Les entreprises du monde entier s’efforcent de se conformer aux nouvelles réglementations européennes en matière de confidentialité qui entreront en vigueur dans un peu plus de trois mois. Mais de nombreux experts en sécurité craignent que les changements introduits par la précipitation à se conformer à la loi ne rendent plus difficile la traque des cybercriminels et moins probable que les organisations soient disposées à partager des données sur les nouvelles menaces en ligne.
Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) prend effet. La loi, promulguée par le Parlement européen, oblige les entreprises technologiques à obtenir un consentement affirmatif pour toute information qu’elles recueillent sur les personnes au sein de l’Union européenne. Les organisations qui enfreignent le RGPD pourraient être passibles d’amendes de jusqu’à quatre pour cent des revenus annuels mondiaux.
En réponse, le Société Internet pour les noms et numéros attribués (ICANN) – l’entité à but non lucratif qui gère le système mondial des noms de domaine – est sur le point de proposer des modifications aux règles régissant la quantité d’informations personnelles que les bureaux d’enregistrement de noms de sites Web peuvent collecter et qui devrait avoir accès aux données.
Plus précisément, l’ICANN a sollicité des commentaires sur une série de propositions visant à expurger les informations fournies dans WHOIS, le système d’interrogation des bases de données qui stockent les utilisateurs enregistrés des noms de domaine et des blocs de plages d’adresses Internet (adresses IP).
Selon les règles actuelles de l’ICANN, les bureaux d’enregistrement de noms de domaine doivent collecter et afficher une variété de points de données lorsqu’une personne effectue une recherche WHOIS sur un domaine donné, tels que le nom, l’adresse, l’adresse e-mail et le numéro de téléphone du titulaire. (La plupart des bureaux d’enregistrement offrent un service de protection de la vie privée qui protège ces informations des recherches WHOIS publiques ; certains bureaux d’enregistrement facturent des frais minimes pour ce service, tandis que d’autres l’offrent gratuitement).
Dans le but d’aider les bureaux d’enregistrement de domaine à se conformer aux réglementations GDPR, l’ICANN a lancé plusieurs propositions, qui supprimeraient toutes certaines des données du titulaire des enregistrements WHOIS. Sa proposition la plus légère supprimerait le nom, l’adresse e-mail et le numéro de téléphone du titulaire, tout en permettant à des tiers autocertifiés de demander l’accès à ces données avec l’approbation d’une autorité supérieure, telle que le bureau d’enregistrement utilisé pour enregistrer le nom de domaine.
La proposition la plus restrictive supprimerait toutes les données du titulaire des enregistrements WHOIS publics et exigerait une procédure légale régulière (telle qu’une citation à comparaître ou une ordonnance du tribunal) pour révéler toute information fournie par le titulaire du nom de domaine.
Le texte complet des derniers modèles proposés par l’ICANN (à partir desquels la capture d’écran ci-dessus a été prise) est disponible ici (PDF). Un groupe de travail diversifié de l’ICANN composé de militants de la protection de la vie privée, de technologues, d’avocats, de titulaires de marques et d’experts en sécurité discute de ces détails depuis 2016. Pour les curieux et/ou les intrépides, l’intégralité des archives de ces débats jusqu’à aujourd’hui est disponible. à ce lien.
QU’EST-CE QUE LE DÉBAT WHOIS ?
Pour simplifier considérablement les discussions en deux camps, les partisans de la confidentialité affirment que les enregistrements WHOIS sont régulièrement pillés et abusés par toutes sortes de malfaiteurs, y compris les spammeurs, les escrocs, les hameçonneurs et les harceleurs. En bref, leur point de vue semble être que la disponibilité des données des titulaires de noms de domaine dans les enregistrements WHOIS pose plus de problèmes qu’elle n’est censée en résoudre.
Pendant ce temps, les experts en sécurité affirment que les données contenues dans les enregistrements WHOIS ont été indispensables pour retrouver et traduire en justice ceux qui cherchent à perpétrer lesdites escroqueries, spams, hameçonnages et… euh… traques.
De nombreux défenseurs de la vie privée semblent avoir une mauvaise opinion de tout système de l’ICANN par lequel des tiers (et pas seulement des responsables de l’application des lois) pourraient être contrôlés ou accrédités pour examiner le nom, l’adresse, le numéro de téléphone, l’adresse e-mail, etc. d’un registrant de domaine. Ce sentiment est capturé dans les commentaires publics faits par le Fondation de la frontière électroniquec’est Jérémy Malcolmqui a fait valoir que – même si ces informations étaient réservées aux professionnels de la lutte contre les abus – cela ne fonctionnerait pas non plus.
