L'exception de copie privée face aux dispositifs techniques de protection des oeuvres

2. Le chiffrement des contenus : la cryptographie asymétrique

Le principe de chiffrement asymétrique (appelé aussi chiffrement à clés publiques) est apparu en 1976, avec la publication d'un ouvrage sur la cryptographie par Whitfield Diffie et Martin Hellman^136(*). Dans un crypto système asymétrique^137(*) (ou cryptosystème à clés publiques), les clés existent par paires (le terme de bi-clés est généralement employé) :

- Une clé publique pour le chiffrement 

- Une clé secrète pour le déchiffrement.

Ainsi, dans un système de chiffrement à clé publique, les utilisateurs choisissent une clé aléatoire qu'ils sont seuls à connaître (il s'agit de la clé privée). A partir de cette clé, ils déduisent chacun automatiquement un algorithme (il s'agit de la clé publique). Les utilisateurs s'échangent cette clé publique au travers d'un canal non sécurisé.

Lorsqu'un utilisateur désire envoyer un message à un autre utilisateur, il lui suffit de chiffrer le message à envoyer au moyen de la clé publique du destinataire (qu'il trouvera par exemple dans un serveur de clés). Ce dernier sera en mesure de déchiffrer le message à l'aide de sa clé privée (qu'il est seul à connaître).

Ces deux clés, l'une privée et l'autre publique, sont générées en même temps et sont intimement liées. La clé privée est personnelle et ne doit être divulguée à qui que se soit. Inversement, la clé publique peut être accessible à n'importe qui, par exemple directement sur le réseau. Le principe d'utilisation est le suivant : un message crypté avec une clé publique est décryptable uniquement par la clé privée correspondante. Inversement, un message crypté avec une clé privée ne peut être décrypté que par sa clé publique. Ce système est souvent utilisé en relation avec des mécanismes d'authentification et de signature électronique.

Schéma explicatif du fonctionnement des clés privées / publiques

Source : http://www.commentcamarche.net/crypto/crypto.php3

Ce système est basé sur une fonction facile à calculer dans un sens (one-way trapdoor function) et mathématiquement très difficile à inverser sans la clé privée.

Avec les algorithmes asymétriques, les clefs de chiffrement et de déchiffrement sont distinctes et ne peuvent se déduire l'une de l'autre. On peut donc rendre l'une des deux publique tandis que l'autre reste privée. C'est pourquoi on parle de chiffrement à clef publique. Si la clef publique sert au chiffrement, tout le monde peut chiffrer un message, que seul le propriétaire de la clef privée pourra déchiffrer, on assure ainsi la confidentialité. Certains algorithmes permettent d'utiliser la clef privée pour chiffrer, dans ce cas, n'importe qui pourra déchiffrer, mais seul le possesseur de la clef privée peut chiffrer : cela permet donc la signature de messages^138(*).

a) Les mesures techniques contrôlant l'accès aux oeuvres

Les mécanismes techniques ont d'abord cherché à contrôler et empêcher strictement la réalisation de copies d'oeuvres. Il s'agit notamment des Serial Copy Management Systems^139(*) développés parallèlement aux premiers systèmes d'enregistrement de sons numériques. Certains systèmes ont également été appliqués aux logiciels, tels que les dongles^140(*). Actuellement l'éventail des technologies susceptibles de jouer un rôle protecteur dans la distribution et l'usage des oeuvres s'est considérablement élargi et diversifié. Nous verrons probablement bientôt des systèmes perfectionnés dont les multiples fonctions contribueront à complètement protéger, exploiter et gérer les contenus numériques. Ce sont notamment les Electronics Copyright Management Systems^141(*), conjonction de plusieurs fonctions techniques, tels que paiements électroniques, systèmes d'accès conditionnel^142(*), cryptographie, agents électroniques permettant la conclusion de licences électroniques, watermarking, facturation électronique, etc.

Certaines mesures techniques ne font, quant à elles, que mettre en oeuvre techniquement des droits reconnus à l'auteur par la loi, tel que le droit de reproduction, le droit d'intégrité ou le droit de paternité. Mais de plus en plus d'outils techniques permettent, au-delà du droit d'auteur, de bloquer ou de conditionner l'accès à une oeuvre. De nombreux systèmes ont été mis au point en vue de garantir et de sécuriser l'accès soit à une oeuvre, soit à un ensemble d'oeuvres, soit à un service comprenant notamment des oeuvres protégées. Désactiver le mécanisme de contrôle d'accès se réalise soit par paiement, soit lorsque les autres conditions de la licence conclue avec les titulaires de droit auront été remplies.

La palette des technologies remplissant cette fonction est large : cryptographie, mots de passe, set-top-boxes^143(*), black boxes^144(*), signatures numériques, enveloppes numériques. En matière de protection du droit d'auteur, la cryptologie est principalement utilisée pour sécuriser les transmissions des oeuvres sur les réseaux et pour empêcher l'accès à l'oeuvre à toute personne non autorisée. La fourniture de la clé de déchiffrement se réalise moyennant paiement du prix ou respect des autres conditions auxquelles est subordonnée l'utilisation de l'oeuvre.

