Il existe une multitude d’intervenants qui participent à la gestion du réseau des réseaux ! Sa gestion relève d’un réseau pluripartite décentralisé et international de groupes autonomes provenant de la société civile, du secteur privé, des gouvernements, des communautés académiques et scientifiques ainsi que des organisations nationales et internationales.
Découvrez dans cette fiche « 5 minutes pour comprendre », disponible en téléchargement sur le site de Nameshield, qui gère Internet, quels sont les rôles de l’ICANN, des registres et des registrars.
Quelques 56 sessions étaient planifiées du 14 au 17 juin dans le cadre du 71ième sommet de l’ICANN prévu à La Haye. Tenu une nouvelle fois exclusivement en visio-conférences en raison du contexte sanitaire mondial, pas moins d’un quart de ces sessions étaient organisées par le GAC, le comité consultatif gouvernemental qui conseille l’ICANN sur des dossiers de politiques publiques en rapport avec les responsabilités de l’ICANN sur le système des noms de domaine. Le GAC très actif sur tous les sujets d’actualité des politiques ICANN s’est clairement démarqué.
Le GAC revendique actuellement 179 membres soit une majorité des pays du monde. Cela lui donne une bonne représentativité à l’échelle globale pour parler à une instance de gouvernance globale. Très organisé, le GAC fait précéder les rendez-vous ICANN de réunions préparatoires qui permettent de recueillir les avis à des échelles locales afin de les relayer ensuite au niveau de l’instance de gouvernance. Une nouvelle fois, ce sommet a mis en lumière le fait que l’actualité des politiques ICANN est fournie.
La lutte contre les pratiques malveillantes sur le DNS
Le sujet des abus est presque devenu un marronnier des sommets de l’ICANN car il est au centre des sujets de préoccupations depuis bientôt deux années. Si les registres et les bureaux d’enregistrement sont déjà soumis à une batterie d’obligations sur ce sujet, beaucoup de parties prenantes considèrent que celles-ci sont insuffisantes pour réellement adresser ce sujet. L’année 2020 a effectivement vu les atteintes de cybersécurité exploser, en se greffant notamment sur la pandémie mondiale qui a vu la consommation encore davantage se faire via le web, notamment en raison des confinements et où les modes de travail ont dû être réinventés pour privilégier le distanciel. Force est de constater qu’à l’heure actuelle peu de choses ont avancé.
Une initiative fouillée et riche de propositions a bien été formulée par le SSAC (Security and Stability Advisory Committee) qui, dans ses 24 recommandations transmises au Board ICANN, a émis l’idée d’engager un processus de développement de politique « expéditif » (ePDP) avec pour finalité de développer une anti-abuse policy. Leur rapport transmis au Board il y a trois mois, n’a pas eu de suites à ce jour. La seconde initiative plus récente, émane de l’arcane représentant les registres, le Registry Stakeholder Group (RySG). Elle a finalisé avec l’input du GAC un cadre visant en particulier les botnets, des attaques qui utilisent des formes de chevaux de Troie pour prendre le contrôle d’ordinateurs pour former des réseaux d’ordinateurs qui permettront de perpétrer d’autres attaques. Son principe est de permettre aux registres volontaires d’adhérer à un dispositif qui les oblige à bloquer préventivement des noms en masse générés via des DGA (Domain Generation Algorithms), des algorithmes utilisés pour générer périodiquement un grand nombre de noms de domaine pouvant être utilisés comme points de rendez-vous avec leurs serveurs de commande et de contrôle. Le grand nombre de points de rendez-vous potentiels fait qu’il est difficile pour les forces de l’ordre de contrer efficacement les botnets, puisque les ordinateurs infectés tenteront de contacter certains de ces noms de domaine chaque jour pour recevoir des mises à jour ou des commandes. Le principe est donc ici préventif. Les registres bénéficieraient en contrepartie d’incentives et ne seraient pas redevables de la taxe perçue par ICANN lors de la création d’un nom. Une initiative donc plutôt à saluer mais portée plus directement par le RySG et donc non consensuelle, d’où son caractère volontaire et donc une portée très limitée.
Si le sujet du DNS abuse patine autant c’est que ce sujet est confronté à d’autres processus de développements de politiques en cours et à venir et à des intérêts divergents entre instances, l’Intellectual Property Constituency (IPC) étant par exemple très concernée par l’accès aux données de contacts dans les annuaires de noms de domaine, le RySG par le lancement du prochain round de nouvelles extensions qu’ils veulent voir avancer.
L’impact du Règlement Général sur la Protection des Données (RGPD) sur les données d’enregistrement des noms de domaine
Rappelons que pour remplacer la Specification Temporaire, mise en place le 17 mai 2018 à quelques jours de l’application du RGPD, un processus ePDP a vu le jour. Ce processus qualifié d’expéditif a paru pourtant assez loin d’être finalisé lors de ce nouveau sommet ICANN, alors que trois années ont passé.
Segmenté en trois phases, la phase 1 vise à fournir une policy pérenne qui doit cadrer la gestion des données personnelles des noms de domaine pour remplacer la Specification temporaire qui a notamment expurgé les données personnelles des annuaires de noms de domaine (via les protocoles Whois et RDAP). Sa rédaction avance mais aucune date n’est connue quant à sa finalisation et donc possible implémentation. Le délai est en partie lié à la difficulté de transcription de certaines recommandations dont l’une était notamment en conflit avec une politique en place, la Thick Whois Transition Policy qui prévoit un transfert systématique des données de contacts détaillées des bureaux d’enregistrement vers les registres. Autre écueil : la politique recoupe comme on le voit, d’autres politiques en place qui nécessitent donc des adaptations également en cours.
