ICANN66 Montréal – Un sommet contrasté

Lors de la première quinzaine de novembre s’est tenu à Montréal au Canada, le 66ième sommet de l’ICANN. Ce troisième et dernier sommet annuel consacré aux policies applicables au nommage internet était très attendu tant les sujets en débats sont nombreux. A sa clôture, il a pourtant laissé bon nombre de participants sur leur faim.

Un avant-goût des sujets et des postures lors du week-end précédant le lancement officiel du Sommet

Le week-end qui précède l’ouverture officielle du Sommet est généralement l’occasion d’avoir un aperçu des sujets et postures en présence. Sans surprise, le processus expéditif (ePDP) qui vise à développer une règle consensuelle pour préciser les conditions d’accès futures aux données personnelles qui ne sont plus publiées dans le WHOIS, l’annuaire de recherches des noms de domaine, pour cause de RGPD, est l’un des sujets majeurs.

Parmi les autres sujets connexes le remplacement de ce même WHOIS par le protocole RDAP (Registration Data Access Protocol) sans doute l’année prochaine pour les noms de domaine génériques. Ce remplacement n’est pas anodin quand on sait que le WHOIS est en usage depuis près de 35 ans.

L’instance représentant les gouvernements, le GAC, a quant à lui mis dans la balance le sujet des usages malveillants de noms de domaine qui ont pris un essor considérable sur les nouvelles extensions internet lancées en 2012. Quand on connait l’essor de pratiques internet visant à peser les élections de certains pays et l’impact économique des attaques et piratages informatiques, on comprend que ce sujet soit poussé par le GAC. Si l’un des sujets de l’ICANN est de clarifier dans leurs textes la notion d’usages malveillants, cette expression fait référence aux domaines enregistrés pour le phishing, les logiciels malveillants, les botnets et le spam, l’autre volet concerne les moyens de les endiguer. L’existence de ces domaines abusifs menace en effet l’infrastructure DNS, impacte la sécurité des consommateurs et constitue une menace pour les actifs critiques des entités publiques et commerciales. Enfin et ce n’est pas une surprise, le sujet d’un prochain round de nouvelles extensions a lui aussi été sur bien des lèvres.

ICANN66 Montréal
Cherine Chalaby à la tribune de l’ICANN Summit de Montréal

« Le meilleur sommet ICANN », vraiment ?

Lors de la traditionnelle cérémonie d’ouverture qui voit converger une heure durant tous les convives (2500 selon les propos de Goran Marby le CEO de l’ICANN) dans une immense salle pour écouter divers orateurs dont Martin Aubé du Ministère de l’Économie et de l’Innovation du Gouvernement du Québec, Cherine Chalaby, l’un des membres du Board ICANN dont le mandat se termine en cette fin d’année, indiquait à son auditoire que l’ICANN66 allait être le « meilleur sommet ICANN ». Il faut dire pourtant qu’à la fin de la semaine de débats et de réunions qui se sont enchaînés à un rythme effréné, alors que les sujets en débats sont nombreux, le sentiment concernant cette assertion était plus que mitigé pour beaucoup de participants.

D’abord, le processus expéditif pour l’accès aux données non publiques du WHOIS avance avec un cadre contraint par l’ICANN et les Autorités de Protection des Données Personnelles. L’aboutissement de ce processus est envisagé entre avril et juin 2020 et c’est actuellement un modèle centralisé où ICANN autoriserait la levée future d’anonymat des données qui sont désormais masquées pour cause de RGPD qui tient la corde.

Ensuite, le sujet qui a sans doute le plus souvent été cité lors de cette nouvelle semaine de sommet, a concerné les usages abusifs avec les noms de domaine. Pour ICANN, le sujet est central car il est directement corrélé à leur totem : la stabilité de l’Internet dont ils sont les garants. Depuis février 2019, ICANN publie certaines métriques sur les pratiques malveillantes identifiées au travers du DAAR, Domain Abuse Activity Reporting.

Leur dernier rapport présenté à Montréal montre que 364 extensions (principalement des nouvelles extensions issues du round de 2012) ont révélé au moins une menace portée par l’un des noms de domaine activés sur ces extensions. Plus préoccupant, les nouvelles extensions génériques concentreraient près de 40% des usages malveillants, contre 60% pour les extensions génériques historiques. Ce chiffre est en effet à mettre en relief avec la volumétrie de ces deux catégories d’extensions. En effet sur un peu plus de 200 millions de noms génériques, les nouvelles extensions génériques ne représentent que 15% du total des noms enregistrés. ICANN souhaite donc que ce sujet soit pris à bras le corps par la communauté.

