Connexion
Abonnez-vous

L’ICANN exige un délai pour conformer l’annuaire de noms de domaine au RGPD

La faute au cybercrime (ou pas)

L'ICANN exige un délai pour conformer l'annuaire de noms de domaine au RGPD

Le 17 avril 2018 à 10h13

À un mois de l'application du RGPD, le monde des noms de domaine est en pleine ébullition. L'annuaire des extensions génériques ne sera vraisemblablement pas conforme le 25 mai. La faute revient en partie aux États, qui tiennent à maintenir un « whois » public, qu'ils estiment précieux aux enquêtes, faisant fi de la vie privée des internautes.

Le Règlement général sur la protection des données (RGPD) s'appliquera dans moins de 40 jours, et l'annuaire public des noms de domaine n'est toujours pas prêt. C'est ce qui ressort des derniers échanges entre l'ICANN, responsable des ressources du Net au niveau mondial (adresses IP, noms de domaine...) et le G29, le groupement européen des autorités de protection des données, comme la CNIL en France.

Depuis la mi-janvier, l'ICANN cherche en urgence un modèle pour conformer le « whois » des noms de domaine à extension générique (comme les « .com », « .net » ou « .org ») au RGPD. L'enjeu est énorme, car ce sont les extensions les plus populaires (voir notre analyse).

Selon le texte européen, les coordonnées des particuliers titulaires de noms de domaine ne sauraient être publiées sans leur accord explicite. Aujourd'hui, l'acquisition de l'un de ces noms de domaine entraine la publication automatique des informations. Seuls certains bureaux d'enregistrement masquent ces données, via des services dédiés.

Le 8 mars, l'organisation mondiale a présenté un modèle temporaire pour l'annuaire, qui se veut conforme au RGPD, avant de remplacer le vénérable « whois » dans quelques années.

La situation est pourtant loin d'avancer. Dans deux lettres croisées, les 11 et 12 avril, les CNIL européennes et l'ICANN  réclament des précisions urgentes l'un de l'autre, sur des sujets très différents. D'un côté, le G29 demande de nombreuses garanties sur la manipulation et la conservation des données. De l'autre, l'ICANN quémande un moratoire sur les sanctions que pourraient infliger les CNIL, ayant peu d'espoir que les registres (qui gèrent les noms de domaine) soient prêts à temps.

Les données personnelles (enfin) à cacher par défaut

Depuis novembre, les autorités européennes de protection des données alertent l'ICANN sur les problèmes du « whois » face au futur règlement. À la mi-janvier, l'organisation a publié trois propositions de modèles, avant de sélectionner l'un d'eux le 8 mars. Le plus contraignant.

Ce « Cookbook » (PDF) propose de cacher la plupart des coordonnées du titulaire du nom de domaine, en limitant leur accès à des acteurs enregistrés.

Doivent être masqués :

  • l'identifiant du client ;
  • son nom ;
  • sa rue ;
  • sa ville ;
  • son code postal ;
  • ses numéros de téléphone ;
  • son adresse e-mail (anonymisée) ;
  • les coordonnées de l'administrateur ;
  • les coordonnées du contact technique.

Certaines informations devront toujours être publiées. En premier lieu, le nom du titulaire s'il s'agit d'une personne morale. Ensuite, celui des serveurs de nom, la date d'enregistrement du nom de domaine, sa date d'expiration, le pays ou l'État d'origine du titulaire. Des adresses e-mail doivent être présentées, mais anonymisées. Le bureau d'enregistrement doit tout de même laisser la possibilité au titulaire de publier ses informations.

Les données seront uniquement accessibles par des acteurs certifiés, via un programme adoubé par l'ICANN. Les forces de l'ordre et les avocats spécialistes de la propriété intellectuelle sont cités. L'organisation réclame un débat avec les CNIL européennes pour définir ce processus.

Trois circuits de certification seraient mis en place. Le premier, pour les entités publiques, tiendrait sur une accréditation officielle. Le second, pour des entités privées désignées par les États (registres, bureaux, dépôts ou régleurs de différends...), exigerait le suivi d'un code de conduite. Le troisième, pour des tiers privés, passerait par un organe de certification. La responsabilité juridique des entités certifiées sera engagée.

L'ICANN compte imposer l'application de ce modèle dans l'espace économique européen, et la permettre en dehors. L'organisation compte aussi imposer la protection de l'ensemble des données personnelles, que le nom de domaine soit enregistré par une personne physique ou morales. Son contrat avec les registres (qui gèrent les extensions) et les bureaux d'enregistrement (qui louent les noms de domaine aux internautes) ne différencie aucunement les deux.

Les objections européennes

Dans sa lettre du 11 avril, le groupe des CNIL européennes estime qu'il est « de la plus grande importance » d'obtenir des réponses rapides de l'ICANN. De nombreux points du modèle inquiètent toujours les autorités de protection des données, à un mois de l'application du RGPD.

