Analyse du coût de la protection de contenu de Windows Vista

Le texte qui suit est édifiant mais très très long. Si après avoir lu ça, votre envie d’upgrader vers Windows Vista persiste, consultez !

Il a été rédigé et distribué sous licence Creative Commons par Peter Gutman (pgut001[at]cs.auckland.ac.nz) le 28 décembre 2006.

Nous devons sa traduction à Charles Longueau (chl[at]tuxfamily.org)

Résumé pour décideurs

Afin d’assurer la protection de contenu pour ce qui est appelé «contenu de première qualité» (typiquement des données HD issues de sources Blu-Ray ou HD-DVD), Windows Vista a subit une refonte totale des éléments au coeur de l’OS. Assurer cette protection engendre des coûts considérables en termes de performance et stabilité du système, de surcoût pour le support technique, et du coût du matériel et du logiciel. Ces problèmes affectent non seulement les utilisateurs de Vista mais aussi l’industrie des PC toute entière, puisque les effets des mesures de protection impactent tout matériel et logiciel qui communiquera au final avec Vista, même si il n’est pas employé directement avec Vista (par exemple du matériel d’un ordinateur Macintosh ou d’un serveur Linux). Ce document analyse le coût induit par la protection de contenu de Vista, et les dommages collatéraux que cela implique dans toute l’industrie informatique.

Résumé pour décideurs pressés

Les spécifications de la protection de contenu de Vista pourraient très bien constituer la plus longue annonce de suicide de l’histoire [note A].

Introduction

Ce document s’intéresse uniquement au coût des parties techniques de la protection de contenu de Vista [note B]. Les problèmes d’ordre politiques (réunis sous la dénomination DRM) ont déjà été étudiés en détail par ailleurs et ne seront pas commentés ici, à moins que cela corresponde au cadre de cette analyse. Cependant, un point important à garder à l’esprit pendant la lecture de ce document est que pour fonctionner, la protection de contenu de Vista doit être capable violer les lois de la physique, chose qui est peu susceptible de se produire même si l’industrie souhaiterait que cela soit possible [note C]. Cette énigme se répète maintes fois dans les exigences de protection de contenu de Windows, pour lesquelles les fabricants n’ont reçu aucune ligne directrice claire et nette. Au lieu de cela, ils reçoivent l’instruction de se dévouer corps et âme à la ligne du parti. La documentation est truffée de phrases telles que :

«Il est recommandé qu’un fabricant de périphériques graphiques aille plus loin que de suivre à la lettre cette spécification et fournisse des fonctionnalités supplémentaires de protection de contenu, parce que cela montre leur ferme intention pour protéger le contenu de première qualité».

C’est une manière très étrange d’écrire des spécifications techniques, mais montre bien que ce que la spécification tente de réaliser est fondamentalement impossible. Les lecteurs devraient garder à l’esprit cette exigence à montrer un niveau d’engagement suffisant lors de la lecture de l’analyse suivante [note D].

Désactivation de fonctionnalité

Le mécanisme de protection de contenu de Vista n’autorise l’envoi de contenu protégé qu’aux interfaces intégrant également des mécanismes de protection de contenu. Actuellement l’interface de sortie audio haut de gamme la plus courante est S/PDIF (Sony/Philips Digital Interface Format). La plupart des cartes audio les plus récentes, par exemple, comportent une sortie optique numérique TOSlink pour la reproduction sonore de haute qualité, et même la dernière série de cartes mères avec carte son intégrée fournissent au moins une sortie audio numérique coaxiale (et souvent optique). Puisque S/PDIF ne fournit aucune protection de contenu, Vista exige sa désactivation pendant la lecture d’un contenu protégé [note E]. En d’autres termes si vous avez dépensé une fortune dans une installation audio haut de gamme alimentée par une sortie numérique S/PDIF, vous ne pourrez pas l’utiliser avec un contenu protégé.

Disons que vous venez juste d’acheter « The Dark Side of the Moon » des Pink Floyd, sorti sur un Super Audio CD (SACD) dans son édition du 30è anniversaire en 2003, et que vous voulez le lire sous Vista. Comme la liaison S/PDIF vers votre amplificateur ou vos haut-parleurs est considéré comme non sécurisée, Vista la désactive, et vous finissez par écouter une représentation de Marcel Marceau au lieu des Pink Floyd.

De manière similaire, un signal vidéo YPbPr sera désactivé par la protection de contenu de Vista. La même chose s’applique donc à une installation vidéo utilisant comme source un signal YPbPr. Que se passe-t-il si vous êtes suffisamment chanceux pour avoir acheté une carte vidéo qui possède une sortie numérique HDMI avec une protection du contenu HDCP ? Il y a une forte probabilité pour que vous deviez acheter une autre carte qui supporte *vraiment* le HDCP, parce que jusqu’à très récemment cette année, aucune carte vidéo du marché ne le supportait réellement même si les publicités des vendeurs prétendaient le contraire. Ainsi le site qui a le premier sorti l’histoire dans l’article « The Great HDCP Fiasco » (http://www.firingsquad.com/hardware/ati_nvidia_hdcp_support/) nous dit :

«Aucune des cartes graphiques AGP ou PCI-E que vous pouvez acheter aujourd’hui ne supporte le HDCP […] Si vous venez juste de dépenser 1000$ dans une paire de Radeon X1900 XT en espérant être capable de jouer des films en HD-DVD ou en Blu-Ray à la résolution de 1920×1080 dans le futur, vous venez juste de gaspiller votre argent […] Si vous venez juste de dépenser 1500$ dans une paire de 7800GTX 512MB GPUs en espérant être capable de jouer des films en HD-DVD ou en Blu-Ray à la résolution de 1920×1080 dans le futur, vous venez juste de gaspiller votre argent.»

(Les deux périphériques mentionnés ci-dessus sont les cartes vidéo les plus avancées soit-disant-capable-de-faire-du-HDCP créées par les deux principaux fondeurs de circuits graphique ATI et nVidia). ATI fût par la suite accusé dans un procès collectif intenté par ses clients déçus. Et même en août de cette année, quand Sony annonça son lecteur Blu-Ray pour PC, il dut faire face au fait embarrassant que son lecteur Blu-Ray ne pouvait pas lire les disques Blu-Ray au format HD (« First Blu-ray disc drive won’t play Blu-ray movies ») :

«Etant donné qu’il n’y a actuellement aucun PC à la vente disposant d’un circuit graphique supportant le HDCP, ce n’est pas encore possible.»

Désactivation de fonctionnalité indirecte

De même qu’il y a désactivation manifeste de fonctionnalité, il y a également la désactivation indirecte de fonctionnalité. Par exemple la communication vocale sur PC se base sur l’annulation automatique d’écho (AEC) pour fonctionner. AEC exige la rétroaction d’un échantillon du son émis dans le sous-système d’annulation d’écho, mais avec la protection de contenu de Vista ceci n’est plus permis parce que cela pourrait permettre l’accès au contenu de première qualité. Ce qui est autorisé est la rétroaction d’un signal sonore fortement dégradé, ce qui pourrait être vaguement suffisant pour effectuer une espèce d’annulation d’écho minimaliste.

L’exigence de désactiver les sorties audio et vidéo désorganise complètement les opérations standards du système, parce que la politique de sécurité utilisée est une politique dénommée « system high » : le niveau global de sensibilité est celui des données les plus sensibles du système. Ainsi dès l’instant où un son venant d’un contenu de première qualité apparaît sur votre système, il y aura dégradation de signal et désactivation des sorties. Ce qui fait que c’est particulièrement amusant est le fait que la dégradation/désactivation est dynamique. Ainsi si le signal du contenu de première qualité est intermittent ou change (par exemple de la musique avec un effet de fondu), les diverses sorties et qualités de sortie vont avoir l’effet de fondu, s’allumeront ou s’éteindront, en synchronisation. En temps normal, ce type de comportement amènerait à une réinstallation des pilotes de périphérique ou même un retour sous garantie du matériel affecté, mais dans ce cas là c’est juste le signe que tout fonctionne comme prévu.

Lecture en qualité dégradée

A côté de l’approche tout ou rien de la désactivation de sortie, Vista exige de toute interface fournissant une sortie de haute qualité qu’elle dégrade la qualité de signal qui la traverse si un contenu de première qualité est présent. Ceci est fait par un «constricteur» qui atténue le signal vers une qualité bien inférieure, puis l’amplifie à nouveau à son niveau original, mais avec une perte significative de qualité. Ainsi si vous avez un écran LCD coûteux utilisant un signal de haute qualité venant de votre carte vidéo DVI et qu’un contenu protégé est présent, l’image que vous allez voir sera, comme annoncé par la spécification, « légèrement brouillée », un peu comme un moniteur à tube cathodique de 10 ans que vous aurez récupéré pour 2$ dans un vide-grenier [note F]. En fait les spécifications prévoient toujours explicitement les vieilles sorties analogiques VGA, mais c’est seulement parce que le rejet de celles-ci dérangerait trop de propriétaires de moniteurs analogiques encore existants. Dans le futur, même une sortie analogique VGA devra probablement être désactivée. La seule chose qui semble être explicitement permise est la sortie TV d’extrêmement basse qualité, à condition que Macrovision soit installé.

