Focus

Accès aux données relatives aux noms de domaine sur Internet : récents développements et suggestions utiles à l’adresse des douanes

22 juin 2020
Par Brian J. King, Directeur de la politique sur internet et des affaires industrielles, MarkMonitor

Les ordinateurs identifient les sites Web à travers une adresse IP, c’est-à-dire une série de chiffres séparés par des points, qui sont difficiles à retenir pour l’esprit humain. Les sites Web ont dès lors également une adresse constituée d’une chaîne de caractères alphanumériques, se référant habituellement à un nom ou à une marque de commerce et appelée nom de domaine.

Depuis la création d’Internet tel que nous le connaissons, les informations concernant la propriété des noms de domaine peuvent être consultées sur une base de données connue sous le nom de « WHOIS » (de l’anglais « who is », c’est-à-dire « qui est »), qui renseigne sur le titulaire d’un nom de domaine donné. À l’instar d’autres bases de données publiques contenant des renseignements relatifs à un titre de propriété, à l’enregistrement d’une marque de commerce ou à la propriété d’une société, les données sur WHOIS servent l’intérêt public de plusieurs manières, notamment parce qu’elles constituent un outil important pour les services chargés de l’application de la loi. Richard D. Green, président du sous-groupe du G7 sur la criminalité utilisant la haute-technologie, a récemment écrit que « assurer la sécurité des citoyens des pays membres du G7 signifie mener des enquêtes sur des délits comme le hameçonnage, les programmes malveillants, les logiciels rançonneurs, les produits de contrefaçon, le matériel pédopornographique et le terrorisme, ou encore faciliter l’identification des victimes et des contrevenants. Dans ce contexte, WHOIS est un élément incontournable de la reddition de compte et de la responsabilisation en ligne. »[1]

L’accès des forces de l’ordre et d’autres acteurs bienveillants à ces données, toutefois, s’est fortement réduit après l’adoption du Règlement général sur la protection des données de l’Union européenne (RGPD) qui est entré en vigueur en mai 2018. Les réactions excessives dues à l’inquiétude que suscite le RGPD, notamment à cause des amendes écrasantes qu’il prévoit et de la menace d’ordres de fermeture éventuelle qu’il fait peser sur les entreprises, a débouché sur une mauvaise application de la loi à grande échelle. Le RGPD est actuellement appliqué de manière erronée tant à l’intérieur qu’à l’extérieur de l’UE, avec pour conséquence l’apparition de noms de domaine sur le répertoire WHOIS qui ne sont liés à aucune donnée à caractère personnel, ce qui en décroît fortement l’utilité pour les autorités chargées du respect de la loi. Si des travaux sont en cours pour corriger cette application initialement trop zélée du règlement et pour construire un système qui facilite l’accès normalisé à ces données, l’avenir de cet instrument, qui compte parmi les plus importants pour les enquêtes de répression de la fraude, est bel et bien en jeu. Nous allons dans les lignes qui suivent développer ce propos, et notamment expliquer la manière dont les gouvernements peuvent contribuer à améliorer le résultat final des travaux de politique générale concernant Internet, ainsi que les ressources et les meilleures pratiques disponibles pour les douanes afin qu’elles puissent accéder aux données WHOIS sur le court terme, en attendant que ces politiques soient finalisées et mises en œuvre.

Contexte

À de nombreux égards, la possibilité d’accéder aux données WHOIS a longtemps sous-tendu le sentiment de confiance qu’inspire le Système mondial de noms de domaine DNS (de l’anglais Domain Name System), le système de désignation hiérarchique et décentralisé pour les ordinateurs, les services et toutes les autres ressources connectées à Internet ou à un réseau privé. Elle a aussi contribué à la fois aussi à sa sécurité et à sa stabilité. Durant les premiers jours d’Internet, de nombreux protocoles universels utilisés aujourd’hui n’étaient alors qu’en cours de développement et les données WHOIS étaient souvent demandées pour contacter les administrateurs de système afin de résoudre les problèmes techniques liés aux noms de domaine et aux systèmes qui les utilisaient. Aujourd’hui, l’existence même d’Internet exige encore et toujours l’utilisation universelle et volontaire de protocoles normalisés, pour permettre à tous les systèmes de communiquer les uns avec les autres de la même manière. La capacité à notifier les administrateurs lorsque les systèmes se comportent d’une manière incohérente par rapport à ces protocoles reste plus importante que jamais pour garantir le bon fonctionnement continu d’Internet.

