Lors de la première quinzaine de novembre s’est tenu à Montréal au Canada, le 66ième sommet de l’ICANN. Ce troisième et dernier sommet annuel consacré aux policies applicables au nommage internet était très attendu tant les sujets en débats sont nombreux. A sa clôture, il a pourtant laissé bon nombre de participants sur leur faim.
Un avant-goût des sujets et des postures lors du week-end précédant le lancement officiel du Sommet
Le week-end qui précède l’ouverture officielle du Sommet est généralement l’occasion d’avoir un aperçu des sujets et postures en présence. Sans surprise, le processus expéditif (ePDP) qui vise à développer une règle consensuelle pour préciser les conditions d’accès futures aux données personnelles qui ne sont plus publiées dans le WHOIS, l’annuaire de recherches des noms de domaine, pour cause de RGPD, est l’un des sujets majeurs.
Parmi les autres sujets connexes le remplacement de ce même WHOIS par le protocole RDAP (Registration Data Access Protocol) sans doute l’année prochaine pour les noms de domaine génériques. Ce remplacement n’est pas anodin quand on sait que le WHOIS est en usage depuis près de 35 ans.
L’instance représentant les gouvernements, le GAC, a quant à lui mis dans la balance le sujet des usages malveillants de noms de domaine qui ont pris un essor considérable sur les nouvelles extensions internet lancées en 2012. Quand on connait l’essor de pratiques internet visant à peser les élections de certains pays et l’impact économique des attaques et piratages informatiques, on comprend que ce sujet soit poussé par le GAC. Si l’un des sujets de l’ICANN est de clarifier dans leurs textes la notion d’usages malveillants, cette expression fait référence aux domaines enregistrés pour le phishing, les logiciels malveillants, les botnets et le spam, l’autre volet concerne les moyens de les endiguer. L’existence de ces domaines abusifs menace en effet l’infrastructure DNS, impacte la sécurité des consommateurs et constitue une menace pour les actifs critiques des entités publiques et commerciales. Enfin et ce n’est pas une surprise, le sujet d’un prochain round de nouvelles extensions a lui aussi été sur bien des lèvres.
« Le meilleur sommet ICANN », vraiment ?
Lors de la traditionnelle cérémonie d’ouverture qui voit converger une heure durant tous les convives (2500 selon les propos de Goran Marby le CEO de l’ICANN) dans une immense salle pour écouter divers orateurs dont Martin Aubé du Ministère de l’Économie et de l’Innovation du Gouvernement du Québec, Cherine Chalaby, l’un des membres du Board ICANN dont le mandat se termine en cette fin d’année, indiquait à son auditoire que l’ICANN66 allait être le « meilleur sommet ICANN ». Il faut dire pourtant qu’à la fin de la semaine de débats et de réunions qui se sont enchaînés à un rythme effréné, alors que les sujets en débats sont nombreux, le sentiment concernant cette assertion était plus que mitigé pour beaucoup de participants.
D’abord, le processus expéditif pour l’accès aux données non publiques du WHOIS avance avec un cadre contraint par l’ICANN et les Autorités de Protection des Données Personnelles. L’aboutissement de ce processus est envisagé entre avril et juin 2020 et c’est actuellement un modèle centralisé où ICANN autoriserait la levée future d’anonymat des données qui sont désormais masquées pour cause de RGPD qui tient la corde.
Ensuite, le sujet qui a sans doute le plus souvent été cité lors de cette nouvelle semaine de sommet, a concerné les usages abusifs avec les noms de domaine. Pour ICANN, le sujet est central car il est directement corrélé à leur totem : la stabilité de l’Internet dont ils sont les garants. Depuis février 2019, ICANN publie certaines métriques sur les pratiques malveillantes identifiées au travers du DAAR, Domain Abuse Activity Reporting.
Leur dernier rapport présenté à Montréal montre que 364 extensions (principalement des nouvelles extensions issues du round de 2012) ont révélé au moins une menace portée par l’un des noms de domaine activés sur ces extensions. Plus préoccupant, les nouvelles extensions génériques concentreraient près de 40% des usages malveillants, contre 60% pour les extensions génériques historiques. Ce chiffre est en effet à mettre en relief avec la volumétrie de ces deux catégories d’extensions. En effet sur un peu plus de 200 millions de noms génériques, les nouvelles extensions génériques ne représentent que 15% du total des noms enregistrés. ICANN souhaite donc que ce sujet soit pris à bras le corps par la communauté.
Des propositions ont été faites par les diverses instances présentes, certaines allant jusqu’à demander un processus de développement de nouvelles policies (PDP). Cette dernière proposition si elle devait obtenir l’aval de l’ICANN aurait pour fâcheuse conséquence de reporter l’hypothétique calendrier d’un prochain round de nouvelles extensions, sujet qui intéressait pourtant beaucoup de convives présents à Montréal. En effet pour ICANN le problème de la concentration des pratiques malveillantes dans les nouvelles extensions génériques doit être solutionné avant tout futur round, ceci faisant que le PDP toujours en cours sur la revue du dernier round de 2012 est presque passé inaperçu.
Si les règles tardent à évoluer sur les usages malveillants, votre consultant Nameshield peut vous apporter dès à présent des solutions adaptées à vos besoins.