Des propositions ont été faites par les diverses instances présentes, certaines allant jusqu’à demander un processus de développement de nouvelles policies (PDP). Cette dernière proposition si elle devait obtenir l’aval de l’ICANN aurait pour fâcheuse conséquence de reporter l’hypothétique calendrier d’un prochain round de nouvelles extensions, sujet qui intéressait pourtant beaucoup de convives présents à Montréal. En effet pour ICANN le problème de la concentration des pratiques malveillantes dans les nouvelles extensions génériques doit être solutionné avant tout futur round, ceci faisant que le PDP toujours en cours sur la revue du dernier round de 2012 est presque passé inaperçu. 

Si les règles tardent à évoluer sur les usages malveillants, votre consultant Nameshield peut vous apporter dès à présent des solutions adaptées à vos besoins.

Les chantiers de l’après ICANN64

Il y a un mois se tenait à Kobe au Japon le premier rendez-vous annuel de l’ICANN avec la communauté internet. A l’occasion de ce sommet, ICANN a présenté les grands chantiers de l’année et ceux des années à venir. Retour sur les grands sujets.

La contrainte du RGPD toujours en filigrane

Alors qu’en mai 2018, l’Europe se dotait d’une législation ambitieuse pour protéger les données personnelles des utilisateurs, ICANN de son côté imposait un cadre règlementaire aux acteurs des noms de domaine pour conformer cette industrie aux contraintes du RGPD.

Faute de consensus, ce cadre a été imposé à l’arrachée au moment de l’entrée en vigueur du RGPD, le 25 mai 2018. Il prévoit des dispositions non consensuelles comme le fait de ne plus publier dans le service d’annuaire d’enregistrement du registre qui fonctionne actuellement via le protocole Whois, les données assimilables à des données personnelles pour les contacts associés aux noms de domaine : contacts propriétaires, contacts administratifs, contacts techniques. Exit donc les noms, prénoms, adresses postales, numéros de téléphone et anonymisation des adresses emails ou masquage via un formulaire de contact.

Cependant comme le prévoient les Bylaws, règles qui régentent le rôle et le fonctionnement de l’ICANN, les règles non consensuelles ne peuvent être imposées au-delà d’une année. ICANN avait donc l’échéance de mai 2019 en tête tout au long du meeting de Kobe.

Pour construire la suite, ICANN avait engagé l’année passée un processus accéléré de développement de nouvelles règles (ePDP), dont la délicate mission était d’élaborer des règles consensuelles pour remplacer les dispositions temporaires actuellement en place.

Peu avant l’ICANN64, ce groupe de travail auquel participe Nameshield avait remis ses propositions au GNSO, l’instance ICANN qui gère l’élaboration des politiques applicables aux noms de domaine génériques. Ce rapport actuellement ouvert à commentaires doit aboutir à un cadre final qui va être soumis au Board ICANN début mai pour vote et promulgation dans la foulée.

Les propositions esquissent une date butoir de mise en œuvre d’ici au 29 février 2020. ICANN a donc concentré ses efforts sur la gestion de la période transitoire entre mai 2019 et cette échéance encore lointaine de février 2020. L’approche qui prévaut est plutôt pragmatique, car elle consiste à conserver les dispositions en place actuellement comme le masquage des données personnelles dans le Whois jusqu’à ce que l’ensemble des nouvelles dispositions puissent être mises en œuvre par les acteurs tels que les bureaux d’enregistrement et les registres d’ici à la date butoir précitée.

L’accès aux données masquées sujet de crispations

Lancé en 2012 lors du dernier round d’ouvertures de nouvelles extensions, mais rapidement relégué dans les cartons, le protocole RDAP (Registration Data Access Protocol), alternative au protocole vieillissant du Whois, a refait surface avec le RGPD en raison de sa modularité qui permet, contrairement au Whois, de filtrer l’accès à certaines données selon le profil de l’utilisateur.

ICANN a confirmé à Kobe que ce protocole allait être largement déployé d’ici à cet été. Dans un premier temps ce protocole doit cohabiter au côté du protocole Whois. Les bureaux d’enregistrement offriront donc un accès aux données des noms de domaine au travers des deux protocoles.

Les acteurs présents à l’ICANN64 ont également pu prendre connaissance du projet soumis par un groupe d’études techniques mandaté par ICANN sur le fonctionnement envisagé au travers du protocole RDAP de l’accès aux données masquées des noms de domaine. Ce sujet a été l’objet de crispations car il n’est pas issu d’un processus consensuel, et ICANN pourrait y jouer un rôle central en recueillant l’ensemble des demandes pour valider leur autorisation, l’authentification des demandes étant procédée en amont par des agents accrédités par les autorités de protection des données. Ce sujet fait également partie de la nouvelle mission du groupe travaillant sur le développement des politiques (ePDP) dans les mois à venir. Les choses peuvent donc évoluer sur ce sujet dans le futur.

