Jiwa, grand concurrent de Deezer, monte et monte depuis quelques temps. Et cela pour plusieurs raisons:
Et ce player est loin d'être sécurisé. Une fois reversé (avec des outils comme Sothink SWF Decompiler), il révèle un algorithme de protection peu efficace. Cet algorithme fonctionne sur le principe des One-Time-Tokens, c'est-à-dire qu'à chaque lecture de titre, le player fait une demande de "token" (jeton) auprès du serveur, jeton qu'il fournit lors du téléchargement du titre sur la machine du visiteur.
Ca semble résistant, mais non. Il est très aisé (comme je l'ai montré maintes fois dans des articles et outils précédents) de chercher et récupérer le titre dans le fouilli de mp3 employé par jiwa.
Cette semaine, je vous propose donc un outil web permettant de chercher et récupérer ces musiques, iJaw. C'<del>est</del>était accessible en ligne, et cet outil permettait de télécharger à l'oeil des dizaines voire des centaines de titres mis à disposition "légalement" (par manque de protection) aux internautes. Faudrait d'ailleurs que je songe à écrire à l'ARMTP, pour avoir une discussion sérieuse sur la définition de MTP, et son emploi.
Et puis on en profite pour avoir une pensée pour Mme la Ministre de la Culture, Christine Albanel, ainsi qu'à son acolyte M. Le rapporteur Franck Riester, et leur projet de loi "Création & Internet".
[EDIT] Le site jiwa.fr a fermé il y a quelque mois, malheureusement.
Prémices
Depuis la défaite de la loi “Création & Internet”, j'ai décidé de m'intéresser à certaines plate-formes de téléchargement ou d'écoute légales. Non pas pour tout casser, mais bel et bien pour observer le fonctionnement, et comprendre en quoi ces plate-formes diffèrent de celles hébergeant du contenu “illégal”.
What a TV !
Rapide analyse des trames envoyées par le site,et premières observations jonchent mon début de visite de ce fabuleux site. On notera entre autres un fichier robots.txt relativement fourni (39 "Disallow"). Bref, on est pas là pour pentester, mais simplement pour regarder. Second point houleux, l'url rewriting. Cette fonctionnalité est très appréciable pour les visiteurs, mais implique quand même quelques dérives, comme par exemple l'automatisation de certaines procédures comme la phase de recherche. Et au final, il se trouve que le processus de consultation des vidéos est très simple, et peut être facilement automatisé (pas de captcha, pas de difficulté majeure).
Côté visiteur, un player flash réalise le "streaming". Enfin, le terme "streaming" est inapproprié, car ce n'est (encore une fois, j'avais déjà fait cette remarque pour le site Deezer) qu'une histoire de téléchargement sur la machine du visiteur. Donc encore une fois, cette plate-forme ne fait que télécharger sur la machine des visiteurs des fichiers a priori protégés par un copyright. Cela est réalisé à l'insu de l'utilisateur, qui de fait a une version du fichier sur son disque dur. Que faire si ce disque est saisi et que ce fichier est trouvé ? Comment prouver sa provenance, lorsqu'un site n'emploie pas de MTP (i.e. Mesures Techniques de Protection) ?
La différence est désormais faible entre un site légal proposant du pseudo-streaming et un site pirate hébergeant du contenu protégé par un ou plusieurs droits particuliers. C'est la quintessence même du web que de proposer des téléchargements, et c'est donc tout naturellement qu'un navigateur, employant entre autres les technologies Ajax et Flash, peut télécharger le contenu (de manière temporaire) sur le disque de l'utilisateur. La question est donc posée: ne vaut-il pas mieux employer un système plus complexe (du même accabit que celui mis en place sur Deezer, quoique encore trop faible à mon goût), quitte à imposer une certaine lourdeur à l'utilisateur mais en contrepartie à pouvoir prouver aux détenteurs des droits précédemment cités que les oeuvres sont réellement protégées ? Le hic dans cette affaire, c'est que plus on met de barrières et plus vite elles sont démontées, comme l'a assez bien démontré "DVD John".
