ePDP Archives - L'actualité cybersécurité, propriété intellectuelle et noms de domaine

ICANN73 ou la difficile équation de préserver un modèle fragilisé

L’ICANN garante d’une « résolution universelle » de l’Internet pour tous les internautes, est ces dernières années confrontée à des difficultés nouvelles qui fragilisent l’instance et son modèle. Son mode de fonctionnement a dû être adapté à une pandémie mondiale inédite et son modèle d’un Internet global est aujourd’hui questionné par les velléités croissantes d’États de s’émanciper de ce dernier, le conflit tragique en Ukraine éloignant un peu plus l’Oural des Rocheuses. Mais les difficultés viennent aussi de son environnement immédiat avec l’essor des racines alternatives. C’est dans ce contexte et suite à une précédente édition marquée par des crispations autour des sujets qui font son actualité et qui peinent à avancer, que s’est ouvert un 73^ième sommet très attendu.

Une fois n’est pas coutume, le coup d’envoi du 73^ième sommet de l’ICANN n’a pas été donné un lundi, jour prévu pour les premières sessions de travail. Le dimanche 6 mars, l’ICANN a en effet publié un communiqué indiquant que son conseil d’administration a décidé d’allouer une somme initiale de 1 million de dollars US d’assistance financière afin de soutenir l’accès à l’infrastructure Internet dans les situations d’urgence de l’Ukraine. Une façon de lancer une édition où le conflit en Ukraine allait forcément être présent dans tous les esprits et dans bien des débats.

Le conflit en Ukraine en filigrane

En effet le lundi après-midi la toute première session plénière du sommet, celle du GAC, l’instance représentant les gouvernements, a débuté sur une condamnation des actions de la Russie en Ukraine. Plusieurs membres du GAC dont celui de la France ont pris la parole.

Deux semaines plus tôt, l’Ukraine était en proie aux premières frappes russes. L’Ukraine par la voie de Mykhailo Fedorov, Vice premier ministre et ministre de la transformation numérique avait alors demandé à l’ICANN de cibler l’accès de la Russie à l’Internet en révoquant les domaines de premier niveau des codes pays spécifiques opérés depuis la Russie, la révocation des certificats SSL associés aux noms et à fermer un sous-ensemble de serveurs racines localisés en Russie. Une demande à laquelle ICANN avait répondu par la négative dans une lettre adressée par Goran Marby, patron de l’ICANN, au Ministre rappelant que la mission de l’ICANN était de prendre des mesures pour assurer un fonctionnement de l’Internet global et non politisé. L’ICANN est une instance neutre a ainsi répété Goran Marby lors du Forum public qui clôturait le sommet.

Des perspectives pour les processus de développements de politiques en cours

On se souviendra que lors du précédent sommet de l’ICANN, les crispations étaient palpables dans certaines instances, notamment celle représentant les registres en raison de processus de développements de politiques qui se sont allongés avec des étapes additionnelles comme les ODP (Operational Design Phase) qui interviennent désormais entre la restitution des recommandations et le vote du Board sur ces dernières.

Le premier sujet qui a essuyé les plâtres de cette étape ODP est celui du Système Standardisé d’Accès aux Données. Ce système connu sous l’acronyme SSAD est en discussion depuis plus de trois années dans le cadre d’un processus de développement de politiques dit ‘ePDP’ dont le SSAD est corrélé à la phase 2. Il doit permettre de revenir à un modèle d’accès plus uniforme aux données d’enregistrement des noms de domaine lors de demandes légitimes. Pourtant l’ODP qui vient d’être finalisée avec six mois de délai par rapport au calendrier initial estimé, a mis en lumière la difficulté de cadrer ce projet. Le nombre d’utilisateurs est en effet estimé entre 25 000 et 3 millions pour adresser 100 000 à 12 millions de requêtes, des valeurs qui induisent une fourchette de coûts de mise en place et de maintenance particulièrement large (de 34 à 134 millions de dollars US) et par conséquent des frais d’accès au futur système très difficiles à évaluer, l’idée étant de financer le dispositif exclusivement avec les coûts d’accès. Lors de l’ICANN73 une porte de sortie a pointé son nez : Créer un projet pilote pour limiter les risques, en d’autres termes envisager un SSAD à échelle réduite avant de considérer la suite.

On a pu noter que la phase 1 de l’ePDP précité a désormais une ligne d’arrivée. Elle est estimée à fin 2022. Cette phase vise à créer une politique pérenne pour remplacer une Specification Temporaire qui adressait le RGPD dans l’écosystème des noms de domaine en 2018.