Les chantiers de l’après ICANN64
Goran Marby, le Président de l’ICANN s’exprimant sur le fonctionnement envisagé de l’accès aux données masquées du futur RDAP des noms de domaine

Un plan stratégique pluriannuel

A l’occasion de l’ICANN64, ICANN a également présenté l’avancement de la mise en place d’un plan stratégique de fonctionnement de l’organisation pour la période 2021-2025.

L’adoption d’un plan quinquennal est une première pour cette organisation qui a toujours fonctionné sur une base annuelle. Ce plan doit déterminer les priorités des années à venir ce qui est également une nouveauté dans un contexte où de multiples chantiers ont toujours été menés de front sans réelles priorisations.

On sait déjà que la sécurité du DNS est l’un des enjeux majeurs de la période à venir. Parmi les priorités égrenées on dénote en effet la lutte renforcée contre les malwares et la sécurisation accrue du DNS via notamment le déploiement plus rapide du DNSSEC.

Pour le prochain round d’ouvertures de nouvelles extensions également cité, ICANN a également indiqué tenir compte des enseignements du précédent round. Parmi eux, les nouvelles extensions sont dix fois plus visées que ne le sont les extensions génériques historiques (.COM, .NET, .ORG, .BIZ, .INFO notamment) par des pratiques malveillantes telles que le typosquatting et le dotsquatting sur lesquels prolifèrent les pratiques de type phishing et pharming.

N’hésitez pas à vous rapprocher de votre consultant Nameshield très en pointe sur l’ensemble de ces sujets.

ICANN : l’avenir incertain du célèbre WHOIS au cœur du meeting 61 de Porto Rico

ICANN : l’avenir incertain du célèbre WHOIS au cœur du meeting 61 de Porto Rico
Source de l’image: Wokandapix via Pixabay

L’ICANN, organisme international dont l’objectif est de piloter la gestion internationale de l’attribution des noms de domaine et des adresses, vient de partager ses inquiétudes concernant sa base de données. D’après les explications apportées par Akram Atallah à l’AFP, président de la Global Domains Division à l’ICANN, l’organisation internationale craint que les noms de domaine des utilisateurs ne soient confrontés au droit à l’oubli numérique.

Grâce à une base de données baptisée « WHOIS » ou « Qui est-ce », l’ICANN conserve tous les noms de domaine et les renseignements liés à leurs propriétaires comme l’e-mail, les adresses et le téléphone par exemple. Les données WHOIS étant publiques, la mise à disposition de ces informations pose problème dans le cadre de l’application du RGPD.

En effet, au moment où le RGPD, Règlement général sur la protection des données, entrera en vigueur, le 25 mai 2018, les informations présentes dans les WHOIS ne devraient plus, en principe, apparaître ainsi et être conservées…

Des contraintes à prendre en compte

Seules les informations relatives à des individus sont concernées par le RGPD. Toutefois, le fait que des personnes puissent être identifiées d’une manière ou d’une autre dans la base peut poser un grand problème (de nombreuses extensions exigent à l’enregistrement un contact nominatif, quand bien même le titulaire du nom de domaine serait une entreprise).

Pourtant, en parallèle, la transparence sur Internet est de plus en plus sollicitée par les internautes, surtout afin de lutter efficacement contre ceux qui tentent d’influencer l’opinion publique.

D’après Monsieur Atallah, l’ICANN cherche à « trouver un équilibre » compte tenu des contraintes auxquels l’organisme est nouvellement confronté.

En quête d’une solution pour préserver la base de données de l’ICANN

Préoccupé par le fait que le format WHOIS et les informations associées puissent donc enfreindre le nouveau règlement européen, l’ICANN a organisé, lundi, une série de réunions dans le cadre du meeting ICANN 61 à San Juan, Porto Rico : trouver une solution pour préserver le WHOIS était à l’ordre du jour.

D’après les affirmations d’Akram Atallah : « Nous allons essayer de trouver une voie à suivre ». Il a d’ailleurs ajouté qu’ « il y a encore beaucoup de travail, mais nous travaillons le plus vite possible ».

L’ICANN cherche activement des arguments solides qui lui permettront de justifier largement que le WHOIS joue en la faveur de tout un chacun. Akram Atallah a de plus déclaré : « Nous proposons d’essayer de conserver au maximum nos règles actuelles, tout en restant respectueux de la législation ».

Il a indiqué qu’une base de données répartie sur deux niveaux pourrait être la solution. Le premier niveau gardera ses paramètres actuels notamment l’accès au public. Le deuxième niveau serait quant à lui gardé confidentiel, et l’accès uniquement autorisé aux chercheurs, à la police et toute autre organisation présentant une demande légitime : « Nous interrogeons les organismes de protection des données en Europe pour leur demander leur avis sur cette idée ».

Affaire à suivre, et de près.

 

Pour en savoir plus sur le RGPD, découvrez l’article de Maxime Benoist: Actualités de l’ICANN sous le prisme du RGPD.