DeCSS

Un article de Wikipédia, l'encyclopédie libre.

DeCSS est un logiciel destiné à décrypter les contenus d'un DVD chiffrés à l'aide du système CSS.

[modifier] Origine et historique

DeCSS a été conçu par trois personnes, dont deux restent anonymes. Le seul membre du trio connu est le programmeur norvégien Jon Lech Johansen, dont le domicile a été perquisitionné en 2000 par la police. Encore adolescent à l'époque, il fut jugé devant un tribunal norvégien et encourait une peine de deux ans de prison couplés à une importante amende, mais il fut blanchi de toutes les charges portées contre lui. Cependant, le 5 mars 2003, une cour d'appel décida qu'il devait être rejugé pour la violation de la section 145 du Code Criminel norvégien (la loi sur le hacking). La cour estima que les arguments du procureur et de nouvelles preuves justifiaient un nouveau procès. Le 22 décembre 2003, la court d'appel confirma l'acquittement et le 5 janvier 2004 la Økokrim décida que le dossier était clos.

Le programme fut publié pour la première fois le 6 octobre 1999 quand Johansen annonça DeCSS 1.1b sur la liste de diffusion livid-dev. A l'origine le code source n'était pas disponible mais il y eut une fuite avant la fin du mois d'octobre. La publication du programme fut précédée de quelques semaines par un programme appelé DoD DVD Speed Ripper, nommé d'après le groupe Drink or Die, qui n'incluait pas le code source et ne marchait apparemment pas avec tous les DVDs. On suppose que Drink or Die avait désassemblé le code du logiciel Xing DVD Player afin d'obtenir une clef de déchiffrement. Le groupe qui a écrit DeCSS, y compris Johansen, se faisait appeler Masters of Reverse Engineering et pourrait avoir obtenu des informations de Drink or Die.

La source de déchiffrement de CSS utilisée dans DeCSS a été envoyée par email à Derek Fawcus avant que le logiciel ne soit publié. Quand le code source apparut, Fawcus s'aperçut que DeCSS contenait son code css-auth et violait ansi la licence GPL. Quand Johansen en fut informé, il contacta Fawcus pour résoudre le problème et obtint une licence pour utiliser le code dans DeCSS sans qu'il soit obligé de respecter la GPL.

[modifier] Technologie et logiciels dérivés

Quand le code source de DeCSS fut rendu public, on constata rapidement que l'algorithme CSS était vulnérable à une attaque par force brute très différente de la méthode employée par DeCSS. Le chiffrement utilise une clef de 40 bits seulement et toutes les clefs ne sont pas utilisées. Ainsi, un PC haut de gamme utilisant un code optimisé est capable de casser cette clé en 24 heures.

Des programmeurs du monde entier créèrent des centaines de programmes équivalents à DeCSS, certains uniquement pour démontrer la trivialité avec laquelle le système pouvait être contourné, d'autres pour ajouter la possibilité de lire des DVD avec des lecteurs vidéo open source. Les contraintes de licences entourant CSS rendaient la création d'une implémentation open source officielle impossible et l'absence de décodeurs propriétaires pour certains systèmes d'exploitation rendait l'utilisation de DeCSS obligatoire pour permettre de regarder des DVDs.

Une fois la source vidéo décryptée, elle peut être codée dans un autre format. Ainsi DeCSS a sûrement aidé au piratage par la diffusion de vidéos réencodées dans un format plus compressé (donc plus facile à échanger sur un réseau) que le format mpeg2 original, souvent le format mpeg4. La copie de DVDs sans décryptage était déjà possible et répandue avant l'avènement de DeCSS, particulièrement dans l'est de l'Asie. Son arrivée n'a donc pas rendu le piratage possible, mais a aidé la diffusion des vidéos sur internet.

[modifier] Réponses légales

En guise de protestation envers les lois qui interdisent la publication du code de DeCSS dans les pays qui ont transposé le WIPO Copyright Treaty (comme le Digital Millennium Copyright Act aux États-Unis d'Amérique), certaines personnes ont développé des moyens détournés pour distribuer l'algorithme de DeCSS, par exemple en utilisant la stéganographie, en utilisant différents protocoles, sur des t-shirts, dans des fichiers MIDI, sous la forme de haiku^[1], et même sous la forme d'un Nombre premier « illégal ». Cependant, l'implémentation de CSS dans un langage de programmation demande plus de caractères que celle de l'algorithme RC4 de RSA Data Security, l'une des plus courtes implémentations (appelée "efdtt") fait 434 octets. C'est pourquoi il n'a pas été distribué selon les méthodes les plus originales qui avaient été utilisées pour distribuer l'algorithme RC4 au temps de l'ITAR. Il n'est pas adapté aux tatouages, signatures d'email, etc.