La phase 2 concerne la mise en place d’un système harmonisé d’accès aux données expurgées des annuaires de noms pour les intérêts « légitimes ». Ce système est aujourd’hui connu sous l’appellation Système Standardisé d’Accès aux Données (SSAD). Premier écueil : le Generic Names Supporting Organization (GNSO), l’entité qui élabore les politiques applicables aux noms génériques, avait à la surprise générale approuvé toutes les recommandations du rapport final, même celles qui n’avaient pas obtenu de consensus. Les recommandations pour créer ce dispositif ont donc toutes été transmises au Board ICANN qui plutôt que de se prononcer et de voter sur l’application de celles-ci, a décidé d’initier d’abord une Operational Design Phase (ODP). Initiée fin mars par le Board, elle doit durer six mois et vise à identifier les étapes, les risques, les coûts et ressources à allouer avec une consultation de la communauté après franchissement d’un jalon. C’est donc une forme de cadrage de projet. La publication d’une Request for Information, est prévue en juin pour une première consultation de la communauté.
Une phase 2a, strate additionnelle du PDP, vise à évaluer la piste d’une dissociation des données de contacts de personnes morales publiables et de personnes physiques non publiables. Initiée en décembre 2020, elle a abouti à cinq recommandations dans un rapport initial ouvert à commentaires jusqu’au 19 juillet 2021. La première recommandation très commentée lors de l’ICANN71, préconise finalement de ne rien changer en permettant aux acteurs qui le veulent de faire cette différenciation. Ce processus va poursuivre son chemin avec un rapport final de recommandations qui va arriver au second semestre.
Point commun entre les deux sujets précités, le GAC considère que des améliorations sont nécessaires. Sur le SSAD, il considère notamment que le système ne va pas assez loin pour protéger les consommateurs et augmenter leur confiance. Il regrette aussi que l’évolution du dispositif dans le temps n’ait pas été cadrée et craint que le coût, l’accès se faisant avec un dispositif d’accréditation, ne soit dissuasif notamment pour ceux engagés dans la lutte contre les atteintes à la sécurité qui ont besoin d’accéder aux données d’enregistrement des noms. Sur le DNS abuse, le GAC réitère le besoin d’adresser ce sujet. Il a déjà fait plusieurs propositions lors de précédents sommets.
Et le prochain round dans tout ça ?
Sujet qui intéresse beaucoup de monde, le prochain round n’a toujours pas de date. Tout juste a-t-on appris que le Board ICANN qui vient de récupérer les derniers inputs sur les recommandations en vue d’un prochain cycle de nouvelles extensions, a confirmé engager une Operational Design Phase (ODP) pour estimer les étapes, risques et ressources nécessaires pour mettre en œuvre ces recommandations. Pas encore planifiée, le Board a indiqué avoir demandé à ICANN org de préparer un document pour cadrer l’ODP qui permettra d’élaborer la résolution qui doit l’officialiser. Cette résolution fixera un délai pour réaliser cette ODP, possiblement six mois comme pour celui visant le SSAD.
Le GAC a pour sa part rappelé les sujets qui préoccupent plus spécifiquement ses membres. Parmi celles-ci : la prévisibilité, les engagements volontaires et obligatoires des registres (Registry Voluntary Commitments, Public Interest Commitments) avec notamment la façon d’adresser le DNS abuse, son souhait de voir le support aux nouveaux candidats mieux adapté notamment pour les zones moins favorisées, son opposition aux extensions génériques fermées, la consolidation de sa faculté à évaluer toutes les candidatures pour émettre des avis et warnings, son opposition aux enchères privées pour départager des candidats à une même extension. Il souhaite également un soutien aux applications communautaires à but non lucratif.
D’autres sujets portés par le GAC décidément très engagé
D’autres processus de développement de politiques sont en cours, comme celui concernant les Identifiants d’Organisations Gouvernementales et Non gouvernementales (IGO, INGO), un processus sur les mécanismes de protection des droits ou en phase initiale un PDP sur les transferts de noms et sur la rampe de lancement un PDP sur les IDNs. Le GAC n’a pas manqué de rappeler le sujet central de l’exactitude des données d’enregistrement jugé insuffisamment adressé par les obligations actuelles. Ce sujet va en effet s’avérer central dans la perspective des futures directives NIS2 et du Digital Services Act en cours d’élaboration au niveau européen. Le GNSO interpelé par le GAC sur l’examen de ce sujet, qui n’a en vrai pas réellement démarré, en est venu à s’excuser d’avoir trop de sujets en cours. Des tensions que le GNSO a cherché à apaiser en consacrant du temps pour examiner sa liaison avec le GAC pour l’améliorer, un GAC décidément offensif et actif.
Quid des prochains sommets
Les sommets ICANN se terminent généralement par un forum public où le public peut interpeler directement le Board. Signe d’une amélioration (temporaire ?) de l’état sanitaire sur le covid, le traditionnel forum a été consacré aux futurs sommets ICANN pour savoir s’ils doivent repasser en présentiel. De cette session, il est ressorti que la réponse n’est pas évidente. En cause, la différence des niveaux de vaccination et d’accès aux vaccins selon les pays, les conditions d’entrée aux USA actuellement restreintes, ICANN72 se tenant à Seattle et l’évolution de la pandémie qui reste incertaine. Ce forum a permis de commenter une récente enquête conduite par ICANN qui montre que la majorité des personnes intéressées par les événements ICANN ont considéré qu’il faudrait refaire des meetings en présentiel (54%). A la fin de cette session, ICANN s’est engagé à arbitrer courant juillet. Le format de l’ICANN72 pourrait être hybride, à savoir une représentation limitée sur place et le maintien du dispositif en distanciel.
