Les régulateurs d’Internet poussent un plan controversé pour restreindre l’accès public à QUI EST Dossiers d’inscription au site Web. Les partisans de la proposition affirment qu’elle améliorerait l’exactitude des données WHOIS et protégerait mieux la vie privée des personnes qui enregistrent des noms de domaine. Les critiques soutiennent qu’un tel changement serait irréalisable et rendrait plus difficile la lutte contre les hameçonneurs, les spammeurs et les escrocs.
Un groupe de travail au sein de la Société Internet pour les noms et numéros attribués (ICANN), l’organisation qui supervise le système de noms de domaine d’Internet, a proposé de supprimer le système WHOIS actuel – qui est géré de manière incohérente par des centaines de registraires de domaine et permet à quiconque d’interroger les enregistrements d’enregistrement de sites Web. Pour remplacer le système actuel, le groupe propose de créer un système de recherche WHOIS plus centralisé et fermé par défaut.
Selon un rapport intermédiaire (PDF) du groupe de travail de l’ICANN, les données WHOIS ne seraient accessibles qu’aux « demandeurs authentifiés qui sont tenus responsables de l’utilisation appropriée » des informations.
« Après avoir travaillé sur un large éventail de cas d’utilisation et la myriade de problèmes qu’ils ont soulevés, [ICANN’s working group] a conclu que le modèle WHOIS actuel – donnant à chaque utilisateur le même accès public anonyme aux données d’enregistrement (trop souvent inexactes) – devrait être abandonné », a écrit le « groupe de travail d’experts » de l’ICANN. Le groupe a déclaré qu’il « reconnaît le besoin d’exactitude, ainsi que la nécessité de protéger la vie privée des inscrits qui peuvent nécessiter une protection accrue de leurs informations personnelles ».
Le plan actuel du groupe de travail envisage de créer ce qu’il appelle un « service d’annuaire d’enregistrement agrégé » (ARDS) pour servir de centre d’échange contenant une copie ne faisant pas autorité de tous les éléments de données collectés. Les bureaux d’enregistrement et les registres qui gèrent les centaines de différents domaines génériques de premier niveau (gTLD, comme point-biz, point-nom, par exemple) seraient responsables de la maintenance des sources faisant autorité des données WHOIS pour les domaines dans leurs gTLD. Ceux qui souhaitent interroger les données d’enregistrement de domaine WHOIS à partir du système devraient demander des informations d’identification d’accès à l’ARDS, qui serait responsable du traitement des plaintes relatives à l’exactitude des données, de l’audit de l’accès au système pour minimiser les abus et de la gestion de l’accord de licence pour l’accès à les données WHOIS.
Le plan reconnaît que la création d’un «guichet unique» pour les données d’enregistrement pourrait également représenter une cible géante pour le groupe pour les pirates, mais il soutient qu’un tel système permettrait néanmoins une plus grande responsabilité pour la validation des données d’enregistrement.
Sans surprise, la proposition provisoire a rencontré une vague d’opposition de la part de certains experts en sécurité et en technologie qui s’inquiètent du potentiel de préjudice du plan pour les consommateurs et les enquêteurs sur la cybercriminalité.
« Les internautes (particuliers, entreprises, forces de l’ordre, gouvernements, journalistes et autres) ne doivent pas être soumis à des obstacles – y compris une autorisation préalable, des obligations de divulgation, le paiement de frais, etc. – afin d’accéder aux informations sur l’exploitant d’un site Web. , à l’exception des services légitimes de protection de la vie privée », lit-on dans une lettre (PDF) soumise conjointement à l’ICANN le mois dernier par Services Web G2, Sécurité OpSec, LegitScript et DomainTools.
« Les internautes ont le droit de savoir qui exploite un site Web qu’ils visitent (ou, le fait qu’il est enregistré de manière anonyme) », poursuit la lettre. « Aujourd’hui, les individus examinent les enregistrements WHOIS complets et, en fonction de l’un des champs, identifient et signalent les fraudes et autres comportements abusifs ; les journalistes et les universitaires utilisent les données WHOIS pour mener des recherches et dénoncer les comportements malveillants ; et les parents utilisent les données WHOIS pour mieux comprendre à qui ils (ou leurs enfants) ont affaire en ligne. Ces utilisations et d’autres améliorent la sécurité et la stabilité d’Internet et devraient être encouragées et non entravées par les barrières d’un système fermé par défaut.
D’autres commentaires publics soumis jusqu’à présent reflètent l’angoisse suscitée par les ramifications géopolitiques des changements proposés. Par exemple, Afnicqui est le registre des noms de domaine dans l’aire géographique de la France (.fr) entre autres, note que l’ARDS devrait être légalement établie dans au moins un pays, et que son infrastructure technique devrait également être sous au moins une juridiction.
