Google, la grande enseigne de la recherche et de la publicité en ligne, a récemment proposé un nouveau standard web qui suscite la controverse et l’inquiétude parmi les utilisateurs et les défenseurs du web ouvert. Il s’agit de l’API d’intégrité de l’environnement web (Web Environment Integrity API), qui vise à vérifier l’authenticité et la sécurité de l’appareil et du navigateur utilisés par les visiteurs d’un site web.
Selon Google, ce standard permettrait de lutter contre les activités malveillantes, comme la fraude publicitaire, les bots sur les réseaux sociaux, le phishing, la violation des droits d’auteur, la triche dans les jeux web et améliorerait la sécurité des transactions financières. Le standard fonctionnerait en demandant au client de passer un test d’attestation d’environnement auprès d’un serveur tiers, qui lui délivrerait un jeton d’intégrité s’il est conforme aux exigences du site web.
Ce standard s’inspire des API existantes sur les plateformes natives, comme App Attest d’Apple ou Play Integrity de Google sur Android, qui vérifient si les appareils sont modifiés ou rootés.
Mais le standard a suscité de nombreuses critiques et inquiétudes de la part des utilisateurs et des défenseurs du web ouvert, qui y voient une forme de DRM (Digital Rights Management) ou de contrôle excessif de la part de Google. Les critiques estiment que le standard pourrait porter atteinte à la vie privée et au choix des utilisateurs, en les forçant à utiliser un logiciel spécifique et en les empêchant d’accéder à certains contenus selon leur environnement.
Les critiques soulignent également que le standard va à l’encontre des principes éthiques et professionnels du W3C, l’organisme chargé de définir les standards du web, et qu’il pourrait faire l’objet d’une enquête par les autorités régulatrices, comme l’Union européenne.
Une menace à la neutralité du web
Switched to Linux, une chaîne qui traite de l’actualité, des astuces et des critiques sur Linux a publié une vidéo qui s’intitule « Google’s Web DRM Proposal ? » dans laquelle il est expliqué ce qu’est le DRM, pourquoi il est controversé, et quelles sont les implications de la proposition de Google pour le web et les utilisateurs de Linux.
La vidéo commence par présenter le DRM (Digital Rights Management) comme une technologie qui vise à protéger les droits d’auteur et à empêcher le piratage ou la copie illégale de contenus numériques. Le DRM est souvent utilisé par les plateformes de streaming comme Netflix, Hulu, Amazon Prime Video, etc. pour restreindre l’accès à leurs contenus aux seuls abonnés. Le DRM est également utilisé par les éditeurs de jeux vidéo, de livres électroniques, de musique, etc. pour contrôler la distribution et l’utilisation de leurs produits.
Le présentateur explique que le DRM est controversé car il pose des problèmes éthiques, techniques et juridiques. Par exemple, le DRM peut violer la vie privée des utilisateurs, limiter leurs droits et libertés, réduire la compatibilité et la performance des appareils, créer des failles de sécurité, entraver l’innovation et la créativité, etc. Le présentateur cite plusieurs exemples de DRM qui ont causé des problèmes aux utilisateurs, comme le Sony Rootkit, le SimCity 2013, ou le Denuvo.
Le présentateur passe ensuite à la proposition faite par un employé de Google sur GitHub qui suggère de tester un système de DRM sur le web avec Chrome. Le présentateur explique que cette proposition vise à créer un standard web pour le DRM qui serait implémenté par les navigateurs web et les fournisseurs de contenus. Le présentateur souligne que cette proposition est soutenue par Google, qui possède à la fois Chrome et YouTube, deux acteurs majeurs du web.
Le présentateur analyse les implications de cette proposition pour le web et les utilisateurs de Linux. Il affirme que cette proposition pourrait menacer la neutralité du web, favoriser les monopoles et les intérêts commerciaux, réduire la diversité et l’accessibilité des contenus, et rendre le web plus fermé et moins libre. Il ajoute que cette proposition pourrait aussi affecter les utilisateurs de Linux, qui pourraient se voir refuser l’accès à certains contenus ou services s’ils n’utilisent pas Chrome ou un navigateur compatible avec le DRM. Il mentionne que certains projets open source comme Firefox ou VLC ont déjà dû faire des compromis pour intégrer le DRM dans leurs logiciels.
