Edito novembre 2009 : FGI, DNSSEC, IDN, EOI : quatre acronymes qui font l’actualité

Rififi au FGI

La réunion du Forum pour la Gouvernance de l’Internet s’est tenu à Charm-el-Cheikh à la mi-novembre. Comme on pouvait s’y attendre, il y eut la classique manifestation contre la censure exercée par le régime chinois, vite réduite au silence (1). Quant à la voix de la Chine elle-même, qui menaçait de ne plus participer à ce FGI s’il restait une simple plate-forme de « conversations » sans pouvoir réel (2), il semblerait qu’elle n’ait pas non plus été très entendue. Car le FGI, pour dénué de pouvoir qu’il soit, est perçu comme une enceinte nécessaire par les gouvernements pour échanger entre égaux, dans un contexte qui ne soit pas celui de l’ICANN, sur des thématiques très variées où l’ICANN n’aurait d’ailleurs pas grand-chose à faire.
Le FGI a donc de bonnes chances d’être reconduit pour quelques années par l’AG de l’ONU en 2010, ce qui est en soit un résultat probant (3). Pour autant, les débats égyptiens n’ont apparemment pas apporté de grands progrès à la situation actuelle. Certains membres continuent avec persévérance à exiger des Etats-Unis qu’ils abandonnent leur contrôle sur la racine (4), ce que ceux-ci ne sont guère prêts à accepter. Et l’on a pu voir (5) se développer une offensive de l’UIT (Union Internationale des Telecom) en direction de la gestion des adresses IPv6, initiative accueillie avec fraîcheur par le CEO de l’ICANN, Rod Beckstrom, qui se trouva piégé dans la situation paradoxale de défendre un mode d’organisation que l’ICANN verrait elle-même volontiers évoluer - pourvu que ce soit à son profit.
Les témoins affirment (6) que Rod Beckstrom n’y alla pas par quatre chemins, allant jusqu’à crier sur l’orateur avançant les pions de l’UIT. Les analyses n’ont pas manqué de fleurir pour décrire l’incident et en faire l’exégèse, rappelant l’héritage du SMSI – organisé sur l’initiative de l’UIT pour introduire un pseudopode dans la gouvernance de l’internet. L’opération, qui vit la création du FGI, ne fut pas un grand succès du point de vue de l’UIT puisque l’ICANN est toujours là quatre ans plus tard. Mais après avoir donné les apparences d’une certaine réconciliation, ICANN et UIT semblent être de nouveau parties sur le sentier de la guerre. Comment interpréter l’attitude du CEO de l’ICANN ? A-t-il eu le sentiment qu’un « Yalta » avait été transgressé par l’UIT lorsque celle-ci parla de se mêler de la gestion des adresses IPv6 ? Ou exprimait-il, sur un mode assurément peu approprié à l’enceinte du FGI, le sentiment de rejet violent éprouvé par le monde de l’internet à l’égard de l’organisation onusienne (7) ? La tonalité a en tout cas changé, l’heure n’étant apparemment plus aux échanges feutrés.

Le DNS et la « cyber warfare »