L’autre grand sujet est celui d’une prochaine série de nouvelles extensions génériques. Rappelons en effet que la précédente série va fêter ses dix années en 2022. Depuis, c’est un processus de développement de politiques (PDP) qui s’est étiré de décembre 2015 à février 2021 où l’instance représentant les politiques génériques, le GNSO, avait adopté le rapport final de recommandations. En septembre dernier, le Board ICANN a décidé d’engager un processus ODP qui pourrait durer jusqu’au début de l’année prochaine. Ce sujet a suscité de vives critiques car la ligne d’arrivée semble repoussée de plus en plus alors que dix années se sont écoulées depuis le dernier round. Une piste a néanmoins été discutée lors de l’ICANN73, celle de débuter les travaux d’implémentation sans tarder, une proposition qui, si elle a plutôt déplu au patron de l’ICANN, a été accueillie plutôt positivement par le Board de l’ICANN qui pourtant ne devrait se prononcer sur les recommandations du rapport final du processus PDP qu’après la fin de l’ODP.

Aspects géopolitiques, législatifs et règlementaires, une nouveauté

Parmi les nouveautés de ce sommet, on a pu noter une session plénière consacrée aux aspects géopolitiques, législatifs et règlementaires. Cette session a permis de faire un tour d’horizon des nombreuses initiatives qu’elles viennent d’institutions comme l’Organisation des Nations Unies, l’Union des Télécoms Internationale, du Conseil de l’Europe ou de l’OCDE ou d’Etats comme la Russie avec la loi de souveraineté numérique ou la Chine avec la loi sur la Cybersécurité et la sécurité des données. Cette session a également permis de clarifier des perceptions comme la position de l’ICANN sur la directive européenne NIS2. Goran Marby a indiqué que l’ICANN n’a pas de position officielle sur ce sujet.

Le retour du GDD summit ?

Jusqu’en 2019, l’ICANN proposait en plus des trois sommets consacrés aux politiques, un sommet plus opérationnel appelé GDD Summit. Ce dernier a été abandonné dans le contexte de pandémie mondiale et n’a depuis plus été évoqué. La possibilité de relancer ce dispositif a été remise sur la table lors de l’ICANN73. Il pourrait donc y avoir un quatrième rendez-vous annuel donné par l’ICANN dès la fin de cette année, novembre ayant été évoqué pour sa possible tenue. Il y aura néanmoins d’ici là, l’ICANN74 en juin et l’ICANN75 en septembre, deux événements où le mode hybride, présentiel et distanciel, tient la corde.

Commentaires Nameshield

L’ICANN 73 a indéniablement été marqué par le conflit en Ukraine. Un conflit qui paradoxalement a permis de retrouver un semblant d’unité avec l’esquisse de solutions comme le fait de permettre aux bureaux d’enregistrement ukrainiens de déroger aux politiques ICANN via un dispositif dit de « circonstances extraordinaires » et de rappeler l’ICANN à ses fondamentaux, une instance apolitique œuvrant pour un Internet global. En dressant un panorama des contextes géopolitiques, législatifs et règlementaires, l’instance semble également avoir pris conscience que le monde à venir risque de rendre la préservation de son modèle d’un Internet globalisé encore plus difficile. Le sentiment après ce sommet est que des propositions et perspectives plus concrètes ont été données sur une partie des sujets débattus.

On notera pour le prochain round, que c’est la menace des racines alternatives au DNS qui se développent qui pourrait donner un coup de boost inattendu au processus en cours. Ces racines qui tendent en effet à se développer pourraient occasionner des collisions entre requêtes si un jour des TLDs identiques cohabitent dans deux environnements, risque d’autant plus accru si ICANN marque le pas sur un futur round. Autre risque : se voir contester l’attribution de TLDs règlementaires alors qu’un TLD identique existerait sur une racine alternative.

ICANN72, entre besoins de priorisation et risques de fragmentation

Fin octobre s’est tenu le 72^ième sommet de l’ICANN consacré au développement des politiques qui impactent le système de noms de domaine (DNS) et la communauté Internet mondiale. Comme déjà annoncé durant cet été, ce dernier rendez-vous annuel allait se tenir en visio-conférences sur le fuseau horaire de Seattle aux Etats-Unis. Les « nuits blanches » n’étaient donc pas du côté de Seattle mais plutôt de l’Europe.

