Le nouveau RGPD, nouvelle loi européenne sur la protection des données est-il sur le point d’entrer en conflit la politique officielle de l’internet.
En mai, le règlement général de l’Union européenne sur la protection des données (GDPR) entrera officiellement en vigueur. Le GDPR est ostensiblement une loi visant à protéger la vie privée des citoyens européens lorsqu’il s’agit de la manière dont les méga-entreprises de l’internet comme Google et Facebook traitent leurs données. Mais les règlements sur la protection de la vie privée ont aussi des effets secondaires dont l’influence s’étend bien au-delà des frontières de l’UE et, ironiquement, peut servir à saper la sécurité des utilisateurs d’Internet, plutôt qu’à les protéger.
Il existe un certain nombre d’outils de recherche WHOIS gratuits sur Internet, et à moins que le propriétaire de ce site Web ait choisi de masquer ses informations, n’importe qui peut rechercher le nom, l’adresse, le courriel et le numéro de téléphone du titulaire. Il existe également des outils WHOIS plus sophistiqués qui fonctionnent moyennant des frais.
Ce protocole est une ressource inestimable pour les chercheurs en sécurité, les journalistes et les agents d’application de la loi qui l’utilisent pour suivre la diffusion d’information ou de logiciels malveillants sur Internet. D’autre part, le WHOIS a historiquement été traité comme une mine d’or pour les spammeurs et les pirates, qui sont capables de gratter l’information des bases de données WHOIS pour pousser des spams ou faire des vérifications automatisées des propriétaires de réseaux de sites pour améliorer son SEO grâce aux domaines expirés. Cela a conduit à une prolifération des services de masquage WHOIS, souvent fournis par les bureaux d’enregistrement de noms de domaine eux-mêmes pour une somme modique. Le reste de l’article est tiré d’un excellent article sur le WHOIS de Motherboard.
Le WHOIS doit-il être ouvert à la consultation ou est-il une menace pour la sécurité de l’Internet ?
La question est donc de savoir comment la consultation ou l’utilisation de la base de données WHOIS (pour rechercher des informations sur les personnes derrière un nom de domaine) est un élément critique pour la sécurité de l’Internet.
Un vestige préjudiciable des premiers jours du Web ?
Le débat est connu et traité depuis plus d’une décennie par l’Internet Corporation for Assigned Names and Numbers (ICANN), une ONG à but non lucratif responsable du sort des données WHOIS. La mise en œuvre du GDPR a placé la question en première ligne de l’ordre du jour de l’organisation.
En novembre dernier, l’ICANN a annoncé qu’elle ne prendrait pas de mesures à l’encontre des bureaux d’enregistrement pour « non-respect des obligations contractuelles liées au traitement des données d’enregistrement ». En d’autres termes, même si l’ICANN prendrait normalement des mesures légales contre les bureaux d’enregistrement qui n’ont pas publié les informations WHOIS comme stipulé dans leur accord avec l’ICANN, l’organisation a déclaré qu’elle n’intenterait pas d’action légale contre les bureaux d’enregistrement qui ne l’ont pas fait jusqu’à la création d’un nouvel accord de données WHOIS qui prend en compte le GDPR.
La politique floue de l’ICANN
Pour pouvoir bénéficier de ce report d’action, les bureaux d’enregistrement devaient proposer leurs propres modèles de conformité aux règles WHOIS. Puis, le 12 janvier, l’ICANN a publié un document décrivant trois solutions provisoires possibles pour les bureaux d’enregistrement de domaines qui leur permettraient de se conformer à la fois aux règles de l’ICANN et à la mise en œuvre du GDPR en Europe jusqu’à ce que l’ICANN puisse proposer une solution plus permanente pour l’avenir du WHOIS.
Le problème, brièvement énoncé, est que l’ICANN a des accords avec des milliers de registrars de domaines dans le monde entier comme GoDaddy ou HostGator qui obligent les entreprises à publier des données WHOIS – comme les noms, les courriels et les numéros de téléphone – pour chaque registraire de domaine avec leur service. D’autre part, le GDPR interdit aux entreprises de publier des informations permettant d’identifier les individus, ce qui signifie que lorsque la loi entrera en vigueur en avril, les accords de l’ICANN avec les bureaux d’enregistrement concernant les données WHOIS seront illégaux, du moins en Europe.