Forte d’avoir signé avec le gouvernement américain un accord qu’elle ne parait pas pressée de mettre en oeuvre – on attend toujours les modalités de création, et la création elle-même, des « review comittees » prévus – l’ICANN n’est certes pas d’humeur à sourire aux censeurs chinois. Les articles évoquant la guerre de moins en moins larvée menée par la Chine contre les Etats-unis dans le cyber-espace se font de plus en plus nombreux (8) et les experts se demandent pour quelles raisons le président Obama n’a pas encore nommé auprès de lui un « tsar » de la cyber-sécurité (9). C’est dans ce contexte où les responsables américains peuvent ressentir un sentiment de menace et d’urgence que progresse l’implémentation de DNSSEC, Verisign ayant officiellement annoncé le 18 novembre (10) qu’elle allait « signer » les .COM et .NET d’ici le premier trimestre 2011.
L’adoption de DNSSEC, qui était caressée par maints experts depuis des années, est à présent devenue une forte priorité pour de nombreux registres. Certains s’y lancent à fond, affichant l’ouverture de « testbeds » qui leur permettront d’acquérir l’expérience à chaud, d’autres y réfléchissent et se demandent comment embrayer ensuite au niveau des opérateurs de serveurs DNS ; d’autres acteurs enfin, comme l’ENISA (agence de sécurité européenne), s’efforcent de calculer ce que cela coûtera (11)... et les chiffres sont éloquents. Passage obligé pour le DNS dans les prochaines années, surtout au vu des progrès des capacités des machines, qui peuvent rendre un jour vulnérable le « patch » imaginé par Dan Kaminski, DNSSEC ne couvre cependant pas tous les risques.
Une partie de ceux-ci semble fortement liée aux écarts existant aujourd’hui d’une part entre la complexité technique du DNS et le nombre relativement faible de vrais experts sur le sujet, et d’autre part entre les enjeux considérables liés au bon fonctionnement de ce même DNS et la négligence relative, au niveau mondial, révélé par certaines études. Qu’on en juge : 25% des serveurs DNS dans le monde n’ont pas été reconfigurés depuis que la faille Kaminski a été dévoilée en août 2008 ; et 23% des serveurs étudiés par le registre suédois dans son étude annuelle sur la « santé du DNS » en Suède présentaient des erreurs graves. Face à cette « forteresse » dont une porte sur quatre est entre ouverte, les attaquants potentiels ne manquent pas, et sans avoir d’ailleurs besoin de recourir aux techniques les plus subtiles : les attaques par déni de service font plus que jamais partie de l’arsenal standard (12).

Les extensions IDN suscitent autant d’enthousiasme que de réserves

La scène dut être magnifique : le président du GAC, les bras levés, faisant face à la salle émue par ce moment historique après le vote du Board autorisant la création des extensions en caractères non latins (13). Et pourtant, maints observateurs se demandaient déjà pourquoi avoir donné le feu vert à ces extensions quand elles peuvent rencontrer, ou poser, des problèmes identiques à ceux qui ont justifié le report sine die de l’ouverture de nouvelles extensions génériques. Il est clair que l’ICANN a cédé d’un côté aux pressions des gouvernements, tout en résistant de l’autre à celles des acteurs privés œuvrant à la création de nouveaux marchés. Les textes officiels (14) ne s’attardent pas à ces considérations, se félicitant de l’émergence, grâce à ce processus, d’un internet « global » ou « international » - « localisé », corrigent avec quelque raison ceux qui ne se laissent pas prendre aux sirènes de la rhétorique de l’ICANN.
La « langua franca » du DNS que furent les noms de domaine en caractères exclusivement ASCII a en effet vécu, sur le papier tout au moins. Déjà les premiers candidats se bousculent, la Chine, la Russie et l’Egypte (15) qui ne pouvait pas faire moins puisque le coup d’envoi de la réception des dossiers fut donné en pleine réunion de Charm-el-Cheikh. D’autres sont venus enrichir la liste (Bulgarie, Tunisie) et d’autres encore y songent très fortement, comme les Indiens qui préparent la création d’un « .BHARAT » écrit en caractères devnagaris (16).
Si certains font remarquer que des applications ne sont pas prêtes à supporter les IDN (17) ou que ces nouvelles extensions pourraient permettre le développement d’attaques de type phishing (18), les domainers fourbissent leurs armes à l’approche de ces opportunités convoitées de longue date. On voit ainsi apparaître des argumentaires alignant les raisons de ne pas s’intéresser aux IDN et les contre-arguments apportés par l’auteur (19), mais aussi les paroles de « gourous » ayant déjà lourdement investi dans les IDN et expliquant en substance : « Vous pouvez être excusé de ne pas avoir fait un malheur la première fois [avec les .COM etc.], mais vous n’aurez plus d’excuse cette fois-ci. C’est la seconde vague. Il n’y en aura pas de troisième. ».

