La musique est une histoire sans fin

Archive pour March 2009

Le monde des services de musique en ligne gratuits est très dynamique en France… tout comme le piratage (je tends une perche que ne saisira pas Pascal Nègre qui fait un parallèle cependant identique avec le haut débit, mais il est devenu depuis défenseur de ce type de service). Né sur les bases de feu-RadioBlog, on a ainsi vu apparaître BlogMusik (devenu depuis Deezer), Jiwa, MusicMe, Musiline et maintenant Wormee. A noter que si les 2 premiers sont des “pure players” (ne font que ça), la société-mère de MusicMe s’est d’abord fait un nom en faisant les encodages pour les plateformes de ventes en ligne, ainsi que la constitution d’une base de données éditoriale (ce qui est très faible généralement sur ces services). Musiline est quant à lui lancer par un grand des medias (Lagardère), par ailleurs armateur… qui lui font des revenus qui rendront cette activité accessoire. Il ne manquait donc plus que l’opérateur, même si SFR s’est déjà associé à Goom pour “brander” une radio, et Neuf proposait une offre d’abonnement illimitée d’une partie limité du catalogue d’Universal Music. Voilà (sans jeu de mots), la véritable offre similaire d’un opérateur de poids qui est Orange. Il est à noter, et c’est de plus en plus fréquent avec leur politique de diversification tous azimuts, qu’Orange doit avoir du mal à faire passer la pilule auprès de Lagardère, après avoir signé un accord faisant de Musiline un partenaire privilégié d’Orange…

Si Deezer est l’étalon français qui sert de base dans les comparatifs et probablement dans le développement depuis d’applications similaires (bien que Deezer n’ait rien inventé lui-même en la matière), Spotify est malheureusement passé par là depuis, et a mis l’application de jukebox en ligne à un niveau bien supérieur à ceux auxquels on avait été habitués jusqu’ici. Forcément, l’appréciation de Wormee qui en découle sera nécessairement moins flatteuse qu’elle n’aurait pu l’être il y a quelques mois, d’autant que Spotify vient d’annoncer aujourd’hui l’ajout d’une brique qui leur manquait, soit l’achat en un clic depuis leur application (bien que non encore implémenté). Au passage, autre brique manquante (et qui pourrait le différencier encore plus des services purement web), il faudrait que les titres non autorisés dans Spotify soient quand même autorisés lorsque présent dans la bibliothèque iTunes de l’utilisateur… Mais nous ne sommes pas là pour parler des lacunes (peu nombreuses) de Spotify… Pourtant ma première impression au lancement de Wormee, est bien celle opposée à celle de Spotify: un chargement très lourd pour le site Orange. Les interfaces riches sont indispensables à tout site multimedia créé en 2009, mais il semblerait qu’on revienne parfois dans les errances du DHTML ou du Flash et de ses interfaces lourdes à télécharger. La navigation est assez bien pensée, les automatismes du player à droite (pas franchement logique) de Deezer vont être à oublier), mais le contenu de navigation est au centre. La colonne de droite en revanche, ne parait pas indispensable, j’aurais personnellement élargi la partie centrale. La qualité sonore est – sans surprise puisqu’il s’agit de MP3 128k – en retrait par rapport à Spotify, mais équivalente à celle de Deezer (et contrairement à ce dernier, je ne suis pas tombé sur des titres avec un encodage encore plus faible). Sur le contenu, on m’avait clairement mis comme avertissement qu’il était loin d’être en ligne en grande partie, et à ce niveau je n’ai pas eu de surprise en cherchant mes titres usuels indés que je ne trouve quasiment nulle part Ils ne sont pas là non plus. J’imagine en revanche, qu’en Français, comme sur Deezer et contrairement à Spotify, on y trouve du contenu… A priori (même si le nom et le visuel font très geeks), le site aura quand même un objectif de mass audience donc il faudra bien satisfaire le public qui regarde la Star’ac ou Taratata en premier lieu… quand bien même le public des early adopters ne doive que peu se croiser avec celui-ci (et Deezer comme Spotify ont montré que les early adopters étaient la clé d’une croissance impressionnante). L’éditorial semble faire preuve de soin, ce qui est un manque sur les autres sites, surtout quand on veut garder son auditeur devant l’écran, mais là encore, la limitation de la profondeur du catalogue font qu’on ne peut guère l’apprécier. Il serait intéressant de savoir si un partenariat est en vue sur ce plan (avec les Inrocks comme feu-Sony Connect, je trouvera ça pertinent moi :p)