Il s'agit d'exercer de manière automatisée la gestion d'un service de distribution de contenus numériques, qu'ils soient protégés par le droit d'auteur ou non.

L'utilisation de moyens de cryptologie permet de réduire la liberté de mouvement des utilisateurs en organisant l'accès conditionnel aux oeuvres et aux prestations. L'accès peut être subordonné à la fourniture d'un mot de passe ou à l'observation d'autres procédures d'identification et d'authentification avec par exemple l'utilisation d'une signature électronique à clé publique. On peut, par exemple, limiter l'accès à certaines heures, à certaines parties des oeuvres ou prestations, ou encore à certaines personnes. Par ailleurs, il existe des systèmes, utilisés lors de la télédiffusion, de brouillage des impulsions dites de synchronisation qui empêchent toute lecture compréhensible du son et de l'image. Il existe également en matière de logiciel un système appelé « Software Envelope System » où l'oeuvre est proposée à l'utilisateur sous forme cryptée. L'usage de la clé transmise par l'éditeur permet d'accéder et d'utiliser le logiciel.

La cryptologie est sans conteste une des voies techniques les plus efficaces pour assurer le monopole de l'auteur sur son oeuvre. Les auteurs disposent ainsi des outils nécessaires au contrôle de l'accès et de l'usage de leurs oeuvres.

b) Les mesures techniques de protection des contenus

S'agissant de la protection des contenus, par conséquent des oeuvres numériques, nous nous contenterons d'analyser le cas des oeuvres musicales, étant précisé que d'autres oeuvres font l'objet de dispositifs techniques comme les oeuvres photographiques.

Une des protections des oeuvres musicales est la Secure Digital Music Initiative^145(*) (SDMI). La SDMI est un consortium regroupant les représentants des 200 principaux industriels mondiaux du secteur de la musique^146(*). Les fabricants d'appareils, les producteurs de musique et fournisseurs de contenus ont pour objectif de définir une norme technique commune applicable au contenu numérique musical. Les appareils de lecture et d'enregistrement, ainsi que le contenu obéiront aux normes techniques du SDMI. Un contenu ne pourra être lu par un lecteur que s'il reste conforme aux spécificités de celui-ci. Les normes du SDMI ont vocation à être intégrées tant dans les supports matériels des oeuvres comme les disques compacts que dans les fichiers numériques.

La correspondance aux spécificités du SDMI s'entend d'une vérification de l'identité et de l'intégrité du document qui va permettre au matériel de lecture de s'assurer que le contenu visé est bien issu d'une communication au public réalisée par les auteurs et titulaires de droits voisins ayant en conséquence donné lieu à rémunération. Ainsi, le but des mesures techniques définies par le SDMI est d'empêcher que la circulation du contenu du CD, compressé par exemple au format MP3, puisse se réaliser et donner lieu à chaque étape de la circulation à la confection de CD identiques à ceux qui doivent être mis en vente sur le marché.

La SDMI n'empêche pas la copie d'un CD original, il empêche seulement la réalisation d'une transmission par réseaux des morceaux contenus sur le CD ; le risque de diffusion massive étant ainsi considérablement limité.

La sécurité du CD par rapport aux risques de circulation sur les réseaux numériques est assurée par un algorithme de marquage et un algorithme d'identification. Concomitamment à la création d'un CD, une marque est intégrée à l'ensemble des morceaux. Cette marque permettra aux lecteurs de dissocier un CD sécurisé d'un CD ancien, non sécurisé. Une fois marqué, une signature est intégrée au document et permet au lecteur d'identifier que ce document marqué n'a subi aucune transformation. Ainsi, si les morceaux ont été numérisés la signature aura disparu ou ne sera plus correcte au moment de la vérification. Le lecteur identifiera une marque et constatera qu'en l'absence de signature valide, le CD semblera avoir été constitué de manière illicite. Il en refusera alors la lecture.

Cependant, lorsque les échanges électroniques (téléchargement, transfert de fichiers) s'opèrent via les réseaux numériques, certaines fonctions techniques liées à la sécurité doivent être assurées :
   
· l'authentification (qui doit être entendue dans le sens de garantie de l'origine de l'information)

   
· la non-répudiation

 
· l'intégrité (cette fonction garantit la conservation intègre de l'oeuvre. Dès lors qu'un seul bit du contenu d'une oeuvre est modifié quel que soit le support numérique utilisé, la vérification échoue et avertit de la modification)

  
· et la confidentialité.

