Fin août sortait en effet un petit programme nommé FairUse4WM qui allait faire grand bruit en ce qu'il permet de supprimer la protection Windows Media DRM version 10 et 11. Groooos pavé dans la mare, suivi de près par le cassage du DRM de iTunes 6, protection répondant au doux nom de FairPlay. L'humour (qui a dit mauvaise foi ?) des éditeurs de DRM ne cessera jamais de m'étonner... Ça, c'était le 25 août.

Pause. Digression économique. Ce qu'il faut bien comprendre, c'est que si l'éditeur d'une solution de distribution de contenu n'est pas capable d'assurer aux majors du l'industrie du disque et/ou de la vidéo une protection valable, ces derniers ne vont forcément pas être tentés de mettre leurs titres à disposition du public sur sa plate-forme. Pas de titre, pas de vente. Pas de vente, pas de royalties. Pour la faire courte. Et vu la guerre que se livrent Apple, leader pour le moment, et Microsoft sur ce marché, on conçoit fort bien que ça a dû en agacer plus d'un dans les couloirs de Redmond, puisque que ça touche le business, de manière directe, palpable et très quantifiable, contrairement aux problèmes de sécurité qui, s'ils impactent bien les ventes, le font dans des proportions complètement différentes. De plus, comme l'écrit très bien Schneier, cet impact n'est pas direct, lui. Le but ultime de Microsoft, et il ne faut pas le perdre de vue, est bien de faire de l'argent en vendant des logiciels. Dans cette optique, la correction des failles de sécurité n'est qu'un élément parmi d'autres qui donnent une valeur ajoutée au produit. Nous, professionels de la sécurité en faisons tout un foin, mais au fond, nous ne représentons qu'une minorité d'utilisateurs[1] et devons souvent subir. Toujours pas convaincu ? À votre avis, quel est le but du packaging mensuel des mises à jour ? Faire des économies d'échelles sur ce mal nécessaire qu'est la gestion de la sécurité : rallonger les délais, diminuer le nombre de patches à produire et les tests à effectuer en regroupant un maximum d'updates dans un même lot. Ce qu'on appelle vulgairement industrialiser le process. Ce n'est sûrement pas pour caresser le client dans le sens du poil, comme l'a montré la faille WMF. Les utilisateurs se seraient en effet retrouvés à poil assez longtemps sans le patch officieux d'Ilfak puis la sortie anticipée, sous la pression, d'un correctif. Par contre, avec monseigneur le DRM, il en va tout autrement. Dans un système de diffusion musicale ou vidéo, c'est en effet l'essentiel de la valeur du produit, l'argument de vente principal, et ça impacte donc directement les ventes. Et quand c'est le business qui trinque, on ne ménage pas ses efforts. Chers confrères, vous l'avez probablement souvent entendu le coup du "c'est pas business critical, on verra plus tard". Ben c'est pareil pour les patches de sécurité et les DRM. Le second est business critical, pas le premier.

Donc, après quelques coups de pied au cul, Microsoft sort un patch seulement trois jours plus tard, le 28 août... Trois jours... Ça donne le vertige... Trois malheureux jours pour repenser la protection, coder, produire le patch, le tester, faire preuve d'amour du travail bien fait, graisser les galipeurs, etc. On est largement en dessous des quelques semaines incompressibles qu'on nous vantait il n'y pas si longtemps ! Et à votre avis, qu'est-ce qui s'est passé ensuite ? Vous l'avez certainement deviné (ou lu) : une nouvelle version de FairUse4WM est sortie cinq jours après, le 2 septembre, il n'y a même pas une semaine. Pas de bol. Depuis, pas de nouvelle de Microsoft, on attend le prochain patch.

Cette histoire illustre deux choses. D'abord que quand on veut s'en donner les moyens, on peut patcher très vite et manifestement dans la cadre de la politique drastique d'assurance qualité en place. Oui, celle-là même qui ralentit la sortie des patches de sécurité, mais pas ceux des DRM. Encore elle qui rend les éditeurs plus lent à corriger des vulnérabilités que tous ces branleurs de mainteneurs de logiciels libres, que le soucis de la qualité de leur code n'effleure même pas, c'est bien connu. Bref, deux poids, deux mesures, un exemple parfait de ce qu'on appelle la gestion de priorités et les problèmes qu'entraînent irrémédiablement les divergences d'intérêt[2] qui existent forcément entre l'utilisateur et l'éditeur. Vous me direz, vue la qualité du nouveau code, ils auraient peut-être mieux fait d'y passer un peu plus de temps...