Le G29 s'interroge sur les buts déclarés pour la collecte des données, le modèle de l'ICANN ne détaillant pas assez les collectes et traitements effectués pour chaque finalité (contact du titulaire, lutte contre le crime...). De même, les bases légales des traitements ne sont pas clairement liées à chaque finalité.

Le groupe félicite l'ICANN pour son modèle, mais demande des détails sur l'accès aux données cachées. Il réclame « des politiques et procédures appropriées pour les demandes d'accès ponctuel et systématique aux données whois, en particulier pour les forces de l'ordre ».

Les CNIL s'inquiètent aussi de la sécurité des données, en particulier des procédures chez les registres et bureaux d'enregistrement pour l'accès et la rectification des informations par les titulaires de noms de domaine. Le modèle prévoit une rétention de deux ans pour ces données, qui ne serait pas suffisamment justifiée. Enfin, le G29 demande des clarifications sur les transferts de données whois à l'étranger et sur le système d'accréditation pour les données cachées.

Notons que le groupe n'est pas le seul à être sceptique. Début février, la DGConnect de la Commission européenne estimait que ce système d'accréditation est « inexploitable pour les enquêtes », tant il compliquerait l'accès aux données masquées.

L'ICANN réclame la clémence des CNIL

En réponse le 12 avril (PDF), le président de l'ICANN, Göran Marby, exige un moratoire sur les possibles sanctions des autorités de protection des données européennes. Autrement dit, selon l'ICANN, il est hors de question d'appliquer le RGPD aux responsables de noms de domaine à partir du 25 mai.

La conformité au RGPD serait trop lourde pour les 2 500 membres du monde des noms de domaine. Dans une lettre du 13 avril, adressée à l'ICANN, VeriSign (en charge du « .com ») réclame lui-même un an supplémentaire pour se conformer.

« Ce moratoire permettra aussi la réconciliation des conseils du Comité consultatif gouvernemental (GAC) et du G29. [...] Sans résolution de ces problèmes, le « whois » deviendra fragmenté jusqu'à l'implémentation du modèle temporaire [le Cookbook] et du système d'accréditation » écrit l'organisation dans un communiqué.

Les États opposés à un « whois » restrictif

Le GAC, où siègent les États au sein de l'ICANN, a un mot d'ordre : la fin du « whois » public rendra la vie impossible aux forces de l'ordre dans leurs enquêtes. Une critique déjà émise par les États-Unis et sociétés spécialisées dans le renseignement numérique. Des experts pleurent la « perte » de ces informations, mettant sur le même plan leur protection et leur disparition.

Selon les recommandations du GAC (PDF), l'adresse e-mail devrait rester visible, alors qu'elle est particulièrement sensible. « La publication de l'adresse e-mail du titulaire devrait être considérée selon le rôle important de cet élément dans la poursuite d'intérêts légitimes et la possibilité pour les titulaires de fournir une adresse e-mail ne contenant pas de données personnelles » écrivent les États membres de l'ICANN dans leur avis. Ils considèrent donc qu'une adresse e-mail peut être autre chose qu'une donnée personnelle.

C'est la principale opposition à la réforme du « whois ». Dans son « Cookbook », l'organisation désigne elle-même l'adresse e-mail comme l'information la plus précieuse. Les États jouent ici sur l'idée que masquer par défaut les coordonnées aiderait les criminels. Pourtant, il n'est pas dit que les criminels en question enregistrent les noms de domaine qu'ils utilisent sous leur propre nom.

Dans un entretien à la mi-janvier, le directeur général de l'Afnic (derrière le « .fr »), Pierre Bonis, estimait que les données « whois » des domaines malveillants étaient assez peu fiables. À fin 2016, l'ICANN rapportait elle-même que 35 % des informations de contact renseignées étaient injoignables (PDF).

Selon l'association française, toujours à la mi-janvier, « ceux qui voudront être prêts le 25 mai le seront. Si vous n'êtes pas capables d'anonymiser des données whois d'ici là, il faut changer de métier ».

Pour le moment, l'ICANN punit encore les registrars qui cachent certaines données de l'annuaire public. Il y a quelques jours, l'organisation a ouvert une procédure contre GoDaddy, l'un des principaux bureaux d'enregistrement américains. Il cache désormais l'adresse de contact de certains noms de domaine, officiellement pour lutter contre le spam. La mesure ne plait pas à l'ICANN, qui exige donc encore la publication complète de ces informations.

Malgré toutes ces craintes, la protection du « whois » par défaut n'entraine pas forcément la mort des enquêtes. Fin février, l'Afnic nous révélait avoir mené 400 levées d'anonymat en 2017, en majorité pour des acteurs privés, dans un délai d'une journée et demie en moyenne.

Concernant le « whois » des extensions génériques, les prochaines semaines risquent d'être encore chargées. Une réunion technique est prévue le 23 avril entre le G29 et l'ICANN à Bruxelles, avec l'espoir de dénouer cette situation si compliquée.

