PDP Archives - L'actualité cybersécurité, propriété intellectuelle et noms de domaine

ICANN73 ou la difficile équation de préserver un modèle fragilisé

L’ICANN garante d’une « résolution universelle » de l’Internet pour tous les internautes, est ces dernières années confrontée à des difficultés nouvelles qui fragilisent l’instance et son modèle. Son mode de fonctionnement a dû être adapté à une pandémie mondiale inédite et son modèle d’un Internet global est aujourd’hui questionné par les velléités croissantes d’États de s’émanciper de ce dernier, le conflit tragique en Ukraine éloignant un peu plus l’Oural des Rocheuses. Mais les difficultés viennent aussi de son environnement immédiat avec l’essor des racines alternatives. C’est dans ce contexte et suite à une précédente édition marquée par des crispations autour des sujets qui font son actualité et qui peinent à avancer, que s’est ouvert un 73^ième sommet très attendu.

Une fois n’est pas coutume, le coup d’envoi du 73^ième sommet de l’ICANN n’a pas été donné un lundi, jour prévu pour les premières sessions de travail. Le dimanche 6 mars, l’ICANN a en effet publié un communiqué indiquant que son conseil d’administration a décidé d’allouer une somme initiale de 1 million de dollars US d’assistance financière afin de soutenir l’accès à l’infrastructure Internet dans les situations d’urgence de l’Ukraine. Une façon de lancer une édition où le conflit en Ukraine allait forcément être présent dans tous les esprits et dans bien des débats.

Le conflit en Ukraine en filigrane

En effet le lundi après-midi la toute première session plénière du sommet, celle du GAC, l’instance représentant les gouvernements, a débuté sur une condamnation des actions de la Russie en Ukraine. Plusieurs membres du GAC dont celui de la France ont pris la parole.

Deux semaines plus tôt, l’Ukraine était en proie aux premières frappes russes. L’Ukraine par la voie de Mykhailo Fedorov, Vice premier ministre et ministre de la transformation numérique avait alors demandé à l’ICANN de cibler l’accès de la Russie à l’Internet en révoquant les domaines de premier niveau des codes pays spécifiques opérés depuis la Russie, la révocation des certificats SSL associés aux noms et à fermer un sous-ensemble de serveurs racines localisés en Russie. Une demande à laquelle ICANN avait répondu par la négative dans une lettre adressée par Goran Marby, patron de l’ICANN, au Ministre rappelant que la mission de l’ICANN était de prendre des mesures pour assurer un fonctionnement de l’Internet global et non politisé. L’ICANN est une instance neutre a ainsi répété Goran Marby lors du Forum public qui clôturait le sommet.

Des perspectives pour les processus de développements de politiques en cours

On se souviendra que lors du précédent sommet de l’ICANN, les crispations étaient palpables dans certaines instances, notamment celle représentant les registres en raison de processus de développements de politiques qui se sont allongés avec des étapes additionnelles comme les ODP (Operational Design Phase) qui interviennent désormais entre la restitution des recommandations et le vote du Board sur ces dernières.

Le premier sujet qui a essuyé les plâtres de cette étape ODP est celui du Système Standardisé d’Accès aux Données. Ce système connu sous l’acronyme SSAD est en discussion depuis plus de trois années dans le cadre d’un processus de développement de politiques dit ‘ePDP’ dont le SSAD est corrélé à la phase 2. Il doit permettre de revenir à un modèle d’accès plus uniforme aux données d’enregistrement des noms de domaine lors de demandes légitimes. Pourtant l’ODP qui vient d’être finalisée avec six mois de délai par rapport au calendrier initial estimé, a mis en lumière la difficulté de cadrer ce projet. Le nombre d’utilisateurs est en effet estimé entre 25 000 et 3 millions pour adresser 100 000 à 12 millions de requêtes, des valeurs qui induisent une fourchette de coûts de mise en place et de maintenance particulièrement large (de 34 à 134 millions de dollars US) et par conséquent des frais d’accès au futur système très difficiles à évaluer, l’idée étant de financer le dispositif exclusivement avec les coûts d’accès. Lors de l’ICANN73 une porte de sortie a pointé son nez : Créer un projet pilote pour limiter les risques, en d’autres termes envisager un SSAD à échelle réduite avant de considérer la suite.

