J'ai eu envie de me re-visionner cette conférence car on y apprend des choses comme les débuts de VLC et le foirage HADOPI en dehors de la sécurisation des accès et de la riposte graduée.
Pour voir cette conf' : https://video.passageenseine.fr/w/kzwCAquNt4cSRaDDvpCDjn
Débuts :
- VLC est né à l'École Centrale Paris au milieu des années 1990. À cette époque-là, Bouygues (oui, oui, les maçons de TF1, tout ça) lance un défi à l'association VIA qui gère le réseau du campus et qui aimerait bien un réseau plus performant et Ethernet (celui de l'époque étant sur la techno Token Ring) : trouvez un usage qui sature votre réseau actuel et nous vous en payons un autre. VIA décide de se lancer dans le streaming vidéo de flux MPEG-2. :D
- 1998 : reboot du projet. Nouveaux objectifs : open source, modulaire, multiplateforme. Le changement de licence pour la GPL 2 devient effectif en 2001 (le temps d'obtenir l'accord de l'école).
- Postulat de VLC : être souple, s'adapter aux situations car dans le multimédia, tout le monde croit tout savoir sur tout mais implémente mal.
VideoLAN, l'association derrière VLC :
- Lors de la première rencontre VideoLAN Dev Days (rencontre annuelle autour de VLC) de 2008, il est décidé de monter une association afin de payer les serveurs nécessaires à l'hébergement du site web et de la galaxie de projets, d'organiser les Dev Days, de financer les déplacements dans des événements/conférences et d'intenter des recours législatifs (lire ci-dessous).
- Ce n'est pas dit dans la vidéo mais pour faire un don à ce projet important que beaucoup d'entre nous utilisent, c'est par ici : https://www.videolan.org/contribute.html .
Stats et anecdotes :
- Je ne savais pas que x264, implémentation libre d'un codec pour la norme vidéo H264 (ou MPEG-4 AVC) était une initiative de la team VLC.
- VLC est le premier lecteur de DVD sous Mac. :O
- Plus de 900 000 téléchargements par jour en 2013. 1 Mac sur 6 utilise VLC. VLC est dans le top 15 des logiciels winwin les plus utilisés. VLC est le logiciel français le plus utilisé dans le monde.
- Fonctions méconnues : screencasting, mur de vidéos, karaoké, pilotable en console (cvlc) + lire une vidéo en ASCII coloré en utilisant la libcaca (vlc -vout caca mavideo.mkv), pilotage via une interface web (cas d'usage : télécommande sous Android d'une espèce de media-center).
- Streaming vidéo sur BitTorrent : il faut que les blocs soient ordonnés, il faut être capable de se déplacer dans la vidéo, il faut seeder pendant qu'elle est visionnée, etc. Complexe (client BT complet). VLC ne supporte pas BitTorrent. tribler (financé par l'UE) est basé sur VLC et le fait. D'après mes essais, ça "marchepo" sous une Debian stable car ça utilise une vieille lib...
- VLC est sur les PCs des parlementaires français depuis 2007. :)
- Menus interactifs dans les Blu-ray : BD-J c'est-à-dire du Java. :DDDD
DRM ou MTP (mesures techniques de protection, en français) :
- La vocation des DRM, ce n'est pas de limiter le piratage, c'est la possibilité, pour les majors, de contrôler l'intégralité de la chaîne de distribution. Preuve : SlySoft est une société commerciale basée aux Antilles (qui existe encore en 2016) qui passe son temps à faire du reverse-engineering de DRM, c'est son cœur de métier ! Les DRM ne valent rien techniquement mais l'industrie continue car ça permet aux majors et à toute une industrie d'empocher une patente pour être distributeur (de matériel avec le logo Blu-ray dessus…).
- Les DRM sous forme de clés (DVD, Blu-ray, ebooks) sont stupides par essence : on vous donne le contenu et la clé qui le chiffre et on vous dit « surtout, ne regardez pas la clé !!! ». Forcément que ça ne fonctionne pas et que ça entraîne la surenchère entre industriels de la culture et libristes.
- DVDCSS - protection du DVD - années 1990 - clés de 56 bits (dû à la législation US qui restreignait la taille du matériel crypto exporté à l'étranger) - révocation prévue mais impossible (car le lecteur ne peut pas être mis à jour après sa vente) - libdvdcss bruteforce, il n'embarque pas de clés contrairement à DeCSS qui utilise la clé volée.
- Blu-Ray : 4 mesures de protection : AACS, BD+, HDCP, Macrovision. Elles peuvent s'enchaîner.
- AACS : évolution de DVDCSS, système par clés (une par lecteur (logiciel), une clé par Blu-ray), spécifications publiques (ce sont les seules à l'être parmi tous les DRM !).
- Révocation d'un modèle de lecteurs ou de toute une gamme ou même un constructeur entier KiMarche ! AACS est un arbre de 64 niveaux qui regroupe un sous-arbre pour chaque équipementiers (genre Sony, LG, PowerDVD, etc.) puis, pour chaque, un sous-arbre par gamme puis, des feuilles pour chaque modèle de lecteurs. Sur les Blu-Ray, la clé change tous les trois mois. Si votre lecteur est révoqué, vous n'êtes plus en mesure de lire le contenu du disque par le mécanisme de l'arbre. Tout l'enjeux est donc de trouver une clé de lecteur valide. De plus, il y a un système de liste noire : votre lecteur (physique) va lire cette liste en premier et s'il trouve la clé de votre logiciel, booom, le lecteur ne peut plus lire aucun Blu-ray (même vos vieux Blu-ray, même si vous les aviez acquis légalement). Il faut reflasher le firmware…
- Marquage audio : comment les majors peuvent-elles savoir quel lecteur s'est fait pwned sa clé ? En fonction de votre lecteur (et donc de sa clé), vous n'allez pas lire la même table des matières donc le même fichier sonore. Exemple : 150 versions différentes d'une même séquence est embarquée sur le Blu-ray et votre lecteur en lit une et une seule ! Il suffit de scanner les réseaux d'échange et de comparer le marquage présent dans chaque fichier publié avec une base de données.
