ICANN71 : Le GAC au centre des attentions

ICANN71 : Le GAC au centre des attentions
ICANN71 : Le GAC au centre des attentions - Nameshield
Source de l’image : Site Internet icann.org

Quelques 56 sessions étaient planifiées du 14 au 17 juin dans le cadre du 71ième sommet de l’ICANN prévu à La Haye. Tenu une nouvelle fois exclusivement en visio-conférences en raison du contexte sanitaire mondial, pas moins d’un quart de ces sessions étaient organisées par le GAC, le comité consultatif gouvernemental qui conseille l’ICANN sur des dossiers de politiques publiques en rapport avec les responsabilités de l’ICANN sur le système des noms de domaine. Le GAC très actif sur tous les sujets d’actualité des politiques ICANN s’est clairement démarqué.

Le GAC revendique actuellement 179 membres soit une majorité des pays du monde. Cela lui donne une bonne représentativité à l’échelle globale pour parler à une instance de gouvernance globale. Très organisé, le GAC fait précéder les rendez-vous ICANN de réunions préparatoires qui permettent de recueillir les avis à des échelles locales afin de les relayer ensuite au niveau de l’instance de gouvernance. Une nouvelle fois, ce sommet a mis en lumière le fait que l’actualité des politiques ICANN est fournie.

La lutte contre les pratiques malveillantes sur le DNS

Le sujet des abus est presque devenu un marronnier des sommets de l’ICANN car il est au centre des sujets de préoccupations depuis bientôt deux années. Si les registres et les bureaux d’enregistrement sont déjà soumis à une batterie d’obligations sur ce sujet, beaucoup de parties prenantes considèrent que celles-ci sont insuffisantes pour réellement adresser ce sujet. L’année 2020 a effectivement vu les atteintes de cybersécurité exploser, en se greffant notamment sur la pandémie mondiale qui a vu la consommation encore davantage se faire via le web, notamment en raison des confinements et où les modes de travail ont dû être réinventés pour privilégier le distanciel. Force est de constater qu’à l’heure actuelle peu de choses ont avancé.

Une initiative fouillée et riche de propositions a bien été formulée par le SSAC (Security and Stability Advisory Committee) qui, dans ses 24 recommandations transmises au Board ICANN, a émis l’idée d’engager un processus de développement de politique « expéditif » (ePDP) avec pour finalité de développer une anti-abuse policy. Leur rapport transmis au Board il y a trois mois, n’a pas eu de suites à ce jour. La seconde initiative plus récente, émane de l’arcane représentant les registres, le Registry Stakeholder Group (RySG). Elle a finalisé avec l’input du GAC un cadre visant en particulier les botnets, des attaques qui utilisent des formes de chevaux de Troie pour prendre le contrôle d’ordinateurs pour former des réseaux d’ordinateurs qui permettront de perpétrer d’autres attaques. Son principe est de permettre aux registres volontaires d’adhérer à un dispositif qui les oblige à bloquer préventivement des noms en masse générés via des DGA (Domain Generation Algorithms), des algorithmes utilisés pour générer périodiquement un grand nombre de noms de domaine pouvant être utilisés comme points de rendez-vous avec leurs serveurs de commande et de contrôle. Le grand nombre de points de rendez-vous potentiels fait qu’il est difficile pour les forces de l’ordre de contrer efficacement les botnets, puisque les ordinateurs infectés tenteront de contacter certains de ces noms de domaine chaque jour pour recevoir des mises à jour ou des commandes. Le principe est donc ici préventif. Les registres bénéficieraient en contrepartie d’incentives et ne seraient pas redevables de la taxe perçue par ICANN lors de la création d’un nom. Une initiative donc plutôt à saluer mais portée plus directement par le RySG et donc non consensuelle, d’où son caractère volontaire et donc une portée très limitée.

Si le sujet du DNS abuse patine autant c’est que ce sujet est confronté à d’autres processus de développements de politiques en cours et à venir et à des intérêts divergents entre instances, l’Intellectual Property Constituency (IPC) étant par exemple très concernée par l’accès aux données de contacts dans les annuaires de noms de domaine, le RySG par le lancement du prochain round de nouvelles extensions qu’ils veulent voir avancer.