Voilà pour cette première prise en main, un test plus complet sera proposé prochainement…

A tous ceux qui (m’)avaient dit (en période de croissance) que la musique en échange de publicité était l’avenir de la distribution de musique (et dieu sait s’ils ont été nombreux), je leur avais opposé, qu’en période de croissance, il serait difficile d’atteindre la rentabilité de cette manière, et qu’à la première crise venue, ces services risquaient bien de disparaître… ou de basculer dans le payant. Je ne pense pas avoir de don de medium ou de prophète, mais je connais assez bien le monde de la musique et Internet (plus quelques fondamentaux d’économie) depuis 12 ans que je marie les 2 (Djing, mon premier site “musical” a été créé en mars 1997) pour savoir ce qui est susceptible de marcher ou pas. Autre “prédiction” que j’avais faite, c’était que ces services auraient pour concurrents non pas les plateformes de musique (puisqu’ils ne vendent pas de la musique) mais les plateformes publicitaires (puisqu’ils essaient de vendre de la publicité). J’avais donc dit que le jour où Google et Yahoo s’intéresseraient à ce marché, s’ils daignent s’y intéresser vu les faibles perspectives de rentabilité même pour un acteur bien ancré comme eux, cela tuerait forcément toute initiative parallèle (difficile de lutter contre la force publicitaire des adwords par exemple). Eh bien, il semblerait que Google s’y colle, certes en catimini pour l’instant. Enfin quand je dis en catimini, c’est parce qu’il ne s’intéresse qu’à un seul pays… même s’il s’avère être le pays où il y a le plus d’internautes désormais. Eh oui, il s’agit bien de la Chine. Il faut savoir que le moteur local, Baïdu, était internationalement connu pour ses recherches fructueuses en matière de MP3. Mais on sait que le principal frein à un développement similaire dans les autres pays reste les majors. Mauvaise nouvelle en revanche pour les sociétés qui cherchent à lever des fonds dans le secteur. Avoir Google comme concurrent potentiel ne va pas les aider à convaincre de potentiels investisseurs par temps de crise.

Désolé si ce post respire presqu’autant la vanité qu’un post de Michael Arrington, autre visionnaire sur le devenir de la musique en ligne (sic)

Ayant eu une longue discussion avec mon banquier qui a unilatéralement décidé de supprimer ma possibilité d’acheter sur Internet sans être obligé d’utiliser leur carte virtuelle de paiement (Virtualis en l’occurrence) parce que j’avais signalé 2 débits frauduleux (qui en fait étaient 3, 1 chaque mois), et ce sans même me demander mon avis au préalable, je me suis dit qu’il serait bien de faire le point sur les contre-vérités qu’on nous assène “pour notre sécurité”, comme il m’a dit à plusieurs reprises… A la décharge de votre conseiller bancaire (pour parler comme eux et ne pas dire le mot tabou commercial), il peut souvent le faire de bonne foi, tellement des années de formatage, et une formation qui se focalise plus sur la vente de services que sur le services clients lui-même, ont fait leur oeuvre. Sauf que c’est ignorer les obligations du banquier qui vend la moindre carte bleue, Visa ou Mastercard à son client. Comme tout le monde n’est pas averti sur ce sujet (et que les banquiers continuent à faire passer des messages arrangés selon leurs soins), j’ai décidé de faire ce post hors musique exceptionnel parce qu’il concerne tout un chacun, et notamment ceux qui consomment de la musique sous forme de micropaiement (moins de 1 Euro sur Internet). Vous lirez dans mon dernier paragraphe pourquoi la carte virtuelle sur Internet est même moins sécurisée que la carte réelle !!!