L’épine du prochain cycle de nouvelles extensions génériques

Un mois avant ce sommet, ICANN annonçait le calendrier de la phase de design opérationnelle (ODP) pour l’un des sujets les plus attendus par les parties contractantes : l’organisation d’un nouveau cycle de candidatures à de nouvelles extensions génériques. L’ODP est un nouveau dispositif désormais adossé au processus de développement de politiques (PDP). Il s’apparente à un cadrage de projet car il vise à identifier les étapes, les risques, les coûts et les ressources à allouer pour mettre en œuvre un projet, ici un nouveau cycle d’extensions génériques. Le PDP a été conduit entre 2015 et 2020, avec la remise d’un rapport final de recommandations au Board ICANN en mars de cette année. Ce n’est pourtant qu’en février 2023, soit près de deux années plus tard que le Board devrait examiner ces recommandations, le temps de laisser conduire l’ODP. ICANN a en effet confirmé avant l’ouverture de l’ICANN72 que cette phase de cadrage devrait durer seize mois dans sa totalité dont dix mois pour la conduite de l’ODP, trois mois en amont pour initier ce dernier et notamment constituer les équipes qui vont le conduire et trois mois en aval pour conclure les travaux. Un calendrier qui avait surpris beaucoup de parties contractantes et suscité de nombreux mécontentements. Ces mécontentements se sont particulièrement exprimés au travers du Brand Registry Group qui représente et promeut les intérêts de ses membres, des propriétaires de dotBrand. Au premier jour du sommet de l’ICANN, pour la plupart des membres, les choses n’avancent pas suffisamment vite et l’ODP serait même en partie inutile puisque certains aspects recoupent les travaux déjà conduits durant le PDP préalable. Autre aspect pointé du doigt : un coût de 9 millions de dollars pour cette ODP, une somme non négligeable.

Les nuages s’amoncellent comme les processus en cours

Au fil des autres sessions programmées durant cette semaine de sommet, force est de constater que les nuages ont continué de s’amonceler dans la météo des politiques conduites par l’ICANN. Ainsi par exemple, l’annonce du lancement d’un processus de développement de politique dit expéditif (ePDP) pour réviser la procédure de résolution de litiges UDRP (Uniform Domain-Name Dispute Resolution Policy) qui permet de récupérer des noms de domaine litigieux, a suscité beaucoup d’incompréhension alors qu’une revue sur l’ensemble des mécanismes de protection des droits (RPM) a déjà été conduite entre 2016 et 2020 et que ses recommandations finales n’ont pas encore été examinées par le Board ICANN. Désormais cet examen du Board qui vise à valider les recommandations est prévu au mieux à l’été 2022, date à laquelle l’ePDP précité devrait être finalisé. Cet exemple a illustré le fossé qui est en train de se créer entre les attentes de décisions de la communauté et les instances décisionnaires de l’ICANN qui semblent dépassées par les processus de négociations de politiques qui s’empilent et s’étirent dans le temps, risquant au passage de rendre des décisions caduques si elles sont rendues trop tardivement. De l’aveu de certains, il en va même de la capacité de l’ICANN à toujours assumer sa mission inscrite dans ses textes fondateurs : Préserver et renforcer la stabilité opérationnelle, la fiabilité, la sécurité et l’interopérabilité mondiale de l’Internet.

« Priorisation », le mot est lâché

Dès le premier jour des sessions, Goran Marby, le patron de l’ICANN s’est défendu contre l’idée que le Board tardait à prendre des décisions. Il a ainsi mis en avant que ce dernier a récemment examiné 228 recommandations du Competion Consumer Choice & Consumer Trust (CCT) qui vient de conduire un examen pour évaluer dans quelle mesure l’expansion des extensions génériques, les gTLDs, a favorisé la concurrence, la confiance des consommateurs et leur choix. 166 ont été approuvées à ce jour, 44 placées en attente et 18 rejetées. Beaucoup de ces mesures sont corrélées à des conduites d’études et à la collecte de données pour mieux comprendre les tendances du marché des nouvelles extensions.

Goran Marby, a également justifié les délais sur les prises de décisions en raison du grand nombre de sujets en cours dont certains se chevauchent et par le fait que pour trancher ICANN a parfois besoin d’expertise additionnelle. Pour répondre aux critiques, il a également indiqué que l’ICANN travaille désormais sur une forme de priorisation, un souhait formulé par NAMESHIELD qui semble donc avoir été entendu. Marteen Botterman du Board a toutefois nuancé en précisant que la priorisation n’est pas du ressort du Board car il doit veiller à respecter le modèle multipartite et se doit donc de garder une certaine neutralité sur les sujets qui lui sont soumis.

Un risque de fragmentation

D’une organisation qui a du mal à prendre des décisions, à sa remise en question il n’y a qu’un pas. Dès le premier jour des sessions, Goran Marby, particulièrement impliqué dans les échanges, a parlé de « menaces contre l’ICANN ». ICANN travaille donc à un cadre de gestion des risques de l’organisation. Il a également évoqué le besoin de discuter plus étroitement avec les gouvernements dans un contexte de remise en question du modèle de gouvernance actuel. Il suffit en effet de regarder du côté de la Russie pour voir qu’en novembre 2019, le pouvoir russe a introduit de nouvelles réglementations qui créent un cadre juridique pour une gestion étatique centralisée de l’Internet à l’intérieur des frontières de la Russie. La Russie a également proposé de confier la gestion des serveurs racines à des États membres des BRICS (Brésil, Russie, Inde, Chine et Afrique du Sud). Preuve que les Etats passent à l’offensive au niveau de leurs législations, de récentes directives européennes impactent également la gouvernance comme le Règlement Général sur la Protection des Données (RGPD), ou encore la directive NIS2 (Network and Information Systems) à venir, des sujets également rappelés à l’occasion de ce sommet. Autre exemple, en Chine, c’est une loi renforçant les contrôles sur les services numériques opérés en Chine qui vient d’être adoptée.