La même dégradation délibérée de la qualité de lecture s’applique à l’audio, qui est dégradé en un son (d’après la spécification) « brouillé avec moins de détails » [note G].

De manière amusante, les documentations de protection de contenu de Vista indiquent qu’il sera laissé au soin des fabricants de puces graphiques de différencier leurs produits en se basant sur la qualité visuelle (délibérément dégradée). Cela revient un peu à casser les jambes d’athlètes olympiques et ensuite de les évaluer sur la façon dont ils peuvent rapidement boiter sur leurs béquilles.

Au delà des implications évidentes de la qualité de lecture délibérément dégradée, cette mesure peut avoir des répercussions sérieuses dans les applications où la reproduction de haute qualité du contenu est essentielle.

Par exemple le domaine médical interdit complètement ou déconseille fortement toute forme de compression d’image avec perte parce que les objets présentés par le processus de compression peuvent causer un mauvais diagnostique et même dans des cas extrêmes devenir un danger pour la vie. Considérez un informaticien médical travaillant sur un PC d’imagerie médicale alors que de l’audio/la vidéo est lu en arrière plan par l’ordinateur (les lecteurs CDROM installées dans des PC de bureau passent la plupart de leur durée de vie à lire de la musique ou les CD MP3 pour étouffer le bruit ambiant du lieu de travail). S’il y a un contenu de la première qualité, l’image sera subtilement changée par la protection de contenu de Vista, créant potentiellement l’exacte situation représentant un danger pour la vie que l’industrie médicale a justement cherchée à éviter à tout prix. La chose effrayante est qu’il n’y a aucune manière évidente d’échapper à ça – Vista modifiera discrètement le contenu montré sous certaines conditions (presque impossibles à prévoir à l’avance) uniquement connues du sous-ensemble intégré de protection de contenu de Vista [note H].

Elimination du support du matériel Open-source

Afin d’empêcher la création d’émulateurs de matériel d’appareils de sortie protégées, Vista exige un Hardware Functionality Scan (HFS) qui peut être employé pour obtenir un identifiant unique du matériel pour s’assurer qu’il est (probablement) authentique. Pour cela, le pilote sur le PC effectue une opération matérielle (par exemple un rendu 3D pour une carte graphique) qui produit un résultat qui est unique à ce périphérique.

Afin que cela fonctionne, la spécification exige que les détails d’implémentation du périphérique soient maintenus confidentiels. Evidemment n’importe qui en sachant suffisamment au sujet du fonctionnement d’un périphérique pourrait écrire un pilote tiers pour celui-ci (par exemple pour un OS d’Open-Source, ou en général juste tout OS non-Windows) et en saurait également assez pour contourner le processus HFS. La seule manière de protéger le processus HFS est donc de ne libérer aucun détail technique sur le périphérique au delà d’un minimum exigé pour les critiques sur le web et la comparaison avec d’autres produits.

Cette « fermeture » potentielle de la plateforme historiquement ouverte du PC est une tendance extrêmement inquiétante. Il y a un quart de siècle, IBM a pris l’importante décision de faire du PC une plateforme ouverte en publiant les détails complets du matériel et en permettant à n’importe qui de le concurrencer sur un marché ouvert. Beaucoup de petites compagnies, la traditionnelle startup de garage, ont fait leur début par ce biais. C’est cette ouverture qui a créé l’industrie du PC, et la raison pour laquelle la plupart des foyers (plutôt que juste quelques bureaux, ce qui avait été le cas jusque-là) ont un ou plusieurs PCs disposés quelque part dans un coin. Ceci semble être un retour aux mauvais jours d’il y a 25 ans quand seulement les initiés privilégiés pouvaient être en mesure de participer.

Elimination des pilotes unifiés

Le processus de HFS a un autre coût induit. La plupart des fournisseurs de matériel sont passés (merci à eux) aux modèles de pilote unifiés au lieu de la pléthore de différents pilotes qui ont abondé il y a quelques années. Puisque HFS exige l’identification et la gestion unique non pas simplement de chaque type de périphérique (par exemple chaque puce graphique) mais de chaque variante de chaque type de périphérique (par exemple chaque évolution de chaque puce graphique) pour être capable de contourner tout problème trouvé avec une variante d’un périphérique, il n’est plus possible de créer de pilotes génériques pour une gamme entière de périphériques comme les pilotes actuels pour Catalyst/Detonator/ForceWare. Chaque légère variation de chaque type de périphérique en circulation doit être maintenant individuellement adaptée avec un code particulier afin que le processus HFS soit pleinement efficace.

Si une puce graphique est directement intégrée sur la carte mère et qu’il n’y a aucun moyen d’accès facile au bus de périphérique alors la contrainte de chiffrement du bus disparaît (voir « Consommation inutile de ressource CPU » ci-dessous). Puisque la condition de chiffrement est coûteuse, il est tout à fait possible que ce moyen de fourniture de possibilités graphiques deviendra soudainement plus populaire après la sortie de Vista. Cependant, ceci mène à un problème : il n’est plus possible de dire d’une puce graphique qu’elle est située sur une carte enfichée ou intégrée à la carte mère, puisque le système voit juste deux périphériques sur le bus AGP/PCIe. La solution à ce problème est de rendre les deux délibérément incompatibles, de sorte que HFS puisse détecter s’il s’agit d’une puce sur une carte enfichée ou sur la carte mère. Encore une fois, ceci ne fait rien de plus qu’augmenter les coûts et la complexité du pilote.

D’autres problèmes apparaissent avec les pilotes audio. Pour le système, l’interface audio HDMI ressemble à S/PDIF, décision délibérée de conception pour faciliter la manipulation des pilotes. Afin de fournir la capacité de désactiver la sortie, il est nécessaire de rendre les codecs HDMI délibérément incompatibles avec les codecs S/PDIF, malgré le fait qu’ils ont été spécifiquement conçus pour paraître identiques afin de faciliter le support de pilote et réduire des coûts de développement.

Déni-de-Service par l’intermédiaire de la révocation de pilote

Une fois qu’une faiblesse est trouvée dans un pilote ou un périphérique particulier, ce pilote aura sa signature révoquée par Microsoft, ce qui veut dire qu’elle cessera de fonctionner (les détails sur ceci sont un peu vagues pour le moment, vraisemblablement certaines fonctionnalités minimum comme le support du VGA en 640×480 seront toujours disponibles pour que le système puisse toujours démarrer). Ceci signifie qu’un rapport de vulnérabilité à propos d’un pilote ou d’un périphérique particulier causera la cessation du support de ce périphérique dans le monde entier jusqu’à ce qu’un correctif puisse être trouvé [note I]. Là encore, les détails sont peu précis, mais si c’est un problème de périphérique alors vraisemblablement le périphérique deviendra aussi utile qu’un presse-papiers une fois qu’il sera révoqué. Si c’est un périphérique plus ancien pour lequel le fournisseur n’est pas intéressé par la correction des pilotes (et sur le marché rapide du matériel la plupart des périphériques atteignent ce stade une année ou deux après que leur modèle de remplacement soit devenu disponible), tous les périphériques de ce type dans le monde entier deviennent de manière permanente inutilisables.

Un exemple de ceci pourrait être celui des cartes vidéo nVidia TNT2, qui sont toujours très largement déployées dans des environnements professionnels où elles sont tout de ce dont vous avez besoin pour utiliser Word, Outlook ou Excel (ou, dans notre cas, tout sauf une application ludique). Les pilotes pour ces cartes n’ont pas été mis à jour depuis un certain temps pour cette raison : vous n’avez pas besoin des derniers pilotes parce qu’ils ne sont plus utiles avec les jeux actuels (si vous allez sur le site de nVidia et essayez d’installer des pilotes récents, l’installateur vous indiquera de retourner télécharger des pilotes beaucoup plus anciens à la place). Si un périphérique TNT2 s’avérait laisser filtrer du contenu, il semble peu probable que nVidia s’intéresserait à la correction des pilotes qu’il n’a pas touchés pendant plusieurs années, créant instantanément un abandonware pour la base installée d’utilisateurs.

La menace de la révocation de pilote est l’option nucléaire ultime, la dernière cartouche des commissaires politiques rappelant aux fidèles leur devoir [note J]. Les détails exacts du marteau avec lequel des fournisseurs seront frappés sont enterrés dans des accords de licence confidentiels, mais j’ai entendu parler d’amende de plusieurs millions de dollars et des embargos sur la livraison ultérieure de périphériques en plus de la révocation du pilote mentionnée ci-dessus.