La tendance serait donc d'aller à l'opposé, c'est-à-dire vers une suppression des protections (comme l'a fait Apple avec la suppression des DRMs dans les fichiers proposés à l'achat), et vers une uniformisation du modèle de vente: certes la musique, les vidéos, et les écrits sont des oeuvres culturelles, mais elles peuvent s'adapter au monde numérique. Par exemple en proposant à l'acheteur de payer dans une fourchette de prix (disons entre 4 et 20 euros pour un livre par exemple), en comptant sur les personnes fans de l'auteur. Un peu comme l'avait fait Radiohead. Une chose est sûre, les majors vont voir leur travail et leurs méthodes de fonctionnement chamboulées dans les années à venir, passant d'un métier d'intermédiaire à un métier de promoteur et de fournisseur de contenu digital. Contrairement à ce que disent certaines personnes, les majors ne sont pas mortes, mais douvent sérieusement se remettre en question, et effectuer le virage du numérique lentement mais sûrement.
Côté technique
Bref, je me disperse (encore une fois). Pour l'aspect technique de la plate-forme Wat.tv, rien de très complexe. Une fois la vidéo trouvée, on peut récupérer facilement le numéro l'identifiant dans le code source de la page, puis effectuer une requête GET (qui par ailleurs ne prend en compte ni les cookies ni les identifiants de session), qui permet de récupérer les informations concernant la vidéo dans une structure au format JSON.
De là, on peut voir apparaître en clair dans ces informations l'url de la vidéo (au format FLV par exemple), et la réclamer directement au serveur de Wat.tv, comme celle-ci par exemple: vidéo exemple.
Pour simplifier cette récupération, différentes techniques existent, référencées sur différents blogs, qui fonctionnent à l'aide d'extensions (firefox, IE), ou de programmes annexes permettant de sauvegarder les fichiers temporaires créés par certains sites, dont notamment Wat.tv. Pour ma part, je me suis contenté de créer un petit script en python, réalisant la récupération à partir d'une url affichant une vidéo (ou jouant un fichier audio): Twat.
Son utilisation est simple, il suffit d'appeler ce script en lui donnant en argument le lien d'une vidéo, comme par exemple celui de la vidéo mentionnée ci-dessus: http://www.wat.tv/video/system-of-down-toxicity-ciu5_cdnd_.html.
Outro
Comme discuté dans cet article, la frontière entre site de diffusion légal et pirate est ténue, car les deux permettent le téléchargement, mais l'un le fait sous les yeux des ayants-droits, et l'autre de manière ouverte. Mais sur le fond, c'est exactement le même principe, et c'est en cela que la loi "Création & Internet" est totalement caduque et inappropriée.
Hadopi a finallement été rejetée, pour cause de manque de députés UMP votant pour. Certains députés parlaient de manipulation anti-démocratique, d'autres de grosse farce, mais cela ne changerait a priori pas la donne, l'examen de la loi n'étant que repoussée.
Cependant, je trouve important de pointer du doigt quelques comportements, qui me semblent significatifs dans ce lourd dossier qu'est la loi "Création et Internet":
Pour ma part, j'ai failli en avaler ma cuillère de travers, lorsqu'un des stagiaires que je formais m'a appris la nouvelle (que voulez-vous, j'avais d'autres priorités à cette heure). Le soir même, je ne manquais pas de rechercher avidemment de plus amples détails sur le net, en tombant toujours sur les mêmes papiers. Un peu déçu, car ils mettaient en avant le fait que le gouvernement n'ait pas pu faire passer cette loi, au lieu d'indiquer qu'elle était tout simplement repoussée.
Pour terminer ce petit billet, je rappelle à certains lecteurs que nous payons toujours la taxe sur les supports vierges, mise en place pour soutenir les majors et les artistes. Sur tous les supports d'ailleurs, ce qui inclut téléphone mobile, disque dur, clef usb ... Alors, si cette loi devait passer, eh bien j'aimerais bien qu'on m'allège de cette taxe injuste. Et puis ensuite, je pense que j'irais faire de la rétro-conception sur le spyware obligatoire, histoire de voir ce que cette bestiole a dans le ventre. Et peut-être développer un proof-of-concept, qui sait. La bataille sera rude, mais l'asm vaincra :)