J’ai un débit litigieux sur mon relevé bancaire, la source de la fraude vient-elle d’Internet ?
La probabilité est très faible. Si le débit a été fait vers un service Internet, c’est tout simplement qu’un service Internet, comme tout service par correspondance, ne demande pas le code PIN ou d’accès à la puce (quand il/elle existe, il faut savoir que c’est encore inexistant dans de très nombreux pays, même certains avancés économiquement comme les USA), et donc celui qui aura obtenu le numéro facial de la carte pourra librement faire ses emplettes sur Internet (ou par correspondance, mais aujurd’hui 80% des achats par correspondance se font sur Internet). Dans la plupart des cas de fraude, l’accès au numéro de carte ne se fait pas de manière informatique, mais de manière physique. A chaque fois que vous payez dans un bar, dans un supermarché, ou commerce quelconque, votre carte est visible de plusieurs personnes, voires de caméras indiscrètes, il est alors facile pour la personne qui a votre numéro (voire votre nom) d’acheter des produits ou services par correspondance (Internet ou autre)

Pourquoi alors les banques focalisent sur Internet ?
Parce qu’historiquement, elles ont toujours focalisées sur les ventes à distance parce que l’identité du fraudeur est plus difficile à obtenir. Hors, dans le cas où le fraudeur n’est pas identifié, cela n’exonère pas la banque (ou le groupe interbancaire voire distinction plus loin) de rembourser le fraudé… mais cela déporte leur propre remboursement. Moins il y aura de transactions sur la vente à distance, moins il y aura de fraude longue à identifier… Le banquier vous fera croire que la fraude la plus probable sur votre carte bleue est celle de “man-in-the-middle attack”, soit quelqu’un qui se connecte à votre machine ou à celle du commerçant pendant la transaction, alors que dans les faits, c’est de loin (très loin) la moins probable puisque ces communications sont faites de manière encryptées, et que même si quelqu’un savait qu’à telle minute, tel utilisateur procéderait à un achat sur tel site, il faudrait être un pirate chevronné et des milliers de PC pour pouvoir cracker 1 seul numéro de carte bleue. Alors qu’il est beaucoup plus facile par exemple:
- sans connaissance informatique aucune pour un commerçant de ramener le sabot pour l’autorisation bancaire dans un coin discret pour noter le numéro de carte bleue du client
- d’avoir accès à un numéro de carte bleue dans un service de porte-à-porte ou de vente par correspondance par téléphone
- de poser une caméra chez un commerçant ou sur un distributeur de billets
- de voler un portefeuille
- de pirater un terminal de paiement électronique commerçant.

Tout cela est faisable en masse très rapidement avec des moyens très limités (papier, crayon, webcam, ou talent de pickpocket)

Dans quels cas le piratage se fait-il le plus souvent sur Internet ?
Il y a plusieurs cas, dans tous les cas, il faut comprendre que le piratage est intéressant pour le pirate que s’il est massif. En utilisant une seule carte bleue avec des gros débits espacés dans le temps, il se fera vite repérer, et ses transactions seront scrutées avec plus de soin par les sites d’e-commerce. En revanche, en obtenant un maximum de données sur lesquels il prélèvera de petites sommes à la même date T, il évitera à coup sûr les vérifications faites par les sites d’e-commerce (quand le site ne lui appartient tout simplement pas), mais aura également le temps de transférer son argent vers un paradis fiscal avant que les banques – qui sont incapables de détecter des transactions similaires sur des comptes au sein d’un même établissement (en tout cas votre banque, et la mienne, et ce même quand vous vous trouvez des cas multiples en faisant une recherche sur Google avec l’intitulé du prélèvement) – ou les utilisateurs, ne déclenchent l’alerte. C’est aussi pour cette raison que l’attaque au moment de la transaction est peu probable, elle demande beaucoup de ressources, d’information
- le premier est le phishing: des envois massifs d’email demandent à des utilisateurs de se connecter sur le site de leur banque pour modifier leur mot de passe. Dans ce cas-là, le fraudeur récupère juste les identifiants pour ensuite effectuer des transactions sur votre compte. La banque pourrait mettre en place un dispositif très simple pour éliminer une grande partie de ce phishing. Demander un code supplémentaire lorsque connexion depuis un autre pays que le sien, code envoyé par email ou SMS sur les contacts du possesseurs du compte. Mais les banques (à ma connaissance) ne le font pas. Alors qu’elles demandent par ailleurs parfois des codes inutiles sur des virement réguliers entre proches (voire entre soi-même). Comme souvent, sur le plan du phishing, elle font poser la responsabilité sur l’utilisateur, qui doit faire attention sur quel site il se connecte (alors que lui a difficilement accès aux adresses IP de sa banque, sa banque a facilement accès à celles de ceux qui se connectent pourtant)
- le deuxième est la mauvaise protection d’une base de données qui conservent ces informations. Le cas est rare voire quasi impossible en France, sur des sites qui utilisent in fine (même sans le savoir car chaque banque affirme avoir son propre paiement de sécurisé, quand bien même 95% n’en utilisent que 2 différents qui sont Atos et Paybox) des systèmes très sécurisés où les données sont stockées dans des datacenters (centre de données) où l’entrée se fait à la détection de la rétine, ou les salariés doivent avoir un casier judiciaire vierge, et où tout accès physique (à un disque dur) ou logique lève une alarme. Sur mon cas personnel de fraude, j’hésite entre ceci, et un accès physique durant mon séjour aux Etats-Unis (qui serait également fort probable puisque le premier débit a eu lieu quelques semaines après)
- le troisième est le spyware ou logiciel-espion de type key-logging, c’est à dire qu’il envoie sur Internet à une adresse précise tout ce que vous tapez sur l’écran. C’est possible sur PC Windows, mais n’importe quel firewall ou antivirus intègre aujourd’hui une protection contre cet usage.