Fait notable de ce sommet, beaucoup de sujets en cours et une impression que les choses avancent difficilement. Cela s’est traduit par de notables crispations entre instances et des mécontentements exprimés par exemple par le groupe des représentants d’extensions géographiques, les geoTLDs. Si pour certains, le retour en présentiel semble être la solution pour améliorer les choses, par notre présence dans certaines instances et notre participation à des groupes de travail, nous pensons que c’est plutôt un problème de visibilité dû à un trop grand nombre de sujets lancés en parallèle dont certains se chevauchent via des processus lourds avec un manque clair de priorisation. L’ODP, ce nouvel outil qui vise à cadrer la mise en place d’un système harmonisé d’accès aux données d’enregistrement et désormais appliqué au prochain round, va peut-être améliorer en partie ces perceptions. Autre aspect à considérer, des intérêts divergents entre instances. Là les échanges facilités peuvent peut-être améliorer les choses.
Prévu initialement à Cancun au Mexique comme l’ICANN67, le récent sommet sur la gouvernance de l’Internet a une nouvelle fois été réalisé entièrement en visio-conférences du fait de la situation sanitaire mondiale. Les PDP, les processus de développements de policies ont été le fil conducteur de ce sommet.
Le sommet ICANN70 a été le quatrième sommet à distance
Le PDP, Processus de développement de policies, est le mécanisme central communautaire utilisé par le Gnso (Generic Names Supporting Organization), l’organe responsable du développement des politiques concernant les noms de domaine génériques, pour proposer de nouvelles obligations et réviser des règles en vigueur pour les actualiser. Chaque PDP se traduit par une série de rapports qui en fin de parcours sont transmis au Conseil d’administration de l’ICANN, le Board ICANN, qui statue sur le devenir des recommandations qu’ils contiennent.
Le PDP sur les nouvelles extensions génériques
C’est avec ce mécanisme qu’ICANN a lancé un programme de nouvelles extensions génériques qui a conduit à 1930 demandes au printemps 2012 et 1233 extensions déléguées à fin 2020. L’opportunité de considérer un nouveau cycle de candidatures a été matérialisée par un PDP initié par le Gnso fin 2015. Cinq années plus tard, ce processus qui vise à revoir et améliorer les recommandations du Gnso pour le cycle de 2012 est entré dans sa dernière ligne droite. C’est en effet désormais au Conseil d’Administration de l’ICANN de statuer sur les recommandations des groupes de travail qui ont œuvré sur ce PDP. Le Conseil d’Administration devrait lancer une dernière phase de consultations de la communauté avant de se prononcer sur la suite de leurs travaux. La communauté attendait une annonce en ce sens pour ce sommet ou peut-être même un calendrier pour baliser les prochaines étapes jusqu’à un prochain cycle de candidatures mais force est de constater que les espoirs ont été déçus. En effet il n’y a pas eu d’annonces, même si l’on sait que la perspective d’un futur cycle de candidatures se rapproche désormais à grands pas. En ce qui concerne le contenu des recommandations cette fois, les éléments discutés principalement lors de l’ICANN70 ont porté sur une pré-évaluation des futurs registres, l’amélioration de la prédictibilité pour évaluer les futures candidatures et l’amélioration du support des candidats.
Le PDP : Une solution pour sortir de l’impasse sur les usages malveillants du DNS ?
Autre sujet, en lien avec la mise en œuvre du PDP précité, les usages malveillants du DNS, sujet communément désigné par DNS abuse.
La surveillance des pratiques malveillantes opérée par ICANN dans les noms génériques porte sur quelques 205 millions de noms dont à peine 11% sont issus du cycle d’extensions créées à partir de 2012. Le constat réalisé au travers de leurs analyses montre qu’un million de noms concentrent ces atteintes soit 0,5% d’entre eux. Autre fait notable, les nouvelles extensions sont davantage utilisées pour des pratiques malveillantes que les extensions génériques historiques comme les .COM, .NET, .ORG, .BIZ et .INFO. En effet ICANN a indiqué qu’en février 2021, 35% des atteintes à la sécurité venaient de noms créés dans les nouvelles extensions génériques contre 65% dans les extensions historiques, un ratio qui est même monté à 40% en novembre 2020. ICANN a aussi précisé que 90% des pratiques malveillantes dans les nouvelles extensions étaient concentrées sur 23 extensions. En ce qui concerne les types d’atteintes les plus répandues, le spamming intervient à 85%, le phishing (hameçonnage) à 8,4%, les botnets (des programmes malveillants qui opèrent des tâches à distance) à 3,9% puis les logiciels malveillants à 2,7%. Les nouvelles extensions génériques concentrent davantage de pratiques de spamming et de phishing. Si depuis désormais cinq sommets le DNS abuse est devenu un sujet central d’échanges entre instances représentants les parties prenantes de la communauté Internet, les positions divergent toujours sur les mesures à prendre pour juguler ces pratiques préjudiciables. Là encore les attentes de la communauté lors de ce sommet étaient donc importantes.
Le GAC, l’instance qui représente les gouvernements, a déjà supporté l’idée d’un PDP dédié sur ce sujet. Il plaide pour une approche holistique qui concerne toutes les extensions, existantes et futures. Il a beaucoup mis en avant le travail du SSAC, le Comité Consultatif sur la Sécurité et la Stabilité qui conseille la communauté et le conseil d’administration de l’ICANN sur les questions relatives à la sécurité et à l’intégrité des systèmes d’attribution de noms et d’adresses de l’Internet. Il a en effetpublié un avis avant l’ICANN70 incitant le Board avant de lancer la prochaine série de nouveaux gTLDs à commander une étude sur les causes, les réponses et les meilleures pratiques pour l’atténuation des abus de noms de domaine qui prolifèrent dans les nouveaux gTLDs du cycle de 2012. A leur crédit également une série de recommandations transmises au conseil d’administration ICANN allant de la présence systématique d’experts de sécurité dans toutes futures négociations contractuelles à un processus ePDP (un processus de développement de politiques accéléré). Quant au Gnso, il poursuit pour le moment les consultations sans écarter le recours à un PDP.