L’échec du modèle de gouvernance de l’ICANN s’il venait à se confirmer, pourrait donc conduire à une fragmentation du système DNS tel que nous le connaissons actuellement, une fragmentation qui prend corps à mesure que l’ICANN s’enlise dans des débats stériles. Ce sommet a mis en lumière que la communauté et les dirigeants de l’ICANN ont identifié ce risque. Il s’agit pour l’avenir d’y remédier. Rendez-vous à l’ICANN73 en mars 2022.

Le constat d’enlisement des politiques de régulation du DNS particulièrement présent lors de l’ICANN72 a été largement partagé par NAMESHIELD bien avant ce sommet. NAMESHIELD avait notamment fait part d’un besoin de priorisation des sujets en accord avec la communauté lors de la session préparatoire de l’ICANN72. NAMESHIELD qui participe à des groupes de travail œuvrant aux recommandations dans le cadre des revues périodiques conduites par l’ICANN, a également plaidé pour ré-enchanter le volontariat et pour contribuer à la diversité des représentants dans ces groupes de travail, beaucoup étant aujourd’hui acculés par un volume croissant de sujets à considérer à mesure que les processus s’accumulent et que les décisions ne suivent pas. Quant aux nouveaux participants, ils sont dissuadés de s’intéresser à ces sujets du fait de processus trop longs et trop lourds.

Source de l’image : David Mark via Pixabay

ICANN71 : Le GAC au centre des attentions

Quelques 56 sessions étaient planifiées du 14 au 17 juin dans le cadre du 71^ième sommet de l’ICANN prévu à La Haye. Tenu une nouvelle fois exclusivement en visio-conférences en raison du contexte sanitaire mondial, pas moins d’un quart de ces sessions étaient organisées par le GAC, le comité consultatif gouvernemental qui conseille l’ICANN sur des dossiers de politiques publiques en rapport avec les responsabilités de l’ICANN sur le système des noms de domaine. Le GAC très actif sur tous les sujets d’actualité des politiques ICANN s’est clairement démarqué.

Le GAC revendique actuellement 179 membres soit une majorité des pays du monde. Cela lui donne une bonne représentativité à l’échelle globale pour parler à une instance de gouvernance globale. Très organisé, le GAC fait précéder les rendez-vous ICANN de réunions préparatoires qui permettent de recueillir les avis à des échelles locales afin de les relayer ensuite au niveau de l’instance de gouvernance. Une nouvelle fois, ce sommet a mis en lumière le fait que l’actualité des politiques ICANN est fournie.

La lutte contre les pratiques malveillantes sur le DNS

Le sujet des abus est presque devenu un marronnier des sommets de l’ICANN car il est au centre des sujets de préoccupations depuis bientôt deux années. Si les registres et les bureaux d’enregistrement sont déjà soumis à une batterie d’obligations sur ce sujet, beaucoup de parties prenantes considèrent que celles-ci sont insuffisantes pour réellement adresser ce sujet. L’année 2020 a effectivement vu les atteintes de cybersécurité exploser, en se greffant notamment sur la pandémie mondiale qui a vu la consommation encore davantage se faire via le web, notamment en raison des confinements et où les modes de travail ont dû être réinventés pour privilégier le distanciel. Force est de constater qu’à l’heure actuelle peu de choses ont avancé.

Une initiative fouillée et riche de propositions a bien été formulée par le SSAC (Security and Stability Advisory Committee) qui, dans ses 24 recommandations transmises au Board ICANN, a émis l’idée d’engager un processus de développement de politique « expéditif » (ePDP) avec pour finalité de développer une anti-abuse policy. Leur rapport transmis au Board il y a trois mois, n’a pas eu de suites à ce jour. La seconde initiative plus récente, émane de l’arcane représentant les registres, le Registry Stakeholder Group (RySG). Elle a finalisé avec l’input du GAC un cadre visant en particulier les botnets, des attaques qui utilisent des formes de chevaux de Troie pour prendre le contrôle d’ordinateurs pour former des réseaux d’ordinateurs qui permettront de perpétrer d’autres attaques. Son principe est de permettre aux registres volontaires d’adhérer à un dispositif qui les oblige à bloquer préventivement des noms en masse générés via des DGA (Domain Generation Algorithms), des algorithmes utilisés pour générer périodiquement un grand nombre de noms de domaine pouvant être utilisés comme points de rendez-vous avec leurs serveurs de commande et de contrôle. Le grand nombre de points de rendez-vous potentiels fait qu’il est difficile pour les forces de l’ordre de contrer efficacement les botnets, puisque les ordinateurs infectés tenteront de contacter certains de ces noms de domaine chaque jour pour recevoir des mises à jour ou des commandes. Le principe est donc ici préventif. Les registres bénéficieraient en contrepartie d’incentives et ne seraient pas redevables de la taxe perçue par ICANN lors de la création d’un nom. Une initiative donc plutôt à saluer mais portée plus directement par le RySG et donc non consensuelle, d’où son caractère volontaire et donc une portée très limitée.