Brave s'est également opposé au plan, affirmant qu'il ne serait pas livré avec WEI
Brave s'oppose fermement à la proposition "Web Environment Integrity" (WEI) de Google. Comme pour de nombreux changements et propositions récents de Google concernant le Web, « l'intégrité de l'environnement Web » déplacerait le pouvoir des utilisateurs vers de grands sites Web, y compris les sites Web gérés par Google lui-même. Bien que Brave utilise Chromium, les navigateurs Brave n'incluent pas (et n'incluront pas) WEI. En outre, certains navigateurs ont introduit d'autres fonctionnalités similaires, quoique plus limitées, à WEI (par exemple, certaines parties de WebAuthn et des clés de confidentialité) ; Brave réfléchit à la meilleure façon de restreindre ces fonctionnalités sans interrompre les utilisations bénignes.
La proposition WEI de Google est frustrante, mais ce n'est pas surprenant. WEI est tout simplement le dernier en date des efforts continus de Google pour empêcher les utilisateurs de navigateurs de contrôler la façon dont ils lisent, interagissent et utilisent le Web. La proposition WebBundles de Google rend plus difficile pour les utilisateurs de bloquer ou de filtrer le contenu de page indésirable, la fonctionnalité First Party Sets de Google rend plus difficile pour les utilisateurs de prendre des décisions concernant les sites qui peuvent suivre les utilisateurs, et l'affaiblissement des extensions de navigateur par Google rend plus difficile pour aux utilisateurs de contrôler leur expérience Web en paralysant les principales extensions de blocage des publicités et des trackers telles que uBlock Origin. Ceci est malheureusement loin d'être une liste complète des propositions Web récentes et similaires de Google qui nuisent aux utilisateurs. Encore une fois, Brave désactive ou modifie toutes ces fonctionnalités dans les navigateurs de Brave.
« Google essaie de mettre Internet sur DRM, et nous devons nous assurer qu'ils échouent »
C'est le titre d'une vidéo publiée par Louis Rossmann, un militant pour le droit à la réparation. Dans cette vidéo, il critique le projet de Google qui, selon lui, va restreindre la liberté et la créativité des utilisateurs et des développeurs. Il affirme que Google veut imposer le DRM sur le web pour contrôler ce que les gens peuvent voir, écouter et faire en ligne. Il donne l’exemple de YouTube, qui utilise le DRM pour bloquer certaines vidéos dans certains pays ou pour retirer les revenus publicitaires des créateurs qui utilisent des extraits protégés. Il dit que le DRM est une menace pour la culture, l’éducation et l’innovation sur le web.
Il propose alors une alternative au web actuel, le Web3. Il s’agit d’un web plus décentralisé et plus ouvert, qui utilise la blockchain, une technologie qui permet de créer des registres numériques sécurisés et partagés. Il dit que Web3 permet aux utilisateurs de posséder leurs propres données, de contrôler leur identité numérique et de participer à des réseaux sociaux autonomes. Il dit que Web3 est plus respectueux de la vie privée, plus transparent et plus démocratique que le web actuel. Il encourage ses spectateurs à soutenir Web3 et à s’opposer au DRM de Google.
Il conclut sa vidéo en disant qu’il faut se battre pour préserver la liberté du web, qui est un bien commun de l’humanité.
Le plan de Google pour DRM Le Web va à l'encontre de tout ce que Google représentait autrefois
Dans un podcast, Cory Doctorow s'est laissé allé à son analyse :
Votre ordinateur devrait-il pouvoir être contraint de dire la vérité, alors même que vous préféreriez qu'il mente en votre nom ? Devrait-il y avoir une installation dans votre ordinateur que vous ne pouvez pas contrôler et que d'autres personnes peuvent déclencher à distance ? Les coûts valent-ils les bénéfices ? Existe-t-il un moyen d'atténuer ces coûts? Qu'allons-nous faire à ce sujet ? Et comme je l'ai dit, c'est un argument que j'ai avec moi-même depuis 20 ans et que personne d'autre n'a fondamentalement avancé.
Avec l'API d'intégrité de l'environnement Web, les sites Web pourront demander un jeton qui atteste des faits clés sur l'environnement dans lequel leur code client s'exécute. Par exemple, cette API montrera qu'un utilisateur utilise un client Web sur un appareil Android sécurisé. La falsification de l'attestation sera empêchée en signant les jetons de manière cryptographique.
