ICANN 68 : Points clefs et bilan de ce second sommet virtuel

S’est achevé en fin de semaine dernière le second sommet ICANN de cette année 2020. Il fut dédié à la partie « policy » soit, aux travaux de fond portant sur les règles de gouvernance de notre internet.

Ce 68ieme sommet ICANN devait se tenir comme à l’accoutumée en présentiel, cette fois-ci depuis Kuala Lumpur.

En raison de la période de pandémie mondiale, pour la deuxième fois cette année et depuis 1999, le sommet a été organisé à distance, rendant impossible les rencontres de ses quelques 2 000 / 2 500 participants en moyenne, et dont SafeBrands fait partie.

2020 sera une année sans rencontre, complexifiant les différentes avancées de travaux de chacune des commissions, parties prenante de ce système de gouvernance unique. Car Internet est gouverné de manière collégiale, via un modèle multipartite, basé très largement sur le volontariat.

Nous vous proposons de revenir néanmoins sur les points clefs de ce sommet pas comme les autres …

Période exceptionnelle oblige : Les impacts de la pandémie sur l’utilisation d’internet ont été analysés

A l’heure du RGPD qui a été et demeure un sujet complexe à implémenter à de nombreux niveaux, il y a eu paradoxalement une augmentation très large des demandes d’accès aux données personnelles (identité, déplacements, surveillance) de la part des gouvernements notamment, dans le but de pouvoir suivre les personnes et les évolutions de la pandémie. Le RGPD précise que pour des raisons de sécurité sanitaire, l’accès aux données personnelles peut être réduit mais en revanche, il ne prévoit pas de procédure d’accès exceptionnelle pour ce type de raisons. Il semble donc y avoir un vide procédural pouvant parfois entrainer des dérives que nous pouvons et pourrions surtout constater, suite aux divers transmissions et stockage de données opérés. C’est en tout cas une crainte majeure remontée.

Les questions soulevées durant le sommet ont concerné par exemple l’adéquation de ces mesures, l’intérêt de cette intrusion dans la vie privée des personnes ou encore, leurs intérêts dans le cadre de la lutte contre la pandémie. Nombreux sont ceux qui craignent que cela puisse parfois (ou souvent ?) être un prétexte afin de légitimer la réduction des libertés individuelles des citoyens. Par exemple peu d’États ont une obligation de publication du code source lié aux applications qu’ils développent afin de suivre leurs concitoyens. Il n’existe pas non plus d’encadrement relatif au stockage des données : base commune internationale ? Bases multiples ? …

Ces réflexions soulignent la place centrale et sensible que représente internet dans nos sociétés actuelles. Même si cette période a également rappelé l’existence des inégalités d’accès au réseau entre les pays et par la même, leurs impacts relatifs tant au niveau d’information des citoyens que de leur connaissance des mesures nécessaires.

Internet suit l’actualité …

Durant cette période le volume d’atteintes a plus que doublé. Des dizaines de milliers de noms de domaine contenant le terme « Covid » ont été enregistrés. 70% d’entre eux renvoyaient sur des pages parking mais, ce n’est pas pour autant qu’ils ne pouvaient servir par exemple à des attaques de « phishing ».

La « Federal Trade Commission » indique recenser plus de 100 000 plaintes liées au Covid et estime la perte financière à 68 millions de dollars.

Cette période a entrainé la révision de la définition d’un « abus ». C’est un point important cette révision ayant pour but d’englober plus largement les différentes types d’atteintes auxquelles correspondent la « cybercriminalité » (Malware, botnet, phishing, pharming, spam ,…).

Cela relance également le débat autour des mesures que pourrait prendre l’ICANN pour lutter plus efficacement contre les abus. A ce jour, il n’existe pas de procédure formelle contraignante permettant à l’ICANN de prendre des mesures fortes. Par exemple deux registrars ont récemment été desaccrédités (Alpnames et Nanjing). Cependant, il fallu attendre que ces derniers ne s’acquittent plus de leurs redevances alors même que 93% des enregistrements opérés par ces derniers ou via leurs services étaient directement placés sur liste noire par les organismes divers de lutte contre la cybercriminalité.