Et l’ePDP phase 1 et 2 sur l’accès aux données d’enregistrement
Autre sujet, autre processus PDP, l’ePDP en lien avec le RGPD pour l’accès aux données d’enregistrement des noms de domaine. Initié en 2018, il avait pour ambition de remplacer une disposition temporaire qui a consisté à expurger les données personnelles des données d’enregistrement librement accessibles des noms génériques. La phase 1 de l’ePDP, non finalisée à ce jour, doit permettre de remplacer les dispositions temporaires par des dispositions pérennes. La phase 2 vise à créer un système standardisé d’accès aux données pour les demandes légitimes communément appelé SSAD. Celle-ci est aujourd’hui arrivée en fin de parcours puisqu’elle est désormais entre les mains du Conseil d’Administration de l’ICANN après que le Gnso ait approuvé toutes les dispositions formulées par les groupes de travail qui ont travaillé sur ce sujet, même celles qui n’ont pas obtenu de consensus. Le Gnso a assumé cette prise de position sous prétexte qu’il fallait savoir prendre ses responsabilités et que les recommandations constituaient un tout, une entorse au processus de création de nouvelles politiques qui se veut normalement consensuel et qui a conduit l’ALAC (At-Large Advisory Committee) qui représente les utilisateurs finaux à exprimer des préoccupations, l’IPC (Intellectual Property Constituency) qui représente les intérêts de la communauté de la propriété intellectuelle allant même jusqu’à demander à ne pas poursuivre l’examen des recommandations. Du côté du Board ICANN, on a tout juste appris qu’ils lançaient une Phase de Design Opérationnelle pour considérer l’opérabilité du futur système. Il entend se positionner sur les recommandations dans un second temps.
Un nouveau PDP sur les politiques de transferts de noms
Un autre processus PDP a été officiellement mis sur les rails lors de l’ICANN70 pour réviser les règles de transferts de noms de domaine : transferts entre bureaux d’enregistrement et transferts entre deux titulaires. Ce dernier ambitionne de simplifier, sécuriser et de rendre plus efficace les transferts de noms. Un vaste chantier qui pourrait s’étendre sur plusieurs années…
Des préoccupations autour de la concentration du secteur
Indicateur des préoccupations de la communauté Internet, le forum public a cette année été marqué par de nombreuses questions autour de la concentration qui s’accélère parmi les acteurs des noms de domaine. Dernier en date Ethos Capital, une société de capital-investissement fondée en 2019 qui après avoir racheté l’opérateur du .ORG, PIR, vient de racheter Donuts qui gère pas moins de 242 nouvelles extensions génériques et qui avait récemment racheté Afilias qui est entre autre gestionnaire de l’extension .INFO. La communauté a exprimé des inquiétudes sur ces nouveaux acteurs dont les attentes ne sont pas nécessairement en phase avec l’un des totems de l’ICANN qui est de défendre la concurrence, la confiance et le choix des consommateurs. ICANN de son côté ne voit pas de problème dans ce phénomène devenu tendanciel car ces rapprochements déclenchent des procédures de contrôle très encadrées pour analyser et approuver les changements induits.
L’ICANN70 a mis en avant le fait qu’ICANN se penchait sur de nombreux sujets potentiellement très impactant dans la gestion des noms de domaine, des sujets qui dans la plupart des cas sont sur le point de se matérialiser par de nouvelles politiques que Nameshield va mettre en œuvre pour ses clients. Au delà de ce cadre, Nameshield, acteur français indépendant, a déjà mis en place des solutions qui apportent des réponses à des problèmes auxquelles ces politiques doivent remédier. N’hésitez pas à vous rapprocher de votre conseiller avec votre besoin pour que nous puissions étudier ensemble les solutions que nous pouvons déjà y apporter.
La nouvelle est tombée le 30 avril dernier par le biais d’un communiqué de presse du Conseil d’administration de l’ICANN qui annonce avoir pris la décision de rejeter la vente de Public Interest Registry (PIR), le registre du .ORG, au fond d’investissement Ethos Capital.
Pour rappel, fin 2019 l’annonce de la vente du registre du .ORG à Ethos Capital avait créé un véritable débat et engendré de nombreuses craintes de la part de la communauté des ONG, notamment celles de voir les prix du .ORG augmenter et la mise en place de principes de protection des droits pouvant entraîner une forme de censure des ONG (Retrouvez l’ensemble des articles à ce sujet sur le blog.)
Mi-avril, alors que l’organisation devait décider d’approuver ou non la vente du registre, la transaction était toujours en attente, l’ICANN s’accordait un délai supplémentaire pour finaliser son examen, suite à la réception de nombreuses lettres d’opposition dont celle du procureur général de Californie, Xavier Becerra.
La décision de rejeter cette transaction a finalement été rendue jeudi 30 avril « en raison de divers facteurs qui créent une incertitude inacceptable sur l’avenir du troisième plus grand registre de gTLD. »
L’une des principales raisons de cette décision est le « changement de la nature fondamentale d’intérêt public de PIR à une entité qui est tenue de servir ses propres intérêts, et qui n’a pas de plan significatif pour protéger ou servir la communauté des .ORG ».
Parmi les motifs de ce rejet, il y a également la question du financement, puisque cette transaction risquait de compromettre la stabilité financière du registre. En effet, la vente proposée du registre changerait son statut actuellement à but non lucratif en une entité à but lucratif avec une obligation de dette de 360 millions de dollars, qui ne serait pas au profit de PIR ou de la communauté des .ORG, mais pour les intérêts financiers d’Ethos et de ses investisseurs.
Par ailleurs, la proposition de PIR de mettre en place un « Stewardship Council » qui visait à rendre l’entité plus responsable envers la communauté, n’a pas non plus convaincu l’ICANN. Selon l’organisation ce conseil « pourrait ne pas être réellement indépendant ».