On a pu noter que la phase 1 de l’ePDP précité a désormais une ligne d’arrivée. Elle est estimée à fin 2022. Cette phase vise à créer une politique pérenne pour remplacer une Specification Temporaire qui adressait le RGPD dans l’écosystème des noms de domaine en 2018.

L’autre grand sujet est celui d’une prochaine série de nouvelles extensions génériques. Rappelons en effet que la précédente série va fêter ses dix années en 2022. Depuis, c’est un processus de développement de politiques (PDP) qui s’est étiré de décembre 2015 à février 2021 où l’instance représentant les politiques génériques, le GNSO, avait adopté le rapport final de recommandations. En septembre dernier, le Board ICANN a décidé d’engager un processus ODP qui pourrait durer jusqu’au début de l’année prochaine. Ce sujet a suscité de vives critiques car la ligne d’arrivée semble repoussée de plus en plus alors que dix années se sont écoulées depuis le dernier round. Une piste a néanmoins été discutée lors de l’ICANN73, celle de débuter les travaux d’implémentation sans tarder, une proposition qui, si elle a plutôt déplu au patron de l’ICANN, a été accueillie plutôt positivement par le Board de l’ICANN qui pourtant ne devrait se prononcer sur les recommandations du rapport final du processus PDP qu’après la fin de l’ODP.

Aspects géopolitiques, législatifs et règlementaires, une nouveauté

Parmi les nouveautés de ce sommet, on a pu noter une session plénière consacrée aux aspects géopolitiques, législatifs et règlementaires. Cette session a permis de faire un tour d’horizon des nombreuses initiatives qu’elles viennent d’institutions comme l’Organisation des Nations Unies, l’Union des Télécoms Internationale, du Conseil de l’Europe ou de l’OCDE ou d’Etats comme la Russie avec la loi de souveraineté numérique ou la Chine avec la loi sur la Cybersécurité et la sécurité des données. Cette session a également permis de clarifier des perceptions comme la position de l’ICANN sur la directive européenne NIS2. Goran Marby a indiqué que l’ICANN n’a pas de position officielle sur ce sujet.

Le retour du GDD summit ?

Jusqu’en 2019, l’ICANN proposait en plus des trois sommets consacrés aux politiques, un sommet plus opérationnel appelé GDD Summit. Ce dernier a été abandonné dans le contexte de pandémie mondiale et n’a depuis plus été évoqué. La possibilité de relancer ce dispositif a été remise sur la table lors de l’ICANN73. Il pourrait donc y avoir un quatrième rendez-vous annuel donné par l’ICANN dès la fin de cette année, novembre ayant été évoqué pour sa possible tenue. Il y aura néanmoins d’ici là, l’ICANN74 en juin et l’ICANN75 en septembre, deux événements où le mode hybride, présentiel et distanciel, tient la corde.

Commentaires Nameshield

L’ICANN 73 a indéniablement été marqué par le conflit en Ukraine. Un conflit qui paradoxalement a permis de retrouver un semblant d’unité avec l’esquisse de solutions comme le fait de permettre aux bureaux d’enregistrement ukrainiens de déroger aux politiques ICANN via un dispositif dit de « circonstances extraordinaires » et de rappeler l’ICANN à ses fondamentaux, une instance apolitique œuvrant pour un Internet global. En dressant un panorama des contextes géopolitiques, législatifs et règlementaires, l’instance semble également avoir pris conscience que le monde à venir risque de rendre la préservation de son modèle d’un Internet globalisé encore plus difficile. Le sentiment après ce sommet est que des propositions et perspectives plus concrètes ont été données sur une partie des sujets débattus.

On notera pour le prochain round, que c’est la menace des racines alternatives au DNS qui se développent qui pourrait donner un coup de boost inattendu au processus en cours. Ces racines qui tendent en effet à se développer pourraient occasionner des collisions entre requêtes si un jour des TLDs identiques cohabitent dans deux environnements, risque d’autant plus accru si ICANN marque le pas sur un futur round. Autre risque : se voir contester l’attribution de TLDs règlementaires alors qu’un TLD identique existerait sur une racine alternative.

ICANN72, entre besoins de priorisation et risques de fragmentation

Fin octobre s’est tenu le 72^ième sommet de l’ICANN consacré au développement des politiques qui impactent le système de noms de domaine (DNS) et la communauté Internet mondiale. Comme déjà annoncé durant cet été, ce dernier rendez-vous annuel allait se tenir en visio-conférences sur le fuseau horaire de Seattle aux Etats-Unis. Les « nuits blanches » n’étaient donc pas du côté de Seattle mais plutôt de l’Europe.