Si le sujet du DNS abuse patine autant c’est que ce sujet est confronté à d’autres processus de développements de politiques en cours et à venir et à des intérêts divergents entre instances, l’Intellectual Property Constituency (IPC) étant par exemple très concernée par l’accès aux données de contacts dans les annuaires de noms de domaine, le RySG par le lancement du prochain round de nouvelles extensions qu’ils veulent voir avancer.

L’impact du Règlement Général sur la Protection des Données (RGPD) sur les données d’enregistrement des noms de domaine

Rappelons que pour remplacer la Specification Temporaire, mise en place le 17 mai 2018 à quelques jours de l’application du RGPD, un processus ePDP a vu le jour. Ce processus qualifié d’expéditif a paru pourtant assez loin d’être finalisé lors de ce nouveau sommet ICANN, alors que trois années ont passé.

Segmenté en trois phases, la phase 1 vise à fournir une policy pérenne qui doit cadrer la gestion des données personnelles des noms de domaine pour remplacer la Specification temporaire qui a notamment expurgé les données personnelles des annuaires de noms de domaine (via les protocoles Whois et RDAP). Sa rédaction avance mais aucune date n’est connue quant à sa finalisation et donc possible implémentation. Le délai est en partie lié à la difficulté de transcription de certaines recommandations dont l’une était notamment en conflit avec une politique en place, la Thick Whois Transition Policy qui prévoit un transfert systématique des données de contacts détaillées des bureaux d’enregistrement vers les registres. Autre écueil : la politique recoupe comme on le voit, d’autres politiques en place qui nécessitent donc des adaptations également en cours.

La phase 2 concerne la mise en place d’un système harmonisé d’accès aux données expurgées des annuaires de noms pour les intérêts « légitimes ». Ce système est aujourd’hui connu sous l’appellation Système Standardisé d’Accès aux Données (SSAD). Premier écueil : le Generic Names Supporting Organization (GNSO), l’entité qui élabore les politiques applicables aux noms génériques, avait à la surprise générale approuvé toutes les recommandations du rapport final, même celles qui n’avaient pas obtenu de consensus. Les recommandations pour créer ce dispositif ont donc toutes été transmises au Board ICANN qui plutôt que de se prononcer et de voter sur l’application de celles-ci, a décidé d’initier d’abord une Operational Design Phase (ODP). Initiée fin mars par le Board, elle doit durer six mois et vise à identifier les étapes, les risques, les coûts et ressources à allouer avec une consultation de la communauté après franchissement d’un jalon. C’est donc une forme de cadrage de projet. La publication d’une Request for Information, est prévue en juin pour une première consultation de la communauté.

Une phase 2a, strate additionnelle du PDP, vise à évaluer la piste d’une dissociation des données de contacts de personnes morales publiables et de personnes physiques non publiables. Initiée en décembre 2020, elle a abouti à cinq recommandations dans un rapport initial ouvert à commentaires jusqu’au 19 juillet 2021. La première recommandation très commentée lors de l’ICANN71, préconise finalement de ne rien changer en permettant aux acteurs qui le veulent de faire cette différenciation. Ce processus va poursuivre son chemin avec un rapport final de recommandations qui va arriver au second semestre.

Point commun entre les deux sujets précités, le GAC considère que des améliorations sont nécessaires. Sur le SSAD, il considère notamment que le système ne va pas assez loin pour protéger les consommateurs et augmenter leur confiance. Il regrette aussi que l’évolution du dispositif dans le temps n’ait pas été cadrée et craint que le coût, l’accès se faisant avec un dispositif d’accréditation, ne soit dissuasif notamment pour ceux engagés dans la lutte contre les atteintes à la sécurité qui ont besoin d’accéder aux données d’enregistrement des noms. Sur le DNS abuse, le GAC réitère le besoin d’adresser ce sujet. Il a déjà fait plusieurs propositions lors de précédents sommets.

Et le prochain round dans tout ça ?

Sujet qui intéresse beaucoup de monde, le prochain round n’a toujours pas de date. Tout juste a-t-on appris que le Board ICANN qui vient de récupérer les derniers inputs sur les recommandations en vue d’un prochain cycle de nouvelles extensions, a confirmé engager une Operational Design Phase (ODP) pour estimer les étapes, risques et ressources nécessaires pour mettre en œuvre ces recommandations. Pas encore planifiée, le Board a indiqué avoir demandé à ICANN org de préparer un document pour cadrer l’ODP qui permettra d’élaborer la résolution qui doit l’officialiser. Cette résolution fixera un délai pour réaliser cette ODP, possiblement six mois comme pour celui visant le SSAD.

