Les noms de domaine, un domaine en pleine mutation qui rassemble cybersécurité, protection des données personnelles, lutte anti-contrefaçon et même, gouvernance d’internet !
L’ICANN, l’organisme américain de gestion des noms de domaine vient de publier le compte rendu de sa 69e Assemblée générale qui s’est tenue pour la première fois entièrement virtuellement.
Ce document est intéressant car il regroupe les retours d’expérience de plusieurs acteurs de la gestion des noms de domaine. On peut y trouver par exemple, des représentants des États, des registres qui exploitent des extensions (comme l’AFNIC pour le « .fr »), des revendeurs de noms de domaine, des associations de consommateurs, des organismes de défense de la vie privée, des services de renseignements intérieurs comme le FBI, des sociétés spécialisées en cybersécurité ou même de simples utilisateurs.
Les retours de ce savant mélange d’experts démontrent que la gestion des noms de domaine reste un enjeu majeur sur internet.
Bref rappel technique
Un nom de domaine est le résultat d’une conversion entre une adresse IP reconnue sur internet et un « nom » plus facilement mémorisable pour les êtres humains.
Derrière cette conversion, il existe une véritable industrie qui permet à l’ensemble du système de fonctionner et au sommet de laquelle trône l’ICANN.
L’ICANN est un organisme à but non lucratif ayant pour principale mission « d’administrer les ressources numériques d’Internet, telles que l’adressage IP et les noms de domaines de premier niveau (TLD), et de coordonner les acteurs techniques ».
De fait, l’ICANN délègue à des registres le soin d’administrer des extensions appelées « CCTLD ». Il peut s’agir d’extensions territoriales comme le « .fr » pour la France ou des extensions les plus connues comme le « .com » ou le « .net ».
Des revendeurs de noms de domaine viennent ensuite s’accréditer auprès de ces registres ou de l’ICANN pour pouvoir revendre les noms de domaines aux clients finaux.
Ces dernières années, l’ICANN a multiplié la diffusion de nouvelles extensions génériques de noms de domaine appelées « gtld ». Ces extensions ne sont plus rattachées à un État mais à des activités comme les « .sarl », « .law » pour les avocats, à des grandes sociétés comme « .apple », « .nike », ou plus proche de chez nous le « .bnpparibas » pour le site internet du groupe BNP, ou même à des simples notions facilement mémorisables pour les internautes comme par exemple le « .xyz », ou « .lol ».
Le lancement de ces nouvelles extensions ne s’est pas fait sans provoquer quelques grincements de dents. Il faut savoir que l’ICANN a fixé le prix d’une extension aux alentours de 185.000 $ et y a ajouté des frais forfaitaires annuels de 25.000 $. Or l’ICANN a lancé plus de 2.000 extensions depuis 2014…
Un autre grief est régulièrement reproché à l’ICANN. Il s’agit des problématiques de gouvernance d’internet.
Gouvernance d’Internet
En effet, malgré ses tentatives pour sortir du système judiciaire américain, L’ICANN est restée une société californienne qui fait autorité sur des serveurs situés à travers le monde entier. Ainsi, dès 2010, la Russie, l’Inde et la Chine ont fait bloc pour obtenir des droits égaux dans la régulation d’internet.
L’ICANN a obtenu en 2014 de ne plus être liée aux autorités par un contrat signé avec le Département du commerce américain mais elle reste actionnable par un tribunal américain en cas de litige.
Pour donner un sens démocratique à ses décisions, l’ICANN réunit 3 fois par an l’ensemble de l’industrie des noms de domaine dans des Assemblées générales ouvertes à tous et domiciliées successivement sur chaque continent : Marrakech pour la 65e édition en juin 2019, Montréal en novembre 2019 pour la 66e édition, puis totalement virtuellement, pour cause de pandémie liée au COVID 19, pour les 67e édition en mars 2020, 68e édition en juin 2020 et 69e édition en octobre 2020.