L’épine du prochain cycle de nouvelles extensions génériques

Un mois avant ce sommet, ICANN annonçait le calendrier de la phase de design opérationnelle (ODP) pour l’un des sujets les plus attendus par les parties contractantes : l’organisation d’un nouveau cycle de candidatures à de nouvelles extensions génériques. L’ODP est un nouveau dispositif désormais adossé au processus de développement de politiques (PDP). Il s’apparente à un cadrage de projet car il vise à identifier les étapes, les risques, les coûts et les ressources à allouer pour mettre en œuvre un projet, ici un nouveau cycle d’extensions génériques. Le PDP a été conduit entre 2015 et 2020, avec la remise d’un rapport final de recommandations au Board ICANN en mars de cette année. Ce n’est pourtant qu’en février 2023, soit près de deux années plus tard que le Board devrait examiner ces recommandations, le temps de laisser conduire l’ODP. ICANN a en effet confirmé avant l’ouverture de l’ICANN72 que cette phase de cadrage devrait durer seize mois dans sa totalité dont dix mois pour la conduite de l’ODP, trois mois en amont pour initier ce dernier et notamment constituer les équipes qui vont le conduire et trois mois en aval pour conclure les travaux. Un calendrier qui avait surpris beaucoup de parties contractantes et suscité de nombreux mécontentements. Ces mécontentements se sont particulièrement exprimés au travers du Brand Registry Group qui représente et promeut les intérêts de ses membres, des propriétaires de dotBrand. Au premier jour du sommet de l’ICANN, pour la plupart des membres, les choses n’avancent pas suffisamment vite et l’ODP serait même en partie inutile puisque certains aspects recoupent les travaux déjà conduits durant le PDP préalable. Autre aspect pointé du doigt : un coût de 9 millions de dollars pour cette ODP, une somme non négligeable.

Les nuages s’amoncellent comme les processus en cours

Au fil des autres sessions programmées durant cette semaine de sommet, force est de constater que les nuages ont continué de s’amonceler dans la météo des politiques conduites par l’ICANN. Ainsi par exemple, l’annonce du lancement d’un processus de développement de politique dit expéditif (ePDP) pour réviser la procédure de résolution de litiges UDRP (Uniform Domain-Name Dispute Resolution Policy) qui permet de récupérer des noms de domaine litigieux, a suscité beaucoup d’incompréhension alors qu’une revue sur l’ensemble des mécanismes de protection des droits (RPM) a déjà été conduite entre 2016 et 2020 et que ses recommandations finales n’ont pas encore été examinées par le Board ICANN. Désormais cet examen du Board qui vise à valider les recommandations est prévu au mieux à l’été 2022, date à laquelle l’ePDP précité devrait être finalisé. Cet exemple a illustré le fossé qui est en train de se créer entre les attentes de décisions de la communauté et les instances décisionnaires de l’ICANN qui semblent dépassées par les processus de négociations de politiques qui s’empilent et s’étirent dans le temps, risquant au passage de rendre des décisions caduques si elles sont rendues trop tardivement. De l’aveu de certains, il en va même de la capacité de l’ICANN à toujours assumer sa mission inscrite dans ses textes fondateurs : Préserver et renforcer la stabilité opérationnelle, la fiabilité, la sécurité et l’interopérabilité mondiale de l’Internet.

« Priorisation », le mot est lâché

Dès le premier jour des sessions, Goran Marby, le patron de l’ICANN s’est défendu contre l’idée que le Board tardait à prendre des décisions. Il a ainsi mis en avant que ce dernier a récemment examiné 228 recommandations du Competion Consumer Choice & Consumer Trust (CCT) qui vient de conduire un examen pour évaluer dans quelle mesure l’expansion des extensions génériques, les gTLDs, a favorisé la concurrence, la confiance des consommateurs et leur choix. 166 ont été approuvées à ce jour, 44 placées en attente et 18 rejetées. Beaucoup de ces mesures sont corrélées à des conduites d’études et à la collecte de données pour mieux comprendre les tendances du marché des nouvelles extensions.