Le GAC a pour sa part rappelé les sujets qui préoccupent plus spécifiquement ses membres. Parmi celles-ci : la prévisibilité, les engagements volontaires et obligatoires des registres (Registry Voluntary Commitments, Public Interest Commitments) avec notamment la façon d’adresser le DNS abuse, son souhait de voir le support aux nouveaux candidats mieux adapté notamment pour les zones moins favorisées, son opposition aux extensions génériques fermées, la consolidation de sa faculté à évaluer toutes les candidatures pour émettre des avis et warnings, son opposition aux enchères privées pour départager des candidats à une même extension. Il souhaite également un soutien aux applications communautaires à but non lucratif.

D’autres sujets portés par le GAC décidément très engagé

D’autres processus de développement de politiques sont en cours, comme celui concernant les Identifiants d’Organisations Gouvernementales et Non gouvernementales (IGO, INGO), un processus sur les mécanismes de protection des droits ou en phase initiale un PDP sur les transferts de noms et sur la rampe de lancement un PDP sur les IDNs. Le GAC n’a pas manqué de rappeler le sujet central de l’exactitude des données d’enregistrement jugé insuffisamment adressé par les obligations actuelles. Ce sujet va en effet s’avérer central dans la perspective des futures directives NIS2 et du Digital Services Act en cours d’élaboration au niveau européen. Le GNSO interpelé par le GAC sur l’examen de ce sujet, qui n’a en vrai pas réellement démarré, en est venu à s’excuser d’avoir trop de sujets en cours. Des tensions que le GNSO a cherché à apaiser en consacrant du temps pour examiner sa liaison avec le GAC pour l’améliorer, un GAC décidément offensif et actif.

Quid des prochains sommets

Les sommets ICANN se terminent généralement par un forum public où le public peut interpeler directement le Board. Signe d’une amélioration (temporaire ?) de l’état sanitaire sur le covid, le traditionnel forum a été consacré aux futurs sommets ICANN pour savoir s’ils doivent repasser en présentiel. De cette session, il est ressorti que la réponse n’est pas évidente. En cause, la différence des niveaux de vaccination et d’accès aux vaccins selon les pays, les conditions d’entrée aux USA actuellement restreintes, ICANN72 se tenant à Seattle et l’évolution de la pandémie qui reste incertaine. Ce forum a permis de commenter une récente enquête conduite par ICANN qui montre que la majorité des personnes intéressées par les événements ICANN ont considéré qu’il faudrait refaire des meetings en présentiel (54%). A la fin de cette session, ICANN s’est engagé à arbitrer courant juillet. Le format de l’ICANN72 pourrait être hybride, à savoir une représentation limitée sur place et le maintien du dispositif en distanciel.

Fait notable de ce sommet, beaucoup de sujets en cours et une impression que les choses avancent difficilement. Cela s’est traduit par de notables crispations entre instances et des mécontentements exprimés par exemple par le groupe des représentants d’extensions géographiques, les geoTLDs. Si pour certains, le retour en présentiel semble être la solution pour améliorer les choses, par notre présence dans certaines instances et notre participation à des groupes de travail, nous pensons que c’est plutôt un problème de visibilité dû à un trop grand nombre de sujets lancés en parallèle dont certains se chevauchent via des processus lourds avec un manque clair de priorisation. L’ODP, ce nouvel outil qui vise à cadrer la mise en place d’un système harmonisé d’accès aux données d’enregistrement et désormais appliqué au prochain round, va peut-être améliorer en partie ces perceptions. Autre aspect à considérer, des intérêts divergents entre instances. Là les échanges facilités peuvent peut-être améliorer les choses.

ICANN66 Montréal – Un sommet contrasté

Lors de la première quinzaine de novembre s’est tenu à Montréal au Canada, le 66^ième sommet de l’ICANN. Ce troisième et dernier sommet annuel consacré aux policies applicables au nommage internet était très attendu tant les sujets en débats sont nombreux. A sa clôture, il a pourtant laissé bon nombre de participants sur leur faim.

Un avant-goût des sujets et des postures lors du week-end précédant le lancement officiel du Sommet

Le week-end qui précède l’ouverture officielle du Sommet est généralement l’occasion d’avoir un aperçu des sujets et postures en présence. Sans surprise, le processus expéditif (ePDP) qui vise à développer une règle consensuelle pour préciser les conditions d’accès futures aux données personnelles qui ne sont plus publiées dans le WHOIS, l’annuaire de recherches des noms de domaine, pour cause de RGPD, est l’un des sujets majeurs.

Parmi les autres sujets connexes le remplacement de ce même WHOIS par le protocole RDAP (Registration Data Access Protocol) sans doute l’année prochaine pour les noms de domaine génériques. Ce remplacement n’est pas anodin quand on sait que le WHOIS est en usage depuis près de 35 ans.