Cette révocation peut avoir des coûts imprévus. Le composant anti-piraterie de Windows, WGA, est attaché aux composants matériels du système. Windows vous permet de faire un nombre limité de changements de matériel système après quoi vous devez remplacer votre licence Windows (les détails exacts de ce que vous pouvez et ne pouvez pas faire a été le sujet de beaucoup de discussions). Si une partie du matériel est mis hors tension (même juste temporairement tout en attendant une mise à jour du pilote pour contourner la libération de contenu) et que vous échangez votre carte son ou vidéo pour une autre afin d’éviter le problème, vous risquez de déclencher le composant anti-piraterie de Windows, vous mettant un peu plus dans une mauvaise posture. Si vous êtes forcés d’échanger un composant principal de système comme une carte mère, vous faites instantanément échouer la validation WGA. La révocation de n’importe quel périphérique intégré aux cartes mères (pratiquement chaque carte mère a une certain type de carte son intégrée, et toutes cartes mères bon marché ont une carte vidéo intégrée) semblerait avoir un impact très négatif sur les mesures d’anti-piratage de Windows.

Les détails de ce qui se produira si une carte mère possède une carte son intégrée inutilisée et une carte son additionnelle à côté d’elle, et que les pilotes de la carte mère sont révoqués, sont inconnus. Windows ne peut pas indiquer qu’il n’y a rien de relié à la carte son intégrée parce que l’utilisateur préfère employer sa carte M-Audio Revolution 7.1 Surround Sound à la place, ainsi il devra probablement révoquer les pilotes de la carte mère même s’ils ne sont pas employés pour quoi que ce soit. Depuis que pratiquement toutes les cartes mères contiennent une carte son intégré, cela pourrait s’avérer vraiment problématique.

Un problème entièrement différent du Déni de Service qui s’applique plus aux périphériques HDMI en général a déjà fait surface sous la forme des, euh, « amplificateurs DVI », qui prennent comme entrée un signal HDMI et produisent un signal DVI, l’amplifiant au passage. Ah, et comme effet secondaire ils oublient de réappliquer la protection de HDCP en sortie. Ces périphériques sont relativement simples à concevoir et à construire en utilisant des puces HDMI disponibles immédiatement. Au delà des modèles disponibles dans le commerce, des passionnés d’électronique ont construit leurs propres déplombeurs de protection en employant des échantillons de puces obtenus à partir des fournisseurs. Si vous avez les bonnes qualifications vous pouvez même obtenir du matériel d’évaluation conçu pour l’essai et le développement qui font ce genre de choses. Et je n’irai pas sur le terrain des lecteurs HD avec les sorties numériques non HDMI, par exemple ceux qui contiennent une interface de HD-SDI (SMPTE 292M). HD-SDI est une norme numérique non codée utilisé typiquement dans des studios TV mais également disponibles par diverses sources non US comme des lecteurs HD standards de seconde zone, fournissant une qualité meilleure que HDMI sans les soucis du HDCP.

Supposez maintenant que le fabricant « d’amplificateur DVI » achète un chargement de camion de puces HDMI (ils voudront en obtenir autant que possible en une fois car ils ne pourront probablement pas pouvoir revenir en acheter plus quand le fournisseur de puces découvrira à quoi elles sont destinées). Comme c’est un périphérique escroc, il peut être révoqué … avec des centaines de milliers ou même des millions d’autres consommateurs qui utilisent cette même puce dans d’autres périphériques. Engadget a une bonne vue d’ensemble de ce scénario sur http://www.engadget.com/2005/07/21/the-clicker-hdcps-shiny-red-button/.

(Ce qui arrive exactement lorsqu’une une clef est révélée dépend de la façon dont les attaquants l’utilisent. La manière dont fonctionne le verrouillage HD-DVD/Blu-Ray est telle qu’une clef spécifique au dispositif est employée pour déchiffrer la clef de titre sur le disque, et la clef de titre est alors également employée pour déchiffrer le contenu. Ainsi l’enchaînement de verrous est clef du dispositif -> clef de titre -> contenu. Ce niveau d’indirection permet la désactivation individuelle d’un périphérique par la révocation de la clef spécifique au périphérique sans rendre le disque illisible sur tous les périphériques, puisque d’autres clefs de périphériques peuvent encore déchiffrer la clef de titre et ainsi le contenu (j’ai légèrement simplifié ceci pour réduire la longueur de l’explication, voir les spécifications d’AACS pour plus de détails).

La clef de dispositif est attachée à un périphérique/lecteur/fournisseur particulier, mais la clef de titre est seulement attachée au contenu du disque. Vous pouvez probablement voir où ceci va … en publiant la clef de périphérique, l’attaquant peut causer la mutilation générale en forçant la révocation du périphérique. D’autre part en publiant la clef de titre l’attaquant peut libérer le contenu d’une façon non traçable, puisqu’on ne le connaît pas quelle clef de périphérique a été employée pour révéler la clef de titre. En outre puisqu’il n’y a aucune manière de dé-publier la clef de titre (contenu chiffré + clef de titre = contenu non codé), à ce stade pour le contenu la partie est finie).

Fiabilité diminuée du système

« Les pilotes doivent être plus que robustes. Cela exige un développement supplémentaire du pilote pour isoler et protéger certaines parties sensibles du code » — ATI.

La protection de contenu de Vista exige que les périphériques (matériel et pilotes) arment des « tilt bits » s’ils détectent quelque chose d’anormal. Par exemple s’il y a des fluctuations de tension inhabituelles, des signaux du bus qui ont la bougeotte, un code retour de fonction anormal, un registre de périphérique qui ne contient pas tout à fait la valeur attendue, ou quoi que ce soit de semblable, un « tilt bit » est armé. De telles occurrences ne sont pas si rares dans un ordinateur. Par exemple démarrer ou brancher un périphérique alimenté par le bus peut causer un petit problème dans des tensions d’alimentation, ou les pilotes peuvent tout à fait ne pas contrôler l’état des périphériques avec autant de précision qu’ils pensaient. Avant, ce n’était pas un problème – le système était conçu avec une légère tolérance, et les choses fonctionnaient normalement. En d’autres termes les petites variations de performance dans l’exécution faisaient partie du fonctionnement normal du système. En outre, le degré de divergence peut largement différer suivant les systèmes, certains avec de grands changements dans les paramètres du système et d’autres avec seulement de légers changements. Une manière assez flagrante de s’en rendre compte est d’observer le résultat d’une microcoupure sur un groupe de PCs. Les effets varieront de la mise hors tension, à divers types de crash, voire rien du tout, tous déclenchés par exactement le même événement externe.

Avec l’introduction des « tilt bits », toute la tolérance prévue s’en est allée. Chaque petit problème (normalement non décelable) est désormais signalé parce qu’il pourrait être un signe d’une attaque. L’effet que cela aura sur la fiabilité du système ne devrait exiger aucune autre explication.

Les « fonctionnalités » de protection de contenu comme les « tilt bits » ont aussi d’inquiétantes implications dans le déni de service. C’est probablement une bonne chose que le malware moderne soit créé par des programmeurs ayant des intérêts commerciaux dans le phishing et ayant l’industrie du Spam à l’esprit plutôt que simplement créer un maximum de ravages. Avec le nombre de goupilles de grenade aussi facilement accessibles que la protection de contenu de Vista fournit, n’importe quel morceau de malware qui décide de tirer quelques unes d’entre elles causera des dommages considérables. Les implications pour la sécurité nationale semblent tout à fait sérieuses, à partir du moment où un malware intégrant une partie minuscule et facilement dissimulable suffit à rendre une machine inutilisable, tandis que la nature même de la protection de contenu de Vista rendrait presque impossible de déterminer pourquoi le déni de service est apparu. En outre, les auteurs de malware, qui tirent profit des périphériques de « protection de contenu », en seraient protégés par le DMCA contre les tentatives de rétro-ingénierie ou la désactivation des fonctionnalités de protection de contenu dont ils abuseraient.

Même sans abus délibéré d’un malware, les implications de sécurité de la nation que représentent un agent externe pouvant arrêter votre infrastructure suite à une fuite de contenu découvert dans un certain jeu de puces dont il s’avère que par coïncidence vous l’employez justement est une préoccupation importante pour les utilisateurs potentiels de Vista. Les gouvernements non US sont déjà assez nerveux à l’idée d’employer un OS fourni par les USA sans avoir ces possibilités de Deni de service à distance établies dans l’OS. Et comme pour la question de dégradation d’image médicale, vous ne découvrirez rien de cela avant qu’il ne soit trop tard, transformant les PC tournant sous Vista en bombes à retardement si cette fonctionnalité de révocation est utilisée un jour.

Coûts accrus de matériel

« Nous ne pouvons pas commercialiser tant que cela ne fonctionne pas selon les spécifications… potentiellement davantage de renouvellement de matériel » — ATI.

« Ceci augmente les coûts de conception de carte mère, augmente les délais d’exécution, et réduit la flexibilité de configuration des fabricants de pièces détachées. Ce coût est répercuté aux acheteurs de PCs multimédia et peuvent retarder la disponibilité des plateformes à hautes performances » — ATI.