« Rien n’empêcherait les acteurs malveillants de s’identifier comme des professionnels de la lutte contre les abus – aucun des deux ne voudrait avoir un système pour » contrôler « les professionnels de la lutte contre les abus, car ce serait encore plus problématique », Malcolm écrit en octobre 2017. « Il n’y a aucune valeur ajoutée dans la collecte d’informations personnelles – après tout, les criminels ne fourniront pas d’informations correctes de toute façon, et si un domaine a été compromis, les informations personnelles du registrant d’origine n’aideront pas beaucoup, et leur disponibilité dans la nature pourrait causer un préjudice important au déclarant.
Experts anti-abus et sécurité contrer qu’il existe d’innombrables exemples de personnes impliquées dans le spam, le phishing, les attaques de logiciels malveillants et d’autres formes de cybercriminalité qui incluent des détails dans les enregistrements WHOIS qui sont extrêmement utiles pour traquer les auteurs, perturber leurs opérations ou créer des systèmes basés sur la réputation (tels que -services anti-spam et anti-malware) qui cherchent à filtrer ou à bloquer ces activités.
De plus, ils signaler que l’écrasante majorité du phishing est effectuée à l’aide de domaines compromis et que la principale méthode de nettoyage de ces compromis consiste à utiliser les données WHOIS pour contacter la victime et/ou son hébergeur.
De nombreux commentateurs ont observé qu’en fin de compte, l’ICANN est susceptible de procéder d’une manière qui couvre ses propres arrières et ceux de sa principale circonscription – les bureaux d’enregistrement de domaines. Les bureaux d’enregistrement paient des frais à l’ICANN pour chaque domaine qu’un client enregistre, bien que les revenus de ces frais ont chuté ces derniers tempsforçant l’ICANN à faire des coupes budgétaires importantes.
Certains détracteurs de l’effort de confidentialité WHOIS ont exprimé l’opinion que les bureaux d’enregistrement considèrent généralement les données WHOIS publiques comme un problème gênant pour leurs clients registrants de domaine et un centre de coûts indésirable (d’un manque de personnel à un flux constant de plaintes d’abus de la part de la sécurité experts, chercheurs et autres membres de la communauté anti-abus).
« Une grande partie du marché des bureaux d’enregistrement est une course vers le bas, et la capacité de l’ICANN à contrôler efficacement les relations contractuelles sur ce marché n’a pas été bien démontrée au fil du temps », a commenté Andrew Sullivan observé.
Dans tous les cas, des sources proches du débat disent à BreachTrace que l’ICANN est sur le point de recommander un modèle WHOIS vaguement basé sur le modèle 1 dans le tableau ci-dessus.
Plus précisément, le système que l’ICANN envisage de recommander, selon les sources, demanderait aux bureaux d’enregistrement et aux registres d’afficher uniquement le nom de domaine, la ville, l’état/province et le pays du titulaire dans chaque enregistrement ; les adresses e-mail publiques seraient remplacées par un formulaire ou un lien de relais de message permettant aux utilisateurs de contacter le titulaire. La source a également déclaré que l’ICANN prévoyait de laisser aux registres/bureaux d’enregistrement le soin d’appliquer ces changements globalement ou uniquement aux personnes physiques vivant dans le Espace Economique Européen (EEE).
En outre, des sources affirment que les données WHOIS non publiques seraient accessibles via un système d’accréditation pour identifier les organismes chargés de l’application de la loi et les titulaires de droits de propriété intellectuelle. Cependant, il est peu probable qu’un tel système soit construit et approuvé avant la date d’entrée en vigueur du 25 mai 2018 pour le GDPR, donc la rumeur veut que l’ICANN ait l’intention de proposer un modèle d’auto-certification entre-temps.
porte-parole de l’ICANN Brad Blanc a refusé de confirmer ou d’infirmer l’un des éléments ci-dessus, me référant plutôt à un article de blog publié mardi soir par l’ICANN PDG Goran Marby. Cependant, ce message ne précise pas dans quelle direction l’ICANN peut se pencher sur la question.