L’impact du Règlement Général sur la Protection des Données (RGPD) sur les données d’enregistrement des noms de domaine

Rappelons que pour remplacer la Specification Temporaire, mise en place le 17 mai 2018 à quelques jours de l’application du RGPD, un processus ePDP a vu le jour. Ce processus qualifié d’expéditif a paru pourtant assez loin d’être finalisé lors de ce nouveau sommet ICANN, alors que trois années ont passé.

Segmenté en trois phases, la phase 1 vise à fournir une policy pérenne qui doit cadrer la gestion des données personnelles des noms de domaine pour remplacer la Specification temporaire qui a notamment expurgé les données personnelles des annuaires de noms de domaine (via les protocoles Whois et RDAP). Sa rédaction avance mais aucune date n’est connue quant à sa finalisation et donc possible implémentation. Le délai est en partie lié à la difficulté de transcription de certaines recommandations dont l’une était notamment en conflit avec une politique en place, la Thick Whois Transition Policy qui prévoit un transfert systématique des données de contacts détaillées des bureaux d’enregistrement vers les registres. Autre écueil : la politique recoupe comme on le voit, d’autres politiques en place qui nécessitent donc des adaptations également en cours.

La phase 2 concerne la mise en place d’un système harmonisé d’accès aux données expurgées des annuaires de noms pour les intérêts « légitimes ». Ce système est aujourd’hui connu sous l’appellation Système Standardisé d’Accès aux Données (SSAD). Premier écueil : le Generic Names Supporting Organization (GNSO), l’entité qui élabore les politiques applicables aux noms génériques, avait à la surprise générale approuvé toutes les recommandations du rapport final, même celles qui n’avaient pas obtenu de consensus. Les recommandations pour créer ce dispositif ont donc toutes été transmises au Board ICANN qui plutôt que de se prononcer et de voter sur l’application de celles-ci, a décidé d’initier d’abord une Operational Design Phase (ODP). Initiée fin mars par le Board, elle doit durer six mois et vise à identifier les étapes, les risques, les coûts et ressources à allouer avec une consultation de la communauté après franchissement d’un jalon. C’est donc une forme de cadrage de projet. La publication d’une Request for Information, est prévue en juin pour une première consultation de la communauté.

Une phase 2a, strate additionnelle du PDP, vise à évaluer la piste d’une dissociation des données de contacts de personnes morales publiables et de personnes physiques non publiables. Initiée en décembre 2020, elle a abouti à cinq recommandations dans un rapport initial ouvert à commentaires jusqu’au 19 juillet 2021. La première recommandation très commentée lors de l’ICANN71, préconise finalement de ne rien changer en permettant aux acteurs qui le veulent de faire cette différenciation. Ce processus va poursuivre son chemin avec un rapport final de recommandations qui va arriver au second semestre.

Point commun entre les deux sujets précités, le GAC considère que des améliorations sont nécessaires. Sur le SSAD, il considère notamment que le système ne va pas assez loin pour protéger les consommateurs et augmenter leur confiance. Il regrette aussi que l’évolution du dispositif dans le temps n’ait pas été cadrée et craint que le coût, l’accès se faisant avec un dispositif d’accréditation, ne soit dissuasif notamment pour ceux engagés dans la lutte contre les atteintes à la sécurité qui ont besoin d’accéder aux données d’enregistrement des noms. Sur le DNS abuse, le GAC réitère le besoin d’adresser ce sujet. Il a déjà fait plusieurs propositions lors de précédents sommets.

Et le prochain round dans tout ça ?

Sujet qui intéresse beaucoup de monde, le prochain round n’a toujours pas de date. Tout juste a-t-on appris que le Board ICANN qui vient de récupérer les derniers inputs sur les recommandations en vue d’un prochain cycle de nouvelles extensions, a confirmé engager une Operational Design Phase (ODP) pour estimer les étapes, risques et ressources nécessaires pour mettre en œuvre ces recommandations. Pas encore planifiée, le Board a indiqué avoir demandé à ICANN org de préparer un document pour cadrer l’ODP qui permettra d’élaborer la résolution qui doit l’officialiser. Cette résolution fixera un délai pour réaliser cette ODP, possiblement six mois comme pour celui visant le SSAD. 

