Lutte fratricide dans les coulisses du web

Article  par  Guillaume SIRE  •  Publié le 30.11.2017  inPartager

 

Qui connaît le W3C ? Cet organe, qui décide ce qui peut être fait ou non sur le web, comment, et dans quelle mesure, traverse une crise sans précédent. La raison ? L’implémentation des DRM au sein des standards du web, bien loin de l’esprit des pionniers d’Internet.

 

 

Et si, demain, vous ne pouviez plus cliquer sur tel ou tel lien hypertexte sans payer ? Le web ne ressemblerait plus alors à une toile, mais à une juxtaposition de jardins murés… Fiction ? Pas forcément. Cette question est l’une de celles qui se posent après la décision du W3C (World Wide Web Consortium), organe méconnu mais essentiel de la gouvernance du web, d’intégrer des DRM (Digital Right Management, ou système de gestion des droits numériques) dans les standards du web, malgré l’opposition de l’Electronic Frontier Foundation (EFF), l’une des institutions les plus représentatives de l’esprit des pionniers d’Internet. Décryptage d’une controverse, en apparence technique, dont l’issue concernera tous les utilisateurs du web sans exception.

Le W3C, une instance de standardisation peu connue des internautes

Le W3C a été créé en 1994 par le fondateur du web, Tim Berners-Lee, dans le but de standardiser les protocoles permettant de rendre compatibles les infrastructures et logiciels d’Internet, en instituant des modalités de production et de circulation du contenu qui fonctionnerait sur tous les ordinateurs quelle que soit leur configuration. Y furent notamment standardisés les protocoles HTTP pour transférer, URL pour localiser et HTML pour décrire les données. Ces trois protocoles sont à la base du world wide web, c’est-à-dire de l’usage de l’infrastructure Internet consistant à publier et à consulter des documents depuis un logiciel appelé « navigateur » (Firefox, Internet Explorer, Safari, Chrome, Opera).

 

La vocation du W3C est de servir d’arène aux discussions concernant les modifications à apporter à ces protocoles, et, une fois qu’une modification a été actée, de faire son possible pour que les acteurs concernés agissent en conséquence. C’est donc un organe essentiel dans la gouvernance du web à l’échelle mondiale, pourtant peu connu des utilisateurs.

 

N’importe quelle personne morale peut devenir membre du W3C, pour un montant variant selon son statut et sa taille (jusqu’à 59 000 euros par an pour une grosse entreprise en France), et participer ainsi aux négociations en y faisant valoir ses intérêts.

 

Le processus de standardisation du W3C est décrit dans le « W3C Process document », qui est en quelque sorte, comme l’a écrit Andrew Russel, la « Constitution » du consortium. Toute discussion concernant un protocole commence par la formation d’un groupe auquel participent les représentants des organisations membres du W3C pourvu que celles-ci en aient formulé la demande, des employés du W3C ainsi que certains experts invités étant donné leurs compétences sur le sujet. Chaque groupe édicte sa propre charte, comportant la description du sujet, une durée envisagée (variant entre six mois et deux ans), les objectifs et les règles de la discussion.

 

Chaque modification significative des protocoles existants doit franchir cinq étapes : First Working Draft (FWD), Working Draft (WD), Candidate Recommendation (CR), Proposed Recommendation (PR) et Recommendation (REC). Chacune de ces étapes correspond à un degré de maturité spécifique dans le sens où, petit à petit, la modification doit faire l’objet d’un consensus de plus en plus fort et avoir prouvé son efficacité en subissant des tests techniques de plus en plus exigeants. À chaque étape, si le Comité consultatif — composé d’un représentant pour chacun des membres du W3C (ils étaient 463 en septembre 2017) — juge que les conditions ne sont pas réunies, le texte est renvoyé à l’étape en cours, ou bien à l’étape précédente. Seule la dernière étape, REC, a valeur de norme officiellement reconnue par le W3C. (C’est l’accession par l’EME à cette étape qui a provoqué le départ de l’EFF.)

 

 Certains auteurs n’hésitent pas à qualifier l’inventeur du web de « dictateur »  Le processus du W3C confère un pouvoir considérable au directeur du W3C, qui n’est autre que Tim Berners-Lee, puisque celui-ci peut prendre en dernière instance des décisions qui ne vont pas dans le sens de l’avis exprimé par le Comité consultatif ou bien trancher alors qu’il reste des objections formelles n’ayant pas été résolues. Pour cette raison, certains auteurs comme Jeremy Malcolm n’hésitent pas à qualifier l’inventeur du web de « dictateur ». Si le Comité consultatif n’est pas d’accord avec la décision prise par le directeur, il existe tout de même une procédure d’appel. Si au moins 5 % des membres du Comité se prononcent en faveur de l’appel, cela déclenche un vote de toutes les organisations membres du W3C visant à accepter ou rejeter la décision du directeur. Avant 2017, cette procédure n’avait jamais été invoquée.

