en œuvre de ces contrôles et de ces limites. Exemples de MPTUn certain nombre de MPT ont été proposées et ont connu un succès limité (soit parce qu’elles n’ont pas été largement adoptées, soit parce que quelqu’un a un jour trouvé le moyen de les contourner). Les solutions suivantes ont notamment été proposées :
Les utilisateurs légitimes pourraient bien être indisposés par ces MPT comme peut en témoigner quiconque a dû repérer et saisir un long code de produit pour réactiver un logiciel. La lutte contre le vol de propriété intellectuelle doit également se faire en tenant compte des inconvénients que le client est disposé à tolérer, de sorte que nous assistons aujourd’hui à une tendance qui fait en sorte que les MPT interviennent sans trop d’efforts de la part de l’utilisateur. Dans l’incident Sony Rootkit, l’entreprise semble avoir grandement erré à l’autre extrême puisque la plupart des utilisateurs n’étaient pas au courant de ce qui se passait. Manifestement, nous entrons dans une ère de fonctions réparties où le matériel qui était entièrement mécanique, comme les imprimantes, comporte maintenant des capacités de traitement, de stockage et de communication et sera bientôt raccordé à l’Internet si ce n’est déjà fait. Cela permet à des dispositifs de recevoir des instructions de personnes autres que le propriétaire légitime. Des entreprises dynamiques sont vivement intéressées à obtenir une rétroaction sur l’utilisation de leurs produits grâce aux données transactionnelles. Par conséquent, nous pourrons observer d’ici quelques années l’arrivée sur le marché d’un nombre de plus en plus grand de dispositifs qui communiquent avec le fabricant pour lui fournir des renseignements utiles sur le comportement du consommateur face au fabricant ou au titulaire de droits. Déjà, les logiciels communiquent automatiquement avec le fabricant pour obtenir des mises à niveau et les consommateurs y voient, à juste titre d’ailleurs, une perte d’autonomie et de contrôle. Cela a évidemment des conséquences en matière de protection de la vie privée et, de manière plus large, pour la confiance que nous pouvons avoir face au nouveau monde numérique dans lequel nous évoluons. Une erreur dans un secteur de l’économie aura des effets d’entraînement sur d’autres secteurs. Ainsi, les récents incidents concernant la technologie Rootkit, utilisée comme mesure de protection technique, pourraient avoir des effets durables sur la confiance des consommateurs tout comme ce fut le cas avec le scandale des témoins électroniques de Doubleclick en 2000. Une MPT qui a mal tourné – L’incident Sony XCPEn octobre 2005, un chercheur en matière de sécurité a découvert qu’un nouveau logiciel avait été installé sur son ordinateur après avoir écouté un CD de musique protégé de Sony. Le logiciel en question, Extended Copy Protection (XCP), est un outil de gestion des droits numériques qui vise à empêcher la production de copies non autorisées du CD. Le créateur du logiciel de protection de la copie est une entreprise britannique du nom de First4Internet (http://www.first4internet.com). Sony s’est également servie d’un deuxième produit de protection de la copie, appelé MediaMax, et préparé par SunnComm International Inc. (http://www.sunncomm.com/index_flash.html). Le problème à l’origine de la tempête médiatique est que le logiciel de protection de copie faisait appel à une technologie d’avant-garde de camouflage qui met en cause un « rootkit » ou logiciel de dissimulation, un logiciel qui n’est pas dangereux en soi mais qui est souvent utilisé par les auteurs de virus pour dissimuler toute trace de leur travail dans un ordinateur. Le XCP demeure actif en arrière-plan pendant l’utilisation de l’ordinateur et consomme une petite partie de la mémoire même quand le CD n’est pas utilisé. Qu’est-ce qu’un logiciel de dissimulation (« rootkit »)Les logiciels de dissimulation sont utilisés depuis plus d’une décennie mais les auteurs de virus s’en servent de plus