« Nos conversations et notre travail sont en cours et pas encore définitifs », a écrit White dans un communiqué partagé avec BreachTrace. « Nous convergeons vers un modèle provisoire final alors que nous continuons à engager, examiner et évaluer les contributions que nous recevons de nos parties prenantes et des autorités de protection des données (PDA). »
Mais avec la date limite de mise en conformité GDPR qui approche, certains bureaux d’enregistrement vont de l’avant avec leurs propres plans sur la confidentialité WHOIS. Allez papa, l’un des plus grands bureaux d’enregistrement de domaines au monde, a récemment commencé à supprimer la plupart des données des titulaires de noms de domaine des enregistrements WHOIS pour les domaines interrogés via des outils tiers. Et il semble probable que d’autres bureaux d’enregistrement suivront l’exemple de GoDaddy.
ANALYSE
Pour ma part, je peux dire sans hésitation que peu de ressources sont aussi essentielles à ce que je fais ici à BreachTrace que les données disponibles dans les enregistrements publics WHOIS. Les enregistrements WHOIS sont des panneaux de signalisation extrêmement utiles pour le suivi de la cybercriminalité, et ils permettent fréquemment à BreachTrace de dévoiler des histoires importantes sur les connexions et les identités derrière diverses opérations cybercriminelles et les individus/réseaux soutenant ou permettant activement ces activités. Je compte aussi très souvent sur les enregistrements WHOIS pour localiser les coordonnées de sources potentielles ou de victimes de cybercriminalité qui ne sont peut-être pas encore au courant de leur victimisation.
Dans un grand nombre de cas, j’ai découvert que des indices sur l’identité de ceux qui commettent des actes de cybercriminalité peuvent être trouvés en suivant une piste d’informations dans les enregistrements WHOIS antérieures à leur carrière de cybercriminels. De plus, même dans les cas où les abuseurs en ligne fournissent intentionnellement des informations trompeuses ou fausses dans les enregistrements WHOIS, ces informations sont toujours extrêmement utiles pour cartographier l’étendue de leurs opérations de logiciels malveillants, de phishing et d’escroquerie.
Quiconque cherche de nombreux exemples des deux n’a qu’à rechercher sur ce site Web le terme « WHOIS », qui donne des dizaines d’histoires et d’enquêtes qui n’auraient tout simplement pas été possibles sans les données actuellement disponibles dans les enregistrements WHOIS mondiaux.
De nombreux militants de la vie privée impliqués dans le débat WHOIS ont fait valoir que d’autres données liées aux enregistrements de domaines et d’adresses Internet – telles que les serveurs de noms, les adresses Internet (IP) et les dates d’enregistrement – devraient également être considérées comme des informations privées. Ma principale inquiétude si cette croyance devient plus répandue est que les sociétés de sécurité pourraient cesser de partager ces informations de peur de violer le GDPR, ce qui entraverait le travail important des professionnels de la lutte contre les abus et de la sécurité.
Ce n’est guère une préoccupation théorique. Le mois dernier, j’ai entendu une société de sécurité basée dans l’Union européenne parler d’un nouveau botnet Internet des objets (IoT) qu’ils avaient découvert, qui était inhabituellement complexe et avancé. Leur sensibilisation a piqué ma curiosité parce que j’avais déjà travaillé avec un chercheur ici aux États-Unis qui enquêtait sur un botnet IoT au son similaire, et je voulais savoir si ma source et la société de sécurité cherchaient la même chose.
Mais lorsque j’ai demandé à l’entreprise de sécurité de partager une liste d’adresses Internet liées à leur découverte, ils m’ont dit qu’ils ne pouvaient pas le faire car les adresses IP pouvaient être considérées comme des données privées – même après leur avoir assuré que je n’avais pas l’intention de publier les données.
« Selon de nombreux forums, les adresses IP devraient être considérées comme des données personnelles car elles entrent dans le champ des » identifiants en ligne « », a écrit le chercheur dans un e-mail à BreachTrace, refusant de répondre aux questions de savoir si leur préoccupation était spécifiquement liée aux dispositions du RGPD. « Quoi qu’il en soit, les adresses IP appartenant à des personnes ayant des appareils vulnérables/infectés et leur partage peuvent être perçus comme une mauvaise pratique de notre côté. Nous considérons la liste des adresses IP avec des victimes infectées comme des informations privées à ce stade.
Certes, à mesure qu’Internet mûrit et que les grandes entreprises développent des moyens de plus en plus intrusifs pour aspirer des données sur les consommateurs, nous devons également freiner les pratiques les plus flagrantes tout en donnant aux internautes des outils plus robustes pour protéger et préserver leur vie privée. Cependant, dans le contexte de la sécurité Internet et des principes de confidentialité envisagés dans le RGPD, je crains que les cybercriminels ne finissent par être les principaux bénéficiaires de cette nouvelle loi.