 

Les défis du W3C

 Les différentes parties prenantes du W3C n’ont pas toutes les mêmes intérêts et ne défendent pas toutes les mêmes valeurs  Une des difficultés majeures du W3C tient au fait que les différentes parties prenantes n’ont pas toutes les mêmes intérêts et ne défendent pas toutes les mêmes valeurs. Le fossé est en effet considérable entre des producteurs de contenus désirant générer du chiffre d’affaires en faisant payer les internautes, et donc en contrôlant les modalités d’accès à leurs contenus, et les partisans d’une liberté totale de circulation des contenus et d’une neutralité absolue des contenants. Le Comité consultatif du W3C, son directeur Tim Berners-Lee et son P-dg Jeff Jaffe doivent donc arbitrer entre les positions et les réclamations des uns et des autres.

 

Qui plus est, le web doit faire face à la concurrence des autres usages d’Internet, notamment les applications pour smartphones. Ces dernières (exception faite des applications « navigateur ») utilisent l’infrastructure Internet mais n’ont pas recours aux protocoles du W3C. La navigation hypertexte n’étant pas possible pour passer horizontalement de l’une à l’autre, elles fonctionnent comme des « jardins murés » et permettent aux éditeurs de mieux contrôler les modalités d’accès à leurs contenus. Il n’est pas rare d’entendre dire que le web, trop permissif, a vocation à être remplacé par ce type d’application et qu’il n’aura par conséquent été qu’une page de l’histoire d’Internet. Cette perspective, qui a son importance nous le verrons dans l’histoire de l’EME, a été nourrie par le magazine Wired dont le très écouté rédacteur en chef Chris Anderson n’a pas hésité à déclarer en 2010 : « Le web est mort, longue vie à Internet ! »

 

Encrypted Media Extensions : chronologie d’une controverse

En février 2012, Google, Microsoft et Netflix proposèrent d’intégrer au standard HTML, dont la version HTML5 était alors en train d’être discutée, une API (Application Programming Interface) nommée « Encrypted Media Extensions » (EME). Le but de celle-ci était de permettre aux développeurs d’ouvrir un canal de communication entre une page web et les logiciels de DRM. Concrètement, des lecteurs pourraient être intégrés aux pages web pour lire les vidéos sans module d’extension spécifique (contrairement à Flash) et grâce auxquels il serait possible d’obliger l’ordinateur de l’internaute à obtenir une clé depuis un serveur dédié avant chaque lecture du fichier, et ainsi d’autoriser le visionnage de la vidéo aux seuls individus ayant acquis ce droit. Sur un service comme Youtube, il deviendrait possible de protéger les vidéos sans module spécifique (grâce à la commande « Clear Key ») mais aussi de faire interagir différents modules de décryptage comme Widewine (supporté par le navigateur Chrome, de Google) et PlayReady (supporté par Internet Explorer 11, de Microsoft).

 

Les acteurs attachés à la libre circulation et à la transparence s’opposèrent immédiatement à l’EME, c’est-à-dire qu’ils ne voulaient même pas que la discussion soit ouverte au sein du W3C. L’Electronic Frontier Foundation (EFF) et la Free Software Foundation (FSF) lancèrent une pétition avec pour objectif d’atteindre les 50 000 signataires avant le 3 mai 2013. Une lettre ouverte fut également signée en avril 2013 par 27 organisations et adressée à Tim Berners Lee pour « implorer le comité du World Wide Web ainsi que ses organisations participantes de rejeter la proposition EME ». Tout en comparant la spécification à des « menottes numériques », la lettre prévenait le directeur du W3C que le fait de l’intégrer à l’agenda du HTML5 « constituerait une abdication de ses responsabilités face aux objectifs essentiels du W3C et des utilisateurs du web ».

 

Mais malgré cette lettre et les 27 500 signatures reçues par la pétition, le 9 mai 2013, Tim Berners-Lee accepta de publier l’EME sous forme de FPWD et de l’inscrire sur la charte du HTML5. Ce faisant, il rappela qu’un FPWD n’était pas une REC, et que le fait de discuter de l’EME ne signifiait en rien que le W3C permettrait qu’il accède au statut de norme officielle. Il expliqua dans une lettre datée du 9 octobre 2013 qu’il était lui-même opposé à certaines formes de DRM. Et il réitéra sa volonté de faire en sorte que le web soit « ouvert » et « universel ».

