Edito octobre 2009 - L’ICANN souffle le chaud et le froid à Séoul

Victoire pour le multilinguisme, semi-défaite pour les projets génériques

La réunion ICANN de Séoul, qui vient de s’achever, a été marquée par le contraste entre le feu vert donné aux nouvelles extensions en caractères non latins (1) et les délais nouveaux imposés au processus de création de nouvelles extensions génériques. Le ton fut apparemment donné dès les premiers jours, certains membres du staff parlant de la « V4 » du cahier des charges pour les candidats aux futures extensions, et Rod Beckstrom précisant que le processus ne pourrait être lancé tant que les « questions pendantes » ne seraient pas réglées. Une mesure de sagesse, sans aucun doute, mais qui inquiète (2) les porteurs de projets et les acteurs économiques ayant pour certains déjà lourdement investi dans la préparation de cette nouvelle opportunité.
Le dossier des extensions en IDN est donc officiellement lancé : la date du 16 novembre a été fixée pour la réception des candidatures. Le processus d’évaluation devrait ensuite être particulièrement rapide puisque certains porteurs de projets, notamment ceux du .РФ pour la Fédération de Russie, annoncent déjà une commercialisation au printemps 2010. On peut donc s’attendre en 2010 à l’ouverture de plusieurs extensions en caractères non latins, les extensions en caractères cyrilliques, arabes et chinois étant les plus probables (3).
Sur le front des extensions génériques, le calendrier prévisionnel a volé en éclats au point que l’ICANN elle-même s’est engagée à ne plus donner que des dates qu’elle serait certaine de pouvoir respecter. Si les plus optimistes font glisser jusqu’en septembre 2010 le moment de la soumission des dossiers, il semble, au vu des actions prévues, que 2011 soit une date plus réaliste.
Quatre grands points restent en effet à résoudre avant d’aller plus loin :

- en premier lieu, la protection des marques, qui fut l’un des grands écueils du processus en suscitant la mobilisation sans précédent des ayants droits. La V3 du cahier des charges reprenait certaines des propositions faites par l’IRT, mais pas toutes, ce qui ne semblait convenir à personne. La balle est à présent dans le camp du GNSO qui doit apporter ses commentaires et propositions avant le 14 décembre prochain ;

- en second lieu, la nécessité de réaliser des « études économiques » afin de mesurer plus précisément l’existence d’un besoin en regard de ces futures extensions, et de calculer une forme de ROI pour être en mesure de répondre à la question posée par le gouvernement américain en juin, puis décembre 2008 : « le jeu en vaut-il la chandelle ? ». Quel serait l’impact économique de la création de milliers de nouvelles extensions ? L’ICANN va mandater des économistes pour ce faire, puis creuser les points qui demeureront obscurs. Le processus peut facilement durer de 6 à 9 mois ;

- en troisième lieu, des études techniques doivent être menées sur la stabilité de la racine. La philosophie qui sous-tend cet axe de réflexion est que l’introduction de milliers de nouvelles extensions, s’ajoutant à d’autres évolutions simultanées comme DNSSEC, pourrait créer des situations dangereuses. Ici aussi, les analyses ne pourront se faire en un jour (4), d’autant que certaines questions sur la compatibilité des nouvelles extensions avec les systèmes de navigateurs et d’outils de messagerie tendent à émerger (5) ;

- en dernier lieu, la question de la « séparation verticale » entre registres et registrars reste plus que jamais posée, les deux parties alignant des arguments aussi légitimes que contradictoires. Là aussi, le GNSO a la main, mais il semble peu probable, au vu des enjeux stratégiques que ce point représente pour les acteurs du système, qu’une solution satisfaisant tout le monde puisse être trouvée ;

Afin de ne pas rester sur une sorte de fin de non recevoir, l’ICANN a posé le principe d’un appel à manifestations d’intérêts sur de futures extensions, qui pourrait avoir lieu dès les premiers mois de 2010. Outre son rôle de baume sur les impatiences exacerbées par les reports perpétuels chers à l’organisme, cette initiative pourrait aider l’ICANN à se faire une idée du nombre de dossiers qu’elle aurait à traiter, et qui reste encore une incertitude majeure. A l’issue de cette réunion difficile, Rod Beckstom est donc parvenu à assainir la situation en supprimant une partie des facteurs de stress qui la rendaient incontrôlable. Mais c’est aussi reconnaître implicitement que tout reste à faire. Un « sondage » a d’ailleurs été lancé le 28 octobre pour permettre à l’ICANN de connaître les attentes prioritaires des membres de sa communauté (6).