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je sais, je me le permets volontairement. Je pourrais effectivement écrire “domaines de premier niveau” mais extensions facilite vraiment l’écriture. Je suis prêt à recevoir le châtiment que Stéphane Bortzmeyer jugera approprié. <img data-src=" />

votre avatar

<img data-src=" />

votre avatar

Donc pour 400 levées d’anonymat a priori utiles, ils veulent laisser des millions de données personnelles publiques ? <img data-src=" />



Le RGPD a été définitivement adopté le 14 avril 2016. Et ils se réveillent aujourd’hui ?

votre avatar

Pour être clair, les 400 levées d’anonymat concernent les “.fr” en 2017. C’est le dernier recours pour ceux qui veulent agir à l’encontre d’un site, si ma mémoire est bonne.

votre avatar

Tu serais pas du genre à considérer que le tanuki (famille des canidés) est un raton (famille des procyonidés) ? 🤔

votre avatar

C’est du pareil au même. Il y a les félins d’un côté (les petits et gros chats) et le reste des animaux de l’autre. Pourquoi chercher plus loin ? <img data-src=" />

votre avatar

Le pire étant que tout est fait pour que l’on mette des données à la noix, car sans masquage des infos, on reçoit ensuite plein de spam & scam par courrier électronique et postal… donc merci OVH avec l’owo et l’AFNIC avec le masquage obligatoire du whois pour les particuliers !

votre avatar

J’avais bien compris puisque tu parles de l’AFNIC. Je suppose qu’on peut extrapoler le ratio au monde entier (quoiqu’il y a peut-être plus d’enquêtes visant un .com .net etc., mais l’idée reste la même).

votre avatar

Dans la mesure où le .fr compte 3 millions de ndd, contre 134&nbsp; millions pour le .com à lui seul, l’extrapolation est compliquée. ^^

votre avatar

“Selon l’association française, toujours à la mi-janvier, « ceux qui voudront être prêts le 25 mai le seront. Si vous n’êtes pas capables d’anonymiser des données whois d’ici là, il faut changer de métier ».”



<img data-src=" /> <img data-src=" />

votre avatar

On a des chiffres de demandes d’enquêtes sur le .com ?

votre avatar

Là comme ça, je n’en ai pas. J’ai obtenu ceux du .fr en les demandant à l’Afnic (et parce qu’ils ont une politique d’ouverture des données vraiment top) mais c’est tout.

votre avatar

En gros, c’est politique. L’ICANN fait semblant de ne pas pouvoir anonymiser parce que les états ne veulent pas (par bêtise, les prétextes étant vraiment très mauvais). Conclusion : il faut sanctionner dès J0, ça leur mettra du plomb dans la cervelle.

votre avatar

Dans la lettre envoyé à l’ICANN par l’autorité européenne de protection des données, ce passage est magique :




&nbsp;"ICANN should take care in defining purposes in a manner which corresponds to its own organizational mission and mandate, which is to coordinate the stable operation of the Internet's unique identifier systems. Purposes pursued by other interested third parties should not determine the purposes pursued by ICANN. The WP29 cautions ICANN not to conflate its own purposes with the interests of third parties, nor with the lawful grounds of processing which may be applicable in a particular case."&nbsp;
votre avatar

En effet, c’est pas mal ! Ça a un petit goût de “laisse la politique à ceux que ça regarde et occupe toi de tes affaires”. :-P

votre avatar

Yes icann…ou pas<img data-src=" />

votre avatar

Je pense pas que les Etats Unis soient si conciliants sur les délais quand ils adoptent une loi.

votre avatar

ICANN passion se réveiller au dernier moment.



J’espère qu’ils n’auront pas le choix que de se plier très vite à la loi sans exception, qui franchement, n’est pas justifiée : ils ont eu le même temps pour se préparer que tout le monde et n’ont juste pas pris au sérieux le changement de réglementation avant qu’il ne soit trop tard.



Et aux pauvres polices qui vont devoir enfin demander des mandats pour obtenir des informations personnelles, je vous dédicace un morceau sur le plus petit violon du monde.

votre avatar

Sans accord, Internet va s’arrêter le 25 mai !



Comme si 2 ans pour se préparer n’était pas suffisant…



Ah ces voleurs, ça ose tout.

votre avatar
votre avatar

Déjà, le fait que toutes les parties semblent considérer comme normal de permettre à des entités privées d’accéder aux données….

Si le site est réellement illégal, la procédure devrait être un dépôt de plainte contre X, les autorités pouvant ensuite lever l’anonymat.

L’ICANN exige un délai pour conformer l’annuaire de noms de domaine au RGPD

  • Les données personnelles (enfin) à cacher par défaut

  • Les objections européennes

  • L'ICANN réclame la clémence des CNIL

  • Les États opposés à un « whois » restrictif

Fermer