L’Expression of Interest, un bon moyen pour y voir plus clair

Et pourtant, la troisième vague, bien que n’étant pas en caractères exotiques du point de vue occidental, est bien en préparation au sein de groupes faisant pression sur l’ICANN pour que soit lancée une « Expression of Interest » en partie destinée à obliger tous les porteurs de projets « sérieux » à sortir du bois. C’est un aspect important car l’une des grandes incertitudes aujourd’hui demeure le volume de candidatures qui devront être traitées par l’ICANN. Celle-ci s’est apparemment préparée pour un chiffre d’environ 400, mais ne répond plus de rien au-delà. Or personne ne sait à l’heure actuelle s’il n’y aura pas 4000 dossiers à l’arrivée.
L’autre objectif de cette « EOI » est d’y voir plus clair sur les dossiers eux-mêmes, ce qui permettrait peut-être de définir des stratégies d’introduction, par « catégories » par exemple. Un troisième objectif pourrait être enfin, pour les prestataires de solutions, de « verrouiller » les porteurs de projets potentiels en les faisant verser une forte somme, plus ou moins remboursable (la chose n’est pas encore claire). De cette manière, les « prospects » deviendraient enfin des clients, associés à leurs prestataires pour la réussite du processus, au lieu de voir leur enthousiasme vaciller périodiquement du fait des atermoiements de l’ICANN.
L’idée est certainement bonne, et l’ICANN a jugé utile de lancer une consultation à ce sujet (21). Les contributions ont été nombreuses, malheureusement pas encore publiées par l’ICANN. Ainsi de celle de Michael Palage, qui exhorte à la prudence (22), soulignant que certaines conditions posées (notamment les coûts et le caractère obligatoire pour les porteurs de projets voulant participer au premier round) pourraient transformer cette « expression d’intérêt » en pré-premier round. Ce qui semble être assez dans l’idée des promoteurs de l’EOI...
On peut aussi noter que les réflexions vont bon train quant aux modèles économiques et aux conditions de succès des futures extensions. Certains s’appuient sur les exemples d’extensions créées depuis l’an 2000 pour mettre en garde les porteurs de projets contre des prévisions trop optimistes (23). D’autres ont une approche « domaining » et définissent en creux le portrait-robot de la « bonne » extension, en listant les signaux d’alarmes qui devraient tenir tout domainer à distance (24). On peut remarquer que l’un de ces critères est le fait que le registre casse les prix, qu’un autre établit un lien entre les prix vertigineux de certaines enchères et l’engouement – ou non – des « vrais » utilisateurs, et qu’un dernier insiste sur le fait que GoDaddy référence l’extension. Ce critère est essentiel dans le modèle économique des futures extensions. Toutes celles qui ne viseront pas une communauté ou une cible très précises devront s’assurer que les grands registrars les référencent ; or ces registrars n’auront certainement pas la possibilité de référencer en « tête de gondole » plusieurs dizaines ou centaines de nouvelles extensions. On peut déduire de ce constat que les registrars vont avoir un poids énorme sur les futurs projets au moment de leur lancement, et que le rapport de forces va s’inverser de manière drastique. On peut aussi penser que certains registrars vont devoir faire des choix et se spécialiseront, proposant certaines « gammes » d’extensions et s’abstenant de référencer les autres. La prise de risque ne sera pas uniquement du côté des porteurs de projets, dans un schéma où la demande n’affluera plus aussi spontanément que dans les dix dernières années.