Les sites Web décideront en fin de compte s'ils font confiance au verdict rendu par l'attestateur. Il est prévu que les certificateurs proviendront généralement du système d'exploitation (plate-forme) pour des raisons pratiques, mais cet explicateur ne le prescrit pas. Par exemple, plusieurs systèmes d'exploitation peuvent choisir d'utiliser le même certificateur. Cet explicateur s'inspire des signaux d'attestation natifs existants tels que App Attest et l'API Play Integrity.
Il existe une tension entre l'utilité pour les cas d'utilisation anti-fraude nécessitant des verdicts déterministes et une couverture élevée, et le risque que des sites Web utilisent cette fonctionnalité pour exclure des attestateurs spécifiques ou des navigateurs non attestables. Nous attendons avec impatience la discussion sur ce sujet et reconnaissons la valeur ajoutée significative même dans le cas où les verdicts ne sont pas disponibles de manière déterministe (par exemple, les holdouts).
Une préoccupation importante émanant de la communauté technologique est le potentiel de contrôle monopolistique. En contrôlant les « attesteurs » qui vérifient les environnements des clients, Google, ou toute autre grande entreprise de technologie, pourrait potentiellement manipuler les scores de confiance, décidant ainsi quels sites Web sont jugés dignes de confiance. Cela ouvre une boîte de Pandore concernant la nature démocratique du Web.
Comme l'a commenté un utilisateur de GitHub, "Cela lève un drapeau rouge pour la nature ouverte du Web, ouvrant potentiellement la voie à une hiérarchie numérique dominée par quelques géants de la technologie".
Avec l'API d'intégrité de l'environnement Web, les sites Web pourront demander un jeton qui atteste des faits clés sur l'environnement dans lequel leur code client s'exécute. Par exemple, cette API montrera qu'un utilisateur utilise un client Web sur un appareil Android sécurisé. La falsification de l'attestation sera empêchée en signant les jetons de manière cryptographique.
Les sites Web décideront en fin de compte s'ils font confiance au verdict rendu par l'attestateur. Il est prévu que les certificateurs proviendront généralement du système d'exploitation (plate-forme) pour des raisons pratiques, mais cet explicateur ne le prescrit pas. Par exemple, plusieurs systèmes d'exploitation peuvent choisir d'utiliser le même certificateur. Cet explicateur s'inspire des signaux d'attestation natifs existants tels que App Attest et l'API Play Integrity.
Il existe une tension entre l'utilité pour les cas d'utilisation anti-fraude nécessitant des verdicts déterministes et une couverture élevée, et le risque que des sites Web utilisent cette fonctionnalité pour exclure des attestateurs spécifiques ou des navigateurs non attestables. Nous attendons avec impatience la discussion sur ce sujet et reconnaissons la valeur ajoutée significative même dans le cas où les verdicts ne sont pas disponibles de manière déterministe (par exemple, les holdouts).
Une préoccupation importante émanant de la communauté technologique est le potentiel de contrôle monopolistique. En contrôlant les « attesteurs » qui vérifient les environnements des clients, Google, ou toute autre grande entreprise de technologie, pourrait potentiellement manipuler les scores de confiance, décidant ainsi quels sites Web sont jugés dignes de confiance. Cela ouvre une boîte de Pandore concernant la nature démocratique du Web.
Comme l'a commenté un utilisateur de GitHub, "Cela lève un drapeau rouge pour la nature ouverte du Web, ouvrant potentiellement la voie à une hiérarchie numérique dominée par quelques géants de la technologie".
Et vous ?
Que pensez-vous de la proposition de Google d’introduire une API d’intégrité de l’environnement web ? Êtes-vous pour ou contre cette initiative ?
Quels sont les avantages et les inconvénients d’un DRM sur le web ? Pensez-vous que cela protégerait les droits d’auteur ou limiterait la liberté des utilisateurs ?
Quelles sont les alternatives possibles au DRM pour assurer la sécurité et l’authenticité du contenu en ligne ? Connaissez-vous des exemples de sites web qui utilisent d’autres méthodes ?
Comment le DRM pourrait-il affecter votre expérience en tant qu’utilisateur du web ? Quels sont les sites web que vous visitez régulièrement et qui pourraient être concernés par le DRM ?
Quel est votre avis sur le rôle de Google dans le développement du web ? Pensez-vous que Google respecte les principes du web ouvert ou qu’il cherche à imposer sa vision et ses intérêts ?