De même, au cours des dernières décennies, les services répressifs, les enquêteurs spécialisés dans la cybersécurité, les titulaires de droits de propriété intellectuelle et les consommateurs de tous les jours en sont venus à recourir aux données WHOIS pour vérifier que les propriétaires de sites Web et les expéditeurs de courriels étaient bel et bien ceux qu’ils prétendaient être. Compte tenu de la nature extraterritoriale d’Internet, il n’existe pas de force de police mondiale pour la Grande Toile et aucune entité ne peut en règlementer l’utilisation à l’échelon international. En lieu et place d’une police sur Internet, le DNS mondial compte sur l’appui des forces de l’ordre locales, d’experts indépendants en cybersécurité, de propriétaires de droits de propriété intellectuelle et d’agences de protection des consommateurs, qui apportent tous à leur manière leur pierre à l’édifice. WHOIS a d’ailleurs été décrit comme la « première ligne de défense »[2] permettant aux acteurs bienveillants de s’entraider dans le but de résoudre les problèmes techniques et juridiques éventuels pour le bien de la collectivité.

Registre, bureau d’enregistrement et « registrant »

Le processus d’enregistrement d’un nom de domaine repose sur trois éléments : le registre, le bureau d’enregistrement (ou registraire), et le titulaire ou « registrant ». Les registres de noms de domaine créent l’extension d’un nom de domaine donnée, établissent les règles régissant l’attribution des noms de domaine et travaillent avec des bureaux d’enregistrement, qui vendent les noms de domaine au public. Verisign, par exemple, gère les enregistrements des noms de domaine se terminant par l’extension .com ainsi que leur DNS. Les registres gèrent donc de vastes bases de données centralisées, contenant des renseignements sur les noms de domaine qui ont été revendiqués et par qui.

Les bureaux d’enregistrement (ou registraires) vendent des noms de domaine au public pendant une certaine période de temps et mettent les registres à jour lorsqu’un client achète un nouveau nom de domaine. Certains ont la capacité de vendre des noms de domaine de premier niveau (aussi appelés TLD, de l’anglais top level domain) tels que .com, .net et .org, ou encore des noms de domaine avec le code du pays, comme .us, .ca ou encore .eu.

Enfin, un registrant est une personne physique ou morale qui souhaite enregistrer un nom de domaine.

Quelles sont les données disponibles ?

Les données recueillies auprès de ces registrants de noms de domaine incluent le nom, l’organisation (le cas échéant), l’adresse postale, le courriel et le numéro de téléphone. Les titulaires de noms de domaine peuvent également fournir des informations complémentaires pour toute question technique (par exemple, les coordonnées de contact d’un prestataire de services techniques externe). Tout ceci pourrait constituer une précieuse mine d’informations pour les administrations douanières, qui n’ont habituellement accès qu’à des données pour le moins lacunaires sur les envois et sur les expéditeurs, mais seul un sous-ensemble très limité de données recueillies sur WHOIS est accessible au public. Le tableau 1 est fourni à titre de comparaison.

Très peu d’informations sont ainsi disponibles au public mais les autorités chargées du respect de la loi peuvent demander à accéder à davantage de données. Des informations sur la façon de demander ces données figurent, d’ailleurs, ci-dessous.

Qui contrôle les données ?

Tandis que de nombreux pays disposent de lois régissant le contenu des sites sur Internet, le DNS mondial, qui règlemente le trafic et qui sert d’outil d’identification de la source des sites Web et des courriels, est coordonné à travers un modèle de gouvernance où interviennent plusieurs interlocuteurs. À la fin des années 1990, une association sans but lucratif, l’Internet Corporation for Assigned Names and Numbers (ICANN), a été créée afin de mondialiser les noms de domaine et les numéros d’adresse IP, dont la gestion était assurée jusque-là par le Département du commerce des États-Unis sur la base d’un contrat. Suivant le modèle de gouvernance multipartite de l’association, les gouvernements représentent collectivement un seul comité consultatif parmi de nombreuses autres parties prenantes, notamment les organisations de propriété intellectuelle privées et les associations de la société civile non commerciales.[3]

Afin de promouvoir la concurrence et le choix des consommateurs dans l’industrie des noms de domaine, l’ICANN, en tant qu’autorité de règlementation pour le secteur des bureaux d’enregistrement de noms de domaine, en accrédite des milliers. L’association signe également des contrats avec les registres. Les bureaux d’enregistrement (ou registraires) et les registres sont collectivement désignés sous le nom de « parties contractantes » dans la mesure où leurs activités dépendent d’un contrat non négociable conclu avec l’ICANN. Les bureaux d’enregistrement se font concurrence auprès des clients sur la base des prix des noms de domaine et de la mise à disposition de certaines fonctionnalités et de certains services à valeur ajoutée, comme les services de conception de sites Web ou l’hébergement de services de courriel. Au niveau le plus fonctionnel, les registraires assurent un service technique de base qui consiste à ajouter le nom d’un domaine au DNS mondial et à en renouveler l’inscription chaque année. Dans le cadre de cette fonction fondamentale, chaque bureau d’enregistrement doit se charger d’entreposer les données WHOIS pour chaque nom de domaine sous sa responsabilité et d’en valider autant que possible l’exactitude.