En cas de fraude sur Internet, ma banque doit-elle me rembourser dans tous les cas ?
OUI, LA BANQUE DOIT VOUS REMBOURSER DANS TOUS LES CAS DE FRAUDE SUR VOTRE CARTE BANCAIRE. Quel que soit l’usage frauduleux de votre carte bancaire (sur Internet ou autre), votre banque doit vous rembourser, à partir du moment où vous disposez des preuves suffisantes (Un engagement sur l’honneur est souvent suffisant pour des transactions qui dépassent les frontières européennes, une validation du commerçant qu’aucun produit ou service ne vous a été livré à votre adresse ou à celle d’un proche pour le reste).

Même si vous êtes encore en possession de votre carte et que vous n’avez donc pas fait opposition, votre responsabilité est totalement dégagée (sans limites aucunes) en cas d’utilisation frauduleuse de votre numéro de carte (achat par correspondance) ou de contrefaçon.
Il vous suffit de notifier par écrit votre contestation à l’établissement émetteur.

Celui-ci doit alors vous recréditer les sommes litigieuses dans le délai d’un mois qui suit la réception de votre lettre recommandée (Code mon. et fin. art. L 132-4)

Pourquoi alors les banques conseillent-elles l’utilisation de cartes virtuelles si on est protégé dans tous les cas ?
Si le discours marketing des banques (quasiment toutes sans exception) sur les cartes virtuelles est de vous protéger, il n’en est rien. Elles n’améliorent que peu cette protection quand elles ne l’empirent pas (cf dernier paragraphe). Au mieux, elle évite la redondance de la fraude (que votre carte soit utilisée par le même individu plusieurs fois sur plusieurs services différents à des moments différents), et donc diminue vos démarches administratives (et surtout celles de la banque). Au pire, elle introduit un nouveau maillon de vulnérabilité, le lieu où est stockée la correspondance entre les codes temporaires et les codes réels. Les cartes virtuelles ont été imaginées d’abord, pour conforter l’utilisateur dans sa crainte d’utiliser Internet, ensuite, comme un argument commercial supplémentaire pour garder ses clients (voyez chez nous vous êtes en sécurité), enfin dans la volonté de diminuer les charges administratives liées à la recherche de fraude (il y a moins de fraude récurrente donc moins de charges pour les banques). Pire aujourd’hui, elle deviennent caduques via l’utilisation du 3DSecure qui demande une information personnelle (depuis 2 ans, des informations personnelles sont associées à votre numéro de carte bleue) au moment de la transaction.
Pour moi, il n’y a aucune raison valable, pour un utilisateur de carte bancaire d’utiliser une carte virtuelle, car c’est un écran de fumée, qui a un seul objectif psychologique, et de réduction des coûts côté bancaire (qu’ils ne réimputent pourtant pas dans une baisse du coûts des cartes côté utilisateur). Côté utilisateur, elle n’apporte rien de plus dans la résolution des fraudes, ni dans leur remboursement. Elle apporte la contrainte de devoir saisir un code différent, pour un plancher défini (et à réévaluer si nécessaire avec la banque pour chaque transaction). Pire dans certains cas (Amazon, SNCF et retrait en borne, iTunes et tous les sites de paiement ou on ne rentre qu’une fois ses données bancaires), elle est inutilisable, sauf à accepter un code valable plus longtemps (auquel cas non seulement on perd son intérêt, mais on introduit un point de faille supplémentaire, qui est l’endroit où sont stockées les tables de correspondance entre le code virtuel et le code réel… parce qu’il faut bien les stocker quelque part). Le cas typique où son usage est idiot, c’est celui du micropaiement, soit de la transaction à moins de 1 Euro. Ce n’est pas compliqué d’obtenir un code, c’est vrai, mais c’est une procédure fastidieuse pour obtenir un fichier MP3 que de passer 5′ sur le processus de paiement. Bizarrement, aucun des systèmes de ventes dématérialisées n’utilise ces cartes virtuelles (leur préférant des Paypal ou autre solutions de micro-paiement plus simples, et généralement plus sécurisées), maintenant, je ne pense pas que la longueur du processus d’achat intéresse énormément les banques (même si cela signifie plus de commissions pour elles), quand un utilisateur télécharge un MP3 pirate sur sa connexion ADSL, la banque encaisse quand même sa commission sur le prélèvement automatiquement de l’abonnement…