Un AOC qui ne fait pas (trop) de vagues

Si la signature de l’AOC a été généralement saluée, sur le coup, comme un réelle avancée dans le bon sens, certains échos discordants commencent à se faire entendre. Ainsi du site ICANNWatch.org, qui regrette (7) le secret dans lequel ont été menées les négociations entre l’ICANN et le DoC, secret peu compatible avec les statuts même de l’organisme californien, ce qui suffirait à prouver qu’il y a encore des progrès à faire. D’autres s’inquiètent du fait que l’AOC reste bien vague sur les conditions de supervision réelles de l’ICANN et sur son « accountability » (8). Le fait que la mise en place du dispositif prévu par l’AOC n’ait pas avancé lors de la réunion de Séoul n’est guère encourageant : depuis le 1er octobre, l’ICANN ne doit plus de comptes qu’à des « comités d’audit » dont nul ne connaît la composition ni les délais de mise en oeuvre. Autant dire qu’aujourd’hui l’ICANN ne répond de rien à personne, une situation certes bien confortable pour elle mais beaucoup moins pour tous ceux à qui l’on sert des discours lénifiants (9) abondant de belles paroles telles que « l’Internet vous appartient » ou « Qui contrôle l’internet ? La réponse, bien sûr, est : personne ». La CADNA a pour sa part réclamé (10) un « audit complet » de l’ICANN, quelques jours avant la signature de l’AOC, pointant du doigt les faiblesses de l’organisme californien qui serait selon elle « capturé » par les intérêts des registres d’extensions génériques et des registrars, dotée d’un Board incapable d’assurer son indépendance, opaque, orientée vers le profit plutôt que vers le service de l’intérêt général, absurdement complexe, etc. Tous points que le gouvernement américain connaît parfaitement depuis des années sans avoir pu ou voulu y mettre de l’ordre. Il est peu probable qu’il se sente motivé pour agir alors même qu’il affecte de se retirer des leviers de contrôle de l’organisation.

La signature de la racine : un verrou de plus pour le DNS

L’ambivalence de la stratégie américaine apparaît dans toute sa splendeur lorsqu’on s’intéresse au côté certes austère, et souvent obscur pour le profane, du fonctionnement technique du DNS. Au moment même où fleurissaient dans la presse des articles vantant « l’abandon » par les USA de leur contrôle sur l’Internet, les spécialistes présents à la réunion du RIPE de Lisbonne apprenaient comment le système racine allait être « signé » (11) grâce au protocole DNSSEC. Ce protocole permet de mieux sécuriser le DNS contre certaines formes d’attaques, mais il accroît aussi la dépendance des parties prenantes à l’égard de ceux qui en détiennent les « clefs ». Ce handicap est bien connu et a suscité des réserves chez les registres, sans pour autant remettre en question l’intérêt de cette évolution en termes de sécurité.
Le processus s’étalera entre le 1er décembre 2009 et le 1er juillet 2010. Aux commandes du dispositif : l’ICANN pour la validation administrative, le DoC pour l’autorisation et Verisign pour l’implémentation technique, soit la réplique de ce qui existe déjà pour la « racine ». Démarche on ne peut plus logique, mais qui bat un peu en brèche l’idée que les Etats-Unis entendent vraiment abandonner leur « rôle historique » dans la Gouvernance.
Les passionnés du sujet pourront suivre le déploiement de DNSSEC sur le site suivant (13).