« Nous craignons que l’ARDS n’utilise des règles « taille unique » pour évaluer la validité de la demande. Avec environ 1 500 TLD à la racine, plusieurs d’entre eux seront hautement locaux et ne devraient pas être soumis aux mêmes règles que .com ou .net en termes de quelles agences d’application de la loi peuvent demander l’accès aux données », a écrit l’Afnic Pierre Bonis. « Faut-il accorder aux LEA chinois l’accès aux données privées pour les noms de domaine .berlin par exemple ? Nous pensons que cette question n’est pas suffisamment prise en compte jusqu’à présent.
le Centre pour la démocratie et la technologie (CDT), un groupe de réflexion politique à but non lucratif basé à Washington, DC, soutient que le système actuel est en panne et soulève de graves problèmes de confidentialité et de liberté d’expression en révélant des informations sensibles au public.
« Selon les directives de l’OCDE sur la protection de la vie privée, les données personnelles doivent être pertinentes par rapport à leur objectif et doivent être protégées contre toute divulgation déraisonnable ou non autorisée », a écrit CDT dans son commentaires officiels (PDF) sur la proposition. « Le système WHOIS expose inutilement les données sensibles des inscrits à des requêtes anonymes, offrant un accès facile aux utilisateurs malveillants. »
Le CDT a proposé un système hybride qui permettrait aux titulaires de noms de domaine non commerciaux de choisir de garder leurs informations sensibles privées, mais de maintenir un accès public aux informations d’enregistrement des sites Web commerciaux. Le CDT s’est dit favorable à une approche similaire à celle adoptée par Nominet — le bureau d’enregistrement qui gère le gTLD point-uk.
« Cette politique équilibre correctement les intérêts et les obligations des entités commerciales et non commerciales dans l’écosystème Internet : les entités offrant des services ou engagées dans le commerce doivent nécessairement divulguer davantage d’informations de contact dans le cadre du WHOIS, de sorte que le public puisse accéder aux détails nécessaires à des fins commerciales et commerciales. activités légales », plaide la CDT. « Nominet utilise également une méthode simple mais intelligente pour traiter ceux qui abusent de cette distinction : si Nominet détermine qu’une entité commerciale s’est identifiée à tort comme un individu, elle peut modifier le paramètre de cette entrée de registre de sorte qu’une entité commerciale plus détaillée les informations de contact sont partagées publiquement via WHOIS.
Garth Bruenchercheur principal à Knujon (« pas de courrier indésirable » épelé à l’envers) et critique de longue date du manque de progrès de l’ICANN sur l’exactitude des données WHOIS, a déclaré que les recommandations provisoires du groupe de travail visaient à enterrer – et non à résoudre – le problème WHOIS.
« Depuis 14 ans maintenant, l’ICANN est critiquée pour ne pas avoir traité ce problème directement, et maintenant ils veulent enterrer les enregistrements WHOIS derrière un mur afin que personne ne puisse plus les critiquer », a déclaré Bruen. « L’offre d’accès à plusieurs niveaux avec un accès plus élevé pour les opérations d’application de la loi et de sécurité ne doit pas être considérée comme une sorte de développement positif, c’est en fait un faux-fuyant. Les forces de l’ordre ont déjà un meilleur accès aux données des titulaires de noms de domaine, elles l’ont toujours fait. Le WHOIS permet aux internautes ordinaires de savoir à qui appartient un nom de domaine. Le consommateur est finalement bloqué, devant maintenant se rendre à la police ou à un service de sécurité payant pour obtenir des informations sur un nom de domaine.
En tant que journaliste et chercheur sur la cybercriminalité, j’ai tendance à me ranger du côté de ceux qui favorisent le maintien du statu quo sur les enregistrements WHOIS. Comme le montrent clairement les nombreuses histoires de ma série Breadcrumbs, les enregistrements WHOIS sont extrêmement utiles pour trouver et dénoncer les fraudeurs et les cybercriminels. Même lorsque les spammeurs ou les escrocs insèrent de toute évidence de fausses informations d’identité et d’adresse dans les enregistrements WHOIS, ils laissent très souvent derrière eux des indices qui peuvent être utilisés pour établir des connexions et des corrélations importantes, telles que la réutilisation de la même adresse e-mail ou d’un faux numéro de téléphone. . En outre, les enregistrements WHOIS sont des moyens extrêmement importants pour atteindre les propriétaires de sites Web dont les sites sont infectés et utilisés pour diffuser des logiciels malveillants.
Enfin, le rapport provisoire du groupe de travail laisse ouverte dans mon esprit la question de savoir comment exactement l’ARDS permettrait d’obtenir des enregistrements WHOIS plus précis et plus complets. Les accords d’accréditation actuels que les bureaux d’enregistrement/registres doivent signer avec l’ICANN exigent déjà que les bureaux d’enregistrement/registres valident les données WHOIS et corrigent les enregistrements inexacts, mais ces contrats se sont depuis longtemps révélés inefficaces pour produire des enregistrements beaucoup plus précis.
Des dizaines de commentaires sur le plan de l’ICANN ont été publiés ici et ici. Qu’est-ce que tu en penses? Sonnez dans les commentaires ci-dessous.