Vista inclut diverses exigences pour la « robustesse » dans laquelle l’industrie de contenu, à travers des « règles de robustesse matérielles », fixe des exigences de conception aux fabricants de matériel. Le niveau de contrôle que les producteurs de contenu ont sur les détails techniques de conception n’est rien moins que stupéfiant. Ainsi le chercheur en sécurité ED Felten cite des documents de Microsoft sur son site web la-liberté-de-bricoler il y a environ un an (http://www.freedom-to-tinker.com/?p=882) :

« La preuve [de la sécurité] doit être présentée à Hollywood et aux autres propriétaires de contenu, et doit confirmer qu’elle fournit le niveau de sécurité exigée. Le témoignage écrit d’au moins trois des plus grands studios d’Hollywood est exigée ».

Ainsi si vous concevez un nouveau système de sécurité, il ne sera pas supporté sous Windows Vista tant que les experts reconnus en sécurité informatique comme Disney, MGM, et la 20th Century-Fox ne vous donnent pas leur aval. Il est absolument effarant de trouver des paragraphes comme cela dans ce qui est censé constituer des documents techniques de Windows, puisqu’il donne aux studios d’Hollywood un droit de veto sur les mécanismes de sécurité de Windows.

Comme exemple de ces « règles de robustesse », seules certaines implantations sont autorisées pour une carte afin de rendre plus difficile pour les profanes l’accès à des éléments de la carte. Probablement pour la première fois, la conception d’ordinateur est dictée non pas par des règles de conception électronique, exigences physiques de disposition, ou questions thermiques, mais par les souhaits de l’industrie de contenu. Indépendamment du gros mal de tête que cela pose aux fabricants de périphériques, cela impose également d’avantage de coûts supplémentaires, tout en les mettant dans l’obligation de concevoir des cartes de façon sous-optimale. Les fabricants de cartes graphiques produisent typiquement une conception prêt-à-porter (souvent copiée à partir de la disposition de référence du fournisseur des puces la moins modifiée possible comme illustré sur qui montre cinq cartes pratiquement identiques de différents fournisseurs ayant comme seule différence apparente le logo sur le radiateur), puis remplissent les différents classes et niveaux des prix de cartes de différentes manières. Par exemple une carte bas de gamme aura des encodeurs de sortie TV, circuits DVI, ou RAMDACs, peu coûteux, minimalistes ou absent qui les différencient des prix des cartes graphiques de meilleure qualité. Vous pouvez voir ceci sur les cartes bon marché en observant les plots de connexion inutilisés sur le circuit imprimé, et les gamers et autres sauront quels sont les fils et résistances manquants des cartes graphiques.

Un exemple d’omission de composants d’une carte haut de gamme pour créer une carte milieu de gamme est montré à .

Notez le grand secteur rectangulaire rouge tout à gauche de la carte, c’est là que le fabricant a omis un composant pour produire un modèle moins cher. La même chose est visible sur la carte à http://techreport.com/reviews/2006q4/radeon-x1650xt/card.jpg.

Réciproquement, montre (lorsqu’elle est sortie) une carte haut de gamme avec des composants optionnels installés, la puce à la gauche du gros carré radiateur+ventilateur gère l’encodage vidéo et peut être ajouté ou enlevé (avec d’autres composants optionnels) pour créer différentes gammes de cartes à différents niveaux de prix.

L’industrie automobile fait la même chose, vous avez un modèle de base pour chaque type de voiture et 10.000 options supplémentaires pour convenir aux besoins et bourses de chacun.

Les exigences de la protection de contenu de Vista éliminent cette conception prêt-à-porter, interdisant l’utilisation d’encodeurs séparés pour la sortie TV, circuits de DVI, RAMDACs, ainsi que d’autres adjonctions discrétionnaires parce que transmettre de la vidéo non protégée à ces composants optionnels externes rendrait trop facile un détournement de signal du bus menant au composant externe. Tout doit être fait sur mesure et présenté de sorte qu’il n’y ait aucune liaison inutile permettant l’accès au signal sur la carte. Ceci signifie qu’une carte bas de gamme n’est pas juste une carte haut de gamme avec des composants en moins, chacune doit avoir une conception complètement faite sur mesure créée pour s’assurer qu’aucun signal sur la carte ne soit accessible.

Ceci s’étend depuis la conception de la carte jusqu’à la conception des puces. Au lieu d’ajouter une puce DVI externe, maintenant elle doit être intégrée sur la carte graphique, conjointement avec n’importe quelle autre fonctionnalité normalement assurée par une puce externe. Ainsi au lieu du coût variable de la carte vidéo basé sur des composants optionnels, le fournisseur doit maintenant tout intégrer dans une carte graphique prête-à-porter compatible avec le contenu de première qualité, même si tout ce que veut l’utilisateur est une carte bon marché pour le PC de ses enfants.

Coût accru dû aux licences en Propriété Intellectuelle tierces inutiles

« Nous avons eu plus de frais légaux dans la protection de copyright dans ces six à huit derniers mois que nous en avons eu dans n’importe quel précédent exercice. Chaque nouveau contrat constitue un nouveau précédent, chacun se basant sur le précédent » — ATI.

La protection de tout ce précieux contenu de première qualité exige beaucoup de technologies additionnelles. Malheureusement beaucoup d’entre elles sont la propriété de tiers et exigent des licences additionnelles. Par exemple HDCP pour HDMI appartient à Intel. Donc pour envoyer un signal par HDMI vous devez payer des royalties à Intel, bien que vous puissiez faire exactement la même chose gratuitement avec DVI. De même, puisque le chiffrement AES-128 n’est pas assez rapide pour chiffrer du contenu à haut débit même sur CPU moderne, les entreprises doivent obtenir une licence pour utiliser le Cascaded Cipher détenu par Intel, basé sur AES-128 et conçu pour offrir le même niveau de sécurité avec moins de coût processeur.

La nécessité d’obtenir les licences technologiques inutiles va au delà de la simple propriété intellectuelle sur le matériel. Afin de démontrer leur engagement à la cause, Microsoft recommande dans ses « règles de robustesse » que les fournisseurs aquièrent des outils tiers d’obscurcissement de code pour fournir à leurs pilotes des possibilités de furtivité comme pour des virus ce qui rend difficile d’interférer avec leur fonctionnement ou de faire de la rétro-ingénierie. Les fournisseurs comme Cloakware et Arxan ont réellement ajouté des pages Web supplémentaires « de solutions robustes » sur leur site pour anticiper ce marché lucratif. Cela doit être un cauchemar pour des fournisseurs de périphérique, pour qui il est déjà assez difficile d’obtenir des pilotes entièrement fonctionnels sans avoir à gérer l’ajout de technologie de furtivité à la manière des virus par-dessus la fonctionnalité de base du pilote.

Les règles de robustesse compliquent le support de pilote en interdisant des dispositifs tels que des fonctions de débogage dans les pilotes livrés. La plupart des utilisateurs de Windows XP vont à un moment ou a un autre rencontrer un message de crash de Windows indiquant qu’une certaine application qu’ils employaient s’est terminée anormalement, et ils aimeraient envoyer l’information de débogage à Microsoft pour les aider à corriger le problème. Quelques fournisseurs de périphériques ont même implémenté leur propre version de cette aide au débogage dans leurs pilotes, un exemple étant le VPU Recover d’ATI, qui rassemble les diagnostiques graphiques et les informations de débogage pour les envoyer à ATI quand un problème dans le périphérique graphiques se produit. Puisque cette fonctionnalité de débogage pourrait faire transiter du contenu ou de l’information de sécurité de contenu, elle ne peut plus être employée avec les composants audio ou vidéo, compliquant considérablement le support des fabricants de périphériques (le chef de produit d’ATI référencé dans la section « sources » liste ces coûts additionnels d’essais et de support comme étant « potentiellement le coût le plus élevé de tous »).

Consommation inutile de ressource CPU

« Puisque [le chiffrement] consomme des cycles CPU, un fabricant de pièces détachées peut avoir à augmenter la vitesse de ses CPU pour maintenir un traitement multimédia équivalent. Ce coût est imputé aux acheteurs de PCs multimédia » — ATI.

Afin d’empêcher le tripatouillage des communications dans le système, toute communication des flux doit être chiffrée et/ou authentifiée. Par exemple le contenu envoyé aux périphériques visuels doit être chiffré avec AES-128. Cette exigence pour la cryptographie va bien au delà du chiffrement de base du contenu et n’affecte pas seulement les données transitant par divers bus mais aussi les données de commande et de contrôle circulant entre les composants logiciels. Par exemple les communications entre des composants en mode utilisateur et mode noyau sont authentifiés avec des tags de code d’authentification de message OMAC, ce qui a un coût considérable.

Afin d’empêcher des attaques actives, les pilotes de périphérique doivent sonder le matériel sous-jacent toutes les 30ms pour s’assurer que tout semble conforme. Ceci signifie que même s’il ne se passe rien dans le système, une multitude de pilotes se réveillent trente fois par seconde juste pour s’assurer … qu’il continue de ne rien se passer. En plus de ce sondage, davantage de sondages dépendants du périphérique sont également faits, par exemple pour les périphériques vidéo, Vista examine chaque image affichée d’une vidéo afin de vérifier que toutes les goupilles de grenade (les « tilt bits ») sont toujours comme elles devraient être. Nous avons déjà de multiples critiques de Vista rapportant des problèmes de lecture de contenu audio et vidéo, avec des images ou des sons saccadés, même sur des systèmes haut de gamme. L’avenir nous dira si ce problème est dû aux pilotes pas assez matures ou provoqué par le surplus d’activité imposé par les mécanismes de protection de contenu de Vista interférant la lecture. Une indication du niveau de complexité supplémentaire du logiciel peut être vue en regardant un schéma fonctionnel Media Interoperability Gateway (MIG) de Vista. Sur les onze composants qui constituent le MIG, seulement deux (les décodeurs audio et vidéo) sont réellement employés pour le rendu de contenu. Les neuf restants sont employés pour appliquer des mesures de protection de contenu.