(1) Muzzled by the United Nations
http://www.circleid.com/posts/20091118_muzzled_by_the_united_nations/
(2) China Isn't Happy With the IGF
http://www.circleid.com/posts/20091119_china_isnt_happy_with_the_igf/
(3) One (Almost) Happy Multi-stakeholder Family At The Annual Internet Governance Forum
http://www.ip-watch.org/weblog/2009/11/24/one-almost-happy-multi-stakeholder-family-at-the-annual-internet-governance-forum/
(4) IGF attendees: America, surrender the root zone file!
http://arstechnica.com/tech-policy/news/2009/11/igf-2009-america-surrender-the-root-zone-file.ars
(5) The ITU and IPv6 Transition: Controversy at the IGF
http://www.circleid.com/posts/20091116_itu_and_ipv6_transition_controversy_at_the_igf/
(6) The IGF and the Internet Society-ITU rivalry
http://blog.internetgovernance.org/blog/_archives/2009/11/20/4385849.html
(7) IGF 2009: Dull speeches and bad wine
http://kierenmccarthy.com/2009/11/15/igf-2009-dull-speeches-and-bad-wine/
[Cet article d’un ancien responsable de l’ICANN est révélateur d’un certain mépris qu’ont certains Anglo-saxons à l’égard non seulement de l’ONU et de ses modes de fonctionnement, mais aussi des autres Nations...]
(8) Cyber War Threat
http://www.mailprotector.net/blog/2009/11/email-security/cyber-war-threat/915
(9) The Role of a Cybersecurity Czar
http://www.circleid.com/posts/20091104_the_role_of_a_cybersecurity_czar/
(10) VeriSign: Major internet security update by 2011
http://news.zdnet.co.uk/security/0,1000000189,39877966,00.htm
(11) Study on the Costs of DNSSEC Deployment
http://www.enisa.europa.eu/act/res/technologies/tech/dnsseccosts
(12) DNS problem linked to DDoS attacks gets worse
http://www.computerworld.com/s/article/9140839/DNS_problem_linked_to_DDoS_attacks_gets_worse
(13) gTLDs: Why Are Your Overarching Issues Not Relevant In IDN ccTLDs?
http://www.circleid.com/posts/gtlds_why_are_your_overarching_issues_not_relevant_in_idn_cctlds/
(14) IDN ccTLD Fast Track Process Launch
http://www.icann.org/en/announcements/announcement-16nov09-en.htm
(15) Egypt, China First In Line for Internationalised Top Level Domains
http://www.domainnews.com/en/egypt-china-first-in-line-for-internationalised-top-level-domains.html
(16) Net turns truly Indian as .bharat goes online from 2010
http://economictimes.indiatimes.com/infotech/internet/Net-turns-truly-Indian-as-bharat-goes-online-from-2010/articleshow/5221291.cms
(17) IDN and Email: The Harsh Reality
http://www.circleid.com/posts/20091120_idn_and_email_the_harsh_reality/
(18) Globalized domains to up phishing attacks
http://www.zdnetasia.com/news/security/0,39044215,62059758,00.htm
(19) Top 5 Reasons Not to Buy IDNs
http://idnblog.com/2009/11/27/top-5-reasons-not-to-buy-idns/
(20) Dave Wrixon: Interview with a Domain Legend
http://idnblog.com/2009/11/14/dave-wrixon-exclusive-idnblog/
(21) Expressions of Interest in new gTLDs: ICANN seeks input and advice
http://www.icann.org/en/announcements/announcement-11nov09-en.htm
(22) New gTLD Expressions of Interest: Proceed with Caution
http://www.pff.org/news/news/2009/111809-new-gTLD-expressions-of-interest-proceed-with-caution.html
(23) Analyzing .Asia and .Tel Domains: What does it mean for new TLDs?
http://domainnamewire.com/2009/11/06/analyzing-asia-and-tel-domains-what-does-it-mean-for-new-tlds/
(24) Five Warning Signs a Top Level Domain is Doomed
http://domainnamewire.com/2009/11/18/five-warning-signs-a-top-level-domain-is-doomed/