Alors que les trois premières fonctions sont remplies par la signature numérique, la confidentialité l'est au moyen du chiffrement. Techniquement, c'est la cryptologie qui permet de couvrir les besoins de sécurité des systèmes d'information et de leurs échanges. Cette distinction essentielle tant sur le plan technique que sur le plan juridique était apparue avec la loi du 26 juillet 1996 sur les télécommunications^147(*). La confidentialité était strictement réglementée jusqu'aux décrets du 17 mars 1999^148(*) qui ont autorisé l'utilisation de clés de chiffrement inférieures ou égales à 128 bits. Aujourd'hui, en pratique, c'est la signature numérique qui est le plus souvent utilisée, c'est à dire un procédé basé sur des prestations de cryptologie à clé publique. Cette technologie est à la fois la plus répandue et celle qui apporte le plus haut degré de sécurité spécialement pour l'identification des oeuvres et leur intégrité. Mais la signature électronique peut être utilisée à d'autres fins que celle qui consiste à signer un acte juridique, on peut signer un objet de droit incorporel, tels qu'un logiciel, un produit multimédia ou une oeuvre numérisée.

Le processus de création et de vérification de la signature électronique peut se résumer comme suit : après avoir généré une paire de clés asymétriques, le signataire s'enregistre auprès d'une autorité de certification (par le biais d'une Autorité d'enregistrement) qui lui délivre un certificat où figure sa clé publique. Une fois que le signataire a rédigé un message ou tout autre objet - qu'il entend signer, il prépare un abrégé dudit message avec la fonction condensé (« hash ») qu'il chiffre avec sa clé privée qu'il doit conserver secrète. La signature numérique est jointe au message ou à l'objet immatériel par l'expéditeur qui l'envoie via le réseau à son cocontractant (le message peut également être chiffré pour demeurer illisible à toute personne non-autorisée). Le destinataire crée un abrégé du message avec le même algorithme que l'expéditeur et il compare les deux abrégés de sorte que l'intégrité du message soit vérifiée. A ce stade, le destinataire est assuré que le message n'a fait l'objet d'aucune modification et que c'est la personne identifiée dans le certificat qui a signé le message ou autres et que les informations lui sont imputables. Le destinataire doit également vérifier que le certificat est en cours de validité, qu'il n'a pas été révoqué et que les données du certificat sont aussi intègres en procédant à la vérification de la signature de l'Autorité de Certification. Identifier les signataires et assurer l'intégrité du message ou du fichier tels sont les rôles de la signature numérique.

Le chiffrement d'une oeuvre numérisée interdit d'y accéder en clair : la préservation des droits d'auteur est alors garantie grâce à cette technique. Il apparaît que cette régulation technique soit la seule fiable à ce jour pour limiter le pillage culturel et la baisse de rémunération des auteurs. Mais en plus des mesures techniques de protection qui garantissent un accès limités à l'oeuvre et à la lecture de son contenu, est apparu un système de gestion numérique des droits appelé plus communément les DRM (Digital Rights Management Systems).

* ¹³⁶ http://fr.wikipedia.org/wiki/%C3%89change_de_cl%C3%A9s_Diffie-Hellman et http://www.securite.teamlog.com/publication/9/20/27/26/index.html

* ¹³⁷ http://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique

* ¹³⁸ A titre d'image, il s'agit pour un utilisateur de créer aléatoirement une petite clé en métal (la clé privée), puis de fabriquer un grand nombre de cadenas (clé publique) qu'il dispose dans un casier accessible à tous (le casier joue le rôle de canal non sécurisé). Pour lui faire parvenir un document, chaque utilisateur peut prendre un cadenas (ouvert), fermer une valisette contenant le document grâce à ce cadenas, puis envoyer la valisette au propriétaire de la clé publique (le propriétaire du cadenas). Seul le propriétaire sera alors en mesure d'ouvrir la valisette avec sa clé privée.

* ¹³⁹ Serial Copy Management Systems : http://www.droit-technologie.org/1_2_1.asp?actu_id=820 et http://en.wikipedia.org/wiki/Serial_Copy_Management_System

* ¹⁴⁰ Les dongles sont une clé d'usage dont l'insertion dans l'ordinateur est requise avant tout acte d'exploitation du programme.

* ¹⁴¹ http://www.cnri.reston.va.us/cstr/LoC.html

* ¹⁴² http://fr.wikipedia.org/wiki/Contr%C3%B4le_d'acc%C3%A8s

* ¹⁴³ http://en.wikipedia.org/wiki/Set-top_box

* ¹⁴⁴ http://www.cpsc.gov/cpscpub/prerel/prhtml02/02226.html

* ¹⁴⁵ La mémoire Secure Digital est une mémoire spécifiquement développée pour répondre aux exigences de sécurité nouvellement apparues dans les domaines des dispositifs électroniques audio et vidéo. Elle inclut ainsi un mécanisme de protection du droit d'auteur qui répond au standard SDMI (Secure Digital Music Initiative) :

http://www.commentcamarche.net/pc/sd-secure-digital.php3.

* ¹⁴⁶ http://www.sdmi.org./

* ¹⁴⁷ http://www.lexinter.net/lois/loi_du_26_juillet_1996_de_reglementation_des_telecommunications.htm

* ¹⁴⁸ J.O. du 19 mars 1999, p.4050.