Ça montre ensuite que la guerre des DRM va encore faire rage pendant un long moment, mais qui en doutait ? À la course à l'armement, à renforcer le bouclier d'un côté et affuter la lance de l'autre, il est évident qu'une très large partie de l'argent investi dans la production de protections de contenu ne servira qu'à remplir un immense tonneau des Danaïdes. Je ne sais pas comment est bâti le business model des éditeurs de protection ou celui des majors, d'autant qu'il doit être vaste et compliqué, mais je suis perplexe. Je me demande comment ils prennent en compte ce problème des protections qui se font casser régulièrement. Côté éditeurs, de la même manière que les utilisateurs refusent de payer pour les mises à jour de sécurité, je doute que le majors soient prêtes à mettre la main à la poche pour les mises à jour nécessaires mais coûteuses qu'il faudra déployer à chaque nouveau DRM qui tombe. D'autant que ça va leur coûter assez cher en déploiement[3]. Il va donc falloir répercuter ce coût quelque part, ce les éditeurs ont appris à faire depuis longtemps, mais peut-être pas à cette échelle de criticité. Côté majors ensuite, puisque que toute protection cassé va entraîner des mises à jour lourdes (donc coûteuse, cf. supra), avec par exemple le changement de la protection de toutes les œuvres proposées au catalogue, et surtout des pertes non négligeables sur tous les titres qui seraient déjà circulation. Jean-Kevin qui aura acheté le dernier film à la mode protégé par X la veille de la sortie de FairUse4X sera en effet maintenant capable de le distribuer jusqu'à plus soif. Est-ce qu'ils ont pris ça en compte ? Probablement, et c'est sûrement ce qui constitue une grosse partie du prix de vente exorbitant des œuvres sous forme numérique, comparé à celles sur support physique.

Et c'est là qu'on comprend toute la futilité de légiférer sur les fameuses MTP, ces chères mesures techniques de protection. C'est en effet répondre à un besoin bien légitime que les auteurs expriment de voir le fruit de leur travail protégé, de manière à pouvoir en vivre, par une solution à côté de la plaque. Ces protections ne tiennent pas la route, on le voit tous les jours, et FairUse4WM ou QTFairUse6 ne sont que des exemples parmi tant d'autres. En plus d'offrir une efficacité douteuse, quand elle n'est pas inexistante, elles limitent de manière inacceptable les libertés de l'utilisateur. Exemple à deux cents d'euro : comment ça se passe quand une œuvre protégée tombe dans le domaine public ? La protection inclue-t-elle un système d'autodestruction ? L'éditeur de la protection, s'il existe encore, est-il tenu de fournir les moyens à l'utilisateur de disposer librement de l'œuvre ? Pensez-vous donc... L'essentiel, c'est l'œuvre. C'est sur le contenu qu'il faut légiférer, pas sur le contenant[4], tout volatile qu'il est comme chacun le sait. Et si l'utilisateur perçoit bien les maux, que d'aucuns jugent nécessaires, que cela va lui faire endurer, beaucoup d'auteurs n'ont pas l'air de percevoir qu'eux aussi en souffriront. D'abord parce que les ventes s'en ressentiront, ne serait-ce qu'à cause des problèmes de compatibilité comme le montre cette rapide interview d'un chef de rayon Musique, et ensuite et surtout parce que ça incite les éditeurs à ne pas faire d'effort véritable sur le développement de protections fiables et justes. Croire que la loi empêchera les gens de casser les protections, c'est se mettre le doigt dans l'œil jusqu'au coude. Le code de la propriété intellectuelle existe, pour autant, est-ce qu'il empêche les gens de télécharger et mettre à disposition des copies illicites ? Non. Est-ce que cette loi franco-française va toucher le petit programmeur chinois ou russe ? Non. À part favoriser un marché noir du CD et du DVD boosté par le fait que ces supports ne limiteront pas l'utilisateur parce que non protégés[5], je ne vois pas...

Comme je voulais quand même finir sur ces histoires de patches de sécurité, je laisserai le mot de la fin à Schneier : "If Microsoft abandoned this Sisyphean effort and put the same development effort into building a fast and reliable patching system, the entire internet would benefit. But simple economics says it probably never will."[6]

Notes

[1] Avec un pouvoir certain sur d'autres, certes...

[2] Que je cite souvent dans les sources de problème de sécurité liés à la dépendance à un éditeur

[3] Ah, le "patch management", tout un poême...

[4] Ça ne vous rappelle pas un joli débat sur les signatures numériques ?

[5] Mais heureusement, les SDCard, SDMI, HDCP et autres joyeusetés colonisent doucement mais sûrement le marché, façon Guerre des Mondes, n'attendant que l'heure de se réveiller.

[6] Si Microsoft abandonnait cet effort Sisyphéen et investissait autant dans la mise en place d'un système de patch rapide et sûr, c'est l'Internet tout entier qui en bénéficierait. Mais les lois de l'économie nous disent que ça n'arrivera probablement jamais.