Le même jour où les solutions WHOIS provisoires de l’ICANN ont été publiées, GoDaddy – le plus grand bureau d’enregistrement de noms de domaine au monde – a annoncé qu’il retirerait les recherches en masse des coordonnées WHOIS pour ses 17 millions de clients à partir du 25 janvier.
La réponses des registrars
« Nous prenons des mesures pour protéger nos clients contre le spam et les appels robots, ce qui est un problème pour nos clients dans le monde entier « , a dit James Bladel, vice-président de la politique mondiale de GoDaddy, dans un courriel à VICE USA. « Cela n’a rien à voir avec le prochain règlement général sur la protection des données. GoDaddy, avec l’ICANN et le reste de l’industrie, évalue l’impact potentiel du GDPR sur l’accès au WHOIS ».
Bladel a cité un « pic » dans les plaintes des clients sur le fait d’être inondé de spam « dans les minutes qui suivent l’enregistrement d’un domaine et un flot d’accusations selon lesquelles GoDaddy vend des données de clients à des spammeurs. Mais de nombreux chercheurs en sécurité qui dépendent de la possibilité d’accéder aux données WHOIS en masse considèrent cette décision comme la société qui profite de l’incertitude qui entoure l’avenir des règles WHOIS de l’ICANN.
« GoDaddy a décidé unilatéralement de supprimer le courriel, les noms et les numéros de téléphone de tous les enregistrements WHOIS qu’ils publient, ce qui représente un changement important par rapport à ce qu’ils sont contractuellement tenus de faire en vertu de leur accord de registraire avec l’ICANN.
Des bureaux d’enregistrement comme GoDaddy et les organisations derrière les programmes de recherche WHOIS comme la recherche de l’ICANN et DomainTools ont essayé diverses autres façons de limiter la collecte en masse de données WHOIS par les spammeurs, comme la mise en œuvre de captchas ou l’affichage des coordonnées d’un propriétaire de site Web sous forme de photos, plutôt que sous forme de texte en clair pour limiter la collecte automatisée de données.
Malgré ces efforts, M. Chen a déclaré qu’il est probable que d’autres bureaux d’enregistrement suivront bientôt les traces de GoDaddy et retireront les recherches de données WHOIS en masse. La raison, dit-il, est que si ou les registraires de domaine, « ce n’est pas vraiment dans leur intérêt d’avoir ces données disponibles parce que ce sont leurs données sur leurs clients ». De plus, le maintien d’un serveur pour les données WHOIS incombe au registraire, ce qui représente un coût pour l’entreprise. Et comme Bladel l’a mentionné, les bureaux d’enregistrement sont souvent accusés par les clients de « vendre » leurs informations lorsque les spammeurs raclent les données WHOIS.
« Les bureaux d’enregistrement ne veulent pas que le WHOIS existe du tout, a dit M. Chen. « Ils profitent de cette occasion pour voir jusqu’où ils peuvent pousser les choses. »
A qui sert le WHOIS ?
Ce changement est un coup dur pour les chercheurs en sécurité qui dépendent de l’accès en masse aux données WHOIS, ainsi que des services d’analyse de données comme DomainTools de Chen, pour faire leur travail. Xavier Mertens, consultant indépendant en sécurité en Belgique, m’a dit que pour lui et d’autres dans son domaine de travail, WHOIS est souvent la première ligne de défense lors de l’évaluation d’une menace.
« Vous voyez une activité malveillante liée à un nom de domaine et votre premier réflexe est de voir qui se cache derrière ce domaine « , m’a dit Mertens dans un courriel. « Si les données WHOIS ne sont pas accessibles au public, mais seulement aux organisations accréditées, pouvez-vous imaginer la quantité de tâches administratives et d’efforts nécessaires pour accéder à cette information ?
Les journalistes utilisent aussi régulièrement les données WHOIS pour trouver les coordonnées de sources possibles, et les archivistes sur Internet utilisent les données WHOIS pour demander l’autorisation de sauvegarder des sites Web qui semblent avoir été abandonnés ou qui risquent d’être effacés à jamais.
Que fera l’ICANN ?
L’ICANN est dans une position difficile. D’une part, l’organisation est sous la pression des responsables de l’application de la loi et des chercheurs en sécurité qui dépendent des données WHOIS pour enquêter sur d’éventuels crimes ou pour atténuer les attaques de logiciels malveillants dévastateurs. D’autre part, l’organisation doit aussi s’adapter à des lois comme la GDPR qui sont le seul rempart contre la vente en gros de données personnelles par des géants de l’Internet comme Google et Facebook.