Goran Marby, a également justifié les délais sur les prises de décisions en raison du grand nombre de sujets en cours dont certains se chevauchent et par le fait que pour trancher ICANN a parfois besoin d’expertise additionnelle. Pour répondre aux critiques, il a également indiqué que l’ICANN travaille désormais sur une forme de priorisation, un souhait formulé par NAMESHIELD qui semble donc avoir été entendu. Marteen Botterman du Board a toutefois nuancé en précisant que la priorisation n’est pas du ressort du Board car il doit veiller à respecter le modèle multipartite et se doit donc de garder une certaine neutralité sur les sujets qui lui sont soumis.

Un risque de fragmentation

D’une organisation qui a du mal à prendre des décisions, à sa remise en question il n’y a qu’un pas. Dès le premier jour des sessions, Goran Marby, particulièrement impliqué dans les échanges, a parlé de « menaces contre l’ICANN ». ICANN travaille donc à un cadre de gestion des risques de l’organisation. Il a également évoqué le besoin de discuter plus étroitement avec les gouvernements dans un contexte de remise en question du modèle de gouvernance actuel. Il suffit en effet de regarder du côté de la Russie pour voir qu’en novembre 2019, le pouvoir russe a introduit de nouvelles réglementations qui créent un cadre juridique pour une gestion étatique centralisée de l’Internet à l’intérieur des frontières de la Russie. La Russie a également proposé de confier la gestion des serveurs racines à des États membres des BRICS (Brésil, Russie, Inde, Chine et Afrique du Sud). Preuve que les Etats passent à l’offensive au niveau de leurs législations, de récentes directives européennes impactent également la gouvernance comme le Règlement Général sur la Protection des Données (RGPD), ou encore la directive NIS2 (Network and Information Systems) à venir, des sujets également rappelés à l’occasion de ce sommet. Autre exemple, en Chine, c’est une loi renforçant les contrôles sur les services numériques opérés en Chine qui vient d’être adoptée.

L’échec du modèle de gouvernance de l’ICANN s’il venait à se confirmer, pourrait donc conduire à une fragmentation du système DNS tel que nous le connaissons actuellement, une fragmentation qui prend corps à mesure que l’ICANN s’enlise dans des débats stériles. Ce sommet a mis en lumière que la communauté et les dirigeants de l’ICANN ont identifié ce risque. Il s’agit pour l’avenir d’y remédier. Rendez-vous à l’ICANN73 en mars 2022.

Le constat d’enlisement des politiques de régulation du DNS particulièrement présent lors de l’ICANN72 a été largement partagé par NAMESHIELD bien avant ce sommet. NAMESHIELD avait notamment fait part d’un besoin de priorisation des sujets en accord avec la communauté lors de la session préparatoire de l’ICANN72. NAMESHIELD qui participe à des groupes de travail œuvrant aux recommandations dans le cadre des revues périodiques conduites par l’ICANN, a également plaidé pour ré-enchanter le volontariat et pour contribuer à la diversité des représentants dans ces groupes de travail, beaucoup étant aujourd’hui acculés par un volume croissant de sujets à considérer à mesure que les processus s’accumulent et que les décisions ne suivent pas. Quant aux nouveaux participants, ils sont dissuadés de s’intéresser à ces sujets du fait de processus trop longs et trop lourds.

Source de l’image : David Mark via Pixabay

ICANN66 Montréal – Un sommet contrasté

Lors de la première quinzaine de novembre s’est tenu à Montréal au Canada, le 66^ième sommet de l’ICANN. Ce troisième et dernier sommet annuel consacré aux policies applicables au nommage internet était très attendu tant les sujets en débats sont nombreux. A sa clôture, il a pourtant laissé bon nombre de participants sur leur faim.

Un avant-goût des sujets et des postures lors du week-end précédant le lancement officiel du Sommet

Le week-end qui précède l’ouverture officielle du Sommet est généralement l’occasion d’avoir un aperçu des sujets et postures en présence. Sans surprise, le processus expéditif (ePDP) qui vise à développer une règle consensuelle pour préciser les conditions d’accès futures aux données personnelles qui ne sont plus publiées dans le WHOIS, l’annuaire de recherches des noms de domaine, pour cause de RGPD, est l’un des sujets majeurs.

Parmi les autres sujets connexes le remplacement de ce même WHOIS par le protocole RDAP (Registration Data Access Protocol) sans doute l’année prochaine pour les noms de domaine génériques. Ce remplacement n’est pas anodin quand on sait que le WHOIS est en usage depuis près de 35 ans.