Le GAC a pour sa part rappelé les sujets qui préoccupent plus spécifiquement ses membres. Parmi celles-ci : la prévisibilité, les engagements volontaires et obligatoires des registres (Registry Voluntary Commitments, Public Interest Commitments) avec notamment la façon d’adresser le DNS abuse, son souhait de voir le support aux nouveaux candidats mieux adapté notamment pour les zones moins favorisées, son opposition aux extensions génériques fermées, la consolidation de sa faculté à évaluer toutes les candidatures pour émettre des avis et warnings, son opposition aux enchères privées pour départager des candidats à une même extension. Il souhaite également un soutien aux applications communautaires à but non lucratif.

D’autres sujets portés par le GAC décidément très engagé

D’autres processus de développement de politiques sont en cours, comme celui concernant les Identifiants d’Organisations Gouvernementales et Non gouvernementales (IGO, INGO), un processus sur les mécanismes de protection des droits ou en phase initiale un PDP sur les transferts de noms et sur la rampe de lancement un PDP sur les IDNs. Le GAC n’a pas manqué de rappeler le sujet central de l’exactitude des données d’enregistrement jugé insuffisamment adressé par les obligations actuelles. Ce sujet va en effet s’avérer central dans la perspective des futures directives NIS2 et du Digital Services Act en cours d’élaboration au niveau européen. Le GNSO interpelé par le GAC sur l’examen de ce sujet, qui n’a en vrai pas réellement démarré, en est venu à s’excuser d’avoir trop de sujets en cours. Des tensions que le GNSO a cherché à apaiser en consacrant du temps pour examiner sa liaison avec le GAC pour l’améliorer, un GAC décidément offensif et actif.

Quid des prochains sommets

Les sommets ICANN se terminent généralement par un forum public où le public peut interpeler directement le Board. Signe d’une amélioration (temporaire ?) de l’état sanitaire sur le covid, le traditionnel forum a été consacré aux futurs sommets ICANN pour savoir s’ils doivent repasser en présentiel. De cette session, il est ressorti que la réponse n’est pas évidente. En cause, la différence des niveaux de vaccination et d’accès aux vaccins selon les pays, les conditions d’entrée aux USA actuellement restreintes, ICANN72 se tenant à Seattle et l’évolution de la pandémie qui reste incertaine. Ce forum a permis de commenter une récente enquête conduite par ICANN qui montre que la majorité des personnes intéressées par les événements ICANN ont considéré qu’il faudrait refaire des meetings en présentiel (54%). A la fin de cette session, ICANN s’est engagé à arbitrer courant juillet. Le format de l’ICANN72 pourrait être hybride, à savoir une représentation limitée sur place et le maintien du dispositif en distanciel.

Fait notable de ce sommet, beaucoup de sujets en cours et une impression que les choses avancent difficilement. Cela s’est traduit par de notables crispations entre instances et des mécontentements exprimés par exemple par le groupe des représentants d’extensions géographiques, les geoTLDs. Si pour certains, le retour en présentiel semble être la solution pour améliorer les choses, par notre présence dans certaines instances et notre participation à des groupes de travail, nous  pensons que c’est plutôt un problème de visibilité dû à un trop grand nombre de sujets lancés en parallèle dont certains se chevauchent via des processus lourds avec un manque clair de priorisation. L’ODP, ce nouvel outil qui vise à cadrer la mise en place d’un système harmonisé d’accès aux données d’enregistrement et désormais appliqué au prochain round, va peut-être améliorer en partie ces perceptions. Autre aspect à considérer, des intérêts divergents entre instances. Là les échanges facilités peuvent peut-être améliorer les choses.

Auteur/autrice : Arnaud Wittersheim

Head of Operations Department Nameregistry - Compliance - Nameshield