Que se passe-t-il aujourd’hui ?

Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) de l’Union européenne en mai 2018, l’ICANN exige des bureaux d’enregistrement de rendre disponible un sous-ensemble minimal de données publiques du WHOIS à tous les utilisateurs d’Internet qui le demandent, tant à travers un serveur public chargé de répondre aux demandes générées par ordinateur que sous un format plus convivial, sur le site Web de chaque registraire. Toutefois, les données WHOIS non publiques restent hors de portée des services répressifs et d’autres parties disposant pourtant d’une base légale pour y accéder, comme conséquence du risque de violation de la législation sur la protection des données. Pendant que les parties prenantes de l’ICANN travaillent à l’élaboration de politiques qui permettront de donner un accès à ces données, l’ICANN a enrôlé unilatéralement ses parties contractantes afin qu’elles évaluent manuellement les demandes d’accès à des données non publiques selon les provisions d’une « spécification temporaire »[4]. À la différence des politiques normalement élaborées par l’ICANN qui doivent être fondées sur le consensus entre les parties prenantes, les « spécifications temporaires » constituent des politiques d’application forcée, non négociables et à court terme.

Malheureusement, selon de nombreux rapports, la spécification en question a été un profond échec à bien des égards. Au cours des neuf premiers mois d’application du RGPD et de la spécification temporaire, MarkMonitor, leader mondial de la prestation de services de protection en ligne, a soumis plus de mille demandes individuelles aux bureaux d’enregistrement concernant des données WHOIS non publiques[5]. Ces demandes, qui ont été examinées manuellement et envoyées par les meilleurs analystes de protection des marques au monde, avaient trait à des sites Web dont il a pu être confirmé qu’ils enfreignaient les droits de plus de 15 marques de commerce mondialement connues.  86 % de ces demandes n’ont pas été traitées durant les 30 jours suivant leur réception et peuvent donc être considérées comme refusées, ou ont été explicitement jugées irrecevables sans qu’aucun élément n’ait permis d’établir si elles avaient été réellement examinées. De nombreuses demandes émanant des forces de l’ordre ont connu le même sort. Autre fait plutôt inquiétant, au cours de la réunion de l’ICANN66 à Montréal en novembre 2019, l’ICANN a rapporté qu’un bureau d’enregistrement avait envoyé un message générique de refus à l’autorité chargée de la protection des données d’un État membre de l’UE, qui enquêtait sur une infraction relative aux données concernant un site Web utilisant un nom de domaine parrainé par ce même bureau d’enregistrement.

Progrès et meilleures pratiques

La première étape du processus accéléré d’élaboration de politiques (EPDP) de l’ICANN s’est centrée uniquement sur la collecte de données WHOIS et sur la mise à disposition du public d’un sous-ensemble minimal de ces données. Ceel-ci est à présent achevée, sous réserve des formalités de mise en œuvre. À la déception d’un grand nombre d’interlocuteurs dans le domaine de la propriété intellectuelle et de la répression de la fraude, la première étape a transformé en grande partie les exigences de la spécification temporaire en une politique consensuelle permanente de l’ICANN en faveur de la divulgation ponctuelle des données d’enregistrement non publiques, sur décision des bureaux d’enregistrement. Les autorités de répression de la fraude et les titulaires de droits de propriété intellectuelle espèrent à présent que la deuxième étape de l’EPDP permette d’aboutir à un système d’accès normalisé aux données WHOIS non publiques.

En réponse à la politique issue de la première étape, le Groupe des parties prenantes des bureaux d’enregistrement a publié des orientations, à l’adresse des demandeurs de données WHOIS, sur les modalités à suivre pour introduire une demande ponctuelle d’accès aux données WHOIS non publiques[6]. Ce guide n’est pas contraignant pour les registraires et ne garantit pas la divulgation de données WHOIS aux autorités chargées de l’application de la loi qui en font la demande. Toutefois, le fait de suivre les orientations devrait garantir les chances de voir aboutir une demande de divulgation de données WHOIS auprès d’un bureau d’enregistrement. La politique élaborée au cours de la première étape de l’EPDP établit, par ailleurs, que chaque registraire a l’obligation de publier sur son site Web sa politique et la procédure prévue pour le traitement des demandes de divulgation ponctuelle de données. Cette exigence n’est pas encore entrée en vigueur mais certains des plus grands bureaux d’enregistrement s’y sont déjà conformés. À toutes fins utiles, la politique de registraire de MarkMonitor peut être consultée en cliquant sur ce lien[7].

