Le groupe de travail de l’ICANN en charge des annuaires de noms de domaines Internet a remis un rapport qui pourrait entraîner une profonde révision du fonctionnement de WHOIS, le système des bases de données qui gèrent les informations relatives aux noms de domaine. Et la proposition de constituer une base unique et centralisée, probablement hébergée aux USA, n’est pas sans risques…

Pourquoi revoir WHOIS ?

Aujourd’hui, le système WHOIS pose deux types de problèmes, liés à sa cohérence et à la protection de la vie privée.

WHOIS est aujourd’hui un système décentralisé, dans lequel chaque registre   est en charge des informations relatives aux noms de domaine dont il a la charge. Ainsi, en l’absence de règles strictes qui s’imposent à tous, on ne dispose pas exactement des mêmes informations pour un domaine ou pour un autre, selon le registre   qui s’en occupe.

Au-delà des informations techniques, certains registres divulguent des informations très détaillées sur les titulaires des noms de domaine. Parmi ces informations figurent des noms de personnes avec leur adresse e-mail et leur numéro de téléphone. D’autres registres sont beaucoup plus stricts sur le respect de la vie privée et n’exposent pas du tout ces informations, qu’ils gardent confidentielles. Ceci n’est pas neutre, car il est notoirement connu que les bases WHOIS sont une source d’adresses e-mail pour les spammeurs de toute sorte.

 

L’approche préconisée par le groupe d’experts de l’ICANN est à la fois centralisée et sécurisée. Sous l’acronyme de ARDS – Aggregated Registration Directory Services – le groupe d’experts de l’ICANN propose que soit mise en place une base de données unique, alimentée par l’ensemble des registres. L’accès à cette base sera étroitement contrôlé, de façon à ne fournir une information qu’à des requérants qui seront légitimement fondés à la demander. Ainsi, ceux qui souhaiteraient obtenir des informations WHOIS devront s’être préalablement enregistrés auprès de l’ICANN, et ceux, qui une fois habilités, abuseraient de cette autorisation pourraient se la voir retirer.

 

Voilà qui pourrait bouleverser un peu nos habitudes : en effet, qui parmi vous n’a jamais lancé une requête WHOIS pour voir quelle entité ou quelle personne se trouvait derrière tel ou tel nom de domaine ? Clairement, si cette proposition était adoptée, le gain éventuel en matière de protection de la vie privée se paierait par une diminution de la transparence du système : un internaute lambda ne pourra plus savoir à qui appartient un nom de domaine…

La centralisation des données aux USA, n’est-ce pas risqué ?

Du point de vue de la sécurité des données, il faut espérer que la future base WHOIS globale et centralisée bénéficiera du plus haut niveau de sécurisation possible, car un accès frauduleux à cette base et le vol des millions d’adresses e-mail qui y figureront poserait un vrai problème… tout comme un incident technique qui affecterait de fait tous les noms de domaine de l’Internet et l’activité de l’ensemble des registres.

Mais là n’est peut-être pas le vrai danger, si l’on envisage les choses à la lumière des révélations récentes sur le système de surveillance PRISM mis en place par les États-Unis. Ainsi on peut se poser les questions suivantes :

Est-il raisonnable de confier à un organisme établi aux USA une base de données centralisée de tous les noms de domaine ?

Que se passera-t-il si un jour la NSA ou la CIA disposait d’une entrée privilégiée à ce système et décidait de l’utiliser pour détourner des noms de domaine de leurs légitimes propriétaires ?

 

 

Source : Pierre Col pour zdnet.fr