L’instance représentant les gouvernements, le GAC, a quant à lui mis dans la balance le sujet des usages malveillants de noms de domaine qui ont pris un essor considérable sur les nouvelles extensions internet lancées en 2012. Quand on connait l’essor de pratiques internet visant à peser les élections de certains pays et l’impact économique des attaques et piratages informatiques, on comprend que ce sujet soit poussé par le GAC. Si l’un des sujets de l’ICANN est de clarifier dans leurs textes la notion d’usages malveillants, cette expression fait référence aux domaines enregistrés pour le phishing, les logiciels malveillants, les botnets et le spam, l’autre volet concerne les moyens de les endiguer. L’existence de ces domaines abusifs menace en effet l’infrastructure DNS, impacte la sécurité des consommateurs et constitue une menace pour les actifs critiques des entités publiques et commerciales. Enfin et ce n’est pas une surprise, le sujet d’un prochain round de nouvelles extensions a lui aussi été sur bien des lèvres.

ICANN66 Montréal — *Cherine Chalaby à la tribune de l’ICANN Summit de Montréal*

« Le meilleur sommet ICANN », vraiment ?

Lors de la traditionnelle cérémonie d’ouverture qui voit converger une heure durant tous les convives (2500 selon les propos de Goran Marby le CEO de l’ICANN) dans une immense salle pour écouter divers orateurs dont Martin Aubé du Ministère de l’Économie et de l’Innovation du Gouvernement du Québec, Cherine Chalaby, l’un des membres du Board ICANN dont le mandat se termine en cette fin d’année, indiquait à son auditoire que l’ICANN66 allait être le « meilleur sommet ICANN ». Il faut dire pourtant qu’à la fin de la semaine de débats et de réunions qui se sont enchaînés à un rythme effréné, alors que les sujets en débats sont nombreux, le sentiment concernant cette assertion était plus que mitigé pour beaucoup de participants.

D’abord, le processus expéditif pour l’accès aux données non publiques du WHOIS avance avec un cadre contraint par l’ICANN et les Autorités de Protection des Données Personnelles. L’aboutissement de ce processus est envisagé entre avril et juin 2020 et c’est actuellement un modèle centralisé où ICANN autoriserait la levée future d’anonymat des données qui sont désormais masquées pour cause de RGPD qui tient la corde.

Ensuite, le sujet qui a sans doute le plus souvent été cité lors de cette nouvelle semaine de sommet, a concerné les usages abusifs avec les noms de domaine. Pour ICANN, le sujet est central car il est directement corrélé à leur totem : la stabilité de l’Internet dont ils sont les garants. Depuis février 2019, ICANN publie certaines métriques sur les pratiques malveillantes identifiées au travers du DAAR, Domain Abuse Activity Reporting.

Leur dernier rapport présenté à Montréal montre que 364 extensions (principalement des nouvelles extensions issues du round de 2012) ont révélé au moins une menace portée par l’un des noms de domaine activés sur ces extensions. Plus préoccupant, les nouvelles extensions génériques concentreraient près de 40% des usages malveillants, contre 60% pour les extensions génériques historiques. Ce chiffre est en effet à mettre en relief avec la volumétrie de ces deux catégories d’extensions. En effet sur un peu plus de 200 millions de noms génériques, les nouvelles extensions génériques ne représentent que 15% du total des noms enregistrés. ICANN souhaite donc que ce sujet soit pris à bras le corps par la communauté.

Des propositions ont été faites par les diverses instances présentes, certaines allant jusqu’à demander un processus de développement de nouvelles policies (PDP). Cette dernière proposition si elle devait obtenir l’aval de l’ICANN aurait pour fâcheuse conséquence de reporter l’hypothétique calendrier d’un prochain round de nouvelles extensions, sujet qui intéressait pourtant beaucoup de convives présents à Montréal. En effet pour ICANN le problème de la concentration des pratiques malveillantes dans les nouvelles extensions génériques doit être solutionné avant tout futur round, ceci faisant que le PDP toujours en cours sur la revue du dernier round de 2012 est presque passé inaperçu.

Si les règles tardent à évoluer sur les usages malveillants, votre consultant Nameshield peut vous apporter dès à présent des solutions adaptées à vos besoins.

Les chantiers de l’après ICANN64

Il y a un mois se tenait à Kobe au Japon le premier rendez-vous annuel de l’ICANN avec la communauté internet. A l’occasion de ce sommet, ICANN a présenté les grands chantiers de l’année et ceux des années à venir. Retour sur les grands sujets.

La contrainte du RGPD toujours en filigrane

Alors qu’en mai 2018, l’Europe se dotait d’une législation ambitieuse pour protéger les données personnelles des utilisateurs, ICANN de son côté imposait un cadre règlementaire aux acteurs des noms de domaine pour conformer cette industrie aux contraintes du RGPD.