Les cartes graphiques intégrées créent un problème additionnel dans le fait que des blocs de précieux contenu finiront entreposés dans la mémoire système, où ils pourraient être paginés sur disque. Afin d’éviter ceci, Vista étiquette ces pages avec un bit de protection spécial indiquant qu’elles doivent être chiffrées avant d’être paginées et déchiffrées lorsqu’elles reviennent en mémoire. Vista ne fournit aucun autre système de chiffrement de pages, et paginera avec bonheur vos données bancaires, détails de carte de crédit, données privées et personnelles, et toute autre information sensible, en clair. Les exigences de protection de contenu montrent clairement qu’aux yeux de Microsoft une image de contenu de première qualité vaut plus que (disons) les enregistrements médicaux d’un utilisateur ou de ses données bancaires [note K].

En plus des coûts CPU, le désir de rendre les données inaccessibles à tous les niveaux signifie que la décompression vidéo ne peut plus être faite dans le CPU, puisqu’il n’y a pas suffisamment de puissance CPU disponible pour à la fois décompresser la vidéo et chiffrer le flux de données non décompressé résultant à la carte vidéo. Ainsi, une grande partie de la décompression doit être intégrée dans la carte graphique. Cela inclut au minimum une TCDI, une compensation de mouvement MPEG, et le codec Windows Media VC-1 (qui est aussi basé sur une TCD, donc s’appuyer sur un circuit de TCDI est assez facile). En corollaire au problème « Coûts accrus de matériel » ci-dessus, ceci signifie que vous ne pouvez pas fournir de carte graphique bas de gamme sans support de codec vidéo.

L’impossibilité de décoder par des moyens logiciels signifie que tout contenu de première qualité dont la compression n’est pas supportée par la carte graphique ne peut pas être implémenté. Si des choses comme le codec vidéo Ogg finissent par arriver un jour et sont utilisées pour du contenu de première qualité, ils feraient mieux d’être faits en utilisant quelque chose comme le codec Windows Media VC-1 ou bien ils ne fonctionneront pas sous Vista ou sur du matériel compatible Vista. C’est particulièrement préoccupant pour les spécifications de cinéma numérique de haute qualité (D-Cinéma), qui emploient le Motion JPEG2000 (MJ2K) parce que le format MPEG standard et ses équivalents ne fournissent pas une image d’une qualité suffisante. Puisque JPEG2000 utilise une compression basée sur les ondelettes plutôt qu’une compression basée sur la TCD comme MPEG, et que la compression basée sur les ondelettes n’est pas sur la liste des codecs matériel, il n’est pas possible de lire du contenu de la première qualité D-Cinéma (le codec moribond Ogg Tarkin utilise également une compression basée sur les ondelettes). Puisque *tout* contenu D-Cinéma sera (vraisemblablement) du contenu de première qualité, le résultat est qu’aucune lecture ne pourra se faire avant que le matériel ne le supporte à un moment indéterminé dans l’avenir. Comparez ça à la situation avec la vidéo MPEG, où très tôt les codecs logiciels comme le XingMPEG en/décodeur ont pratiquement créé le marché pour la vidéo PC. Aujourd’hui, grâce à la protection de contenu de Vista, l’ouverture des nouveaux marchés de cette manière serait impossible.

Les marchés audio et vidéo haut de gamme sont entièrement dominés par les gamers, qui feraient n’importe quoi pour un minuscule gain de performance, comme acheter une carte réseau Bigfoot Networks’ « Killer NIC » à 250$ dans l’espoir que cela les aidera à réduire leur latence réseau de quelques millisecondes. Ce sont ces gens qui achètent des cartes vidéos ou son à 500$-1000$ pour lesquelles une seule vente rapporte aux fabricants de périphérique plus que les quelques cents qu’ils obtiennent avec la partie audio/vidéo d’une salle entièrement remplie de PCs avec cartes son et graphique intégrées. Je me demande comment ce segment de marché réagira quand il apprendra que matériel dernier cri est bloqué par toutes ces « fonctionnalités » de protection de contenu que vista ligote avec lui ?

Consommation inutile de ressource de périphérique

« Les règles de conformité exigent que [le contenu] soit chiffré. Ceci exige une logique additionnelle de chiffrement/déchiffrement s’ajoutant aux coûts du processeur graphique. Ce coût est imputé à tous les consommateurs » — ATI.

Faisant partie de l’organisation de protection du bus, les périphériques sont obligés d’implémenter le chiffrement AES-128 afin de recevoir du contenu de Vista. Ceci doit être fait par l’intermédiaire d’un moteur de déchiffrement matériel dans les processeurs graphiques, ce qui devrait typiquement être implémenté en se débarrassant d’un ou deux pipelines de rendu du GPU, pour faire de la place pour le moteur d’AES.

L’établissement de la clef AES avec le périphérique exige des opérations cryptographiques supplémentaires, dans ce cas-ci un échange de clef Diffie-Hellman de 2048 bits, convertie en une clef AES de 128 bits grâce à une fonction de hachage Davies-Meyer avec AES comme composant de transformation de bloc. Dans des périphériques programmables ceci peut être fait (avec un effort considérable) dans le périphérique (par exemple dans un shader), ou plus simplement en gaspillant quelques pipelines de rendu de plus pour implémenter un moteur cryptographique à clef publique dans l’espace ainsi libéré.

Inutile de dire que la nécessité de développer, tester, et intégrer des moteurs de chiffrement dans des périphériques audio/vidéo ne fera qu’augmenter leur coût, comme discuté dans « Coûts accrus de matériel » plus haut, et le fait qu’ils perdent de la précieuse performance afin de s’adapter à la protection de contenu de Vista rendra les gamers mécontents.

Dernières réflexions

« Aucune quantité de coordination ne sera réussie à moins d’avoir été conçu avec les besoins du client à l’esprit. Microsoft croit qu’une bonne expérience utilisateur est une condition pour l’adoption » –Microsoft.

« L’industrie de PC s’engage à assurer la protection de contenu sur le PC, mais rien n’est gratuit. Ces coûts sont transmis au consommateur » — ATI.

A la fin de tout ceci, une question subsiste : Pourquoi est ce que Microsoft se dirige vers autant d’ennuis ? Demandez à la plupart des personnes ce qu’elles décrivent quand vous employez le terme « un lecteur de contenu de première qualité » et elles répondront par « un PVR » ou « un lecteur DVD » et pas « un PC sous Windows ». Alors pourquoi faire autant d’efforts pour essayer et transformer le PC en quelque chose qu’il n’est pas ?

En juillet 2006, Cory Doctorow publiait une analyse sur la nature anticoncurrentielle du système de restriction de copie des iTunes d’Apple « Apple’s Copy Protection Isn’t Just Bad For Consumers, It’s Bad For Business », Cory Doctorow, Information Week, 31 juillet 2006). La seule raison que je peux imaginer qui explique pourquoi Microsoft mettrait ses programmeurs, fournisseurs de périphériques, développeurs d’applications tierces, et finalement ses clients, devant tant de problèmes est parce qu’une fois cette protection sur la copie indélogeable, Microsoft détiendra complètement le canal de distribution. De la même manière qu’Apple est parvenu à acquérir un monopole verrouillé sur leur canal de distribution de musique (un exemple étant le fiasco Motorola de ROKR, qui était si estropié par des restrictions imposées par Apple qu’il était déjà mort au moment où il est apparu), Microsoft commandera totalement le canal de distribution de contenu de première qualité. Non seulement ils pourront verouiller leurs concurrents, mais parce qu’ils représenteront alors le seul canal de distribution disponible ils pourront imposer en retour leurs conditions aux fournisseurs de contenu à qui ils servent nominalement de la même manière qu’Apple a déjà imposé ses conditions à l’industrie de musique : Respectez les règles d’Apple, ou nous ne diffuserons pas votre contenu. Le résultat sera un monopole imposé technologiquement ce qui fait que l’actuel monopole de fait ressemble à un gant de velours en comparaison.

De façon générale, la fonctionnalité de protection de contenu de Vista ressemble à une pièce technologique étonnamment myope, se concentrant entièrement sur la protection de contenu sans prêter attention aux énormes répercussions des mesures utilisées. C’est un peu comme l’équivalent PC de la proposition (abandonnée à la hâte) de l’assemblée européenne de mettre des étiquettes RFID dans les billets de banque de haute valeur comme mesure de lutte anti-contrefaçon, ignorant complètement le fait que les principaux bénéficiaires de cette technologie finiraient par être les criminels qui l’emploieraient pour identifier à distance les cibles de vol les plus lucratives.