La décision de l’ICANN est donc une victoire pour la communauté des .ORG et Electronic Frontier Fondation, qui n’en reste pas là et rajoute : « le registre du .ORG a encore besoin d’un gestionnaire fidèle, car l’Internet Society a clairement indiqué qu’elle ne voulait plus de cette responsabilité. L’ICANN devrait tenir une consultation ouverte, comme elle l’a fait en 2002, pour sélectionner un nouvel opérateur du domaine du .ORG qui donnera aux organisations à but non lucratif une véritable voix dans sa gouvernance et une garantie réelle contre la censure et l’exploitation financière ».
Il y a quelques mois, nous avions évoqué dans des précédents articles, la vente par Internet Society, de Public Interest Registry (PIR), le registre du .ORG, à Ethos Capital, un fond d’investissement.
Le .ORG est l’extension de référence pour les organisations à but non lucratif et le registre du .ORG représente plus de 10,5 millions de domaines. L’annonce de la vente du registre avait pour rappel engendré de nombreuses craintes de la part de la communauté des ONG.
A la suite de ces plaintes, l’ICANN avait alors déjà retardé l’approbation de la vente du registre du .ORG à Ethos Capital demandant des informations supplémentaires à l’Internet Society.
Nouveau report de la vente du registre du .ORG à la suite de l’intervention du procureur général de Californie
Jeudi 16 avril, alors que le conseil d’administration de l’ICANN devait décider d’approuver ou non la vente du registre, il a finalement été décidé lors de cette réunion, d’un nouveau report au 4 mai 2020. La réception la veille d’une lettre du procureur général de Californie, Xavier Becerra, demandant à l’ICANN de rejeter la transaction, a été à l’origine de ce quatrième report. Il explique en effet qu’elle « soulève de graves préoccupations qui ne peuvent être négligées ».
« Habiliter une entité à but lucratif qui pourrait compromettre l’accessibilité et les coûts abordables du domaine du .ORG, servant des organisations à but non lucratif, devrait tous nous concerner » déclare le bureau du procureur au site The Register.
La nature secrète d’Ethos Capital inquiète
Dans sa lettre, le procureur a fait part de plusieurs préoccupations concernant la transaction, dont la nature secrète de l’acquéreur proposé, Ethos Capital : «On sait peu de choses sur Ethos Capital et ses multiples filiales proposées». Ethos Capital est critiqué pour sa structure inhabituelle (l’achat implique six sociétés différentes qui ont toutes été enregistrées le même jour en octobre 2019) et son manque de transparence concernant ses plans futurs.
Dans son avis publié jeudi dernier, l’ICANN affirme avoir écouté la communauté et avoir exigé une plus grande transparence ainsi que davantage de garanties de la part du PIR. Selon l’organisation, la lettre du procureur ne tient pas compte des récents travaux du PIR concernant les Public Interest Commitments, visant à rendre l’entité plus responsable envers la communauté. L’ICANN a demandé au PIR de renforcer ces engagements, un projet de révision des Public Interest Commitments a ainsi été fourni à l’ICANN.
Le comportement de l’ICANN et Internet Society critiqués
L’ICANN a également fait l’objet de plusieurs critiques tout au long du processus, notamment lorsqu’il est apparu que le personnel de l’organisation a poussé pour l’approbation de la transaction malgré l’opposition quasi universelle de la communauté Internet.
De plus, en début de semaine dernière, le premier PDG et fondateur de l’ICANN, Michael Roberts et la première présidente du conseil d’administration Esther Dyson ont écrit une lettre à Xavier Becerra critiquant cette transaction et reprochant à leurs successeurs d’abandonner les principes fondamentaux de l’ICANN.
Selon le procureur général, cette transaction aura un impact sur la réputation de l’ICANN au vu de la manière dont l’organisation a géré la situation.
Ce ne sont pas seulement l’ICANN et Ethos qui ont fait l’objet des critiques du bureau du procureur, Xavier Becerra reproche également à l’Internet Society d’avoir proposé la vente du registre du .ORG à Ethos Capital : « L’ISOC prétend soutenir l’Internet, mais ses actions, depuis la nature secrète de la transaction jusqu’à la recherche active du transfert du registre du .ORG à une entité inconnue, sont contraires à sa mission et potentiellement perturbatrices pour le même système qu’elle prétend défendre et soutenir ».
La lettre de Xavier Becerra ne menace pas l’ICANN de prendre des mesures si elle approuve la vente. Cependant, elle indique que le procureur général de Californie détient une autorité importante sur l’organisation et est prêt à agir, cette vente pouvant affecter des centaines de milliers d’autres organisations à but non lucratif.
«Compte tenu des préoccupations mentionnées ci-dessus, et sur la base des informations fournies, les intérêts du registre du .ORG et de la communauté Internet mondiale – dont font partie d’innombrables Californiens – seraient mieux servis si l’ICANN refusait d’approuver la vente et le transfert proposés du PIR et du registre du .ORG au fond d’investissement Ethos Capital. Ce bureau continuera d’évaluer cette question et prendra toutes les mesures nécessaires pour protéger les Californiens et la communauté sans but lucratif ».
Dans un avis publié jeudi dernier, l’ICANN a ainsi déclaré le report de sa décision : « Nous avons convenu de prolonger la période d’examen jusqu’au 4 mai 2020, afin de disposer d’un délai supplémentaire pour finaliser notre examen ».
Fin 2019, l’annonce de la vente du registre du .ORG, Public Interest Registry (PIR) par l’Internet Society à Ethos Capital, un fond d’investissement, a créé un véritable débat, ce qui a été par ailleurs le sujet d’un précédent article de ce blog.