Si certains registres et bureaux d’enregistrement n’ont pas donné suite aux demandes du secteur privé, nombreux sont ceux qui, par contre, sont très heureux de collaborer avec les forces de l’ordre qui souhaitent obtenir des données WHOIS. Les administrations des douanes peuvent connaître le registre à contacter pour un nom de domaine donné en procédant à une recherche WHOIS sur divers outils de consultation, dont celui de MarkMonitor, qui est public et gratuit[8]. Il suffit ensuite d’entrer en contact direct avec l’entité compétente. De nombreux registres offriront une liste de leurs politiques et procédures à l’égard des organismes chargés de l’application de la loi sur leur site Web et les informations de contact pour chaque registre sont disponibles au public[9]. Les registraires sont également tenus par contrat de publier sur leur site Web des renseignements sur les procédures de plaintes pour abus et nombre d’entre eux y présentent les instructions spécifiques que doivent suivre les services de l’ordre. Plusieurs organismes de répression de la fraude entretiennent une relation de travail avec des registres connus et peuvent aider les administrations des douanes à formuler leurs demandes de divulgation de données, afin qu’elles soient couronnées de succès. Parmi elles figurent le Cybercrime Centre d’Europol (EC3)[10] et la National Cyber-Forensics and Training Alliance (NCFTA)[11], ainsi que plusieurs groupes multinationaux comme la Joint Cybercrime Action Taskforce (J-CAT)[12] et l’Intellectual Property Rights Coordination Center (IPR Center)[13].

Un rapport initial de la deuxième étape de l’EPDP a récemment été publié pour commentaire public concernant le système proposé d’accès ou de publication normalisés (SSAD) des données WHOIS non publiques[14]. Le rapport initial inclut des informations détaillées sur la façon dont les entités peuvent s’accréditer afin d’accéder aux données WHOIS et sur les renseignements qui seront requis lors de cette accréditation. Qui plus est, le rapport initial inclut la notion d’accès automatisé pour les autorités chargées de l’application de la loi au sein de leur juridiction, bien qu’il manque de clarté sur la manière dont d’autres demandes seront approuvées ou refusées, sur qui sera le « contrôleur de données » (un élément important dans la législation sur la protection des données) et sur la façon dont le SSAD évoluera et deviendra plus efficace au fur et à mesure des évolutions de la loi sur la protection des données.

Que faire ?

Comme conséquence de la pandémie de coronavirus et de la publication d’un supplément du Rapport initial de la deuxième étape[15], la date limite pour la soumission de commentaires publics sur la deuxième étape du Rapport initial sur l’EPDP a été prorogée jusqu’au 5 mai 2020[16]. Les intérêts des services d’application de la loi sont représentés dans l’EPDP et dans le modèle multipartite de l’ICANN, généralement à travers le Comité consultatif gouvernemental (GAC). Les membres du GAC sont souvent désignés par les agences nationales de télécommunications, les agences nationales chargées de la cybersécurité ou tout autre organisme similaire au niveau national. Les administrations douanières pourront trouver l’agence gouvernementale assurant la liaison avec le GAC au niveau national en suivant ce lien[17].

MarkMonitor est heureux de représenter la communauté des titulaires de droits de propriété intellectuelle au sein du modèle multipartite de l’ICANN dans l’EPDP et de contribuer à plaider en faveur de nos partenaires des services chargés de l’application de la loi, avec qui nous entretenons une relation précieuse. Nous nous réjouirons de recevoir les observations et les contributions de nos partenaires des douanes au niveau mondial et restons à la disposition de la communauté douanière pour débattre de l’EPDP ou de toute autre question de politique générale à l’échelon international.

En savoir +
Brian.King@markmonitor.com
www.markmonitor.com

[1] https://www.icann.org/en/system/files/correspondence/green-to-chalaby-21jun19-en.pdf

[2] https://www.igfusa.us/remarks-of-david-j-redl/

[3] https://www.icann.org/community

[4] https://www.icann.org/fr/system/files/files/gtld-registration-data-temp-spec-17may18-fr.pdf

[5] https://www.markmonitor.com/mmblog/brand-protection/gdpr-whois-and-impacts-to-brand-protection-nine-months-later/

[6] https://rrsg.org/minimum-required-information-for-whois-data-requests/

[7] https://rrsg.org/minimum-required-information-for-whois-data-requests/

[8] https://domains.markmonitor.com/whois/

[9] https://www.iana.org/domains/root/db

[10] https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3

[11] https://www.ncfta.net/

[12] https://www.europol.europa.eu/activities-services/services-support/joint-cybercrime-action-taskforce

[13] https://www.iprcenter.gov/

[14] https://www.icann.org/public-comments/epdp-phase-2-initial-2020-02-07-en

[15] https://www.icann.org/public-comments/epdp-phase-2-addendum-2020-03-26-en

[16] https://www.icann.org/news/blog/epdp-team-publishes-addendum-to-phase-2-initial-report-for-public-comment

[17] https://gac.icann.org/about/members?language_id=3