C’est le compte rendu de la 69e édition qui vient d’être publié.
Les problèmes récurrents des noms de domaine
Parvenir à rendre compatibles « whois » et « données personnelles » a été le premier problème qui a largement été évoqué lors des travaux de l’AG69.
En effet, avant l’adoption du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la règle générale était que les informations disponibles dans la base whois devaient rester publiques. Ces informations sont les noms, prénoms, adresses physiques, adresses mail et numéros de téléphone du propriétaire du nom de domaine y compris quand il s‘agit de personnes physiques.
Or, ces informations sont toutes à caractère personnel et leur diffusion publique est incompatible avec les règles renforcées de protection des données prévues dans le RGPD.
Tous les registres et les registrar ont dû, en urgence, anonymiser leurs bases whois pour rendre les informations non publiques au grand damne de tous les titulaires de droits ainsi que des entreprises de cybersécurité qui luttent contre l’utilisation frauduleuse des noms de domaine.
Le compte rendu de l’AG69 démontre en outre que les membres de l’ICANN n’arrivent pas à se mettre d’accord sur la définition de « l’abus » d’un nom de domaine.
Comment définir la notion d’ « abus » pour les noms de domaine ?
Certains considèrent qu’un abus ne peut être définit que comme faisant parti de 5 catégories d’utilisation frauduleuse citées ci-dessous :
- DNS permettant la diffusion d’un malware,
- DNS faisant parti d’un botnet,
- DNS utilisé à des fins de phishing,
- DNS utilisé à des fins de pharming ,
- SPAM (utilisé lorsqu’il sert de mécanisme de diffusion des 4 autres usages précédents).
D’autres considèrent, au contraire, qu’un DNS est abusif uniquement quand les données du whois se révèlent inexactes.
D’autres enfin, estiment qu’il y a « abus » d’un DNS dès que le contenu du site web est illicite. C’est la position tenue par de nombreux titulaires de droit.
Cette définition de l’abus est importante car elle va permettre de définir, par la suite, qui va pouvoir accéder aux informations privées d’un whois.
Pourrait-il s’agir uniquement d’autorités publiques ? Certaines autorités publiques ont d’ailleurs souligné que l’adoption du RGPD avait rendu, pour elles-mêmes, plus difficile l’accès aux informations disponibles dans un whois privé.
Plus certainement, il pourrait s’agir de toutes personnes justifiantes « d’un intérêt légitime » à accéder aux données. Il pourrait s’agir de tous titulaires de droit et de leurs avocats.
L’ICANN travaille actuellement au remplacement des whois par un nouveau registre appelé « RDPA ».
Le RDPA nouveau registre des noms de domaine
En effet, Il s’agirait de mettre en place un registre unifié pour toutes les bases mondiales de noms de domaine.
En effet jusqu’à présent, chaque acteur intervenant dans les noms de domaine (registres, registrars, sociétés d’anonymisation de whois, etc.) avait sa propre politique de gestion de whois.
Par exemple, certains pays, rendaient accessibles les informations privées d’un whois à toutes les autorités répressives locales ou étrangères. D’autres pays limitaient l’accès à leurs seules autorités locales ou demandaient la production d’une ordonnance d’un tribunal local. D’autres enfin permettaient l’accès à ces informations sur la simple notification d’un ayant droit.
La mise en œuvre normalisée du « RDPA » permettra d’unifier tous les accès aux informations comprises dans les whois privés ainsi que les formats de réponses aux différentes requêtes.
Le registre « RDAP » présente en outre plusieurs avantages par rapport au whois, notamment la prise en charge de l’internationalisation, un accès sécurisé aux données et la possibilité de fournir un accès différencié aux données d’enregistrement selon le type de demandeur.
Rendez-vous à l’AG70 en mars 2021, pourquoi pas en présentiel, pour en savoir plus.
Anthony Sitbon
Directeur du département Sécurité
Lexing Technologies