Pour rappel, cette annonce a engendré plusieurs craintes des ONG telles que de voir les prix du .ORG augmenter et la mise en place de principes de protection des droits pouvant entraîner une forme de censure des ONG, comme la pratiquent déjà certains pays. Ces peurs ont poussé l’EFF (Electronic Frontier Foundation) à lancer une campagne de sensibilisation sur l’impact potentiel de cette vente : SaveDotOrg. A ce jour, 846 organisations et 25 119 personnes ont signé cette pétition demandant à l’Internet Society de cesser la vente.
A la suite de ces nombreuses
plaintes, l’ICANN a retardé l’approbation de la vente du registre du .ORG à
Ethos Capital et a demandé des informations supplémentaires à l’Internet
Society.
« Public Interest Commitments » : Les mesures proposées pour apaiser les préoccupations de la communauté du .org
En réponse à ces critiques, Ethos
Capital et le Public Interest Registry tentent de rassurer en proposant la mise
en place du « Public Interest Commitments » (PIC), des engagements assurant que l’augmentation tarifaire du .ORG
serait limitée.
Parmi ces engagements, ils
proposent également la création d’un « Stewardship
Council » (un conseil pour la bonne gestion du .org) pouvant influencer les prises de décision du PIR et ainsi
garantir le maintien de la liberté d’expression.
Ces engagements du PIC seraient
ajoutés dans l’Accord du registre (Registry
Agreement), contrat établi entre le registre et l’ICANN, relatif au
fonctionnement du registre.
Un registre à but lucratif pour défendre des organisations à but non lucratif ?
Lors du dernier sommet de l’ICANN organisé à distance du 7 au 12 mars derniers en raison de la pandémie du Covid-19, plusieurs ONG dont l’EFF ont abordé ce sujet du rachat du registre du .ORG par Ethos Capital et ont interrogé l’ICANN sur leurs projets d’examiner ce changement de propriétaire.
Selon l’EFF, la création de ce
conseil « Stewardship Council »
ne répondra pas aux inquiétudes des ONG. En effet, les premiers membres de ce
conseil seront directement ou indirectement sélectionnés par le PIR, et ce
dernier disposera d’un pouvoir de veto pour s’opposer aux nouveaux membres, ce
qui garantirait donc que ce conseil resterait en phase avec le PIR.
Concernant les prix du .ORG, selon
les ONG, la mise en place du PIC n’assure pas
une limitation de la hausse de prix. Une modification de l’accord du registre
pourra être négociée à tout moment entre le propriétaire du registre et
l’ICANN, malgré une opposition de l’opinion publique. C’est ce qui est arrivé en
juin 2019, quand l’accord du registre du .ORG a été révisé pour réduire les
droits des détenteurs du .org et supprimer le plafonnement des prix. L’ICANN a
de plus indiqué en 2019, sa volonté de ne plus tenir le rôle de régulateur de
prix, pourtant cette mise en place du PIC replacerait à nouveau l’ICANN dans
cette position.
Par conséquent selon les ONG, ces
« Public Interest Commitments »
ne protégeraient donc pas suffisamment la communauté du .ORG.
Les questions des ONG sont
restées sans réponse lors du dernier sommet ICANN, cette acquisition faisant
encore actuellement l’objet d’un examen de la part de l’ICANN.
« Nous reconnaissons les questions et les préoccupations qui sont soulevées », déclare l’ICANN. « Pour apaiser ces préoccupations et maintenir la confiance dans la communauté « .org », nous exhortons PIR, ISOC et Ethos Capital à agir de manière ouverte et transparente tout au long de ce processus. […] Nous évaluerons de façon réfléchie et approfondie l’acquisition proposée afin d’assurer que le domaine demeure sûr, fiable et stable».
Du 7 au 12 mars prochains devait se tenir à Cancún, au Mexique, le 67ième Sommet annuel de l’ICANN, un sommet consacré aux règlementations liées au nommage internet. Souvent désigné par l’acronyme ICANN67, c’est finalement un autre acronyme COVID19 qui désigne le désormais célèbre coronavirus qui a obligé ICANN à reconsidérer toute la logistique de cet événement.
Depuis 1999, ICANN organise tous les ans trois rendez-vous annuels consacrés aux règlementations applicables au nommage internet et un quatrième consacré à des aspects plus opérationnels, souvent désigné comme le GDD Summit (Global Domain Division Summit). Ces réunions sont l’occasion pour les participants de quelques 150 pays et quelques 2500 participants, d’échanger en direct sur les sujets brûlants liés au système de noms de domaine (le DNS).
Depuis quelques semaines l’attention mondiale s’est pourtant
cristallisée sur un tout autre sujet : celui de la propagation en cours du
coronavirus qui selon les derniers chiffres connus aurait contaminé quelques
75.465 personnes en Chine continentale et causé le décès de 2.236 personnes
depuis son émergence en décembre à Wuhan, capitale de la province de Hubei. Si
la Corée du Sud dépasse elle aussi désormais le cap des 150 cas confirmés, la
liste des pays qui recensent des cas d’infection ne cesse de s’allonger. Ce
sont en effet plus de 30 pays qui sont désormais dans cette situation.
Fort logiquement au cours des dernières semaines, dans les
coulisses de l’organisation ICANN, le coronavirus remontait comme un sujet de
préoccupation majeur pour les acteurs de l’industrie des noms de domaine. De
plus en plus de participants potentiels évoquaient le fait de préférer ne pas
se déplacer pour cet événement pourtant important pour eux, tandis que d’autres
demandaient si la tenue de cet événement était pertinente dans un tel contexte.
Des annulations récentes d’événements de même nature ont en effet fait écho à
leurs doléances. Au début de ce mois, la GSMA, les organisateurs de la plus
grande exposition de l’industrie mobile au monde, le Mobile World Congress
2020, avaient effectivement annulé l’événement après que plus de 30 exposants
et sponsors se soient retirés en raison de l’épidémie. Le Festival Fintech de
l’Inde (IFF 2020) organisé par le gouvernement du Maharashtra, le ministère de
l’électronique et des technologies de l’information (MeitY), la National
Payments Corporation of India (NPCI) et le Fintech Convergence Council a
annoncé lui aussi cette semaine qu’il reporterait l’événement à un « moment
plus approprié » en raison des problèmes liés au coronavirus. L’événement devait
se tenir les 4 et 5 mars 2020.