 

De nombreuses personnes, au premier rang desquelles Cory Doctorow, membre de l’EFF représentant l’organisation au W3C, accusèrent Tim Berners-Lee de faire le jeu des producteurs de contenus, et notamment des producteurs de cinéma d’Hollywood rassemblés au sein de la Motion Picture Association of America (MPAA) qui, aussitôt assurée que l’EME serait bien discuté au sein du W3C, décida de devenir membre de manière à pouvoir participer à la discussion. Selon Doctorow, Tim Berners-Lee « semblait avoir cru au mensonge selon lequel les producteurs d’Hollywood allaient abandonner le web et s’intéresser à d’autres médias (AOL ?) dans le cas où ils n’obtiendraient pas que l’Internet ouvert soit reprogrammé pour correspondre à leurs projets de maximisation profits ».

 

Les concepteurs de navigateurs ont tous accepté de re-paramétrer leurs logiciels. Certains comme Google (Chrome) et Microsoft (Internet Explorer) l’ont fait dès le stade FPWD. Pour Mozilla (Firefox), en revanche, ce fut moins immédiat, notamment parce que la fondation était plus proche de l’EFF que des partisans de l’EME. Et s’ils re-paramétrèrent malgré tout en mai 2014, ce fut à contrecœur et parce qu’ils ne voulaient pas empêcher leurs usagers d’avoir accès aux contenus protégés de Netflix, Amazon Video et Hulu.

 

En mars 2017, l’Unesco a rejoint officiellement les rangs des opposants à l’EME (passé au stade CR le 5 juillet 2016) lorsque le sous-directeur général pour la communication et l’information, Frank La Rue, a adressé une lettre publique à Tim Berners-Lee destinée à lui faire savoir qu’une des valeurs fondamentales de l’Unesco était « la libre circulation des idées et de l’information » et à le prévenir que l’EME « pourrait avoir un impact sur les navigateurs au point de rendre impossible l’exercice des utilisateurs de leur droit légal d’une utilisation équitable des vidéos sous copyright ».

 

À peine un an plus tard, en juillet 2017, on annonça que l’EME était sur le point de devenir une REC. C’est alors que l’EFF, par l’intermédiaire de son représentant au W3C Cory Doctorow, lança la procédure d’appel en réunissant 5 % des signatures des membres et en exhortant tous les autres à « sauver le web ». Cette procédure n’avait encore jamais été invoquée en vingt trois ans d’histoire du W3C. Seulement 185 des 463 membres du W3C s’exprimèrent lors du vote, et finalement, malgré la pression de l’EFF, l’EME obtint 58,4 % de voix « pour » (108 ont voté oui, 57 non et 20 blanc)  et passa au stade REC le 18 septembre 2017. Cela provoqua le départ de l’EFF du W3C, Cory Doctorow considérant que le W3C s’était trahi lui-même en publiant une norme « faite pour contrôler l’usager au lieu de lui donner du pouvoir ».

 

Concrètement, la normalisation de l’EME ne changera pas grand-chose puisque tous les principaux navigateurs étaient déjà re-paramétrés et que de nombreux services vidéo l’utilisent depuis 2014. Mais elle a quand même deux implications majeures pour le web et son avenir.

 

Demain, le contrôle des pages ?

La première de ces implications a trait au contrôle. Puisqu’il est désormais possible de contrôler par DRM la circulation des vidéos sur le web, à la grande joie des producteurs de films, certains producteurs d’autres types de contenus ne voient pas pourquoi eux non plus ne disposeraient pas d’une telle technologie.

 

Les bruits de couloir sourdent dans les coulisses du W3C : à présent qu’on est débarrassé de l’EFF, pourquoi ne pas proposer de normaliser un module de gestion des DRM au sein du HTML5 permettant de protéger les livres numérisés ? Comme l’a souligné Silvère Mercier dans un excellent article sur la question, on trouve la trace d’un tel projet dès décembre 2013 dans les listes de discussion du W3C. Et le projet est d’autant plus actuel qu’en février 2017 le W3C et l’International Digital Publishing Forum (IDPF), au sein duquel a été développé la norme EPUB, ont fusionné et qu’il sera possible à partir de 2018 pour les membres du W3C de participer à un groupe appelé « Publishing business ».