La plus mauvaise chose à propos de tout cela est qu’il n’y a pas d’issue. Les fabricants de matériels devront boire le « kool-aid » (et la référence au suicide collectif est ici délibérée [note L]) afin de fonctionner avec Vista : « Il y a pas de condition pour signer la licence [de protection de contenu] ; mais sans un certificat, aucun contenu de première qualité ne sera passé au pilote ». Naturellement en étant fabricant de périphérique vous pouvez choisir de ne pas signer, si cela ne vous dérange pas que votre périphérique ne puisse uniquement fournir qu’un son et une vidéo de basse qualité, brouillé, troublé dès lors qu’un contenu de première qualité est présent, alors que vos concurrents n’ont pas ce problème (artificiellement créé). En tant qu’utilisateur, il n’y a simplement aucune issue. Que vous utilisiez Windows Vista, Windows XP, Windows 95, Linux, FreeBSD, OS X, Solaris (sur x86), ou presque tout autre OS, la protection de contenu de Windows rendra votre matériel plus cher, moins fiable, plus difficile à programmer, plus difficile à supporter, plus vulnérable au code hostile, et avec plus de problèmes de compatibilité. Puisque Windows domine le marché et qu’il est peu probable que les fournisseurs de périphérique conçoivent et fabriquent deux versions différentes de leurs produits, les utilisateurs qui n’utilisent pas Windows vont payer pour des mesures de protection de contenu de Windows Vista dans les produits même si ils ne font jamais fonctionner Windows.

Voici une offre pour Microsoft : Si nous, les consommateurs, promettons de ne jamais, jamais, acheter un seul disque HD-DVD ou Blu-Ray contenant n’importe quel précieux contenu de première qualité [note M], est ce qu’en échange vous retireriez ce poison de l’industrie informatique, s’il vous plait ?

Remerciements

Ce document a été écrit grâce à diverses sources, y compris un certain nombre de personnes qui m’ont demandé que je garde leurs contributions anonymes (dans certains cas j’ai simplifié ou reformulé quelques phrases pour assurer que les formulations potentiellement décelables des documents originaux non publics ne soient pas employées). Puisqu’il n’était pas toujours possible d’aller aux sources et de vérifier les détails précis, il est possible qu’il puisse y avoir actuellement quelques inexactitudes, dont j’entendrai sûrement parler assez rapidement. Aucun doute que Microsoft (qui ne voudra pas que prenne racine l’image d’un Vista bridé par conception) fournira également son point de vue sur ces détails.

En plus du contenu présenté ici, je serais intéressé d’obtenir de plus amples détails de la part de personnes de chez Microsoft impliquées dans l’implémentation des mesures de protection de contenu, ainsi que de la part des fournisseurs de périphériques à qui l’on demande d’implémenter ces mesures au niveau logiciel et matériel. Je sais par des sources Microsoft qui ont contribué que bon nombre d’entre elles prennent profondément soin de fournir la meilleure expérience audio visuelle pour les utilisateurs de Vista et sont toutes affligées de devoir passer du temps à implémenter de grandes quantités d’anti-fonctionnalités alors qu’il est déjà assez difficile d’obtenir quelque chose de fluide, sans bridage intentionnel. Je suis toujours ouvert à davantage d’informations, et garderai toutes contributions confidentielles à moins que vous ne me donniez la permission de répéter quelque chose. Si vous êtes préoccupés par la traçabilité, trouvez un compte jetable chez Hotmail, Gmail, ou n’importe quel fournisseur semblable et contactez moi par ce biais. Si vous voulez chiffrer des choses, ma clef de PGP est disponible à partir de ma page d’accueil, http://www.cs.auckland.ac.nz/~pgut001.

(Dans le cas où les conseils ci-dessus ne seraient pas assez évidents, si vous travaillez pour nVidia, ATI, VIA, SiS, Intel, … je serais *vraiment* intéressé d’obtenir vos commentaires sur la façon dont tout ceci vous affecte).

Sources Puisque cette description a commencé comme discussion privée par courriel, un certain nombre des sources utilisées étaient non publiques. Les meilleures sources publiques que je connais sont :

« Output Content Protection and Windows Vista », , de WHDC.

« Windows Longhorn Output Content Protection », , de WinHEC.

« How to Implement Windows Vista Content Output Protection », http://download.microsoft.com/download/5/b/9/5b97017b-e28a-4bae-ba48-174cf47d23cd/MED038_WH06.ppt, de WinHEC.

« Protected Media Path and Driver Interoperability Requirements », , de WinHEC.

(Notez que les exigences de cryptographie ont changé depuis qu’une partie de l’information ci-dessus a été éditée. SHA-1 a été désapprouvé en faveur de SHA-256 et SHA-512, et clefs publiques semblent être uniformément passées à 2048 bits au lieu du mélange des 1024 bits et des 2048 bits mentionnés dans les présentations).

Une excellente analyse d’un des fournisseurs de matériel impliqués vient d’ATI, sous la forme de « Digital Media Content Protection », , de WinHEC. Ceci précise (sous forme de puces Powerpoint) les divers problèmes associés aux mesures de protection de contenu de Vista, avec la mention répétée des coûts accrus de développement, exécution dégradée et l’expression « les coûts accrus transmis aux consommateurs » imprégnant l’entière présentation comme une incantation.

En outre, il y a eu quelques descriptions à ce sujet (bien que n’allant pas autant dans le détail que ce document) dans des magazines en ligne et dans la presse, un exemple étant l’article de PC World « Will your PC run Windows Vista? », http://www.pcw.co.uk/articles/print/2154785, qui couvre ceci dans la section convenablement intitulée « Multimedia in chains ». Les réactions du public à ces propositions chez WinHEC sont couvertes dans le « Longhorn: tough trail to PC digital media » édité dans EE Times (http://www.eetimes.com/issue/fp/showArticle.jhtml?articleID=162100180), malheureusement vous aurez besoin d’être abonné pour lire ceci mais vous serez peut être en mesure de trouver les copies cachées accessibles en utilisant votre moteur de recherche favori. L’EFF dresse une vue d’ensemble des effets des mécanismes de révocation de Vista dans « Protected Media Path, Component Revocation, Windows Driver Lockdown », http://www.eff.org/deeplinks/archives/003806.php.

Annexes et notes

La section formelle du document s’achève ici. Les sections suivantes contiennent divers commentaires informels, réflexions, et autres bribes.

MINI-FAQ

Ce document semble produire diverses réactions soulevées à plusieurs reprises.
Pour répondre aux plus fréquemment exposées, j’ai ajouté cette mini-FAQ.

1. C’est juste du Microsoft-bashing.

C’est de la mauvaise technologie bashing. Si cela avait été fait par Linus Torvalds, Steve Jobs, Alan Cox, ou Theo de Raadt, j’aurais dit la même chose à son sujet. En ce qui me concerne, les ordinateurs sont des outils destinés à réaliser un travail et pas une plateforme pour des guerres religieuses, et si quelque chose est mauvais je le dirai, indépendamment de qui l’a fait. Juste pour mémoire je fais tourner diverses versions de Windows sur … [je compte] … sept de mes machines (le reste est un mélange de Linux, FreeBSD, et de temps en temps Solaris), je suis donc un détracteur peu probable de Microsoft, avec tous leur logiciels installés sur mes machines.

2. C’est une description biaisée.

Peut-être, mais alors je mets au défi quiconque de lire les spécifications données dans la section « sources » ci-dessus et d’écrire une analyse positive de la protection de contenu de Vista. Quelqu’un devait préciser ces problèmes, et il s’est avéré que ce fut moi dans ce cas, mais je pense que quiconque ayant les compétences techniques qui lirait les documents appropriés arriverait à une conclusion semblable.

3. Tout ça c’est du FUD/de la connerie.

Le processus qui mène a des commentaires comme ceci tend à être de ceux qui (1) lisent en diagonale ce document, (2) décident que cela semble un peu invraisemblable (probablement même avant de réaliser l’étape 1), (3) divaguent en disant que c’est du FUD. Pour citer un exemple particulier, une réaction d’un lecteur de Digg à la section de texte prétendant qu’il n’y a pas assez de puissance CPU disponible pour la décompression et le chiffrement simultané :

Je suis désolé, d’où cela provient il ? Vous vous rendez compte que c’est complètement sans source, et très probablement faux ? Des paragraphes entiers suivent et sont basés sur ce détail magique tiré de nulle part. […] Je ne suis pas fan de cette connerie asinienne de DRM, mais les scénarios et les postulats mis en avant dans cet article sont complètement foireux.