Lors de la session du conseil d’administration de l’ICANN du
19 février, session qui a été rallongée d’une heure, ICANN a donc fini par
trancher :
« Résolu (2020.02.19.01), en raison de l’urgence de santé publique de portée internationale posée par le COVID-19, des développements quotidiens en évolution, et du risque mondial élevé encore identifié, le Conseil d’administration charge le Président et le Directeur général de l’ICANN, ou ses représentants, de prendre toutes les mesures nécessaires pour ne pas tenir la réunion ICANN67 en personne à Cancún, au Mexique.
Il est résolu (2020.02.19.02), comme le Conseil
d’administration a décidé de ne pas se rendre à Cancún, au Mexique pour
l’ICANN67, que le Conseil d’administration ordonne au Président et au Directeur
général de l’ICANN de remplacer
l’ICANN67 par la première réunion publique organisée à distance. »
Le communiqué du Board ICANN confirme ainsi que le sommet
habituellement tenu en présentiel va pour la première fois être entièrement géré
à distance avec des moyens encore à préciser.
Si la tenue d’un tel rendez-vous à distance est inédite, il
est à noter que par le passé ICANN a déjà remis en question l’organisation des
réunions pour des raisons similaires. En effet en juin 2016 par exemple, ICANN
avait décidé de déplacer l’ICANN56 de Panama City à Helsinki en Finlande pour
cause de virus Zika. La seule différence est que la décision avait pu être
davantage anticipée.
C’est d’ailleurs pour cela que ICANN s’est déjà emparé du sujet pour la tenue des événements suivants l’ICANN67 : le GDD Summit prévu à Paris en mai puis l’ICANN68 prévu à Kuala Lumpur en Malaisie en juin.
En novembre 2019, un communiqué
annonçait que le registre du .ORG, le Public Interest Registry
(PIR), organisme sans but lucratif géré par l’Internet Society, allait être
racheté par Ethos Capital, un fonds d’investissement.
Le .ORG est l’extension de
référence pour les organisations à but non
lucratif. L’acquisition du PIR par Ethos a rapidement inquiété les structures
utilisant le .ORG au motif du dévoiement potentiel de l’extension par son
nouveau propriétaire qui, par essence même, a des visées lucratives.
La crainte ? Que les tarifs
d’enregistrements et de renouvellements des noms de domaine en .ORG
n’augmentent.
Pourtant, des personnalités clés
du monde de l’Internet, comme Andrew Sullivan (directeur de l’Internet Society)
se sont enthousiasmées, y voyant un partenariat stratégique fort et un apport
financier important permettant à l’Internet Society de poursuivre sa mission
d’un « Internet plus ouvert, accessible et sécurisé pour tout le
monde », tel qu’il l’écrivait dans le communiqué relatif à l’acquisition
du 13 novembre 2019.
Il semblerait que les peurs
générées trouvent leur origine dans ce rachat « surprise » et peu
transparent, puisque le montant de la transaction n’a pas été révélé.
Ces craintes se font bien sûr le
corolaire de la suppression le 30 juin 2019 du plafond imposé jusqu’alors aux
tarifs du .ORG (historiquement bas), par l’ICANN, malgré les nombreuses
réserves émises par la communauté. Enfin, le fait qu’Ethos ait directement ou
indirectement des liens étroits avec des anciens de l’ICANN posent problèmes à
plusieurs voix du secteur.
La peur de voir les prix du .ORG flamber a poussé l’Electronic Frontier Foundation (EFF) à lancer la campagne SaveDotOrg dont le but est de sensibiliser au potentiel impact que pourrait avoir une augmentation tarifaire du .ORG sur les contraintes budgétaires des ONG.
La possibilité également qu’Ethos
Capital mette ensuite en place un principe de protections des droits qui
pourrait mener à une forme de censure, comme la pratiquent actuellement
certains pays souhaitant faire taire des ONG.
Devant la levée de bouclier,
l’ICANN a suspendu l’opération de rachat en décembre dernier et réclame des
éclaircissements à l’Internet Society.
Plus récemment, en janvier 2020,
un nouveau candidat à la reprise de l’extension .ORG vient de se faire
connaître. Il s’agirait d’une société coopérative (Cooperative Corporation of
.ORG Registrants) rassemblant certains pionniers du Web et d’anciens membres de
l’ICANN.
Fin juin, l’ICANN a tenu son 62ième sommet dans la capitale de Panama. Ce sommet dit « intermédiaire » dans la mesure où il s’agit du second des trois rendez-vous annuels que donne l’ICANN à la communauté internet, a été l’occasion d’annonces suivies par Nameshield qui était sur place.
Un sommet plus mesuré
Du 25 au 28 juin dernier, l’ICANN tenait à Panama city son 62ième sommet. Ce rendez-vous de milieu d’année se veut habituellement moins démonstratif que les sommets de début et de fin d’année. En pratique rien ne change mais quand on y regarde de plus près on note de petites différences dans les pauses et les déjeuners qui se transforment en déjeuners privés et les cocktails plus rares et davantage mesurés. Selon nos sources, il s’agirait avant tout d’une question d’équilibre budgétaire car l’ICANN a une feuille de route budgétaire pour ses événements et cela relève plutôt du sens d’une bonne gestion que de limiter les dépenses en milieu d’année.