 

 De nombreux liens hypertextes ne seront plus des passages gratuits mais des passerelles payantes  C’est sans doute le sujet brûlant de ces prochaines années. Car s’il est possible demain de contrôler la circulation de formats texte, il sera également possible de verrouiller des pages web et nous pourrons dire adieu alors à la navigation fluide. Il sera extrêmement aisé de protéger des pages ou même des éléments d’une page web, de sorte que de nombreux liens hypertextes ne seront plus des passages gratuits mais des passerelles payantes. Le web sera truffé de palissades exigeant que soit montrée patte blanche pour être franchies, et sa topographie ressemblera moins dans ce cas à une « toile mondiale » qu’à une juxtaposition de « jardins murés ». Adieu plaines du Larzac, bonjour clos de Champagne !

 

La sécurité, autre problème majeur

Aux États-Unis, personne, dans aucun cas, n’a le droit de contourner un DRM. Il est en outre interdit d’essayer de regarder ce qui se passe à l’intérieur ou même d’évoquer avec quelqu’un la possibilité de contourner un DRM (un courriel dans lequel vous évoqueriez un tel contournement peut normalement être retenu contre vous en cas de procès). Ces interdictions proviennent de la section 1201 du Digital Millenium Copyright Act. Ainsi, l’EME crée un espace auquel on n’a pas le droit d’accéder et à propos de l’accès duquel il est interdit de discuter. Cela pose un problème en termes de sécurité, puisque même les chercheurs et les producteurs d’antivirus n’ont pas le droit d’accéder à cet espace.

 

C’est pourquoi l’EFF avait proposé en janvier 2016, au sein du W3C, que fût mis en place d’un accord formel impliquant que les ayants droit des vidéos protégées par l’EME s’engageraient à ne pas poursuivre en justice les personnes qui auraient procédé à des tests dans la mesure où ils auraient ensuite publié les anomalies identifiées. Malgré la signature de 198 chercheurs en informatique favorables à cette proposition et le soutien de l’Open Source Initiative (OSI), la proposition de l’EFF a été refusée par les parties prenantes de la discussion concernant l’EME au W3C. C’est également une des raisons qui a motivé le départ de l’EFF, Cory Doctorow pointant du doigt dans son communiqué le refus de la part des parties prenantes d’accepter un tel compromis et accusant la direction du W3C, en particulier Jeff Jaffe, de s’en être rendu complice.

 

La standardisation du code HTML se fera-t-elle demain ailleurs qu’au W3C ?

Ce qui peut être fait ou non sur le web, et comment, dans quelles mesures, selon quelles modalités… tout cela est décidé depuis le début des années 1990 au W3C. Autrement dit, c’est là-bas que le répertoire d’action est négocié, et que sont discutées les valeurs qui président à ces actions. En théorie, tout le monde est invité autour de la table et la normalisation se fait par consensus. Cependant, pour la première fois de son histoire, le W3C a été le théâtre d’un affrontement qui est allé jusqu’à une procédure d’appel qui n’avait encore jamais été nécessaire, et a débouché sur le départ d’une des institutions les plus représentatives sans doute de l’esprit des pionniers d’Internet : l’Electronic Frontier Foundation.

 

Que se passera-t-il à l’avenir, si les acteurs qui défendent la libre circulation des contenus et la neutralité des contenants ne participent plus aux discussions du W3C ? Le web sans doute deviendra moins permissif et peut-être aussi plus « légal » mais plus cher également, moins universel, plus inégalitaire peut-être, et moins fluide de toute façon, moins horizontal.

 

Il n’est pas impossible toutefois que d’autres protocoles voient le jour, dans d’autres arènes, écrits cette fois par les défenseurs de la libre circulation et de la neutralité du réseau. On peut très bien imaginer que des arènes de normalisation se mettent en place en marge du W3C, comme ce fut déjà le cas du Web Hypertext Application Technology Working Group (Whatwg) créé en 2005 à l’époque où Tim Berners-Lee ne jurait que par le XHTML et le web sémantique alors que certains développeurs voulaient détrôner l’hégémonie de Flash en matière d’interactivité et créer pour cela le HTML5. D’ailleurs, le fondateur du Whatwg, Ian Hickson, dès le premier jour où il en a été question, s’est opposé de manière virulente à l’EME. Il ne serait pas étonnant par conséquent qu’il accueille l’EFF à bras ouverts au Whatwg.

 

--

Crédit :

Illustration : Ina - Yann Bastard

 

 

Collé à partir de <https://www.inaglobal.fr/numerique/article/lutte-fratricide-dans-les-coulisses-du-web-10024>