La sécurité : toujours à la Une

Un récent rapport (14) de l’APWG (Anti Phishing Working Group) met en exergue le fait que le fléau du phishing est plus que jamais d’actualité, le mois de juin 2009 ayant été le pire depuis avril 2007. Selon les termes du président de l’APWG, « l’internet n’a jamais été aussi dangereux ». Le palmarès des pays accueillant les sites de phishing est assez stable d’un mois sur l’autre, composé des Etats-Unis, de la Suède, de l’Allemagne, du Canada, de la Chine et du Royaume-Uni. Comme on pouvait s’y attendre, les services bancaires et financiers sont les plus visés par ce type d’attaques.
Dans ce contexte, l’accès aux informations pertinentes sur les titulaires de noms de domaine peut revêtir une véritable importance afin de pouvoir établir les responsabilités (encore que dans un mode purement déclaratif, on trouvera peu de « phishers » assez ingénus pour fournir leurs vraies coordonnées lors de l’enregistrement d’un nom de domaine destiné à être utilisé dans une opération délictueuse)...
L’ICANN a publié début octobre (15) un rapport établissant que 15% à 25% des noms de domaine enregistrés dans les extensions génériques l’ont été en utilisant un système de prête-nom ou d’anonymisation rendant quasiment impossible l’identification rapide du vrai titulaire. Le prête-nom semble nettement plus employé que l’anonymisation, peut-être pour des raisons légales. Un appel à commentaires sur ce rapport est actuellement en cours, jusqu’au 20 novembre. A l’issue de cette période, l’ICANN réalisera une synthèse des propositions recueillies. Il est clair que dans l’optique où le gouvernement américain exige un whois fiable et « transparent », la proportion d’un nom de domaine sur quatre contrevenant à cet objectif est difficilement acceptable à moyen terme. Sans doute l’ICANN ne donne-t-elle pas dans ce rapport toutes les données recueillies : il serait pas exemple intéressant de voir quelle proportion de services de prête-noms ou d’anonymisation est fournie par des prestataires américains, voire par les registrars eux-mêmes. De telles données permettraient d’apprécier immédiatement la marge de progression en la matière. Reste que la démarche a des limites évidentes : les données ne sont pas forcément justes parce qu’elles sont publiques, ni parce qu’elles sont « protégées ». Sans devenir l’avocat de contrôles plus lourds qui ne seraient acceptés par personne, il faut reconnaître que les efforts de l’ICANN ne peuvent suffire, à eux seuls, à éradiquer le problème de la fiabilité des données WHOIS. Rappelons aussi que dans le contexte de l’ICANN, le sujet se complique d’autres aspects tels que les modalités d’utilisation, voire de vente, desdites données à des tiers. En tout état de cause, et n’en déplaise aux organes de sécurité américains, la protection des données personnelles est aujourd’hui mieux assurée par l’utilisateur que par l’ICANN. Ce point devrait évoluer pour que des résultats tangibles puissent être obtenus.


(1) Adopted Board Resolutions Seoul 30 October 2009
http://www.icann.org/en/minutes/resolutions-30oct09-en.htm
(2) New gTLD Timeline Slips, Frustration Boils Over in Seoul
http://domainnamewire.com/2009/10/26/new-gtld-timeline-slips-frustration-boils-over-in-seoul/
(3) IDN Introduction Biggest Technical Change to Internet in Its 40-Year History, Says ICANN Chairman
http://www.circleid.com/posts/idn_introduction_biggest_technical_change_to_internet/
[RQ: faisons la part des choses : je ne sais pas s’il s’agit de la plus grande évolution technique, car les IDN fonctionnent déjà depuis des années dans certaines ... Mais c’est assurément un symbole qui fera date]
(4) ICANN Technical Study Suggests Delaying New gTLD Introduction Until 2011-12
http://www.internetcommerce.org/ICANN_Delaying_New_gTLD
(5) The New Top Level Domain Software Problem
http://domainnamewire.com/2009/10/15/the-new-top-level-domain-software-problem/
(6) ICANN Asks for Input on What Its Priorities Should Be
http://domainnamewire.com/2009/10/28/icann-asks-for-input-on-what-its-priorities-should-be/
(7) ICANN's New Commitment to Transparency Arrives Via Secret Process
http://www.icannwatch.org/articles/09/09/30/165214.shtml
(8) Once Begun is ONLY Half Done
http://www.circleid.com/posts/once_begun_is_only_half_done/
(9) The internet belongs to you
http://www.guardian.co.uk/commentisfree/cifamerica/2009/sep/30/icann-internet-us
(10) CADNA Calls for Full-Scale Audit of ICANN
http://news.prnewswire.com/DisplayReleaseContent.aspx?ACCT=104&STORY=/www/story/09-22-2009/0005099053&EDATE=
(11) DNSSEC for the Root Zone -RIPE 59, Lisbon, Portugal - 6 October 2009
http://www.ripe.net/ripe/meetings/ripe-59/presentations/uploads/presentations/Tuesday/Plenary%2014:00/Abley-DNSSEC_for_the_Root_Zone.mId7.pdf
(12) First root server provides a DNSSEC-signed zone as of December 1st
http://www.h-online.com/security/news/item/First-root-server-provides-a-DNSSEC-signed-zone-as-of-December-1st-819870.html
(13) Quelques statistiques sur le déploiement de DNSSEC.
http://secspider.cs.ucla.edu/
(14) APWG: Phishing Activity Trends Report
http://www.antiphishing.org/reports/apwg_report_h1_2009.pdf
(15) Public Comment: Draft Report on Domain Names Registered Using a Privacy or Proxy Service
http://www.icann.org/en/announcements/announcement-3-01oct09-en.htm