L’instance représentant les gouvernements, le GAC, a quant à lui mis dans la balance le sujet des usages malveillants de noms de domaine qui ont pris un essor considérable sur les nouvelles extensions internet lancées en 2012. Quand on connait l’essor de pratiques internet visant à peser les élections de certains pays et l’impact économique des attaques et piratages informatiques, on comprend que ce sujet soit poussé par le GAC. Si l’un des sujets de l’ICANN est de clarifier dans leurs textes la notion d’usages malveillants, cette expression fait référence aux domaines enregistrés pour le phishing, les logiciels malveillants, les botnets et le spam, l’autre volet concerne les moyens de les endiguer. L’existence de ces domaines abusifs menace en effet l’infrastructure DNS, impacte la sécurité des consommateurs et constitue une menace pour les actifs critiques des entités publiques et commerciales. Enfin et ce n’est pas une surprise, le sujet d’un prochain round de nouvelles extensions a lui aussi été sur bien des lèvres.

ICANN66 Montréal — *Cherine Chalaby à la tribune de l’ICANN Summit de Montréal*

« Le meilleur sommet ICANN », vraiment ?

Lors de la traditionnelle cérémonie d’ouverture qui voit converger une heure durant tous les convives (2500 selon les propos de Goran Marby le CEO de l’ICANN) dans une immense salle pour écouter divers orateurs dont Martin Aubé du Ministère de l’Économie et de l’Innovation du Gouvernement du Québec, Cherine Chalaby, l’un des membres du Board ICANN dont le mandat se termine en cette fin d’année, indiquait à son auditoire que l’ICANN66 allait être le « meilleur sommet ICANN ». Il faut dire pourtant qu’à la fin de la semaine de débats et de réunions qui se sont enchaînés à un rythme effréné, alors que les sujets en débats sont nombreux, le sentiment concernant cette assertion était plus que mitigé pour beaucoup de participants.

D’abord, le processus expéditif pour l’accès aux données non publiques du WHOIS avance avec un cadre contraint par l’ICANN et les Autorités de Protection des Données Personnelles. L’aboutissement de ce processus est envisagé entre avril et juin 2020 et c’est actuellement un modèle centralisé où ICANN autoriserait la levée future d’anonymat des données qui sont désormais masquées pour cause de RGPD qui tient la corde.

Ensuite, le sujet qui a sans doute le plus souvent été cité lors de cette nouvelle semaine de sommet, a concerné les usages abusifs avec les noms de domaine. Pour ICANN, le sujet est central car il est directement corrélé à leur totem : la stabilité de l’Internet dont ils sont les garants. Depuis février 2019, ICANN publie certaines métriques sur les pratiques malveillantes identifiées au travers du DAAR, Domain Abuse Activity Reporting.

Leur dernier rapport présenté à Montréal montre que 364 extensions (principalement des nouvelles extensions issues du round de 2012) ont révélé au moins une menace portée par l’un des noms de domaine activés sur ces extensions. Plus préoccupant, les nouvelles extensions génériques concentreraient près de 40% des usages malveillants, contre 60% pour les extensions génériques historiques. Ce chiffre est en effet à mettre en relief avec la volumétrie de ces deux catégories d’extensions. En effet sur un peu plus de 200 millions de noms génériques, les nouvelles extensions génériques ne représentent que 15% du total des noms enregistrés. ICANN souhaite donc que ce sujet soit pris à bras le corps par la communauté.

Des propositions ont été faites par les diverses instances présentes, certaines allant jusqu’à demander un processus de développement de nouvelles policies (PDP). Cette dernière proposition si elle devait obtenir l’aval de l’ICANN aurait pour fâcheuse conséquence de reporter l’hypothétique calendrier d’un prochain round de nouvelles extensions, sujet qui intéressait pourtant beaucoup de convives présents à Montréal. En effet pour ICANN le problème de la concentration des pratiques malveillantes dans les nouvelles extensions génériques doit être solutionné avant tout futur round, ceci faisant que le PDP toujours en cours sur la revue du dernier round de 2012 est presque passé inaperçu.

Si les règles tardent à évoluer sur les usages malveillants, votre consultant Nameshield peut vous apporter dès à présent des solutions adaptées à vos besoins.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description