en plus à leurs propres fins. Il s’agit d’un ensemble d’outils utilisés par des tiers pour obtenir un accès non autorisé à des systèmes informatiques, généralement grâce à l’aménagement d’une porte arrière. Dès que le pirate accède à l’ordinateur, il peut télécharger des renseignements de nature délicate ou transformer l’appareil en un zombie qui lance des attaques de déni de service sur d’autres systèmes. D’autres manifestations comprennent des registres et des détecteurs de clés pour s’emparer de mots de passe et de renseignements financiers. Les logiciels les plus dangereux se dissimulent en profondeur dans le système d’exploitation de l’ordinateur pour masquer le fait que certains fichiers informatiques existent ou que l’ordinateur exécute certaines fonctions. En général, ces logiciels sont invisibles pour les produits de détection de virus et de pourriels. Dans le cas de XCP, des tentatives actives ont été faites pour faire un mauvais usage du mécanisme de dissimulation avec la diffusion de chevaux de Troie conçus pour exploiter des failles dans le logiciel. Ces chevaux de Troie, appelés Tro/Stinx-E et Stinx‑F Trojans, arrivent sous forme de document annexé à un courriel. Si le document a été ouvert et exécuté (il suffit habituellement de cliquer deux fois sur l’icône représentant le document annexé), les chevaux de Troie se copient dans un fichier que le logiciel dissimule dans le logiciel de protection de copie de Sony. Cela rend invisible le cheval de Troie sur les ordinateurs qui utilisent des CD contenant le logiciel de dissimulation. Selon certains chercheurs en matière de sécurité, cette souche de chevaux de Troie a ouvert une porte arrière commandée à distance un peu à la manière des logiciels espions. Elle est, semble-t-il, capable de recevoir des instructions à distance pour supprimer, télécharger et exécuter des fichiers. Ces programmes s’ajoutent automatiquement à la « liste invisible » de programmes autorisés du coupe-feu de Windows et contournent la capacité du coupe-feu d’interdire aux programmes malicieux d’accéder à l’Internet. Malgré que Sony ait publié un correctif pour retirer le logiciel de dissimulation, la pièce était mal rédigée et causait d’autres problèmes pour la sécurité et la protection des renseignements personnels. Pour obtenir le logiciel de désinstallation, les utilisateurs devaient remplir un formulaire en ligne ce qui les obligeait à fournir davantage de renseignements personnels. Après avoir transmis le formulaire, l’utilisateur téléchargeait et installait un programme conçu pour préparer l’ordinateur à recevoir le correctif, ce faisant exposant l’ordinateur au téléchargement et à l’installation de tout code, y compris de codes malicieux provenant de l’Internet. Il n’existe aucun mécanisme pour s’assurer que le code téléchargé et installé provient d’une source fiable (SonyBMG ou First 4 Internet). Il importe aussi de noter que le logiciel de dissimulation pourrait avoir infecté tout appareil sur lequel le CD a été écouté, ce qui oblige le propriétaire à communiquer avec quiconque a pu emprunter le disque ou avec toute personne chez laquelle le disque a pu être écouté. Préoccupations en matière de sécurité et de protection de la vie privéeLe recours à des MPT soulève un certain nombre de préoccupations concernant la protection de la vie privée, particulièrement dans le cas où les mesures sont axées sur la technologie de dissimulation, notamment les éléments suivants :
Il existe des solutions de rechange qui permettraient de protéger le matériel tout en protégeant la vie privée. Par exemple, des jetons et des mots de passe symboliques pourraient servir à autoriser le téléchargement d’une œuvre numérique. De même, on ne semble pas avoir bien exploré les solutions qui ne constituent pas une invasion de la vie privée. C’est ce que nous devons exiger des MPT qui sont déployées au Canada. Novembre 2006 |
![]() |
||||
Date de diffusion : 2006-11-24 |
![]() |
Avis importants |