Faute de consensus, ce cadre a été imposé à l’arrachée au moment de l’entrée en vigueur du RGPD, le 25 mai 2018. Il prévoit des dispositions non consensuelles comme le fait de ne plus publier dans le service d’annuaire d’enregistrement du registre qui fonctionne actuellement via le protocole Whois, les données assimilables à des données personnelles pour les contacts associés aux noms de domaine : contacts propriétaires, contacts administratifs, contacts techniques. Exit donc les noms, prénoms, adresses postales, numéros de téléphone et anonymisation des adresses emails ou masquage via un formulaire de contact.

Cependant comme le prévoient les Bylaws, règles qui régentent le rôle et le fonctionnement de l’ICANN, les règles non consensuelles ne peuvent être imposées au-delà d’une année. ICANN avait donc l’échéance de mai 2019 en tête tout au long du meeting de Kobe.

Pour construire la suite, ICANN avait engagé l’année passée un processus accéléré de développement de nouvelles règles (ePDP), dont la délicate mission était d’élaborer des règles consensuelles pour remplacer les dispositions temporaires actuellement en place.

Peu avant l’ICANN64, ce groupe de travail auquel participe Nameshield avait remis ses propositions au GNSO, l’instance ICANN qui gère l’élaboration des politiques applicables aux noms de domaine génériques. Ce rapport actuellement ouvert à commentaires doit aboutir à un cadre final qui va être soumis au Board ICANN début mai pour vote et promulgation dans la foulée.

Les propositions esquissent une date butoir de mise en œuvre d’ici au 29 février 2020. ICANN a donc concentré ses efforts sur la gestion de la période transitoire entre mai 2019 et cette échéance encore lointaine de février 2020. L’approche qui prévaut est plutôt pragmatique, car elle consiste à conserver les dispositions en place actuellement comme le masquage des données personnelles dans le Whois jusqu’à ce que l’ensemble des nouvelles dispositions puissent être mises en œuvre par les acteurs tels que les bureaux d’enregistrement et les registres d’ici à la date butoir précitée.

L’accès aux données masquées sujet de crispations

Lancé en 2012 lors du dernier round d’ouvertures de nouvelles extensions, mais rapidement relégué dans les cartons, le protocole RDAP (Registration Data Access Protocol), alternative au protocole vieillissant du Whois, a refait surface avec le RGPD en raison de sa modularité qui permet, contrairement au Whois, de filtrer l’accès à certaines données selon le profil de l’utilisateur.

ICANN a confirmé à Kobe que ce protocole allait être largement déployé d’ici à cet été. Dans un premier temps ce protocole doit cohabiter au côté du protocole Whois. Les bureaux d’enregistrement offriront donc un accès aux données des noms de domaine au travers des deux protocoles.

Les acteurs présents à l’ICANN64 ont également pu prendre connaissance du projet soumis par un groupe d’études techniques mandaté par ICANN sur le fonctionnement envisagé au travers du protocole RDAP de l’accès aux données masquées des noms de domaine. Ce sujet a été l’objet de crispations car il n’est pas issu d’un processus consensuel, et ICANN pourrait y jouer un rôle central en recueillant l’ensemble des demandes pour valider leur autorisation, l’authentification des demandes étant procédée en amont par des agents accrédités par les autorités de protection des données. Ce sujet fait également partie de la nouvelle mission du groupe travaillant sur le développement des politiques (ePDP) dans les mois à venir. Les choses peuvent donc évoluer sur ce sujet dans le futur.

Les chantiers de l’après ICANN64 — Goran Marby, le Président de l’ICANN s’exprimant sur le fonctionnement envisagé de l’accès aux données masquées du futur RDAP des noms de domaine

Un plan stratégique pluriannuel

A l’occasion de l’ICANN64, ICANN a également présenté l’avancement de la mise en place d’un plan stratégique de fonctionnement de l’organisation pour la période 2021-2025.

L’adoption d’un plan quinquennal est une première pour cette organisation qui a toujours fonctionné sur une base annuelle. Ce plan doit déterminer les priorités des années à venir ce qui est également une nouveauté dans un contexte où de multiples chantiers ont toujours été menés de front sans réelles priorisations.

On sait déjà que la sécurité du DNS est l’un des enjeux majeurs de la période à venir. Parmi les priorités égrenées on dénote en effet la lutte renforcée contre les malwares et la sécurisation accrue du DNS via notamment le déploiement plus rapide du DNSSEC.

Pour le prochain round d’ouvertures de nouvelles extensions également cité, ICANN a également indiqué tenir compte des enseignements du précédent round. Parmi eux, les nouvelles extensions sont dix fois plus visées que ne le sont les extensions génériques historiques (.COM, .NET, .ORG, .BIZ, .INFO notamment) par des pratiques malveillantes telles que le typosquatting et le dotsquatting sur lesquels prolifèrent les pratiques de type phishing et pharming.

N’hésitez pas à vous rapprocher de votre consultant Nameshield très en pointe sur l’ensemble de ces sujets.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description