Se référant à la toute première source a citée dans la section « sources » on voit que ceci ne sort pas de nulle part mais est tiré de la propre documentation de Microsoft :

Le problème avec un AES classique est qu’il prend environ 20 cycles d’horloge CPU pour chiffrer chaque octet. C’est OK pour de la vidéo compressé ou semi compressée, mais pour le cas non compresse de plusieurs HD, c’en est trop même pour un processeur de 2006.

et ensuite :

Dans le cas de contenu de première qualité, une lecture fluide de la vidéo chiffrée en AES régulier avec un flux non compressé sera en fonction de la résolution de la vidéo non compressée et de la puissance du processeur. Il est peu probable que cela fonctionne correctement en 2006 pour du contenu de première qualité non compressé HD

Si vous ne croyez pas ce que vous venez de lire, retournez voir la propre documentation de Microsoft et lisez-la (en fait lisez les documents de Microsoft qu’importe ce que vous croyez, parce qu’ils sont tout à fait effrayants). Si vous pensez toujours que c’est du FUD vous pouvez au moins signaler des commentaires avisés à son sujet.

4. Microsoft fait seulement ceci parce que Hollywood/industrie de la musique le lui oblige.

« Nous étions seulement des suiveurs d’ordre » a historiquement plutôt mal fonctionné comme excuse, et ne fonctionne pas très bien ici non plus. Tandis qu’il est commode de dépeindre une industrie qui poursuit des enfants de 12 ans et des grands-mères de 80 ans en tant que bouc émissaire, personne n’a tenu un pistolet sur la tête de Microsoft pour les forcer à faire ça. L’industrie du contenu désespère de voir son contenu sur PCs, et il aurait été plutôt facile pour Microsoft de dire « voici ce que nous ferons avec Vista, prenez le ou laissez le. Nous ne briderons pas notre propre produit et ceux de nos partenaires juste pour convenir à votre fantaisie ». En d’autres termes ils pouvaient expliquer à Hollywood qui décide.

Voici une histoire basée sur un exemple du passé montrant ce qui peut se produire lorsque l’industrie du contenu voit les choses du mauvais coté. Il y a environ 10-15 ans, les compagnies de musique ont annoncé à bon nombre de stations de TV néo zélandaises qu’elles devraient payer des droits pour la diffusion des clips vidéo. Les stations de TV n’étaient pas d’accord, prétendant qu’elles fournissaient de la publicité gratuitement pour les compagnies de musique, et que si cela ne leur plaisait pas alors elles cesseraient simplement de diffuser les clips vidéo. Elles ont donc cessé de diffuser les clips vidéo.

Après quelques semaines, des fissures sont apparues alors que les compagnies de musique se rendaient compte à quel point elles avaient besoin des chaînes de TV. Une des compagnies de musique a acheté une coupure publicitaire entière en access prime time (a un coût phénoménal, ce n’était pas un spot de seulement 30 secondes mais la coupure publicitaire entière en access prime time) uniquement pour passer un nouveau clip vidéo.

Peu de temps après, les clips vidéo sont réapparus sur la TV. Les détails de l’accord n’ont jamais été rendu public, mais j’imagine qu’il s’est composé d’un groupe de directeurs des compagnies de musique suppliants à genoux les stations de TV de recommencer à diffuser leurs clips vidéos, et qu’elles n’auraient pas à payer un cent, et que cela ne se reproduira plus jamais.

C’est la même chose pour Microsoft, l’industrie du contenu a besoin (voire bien plus) de lui bien plus que Microsoft n’a besoin de l’industrie du contenu. Dire qu’ils ne font que suivre les ordres venant d’Hollywood c’est noyer le poisson – si Microsoft avait refusé d’implémenter ça, Hollywood aurait du renoncer, parce qu’ils n’ont pas les moyens de se priver de 95% du marché, de même que les compagnies de musique ne pouvaient pas se permettre de se priver de leur principal moyen de publicité.

5. Vous êtes juste embêté parce que vous pouvez plus voler du contenu sous Vista.

Oui, quelqu’un m’a vraiment envoyé un email avec cette réclamation. C’est assez idiot pour que je l’ai inclus pour sa valeur amusante :-).

Citations
Quelques citations amusantes, incluses pour leur valeur humoristique.

« Je propose que chaque copie de l’OS devrait être livré avec une salopette orange et des lunettes de privation sensorielle, puisque tous les utilisateurs de Vista ont été unilatéralement déclarés « combattants ennemis » par l’apparatchik du contenu » – Daniel Nevin.

« Windows Vista ? Et quel vista ! Tous ce que vous voyez lorsque vous regardez autour de votre jardin est un mur de briques haut de 20 mètres » – Crosbie Fitch.

« Votre dernière chienne gémit et tourne en rond sur chaque site d’actualité n’est-ce pas ? êtes-vous encore sur CNN ? Est ce que les femmes vous jettent leurs petites culottes ? » – Un ami (qui a demandé l’anonymat).

« L’arrangement HDCP servira à rendre le produit illégal le plus complet et moins restrictif, et ainsi le plus attrayant pour le consommateur. Ajoutez-y les dépenses d’achat du nouvel équipement pour voir du contenu légal (quand l’équipement existant en est parfaitement capable) et la perte de performance engendrée par le chiffrement/déchiffrement intégré et ils obtiennent la plus grande incitation au piratage » – « Greg ».

Utilisation, modification, et redistribution

Ce document est placé sous licence Creative Commons Attribution 2.5 License, http://creativecommons.org/licenses/by/2.5/. Ceci signifie que vous pouvez reproduire, distribuer et communiquer cette création au public, la modifier, pourvu que vous citiez le nom de l’auteur original ainsi que le lien vers le travail original (à l’URL donnée dans le titre). Pour citer le site de Creative Commons, « Cette licence laisse d’autres distribuer, remixer, ajuster, et construire à partir de votre travail, même commercialement, tant qu’ils vous créditent pour la création originale. Ceci est la plus arrangeante des licences offertes, en termes de ce que d’autres peuvent faire avec vos travaux ».

Notes

Note A : Ce commentaire a été inspiré par un commentaire semblable de Sir Gerald Kaufman au sujet du manifeste 1983 pour l’élection du parti travailliste britannique, qui a donné lieu aux plus mauvais résultats aux élections du parti travailliste depuis sa création (il était si mauvais que pendant les élections les adversaires du parti travailliste l’ont réimprimé et distribué eux-mêmes). En 44 pages, le document de Microsoft « Output Content Protection and Windows Vista » écrase le manifeste de 37 pages du parti travailliste pour prendre la première place.

Note B : Ce document emploie « coût » dans le sens de la « pénalité », « dommage », « préjudice », « tort » ou « perte » plutôt que les plus financières « dépenses », « frais », ou « prix ». Une analyse financière complète exigerait un audit interne longitudinal de la conception, du développement, de la production, de la distribution, du support, et des coûts légaux pour chaque fournisseur impliqué, quelque chose que les fournisseurs auraient eux-mêmes du mal à faire avec précision.

Note C : Je ferai une prévision en ce moment, étant donné qu’elle essaye de faire l’impossible, la protection de contenu de Vista mettra moins d’un jour à être contournée si le mécanisme de contournement est quelque chose comme un bogue de pilote ou un simple trou de sécurité qui s’applique seulement à une seule pièce du code (et peut donc être rapidement patché), et moins d’une semaine à contourner intelligiblement d’une façon indépendante du matériel ou d’un pilote. Ceci ne signifie pas qu’il sera cassé le jour ou semaine de la sortie, mais simplement qu’une fois qu’un attaquant suffisamment habile sera motivé pour contourner la protection, cela lui prendra moins d’un jour ou une semaine pour le faire.

(Dans un développement récent qui est toujours sujet au changement étant donné que plus de rapports arrivent, une sorte de remake de l’histoire du lecteur DeCSS/Xing d’il y a quelques années s’est produite quand quelqu’un a semblé avoir trouvé comment extraire les clefs HD-DVD et Blu-Ray à partir du logiciel de lecture PowerDVD, laissant tout (?) le contenu du disque de HD être déchiffré et être lu sur n’importe quel écran HD, sans être embarrassé par des mesures de protection. Le fait que le contenu acheté légalement ne se lisait pas sur un lecteur acheté légalement, ce désagrément provoqué par la protection de contenu semble avoir été le facteur de motivation pour trouver la faille. Le temps passé a été d’environ une semaine).

Note D : Afin que le contenu soit montré aux utilisateurs, il doit être copié de nombreuses fois. Par exemple si vous lisez ce document sur le Web alors il a été copié des disques durs du serveur web à la mémoire du serveur, copié dans les buffers réseau du serveur, copié à travers Internet, copié dans les buffers réseau de votre PC, copié dans la mémoire principale, copié dans le cache disque de votre navigateur, copié dans le moteur de rendu du navigateur, copié dans le cache de rendu/d’écran, et finalement copié sur votre écran. Si vous l’avez imprimé pour le lire, plusieurs autres copies se sont produites. La protection de contenu de Windows Vista (et des DRM en général) suppose que toutes ces copies peuvent se produire sans qu’il se produise réellement de copie, puisque l’intention entière des DRM est d’empêcher la copie. Si vous n’êtes pas versé dans la double pensée des DRM ce concept devient plutôt délicat à expliquer, mais en termes de mécanique quantique le contenu entre dans une superposition d’états simultanément copié et non-copié jusqu’à ce qu’un utilisateur détruise sa fonction d’onde en observant le contenu (en physique c’est appelé indétermination quantique ou paradoxe de l’observateur).
Suivant que vous suivez l’interprétation de Copenhague ou celle des mondes multiples de la mécanique quantique, alors les choses sont bizarres ou très bizarres. Ainsi afin que la protection de contenu de Windows Vista fonctionne, elle doit pouvoir violer les lois de la physique et créer les nombreuses copies qui ne sont pas simultanément des copies.