Un pourcentage de 3% d’enregistrements litigieux par registrar est également évoqué, mais ce pourcentage absolu n’est pas jugé si adapté, pouvant conduire à pénaliser de petits registrars aux volumes de noms critiques bien plus réduits que chez d’autres de taille plus importante.

New gTLDs et second round …

Même si aucune n’est avancée, l’objectif donné est la finalisation des travaux portant sur la révision de la procédure ainsi que sur son guide, pour la fin de l’année 2020.

Les travaux ont bien avancés mais si certaines interrogations demeurent.

Contrairement au « premier round » par exemple, le souhait de ne pas laisser de possibilité de négociation privée entre les différents demandeurs d’un même TLD est avancée. Le but serait qu’en cas de demandes multiples, des enchères soient nécessairement conduites. Cela pour éviter certaines dérives, que nous avons pu connaitre ou suspecter.

De même le système d’enchère doit être revu, car il a entrainé de nombreuses spéculations de la part de certains porteurs de projet, ne souhaitant finalement pas obtenir le TLD mais plutôt s’enrichir via leur participation à l’enchère. Au détriment du porteur de projet le plus sincère.

Il faudra donc faire en sorte que le projet puisse également être obtenu par le candidat disposant du meilleur projet d’exploitation , pouvant bénéficier à la communauté.

Whois et RGPD

Depuis le RGDP, le régime temporaire de gestion des données personnelles et plus largement des données collectées / publiées dans le « whois » reste appliqué.

Les travaux ont été dissociés en deux phases. Le premier rapport a été rendu, et il est demandé une extension de la date de remise du second au 31 juillet 2020.

De nombreuses questions restent à trancher en raison de la nature très vaste des problématiques soulevées par la gestion des données et des divergences de vision des acteurs en présence (gouvernements, société civile, acteurs du secteurs privés,).

La poursuite des travaux se verra peut-être organisée différemment et / ou confiée à une nouvelle équipe.

Le régime d’accrédition de prestataires souhaitant proposer un service de whois privé et surtout, l’encadrement définitif des procédures d’accès aux données par des acteurs légitimes, ne peuvent encore voir le jour.

Mécanismes de protection et révision

Ce projet de révision a été réparti en deux phases : revoir tant les mécanismes liés au lancement d’un TLD (Sunrise, TMCH, …) que ceux liés à la résolution des litiges (UDRP, URS,…).

Voici le planning mis à jour et discuté durant ce sommet ICANN :

Les rapport ont été rendus et il est désormais temps à l’analyse des commentaires publics.

L’objectif étant comme indiqué, de rendre le rapport final en octobre prochain.

De nombreux points sont analysés et nous reviendrons plus en détails sur les fondamentaux suite à la publication du rapport définitive. Il est cependant intéressant que noter que souvent, l’absence de consensus sur l’évolution du système (tel que celui des Sunrise) bloque tout modification, la communauté préférant dans cette hypothèse, conserver l’existant.

En définitive ce fut un sommet relativement dense mais rendu complexe des dires de chacun par l’absence de rencontre physique. Ces sommets sont entre autres choses l’occasion pour chaque personne travaillant dans un groupe, d’avancer plus concrètement, en sortant de la complexité que peuvent avoir les points téléphoniques / visio, qui ne permettent pas de favoriser de la même manière l’interaction et la prise de décision, surtout lors chacun dispose de son avis !

Cela n’empêche cependant pas SafeBrands de poursuivre le développement de ses partenariats, notamment avec les registres (nouvelle accréditation au Tchad, partenariat avec MMX pour l’Adult Block, …) ou encore d’échanger sur les évolutions des chartes de nommage avec les autorités locales, comme c’est le cas en Algérie.