Davantage de transparence et d’échanges entre instances
Autre fait notable, comparativement à des sommets antérieurs, l’agenda des meetings sur place employait moins souvent la terminologie « Closed session » (session fermée). Cette évolution vers davantage de transparence est notamment illustrée par le GAC, le comité consultatif des gouvernements, dont presque toutes les sessions étaient ouvertes au public alors qu’il y a peu leurs sessions étaient majoritairement fermées. Parallèlement à cette évolution, on note également que les instances représentatives de certains acteurs comme les registres, les registrars ont davantage échangé entre elles et cela de manière publique. Cela veut-il pour autant dire que tout va bien dans le meilleur des mondes ?
De gauche à droite : Donna Austin Chair du groupe des registres RySG, Heather Forrest chair du GNSO (Generic Names Supporting Organization), et Manal Ismail chair du GAC (Governmental Advisory Committee).
Le RGPD encore et toujours
Non, il y a bien des écueils. Le RGPD, le fameux règlement européen sur la protection des données personnelles, voté en 2016 par le Parlement Européen et entré en vigueur le 25 mai dernier en est la meilleure illustration. Sur ce sujet, la communauté internet n’est pas parvenue à un consensus pour adapter l’industrie des noms de domaine aux enjeux de ce Règlement. Si certains diront que l’ICANN s’y est intéressée trop tardivement, l’ICANN a dû imposer à l’arrachée des Spécifications Temporaires qui ont été votées le 17 mai pour application le 25 mai. Ces mesures souvent contraignantes pour les registres et registrars, comme le masquage de toutes les données personnelles du Whois, dans un délai aussi court, ont occasionné un surcroit de charge et pour la première fois une fragmentation de services entre prestataires, tous n’appliquant pas ces règles de la même manière.
Pour sortir de cette situation inédite, l’un des enjeux principaux de Panama, était donc de lancer un processus qui doit permettre de remplacer ces règles temporaires par des règles consensuelles avant mai 2019. Il faut savoir en effet que la durée d’application de règles temporaires ne peut pas excéder une année.
Sur ce plan, Panama aura atteint son objectif car le lancement du processus de consultation et de révision a été officialisé à Panama. Ce travail qui doit aboutir pour la fin d’année par la remise d’un rapport va être suivi de près par les autorités européennes ainsi qu’Europol qui ont demandé à ce que les choses avancent vite.
Dans ce contexte, Nameshield était heureux de porter les intérêts des entreprises européennes dans des débats où les entreprises américaines étaient omniprésentes.
L’audit du dernier round dans le timing
L’autre grand sujet de Panama était l’avancée de la revue du dernier round des nouvelles extensions qui remonte déjà à 2012. L’audit de ce round qui a débuté en 2016 devait aboutir à un rapport global en fin d’année. Panama aura permis de constater que le timing de ce travail de longue haleine était globalement tenu dans la mesure où quatre des cinq groupes de travail qui ont planché sur ce sujet ont présenté à Panama un rapport préliminaire qui sera complété d’ici à la fin de l’année par le travail du dernier groupe de travail qui se penche lui sur l’utilisation plus large de termes géographiques en tant qu’extension internet.
Rendez-vous à Barcelone pour l’ICANN63
Dans un peu plus de trois mois, se tiendra à Barcelone le dernier sommet annuel de l’ICANN. Ce sommet auquel participera Nameshield sera l’occasion de mesurer l’avancée des sujets précités.
J’évoquais dans un précédent billet le retard de l’ICANN quant aux possibilités d’application du règlement général sur la protection des données (RGPD).
A un mois et une semaine de la deadline, force est de constater qu’à date rien n’a encore évolué. Et côté ICANN, les échanges sont plus que variés.
Rappel du contexte : L’ICANN est une organisation américaine, et autant dire que la première puissance mondiale n’a pas toujours eu l’habitude de se conformer aux desiderata des uns et des autres. Or, les Européens ont voté en avril 2016 un règlement, appelé RGPD et dont l’application devait se faire deux ans et un jour après la date d’entrée en vigueur, soit le 25 mai 2018.
Et même si le fameux règlement a été voté en Europe, toutes les parties sont concernées : l’ICANN n’a d’autre choix que de se conformer également et si l’organisation ne l’a pas encore fait, la deadline, elle, approche.
Si l’on devait caricaturer les dialogues, voilà ce que cela donnerait :
ICANN : On a sous-estimé l’impact du RGPD, comment fait-on ?
G29 : Soyez conformes au RGPD et tout ira bien.
ICANN : Mais on ne sait pas faire, aidez-nous.
G29 : OK, mais soyez prêts pour le 25 mai.
ICANN : On n’y arrive pas, donnez-nous plus de temps.
G29 : Non, dura lex, sed lex
Alors que l’ICANN ne trouve pas de solution, les registres et registrars se conforment comme ils le peuvent au RGPD. Ces avancées à tâtons ne sont que des expérimentations. Le gouvernement des États-Unis a décidé d’intervenir : https://www.theregister.co.uk/2018/04/17/us_government_whois_debacle/.
Affaire à suivre avant le 25 mai.
Nameshield utilise des cookies
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience🍪.
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience. Plus d'informations dans notre politique de cookies 🍪.
Ces cookies sont essentiels au bon fonctionnement du site web. Ils assurent les fonctionnalités de base et les fonctions de sécurité du site web, de manière anonyme.
Cookie
Durée
Description
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional
1 year
The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
Ces cookies aident à réaliser certaines fonctionnalités comme le partage du contenu du site web sur les plateformes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités de tiers.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Ces cookies sont utilisés pour comprendre comment vous arrivez sur notre Site et pour mesurer le nombre de visiteurs.
Cookie
Durée
Description
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14
1 minute
Set by Google to distinguish users.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT
2 years
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
Ces cookies sont utilisés pour vous proposer des offres et services personnalisés, plus adaptés à vos centres d’intérêts.
Cookie
Durée
Description
NID
6 months
NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE
5 months 27 days
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
session
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