Après plus d’une heure de discussion, j’ai eu le privilège d’avoir de nouveau le droit d’utiliser ma carte bleue dans les conditions prévues lors de sa souscription (donc en continuant à avoir le droit d’être remboursé contre les fraudes mêmes sans Virtualis). Tout ce qu’aura gagné le banquier dans son entêtement (certes j’étais aussi entêté), c’est de me rendre encore moins satisfait de cette banque sur le plan de l’expérience clients.

LA CARTE VIRTUELLE LARGEMENT MOINS SURE QUE LA REELLE !
Dans ma banque, pour obtenir un une carte virtuelle que faut-il faire ? Eh bien c’est très simple, vous vous connectez sur le site web de la banque avec vos identifiants, vous définissez le montant maximum et vous obtenez votre code. Très simple, non ? Pas trop simple selon vous ? Cela veut dire qu’il suffit d’avoir vos identifiants webs pour faire des paiements sur Internet avec un numéro de carte bleue qui marche. Pas besoin d’intercepter un vrai numéro de carte bleue de quelque façon que ce soit, on vous en fournit un juste avec un numéro de compte et un mot de passe… Hum. Cela veut dire que n’importe qui connaissant un numéro de compte pourra tester des mots de passe usuels et obtenir un numéro de carte… ou encore en mettant en place un système de phishing/hameçonnage/filetage pourra se servir sur votre compte pour des paiements sur Internet (beaucoup moins traçables que des virements). Et ma banque ose appeler ça un moyen plus sûr de payer sur Internet !!!

[MISE A JOUR 03/04] Il semblerait qu’ils m’aient de nouveau bloqué ma carte pour paiements sur Internet, sans m’en informer

Après Ruckus, Neteco l’annonce, Spiral Frog n’est plus, après 5 ans d’existence (et plus de 12 millions de dollars levés). On ne sait pas dans l’histoire, si les labels (et encore moins les artistes) se sont vus geler les derniers paiements… mais on imagine que oui, comme toujours dans les cas de défections, “les actifs remis aux créanciers”. Quels salaires versés aux fondateurs durant ces 5 années, quelles royalties versées aux artistes durant la même période ? Je crois que sans connaître la réponse, je peux m’avancer en disant que le business de la musique en ligne contre publicité profite plus aux entrepreneurs qu’aux musiciens… Quelle sera la prochaine société ayant basé son business model sur la publicité à disparaître dans le secteur de la musique ? Les paris sont ouverts… personnellement, je ne vois guère que Spotify (par la qualité de son produit, la maîtrise de ses côuts et son modèle mixte) qui pourrait survivre (et encore si une part non négligeable des utilisateurs choisit la solution par abonnement) et pendant ce temps-là, ceux qui ont accepté de donner leur musique en échange de temps de cerveau disponible ont de quoi se mordre les droits…