Note E : Il y a SCMS, mais cela a autant d’effet qu’un panneau « n’entrez pas ».

Note F : Comme exemple d’une expérience qui est susceptible de devenir banale une fois que « le contenu de première qualité » sera sorti, Roger Strong du Canada rapporte « je viens juste d’avoir ma première expérience avec un contenu HD bloqué. J’ai acheté un PC HP Media Center PC avec un lecteur intégré de HD-DVD, ainsi qu’un écran plat HP 24″ 1920 x 1200 « haute définition » (HP LP2465). Ils ont également inclus un film HD, « Bourne Supremacy ». Bien sûr, le film ne se lit pas parce la carte vidéo supporte la protection de contenu de HDCP, mais pas le moniteur. (Il se lit si j’utilise un vieil écran 14″ VGA à tube cathodique en utilisant un connecteur DVI VGA) ». « muslix64 » indique une histoire semblable : « quand je désactive mon moniteur HD, je peux regarder le film, sur mon vieil écran VGA; mais quel intérêt d’avoir un moniteur HD et de ne pas pouvoir visionner un film HD dessus ? ». muslix64 était si irrité de ne pas pouvoir lire ses films achetés légitimement sur son moniteur acheté légitimement, branché sur son lecteur acheté légitimement qu’il a cassé la protection AACS juste pour pouvoir voir ses propres films; voir la note C ci-dessus.

Note G : La question de savoir comment les producteurs de contenus, autres que les studios des majors qui peuvent avoir les moyens pour des équipements si coûteux, sont censés créer et manoeuvrer du contenu à haute définition a été posée par un certain nombre de lecteurs. Par exemple un contributeur qui travaille avec des personnes dans l’industrie de contenu fait un commentaire à ce sujet « j’ai vu [de plus petits producteurs de contenus] allant juste des enregistrements de mariages ou assimilé, à ceux qui sont allés jusqu’au bout pour faire un film complet. Ils sont passés par des problèmes comme où éditer du contenu HD, quels appareils photo employer, quel format utiliser, etc. Leurs décisions ont été basées sur la disponibilité d’équipement leur permettant de réaliser leurs projets, et pas vraiment les coûts ». Il a été suggéré que les grands producteurs de contenus sont tout à fait satisfaits avec cette situation, depuis qu’elle empêche toute concurrence des nouveaux venus plus innovateurs, créateurs, et agiles.

Note H : Philip Dorrell a un dessin réussi qui illustre ce problème .

Note I : Il est encore confus de savoir exactement combien de fonctionnalités deviennent désactivée lorsqu’une révocation se produit. Les exigences HDCP sont plutôt claires qu’une fois que cela arrive (en termes techniques une fois qu’une clef de périphérique est révoquée, le key selection vector (KSV, son identification unique effectif) apparaît sur une liste de révocation) le périphérique est effectivement mort puisqu’aucun contenu ne lui sera fourni. Cependant le comportement des périphériques sujet à révocation dans un environnement de contenu mixte est mal décrit dans les spécifications.
Quelques documents impliquent interrupteur de mise à mort similairement au modèle HDCP (« vista révoquera […] tout pilote qui laisserait du contenu de première qualité s’échapper […] si le même pilote est utilisé dans toutes les conceptions des puces du fabricant, alors une révocation nécessiterait un nouveau pilote pour tous les produits de cette compagnie »), alors que d’autres indiquent que le dispositif continuerait de fonctionner, mais ne pourrait plus faire du rendu de contenu de première qualité. A quel point cet espoir va t il exactement se réaliser dans la pratique (s’il peut réaliser) reste à voir.

Note J : Je vois quelques requêtes judiciaires collective impressionnantes à suivre si ce mécanisme de révocation est appliqué. Peut-être que Microsoft ou les fournisseurs de contenus achèterons du matériel de rechange pour le système de tous ceux qui possèdent un périphérique qui laisse filtrer par inadvertance du contenu puis qui est désactivé par le processus de révocation. Quelques contributeurs ont déclaré qu’ils ne peuvent pas voir le système de révocation jamais utilisé parce que le contrecoup du consommateur serait trop énorme, mais ensuite le contrecoup légal de ne pas le faire serait également extrême. Pour quiconque qui aurait lu « Guns of August », la situation ressemble à celle de la situation avant la première guerre mondiale, avec des personnes s’asseyant sur l’étape 1 de plans de bataille extrêmement complexes où l’on ne peut faire machine arrière une fois déclenchée, qu’importe l’évidence qu’y aller est une mauvaise idée. La révocation de pilote est une situation de perdant/perdant pour Microsoft, ils sont dedans pour une certaine douleur sérieuse qu’ils le fassent ou pas. Leurs avocats doivent avoir été endormis quand ils se sont laissés enfermer dans cette impasse – la première fois qu’une révocation sort d’un hôpital, service gouvernemental étranger, système de régulation aérienne, ou quoi que ce soit, ils se sont assurés d’avoir un siège au premier rang au tribunal pour le reste de leurs vies normales.

Note K : Les versions Enterprise et Ultimate de Vista comportent ce type de chiffrement, mais les fonctionnalités de ces versions haut de gamme ne seront jamais entre les mains des utilisateurs classiques. En outre c’est un chiffrement tout ou rien là où (pour citer Microsoft) « tous les dossiers d’utilisateur et du système sont chiffrés » quand ce qui compte vraiment est le chiffrement du fichier d’échange, car c’est ce qui contient en mémoire des copies des données sensibles. L’approche d’OpenBSD de produire une clef aléatoire au démarrage pour chiffrer n’importe quelles données de mémoire qui se retrouve paginée sur disque est la bonne façon de gérer ça.

Note L : La référence au « kool-aid » peut être assez peu familière aux lecteurs non US, c’est une référence au suicide collectif de 1978 de Jonestown dans lequel les disciples de Jim Jones ont bu du Flavor Aid arrosé de poison afin de démontrer leur attachement à la cause. Dans l’utilisation populaire le terme « kool-aid » est substitué pour Flavor Aid parce qu’elle a plus d’image de marque. Il y a également eu auparavant, le rapport moins bien connu au jus de fruit arrosé de lsd, j’éviterai le commentaire évident à ce sujet et une partie de la pensée derrière la protection de contenu de Vista.

Note M : Si jamais je veux lire du contenu de la première qualité, j’attendrai quelques années et j’achèterai alors des lecteurs chinois à 50$ pour le faire, pas des PC Windows à 1000$. Il est quelque peu surprenant que je doive aller en Chine communiste pour trouver les fournisseurs qui comprennent réellement les besoins du consommateur.

Une solution par raisonnement par l’absurde au « problème du contenu de première qualité », proposée par un lecteur de Slashdot, est d’ajouter le support à Windows Vista pour une boîte noire qui accepterait comme entrée du contenu chiffré compressé et qui produirait en sortie du contenu de première qualité chiffré (ou autrement protégé) décodé. En d’autres termes, déplacer la masse entière de matériel, pilote, et du logiciel de protection dans une boîte noire consacrée qui serait seulement utilisée dans des PCs de médias où elle est (discutablement) requise.

Comparez maintenant cette boîte noire ajoutée au lecteur multimédia canonique fabriquée en Chine à 50$. Pourquoi quelqu’un achèterait la boîte noire (qui coûtera à coup sûr plus de 50$) quand ils peuvent acheter un lecteur multimédia complet qui fera la même chose et plus ?

[ChangeLog de la version française]

2006/12/27 * Début de traduction. 2006/12/28 * Fin de traduction. * Synchronisation avec la version originale du 12/28. 2006/12/29 * Relecture globale et première diffusion. 2006/12/30 * Intégration du travail de Guillaume Knispel. * Intégration des nombreuses corrections et suggestions du journal LinuxFr : http://linuxfr.org/~chl/23414.html (patrick_g, Raphaël Gertz (rapsys), beb). * Synchronisation avec la version originale du 12/30. 2007/01/01 * Reformulation de phrases pas assez claires, signalées par shal et Erwann Robin. 2007/01/04 * Intégration des nombreuses corrections signalées par Erwann Robin, Laurent Pointal et Hugo. 2007/01/08 * s/chiffrage/chiffrement/ signalé par Cedric Lauradoux (ainsi que par Guillaume Denry). * Intégration des nombreuses corrections de Benoît Sibaud et de Jean-Francois Nifenecker. 2007/01/09 * Intégration des corrections de Guillaume Blum. * Remplacement des guillemets anglais par des guillemets français.

Tadpu

Amatrice éclairée de nouvelles technologies. J'espère que mes quelques articles vous distrairont et vous éclaireront. Rédactrice de tadpu.com

1 réponse

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


*