- Évidemment, tout ça repose sur l'inexistence de lecteurs physiques de Blu-ray qui n'implémenteraient pas le système de liste noire sinon tout s'écroule. On en revient au fait que les DRM, c'est le contrôle de la chaîne de distribution : pour poser le logo « Blu-ray » sur ton lecteur, il faut être certifier sinon procès donc il faut respecter toute la norme dont AACS. Si tu ne mets pas le logo Blu-ray, tu vends pas.
- BD+ : machine virtuelle Turing complète. Chaque disque peut arriver avec son propre code de "sécurisation". Utilisé par 20 % des disques sur le marché (en 2013, donc) principalement par la Warner.
- HDCP : pour pirater, au lieu de casser les protections ci-dessus, il suffit de se positionner entre la carte graphique et l'écran et de dupliquer le flux brut ici. HDCP lutte contre ça : il faut une chaîne de confiance. Chaque appareil vérifie que le suivant est bien autorisé : lecteur DVD physique, OS, drivers, carte graphique, écran). La clé maîtresse d'Intel s'est retrouvée dans la nature… Donc HDCP est tout cassé.
- Macrovision : déjà présent sur les VHS : décale les phases de chaque ligne donc ça brouille un peu. Suffit d'implémenter l'algorithme inverse et lala.
- Qu'est-ce qui a permis à Blu-ray de l'emporter sur HDDVD ? Ce n'est pas la différence de stockage (25G versus 50G), tout ça. La clé maître des HDDVD a été volé sur des machines visiblement non sécurisées.
L'aspect légal (ou comment la HADOPI a foiré une autre de ses missions…) :
- EUCD, directive européenne sur le droit d'auteur, transposée par la DADVSI de 2006. Arrivée des DRM, limiter la diffusion d'outils de contournement des DRM. L'April fait un recours devant le Conseil d'État qui répond : dans le cadre de la loi DADVSI, un logiciel libre peut contourner les DRM dans le cadre de l'interopérabilité et il ne peut y avoir de renoncement par voie contractuelle à ce droit.
- Mesure technique de protection pas définie. De quel droit d'auteur parle-t-on ? De celui des auteurs de l'œuvre fixé sur le support ? L'auteur de la MTP (c'est un logiciel comme un autre) ? Du logiciel du lecteur ? On suppose, bien évidemment, que le législateur a voulu définir le droit des auteurs de l'œuvre fixé sur le support.
- Un protocole, un format, une méthode de chiffrement, de brouillage ou de transformation ne constituent pas une MTP. Article L331-5 du CPI. C'est pour ça qu'on peut plaider (sans certitude) que DVDCSS, qui utilise une clé statique, est uniquement une méthode de chiffrement et n'est donc pas une MTP. Aucun doute qu'AACS et BD+ sont des MTP.
- DADVSI crée l'ARMT : l'autorité de régulation des mesures de protection chargée de gérer l'interopérabilité des mesures des protections. Autorité bidon car mission bidon. Elle n'a rien fait de 2007 à 2011. ARMT est intégrée dans HADOPI.
- VideoLAN cherche à éclaircir la loi avec l'ARMT.
- Rencontre à OVEI (On Vous Explique Internet) en 2011. L'HADOPI ne sait même pas qu'elle a cette compétence. Pas moyen de dialoguer, VLC se fait traiter de pirates, voleurs, etc. et se voit demander d'adresser une demande écrite.
- Saisine pour avis (pas en contentieux car VideoLAN vient en amie, pleine de bons sentiments, cherche à comprendre la loi, etc.) en 2012. Questions : est-ce qu'on peut diffuser le code source de libaacs (qui implémente juste des spécifications publiques) ? Le code compilé ? Sous forme de lib ou dans VLC ? L'idée étant de trancher où se trouve la limite définie par la loi DADVSI entre l'interopérabilité et l'aide au contournement de MTP (qui est interdit). Comment peut-on diffuser les clés ? Car il faut signer un contrat avec AACS-LA pour obtenir les clés… sauf que ce contrat impose d'implémenter HDCP… VLC ne peut pas le faire sous nux ou Mac ou BSD puisqu'il n'y a pas de chaîne HDCP existante !
- S'en suivent réunions et consultations auxquelles VideoLAN n'est jamais invitée et est informée de ces réunions à venir dans la presse.
- Février 2013 : consultation bidon (le rapport était déjà écrit, c'était histoire de gagner du temps) et étrange : on ne fait jamais une consultation publique pour éclaircir un point de droit.
- Avril 2013 : réponse à côté de la plaque : ne diffusez pas les clés, elles ne font pas partie du code (quid alors de la mise en œuvre effective de l'interopérabilité permise par la loi ?). Pas de réponse au reste… … … Donc VideoLAN ne sait pas si elle peut diffuser le source de libaacs… Presque 2 ans pour… rien à part faire tourner VideoLAN en rond. Merci, l'ARMT / HADOPI !