DÉCLARATION DE L’ALAC SUR LES HYPOTHÈSES D’ÉTUDE WHOIS FORMULÉES PAR LE GROUPE DE TRAVAIL DU GNSO
Note introductive du personnel de l’ICANN
La version préliminaire originale de la présente déclaration a été élaborée par Patrick Vande Walle, membre de l’ALAC. Elle a tout d’abord été publiée en anglais le 22 septembre 2008, afin de recueillir les commentaires des membres de l’ALAC et reste disponible à l’adresse suivante : https://st.icann.org/alac-docs/index.cgi?statement_on_whois_hypothesis_working_group_studies_al_alac_st_0908_3 . Les commentaires soumis ont servi de base à Rev1 (ce document).
Le rapport dont est issue cette déclaration est disponible à l’adresse suivante : http://gnso.icann.org/issues/whois/whois-study-hypothesis-group-report-to-council-26aug08.pdf (en anglais uniquement).
[Fin de l’introduction]
Remarque préliminaire
Le Comité consultatif At-Large (ALAC) souhaite faire part au Conseil du GNSO de son opinion sur le rapport préparé par le groupe de travail sur les hypothèses d’étude Whois, disponible à l’adresse suivante : Le rapport dont est issue cette déclaration est disponible à l’adresse suivante :http://gnso.icann.org/issues/whois/whois-study-hypothesis-group-report-to-council-26aug08.pdf.
L’ALAC souhaite remercier les membres de sa communauté qui ont participé à l’élaboration de cette déclaration : Carlton Samuels, Alan Greenberg, Danny Younger, Patrick Vande Walle et d’autres intervenants anonymes.
Aucune distinction n’est clairement faite dans le document entre les services Whois, tels que fournis par des serveurs Whois conformes à la norme RFC 3192, et les services de type Whois, fournis via des systèmes en ligne. Il est toutefois important de prendre en compte ces différences afin de comprendre comment les systèmes peuvent être détournés de leur utilisation initiale.
Le service Whois basé sur du texte est victime de sa simplicité. En effet, il simplifie le téléchargement des données en masse. En revanche, les systèmes Whois basés sur le Web peuvent être adaptés de sorte à limiter les requêtes en masse, grâce aux validations captcha ou à d’autres techniques.
Concernant la version texte du Whois, nous souhaitons souligner et approuver l’avis des rédacteurs de la norme RFC 3912 : « Le protocole WHOIS n’est pas internationalisé. Il ne dispose d’aucun mécanisme permettant d’indiquer le jeu de caractères utilisé. ... Cette incapacité à prévoir ou à utiliser un codage de texte nuit à l’interopérabilité (et, par conséquent, à l’utilité) du protocole WHOIS. » La norme RFC 3912 stipule en outre que : « Le protocole WHOIS ne prévoit aucune disposition de renforcement de sécurité. Le WHOIS souffre d’un manque de mécanismes en matière de contrôle d’accès, d’intégrité et de confidentialité. Par conséquent, les services WHOIS doivent être utilisés uniquement pour des données non sensibles et accessibles à tous. L’absence de ce type de mécanismes de sécurité entraînerait le refus du protocole par l’IETF à l’heure où nous écrivons ».
Face à ces considérations, l’ALAC estime que les services Whois basés sur du texte ne servent plus les intérêts de la communauté. Cela inclut :
- la prise en charge de jeux de caractères non-ASCII ;
- le contrôle de la granularité des données affichées ;
- la gestion des droits d’accès et les audits d’accès et
- la conformité des services Whois avec les exigences légales auxquelles sont soumis les bureaux d’enregistrement et les registres.
Nous conseillons vivement au GNSO d’envisager la création d’un service de type Whois capable de proposer des droits d’accès granulaires aux données des requérants, ainsi que des audits d’accès appropriés et la prise en charge de jeux de caractères non-ASCII. À cette fin, nous attirons l’attention du GNSO sur la recommandation du SSAC formulée dans le document SSAC-033 http://www.icann.org/en/committees/security/sac033.pdf.
D’une manière générale, l’ALAC est d’accord avec la définition de l’objectif du Whois donnée par le Conseil du GNSO, à l’occasion de la réunion de ses membres le 12 avril 2006 : « Le but du service Whois des gTLD est de fournir suffisamment d’informations permettant de contacter une partie responsable capable de résoudre des problèmes (ou de transmettre les données de façon fiable à un tiers pouvant le faire) liés à la configuration des enregistrements associés à un nom de domaine gTLD en particulier, au sein du serveur de noms du DNS. »
Concernant le rapport du groupe de travail du GNSO sur les hypothèses d’étude Whois, nous souhaitons formuler les commentaires suivants :
Domaine 1 : études d’utilisations abusives du WHOIS
Commentaire 21 et ensemble de données 2 du GAC : d’autres cas d’utilisation abusive ont été signalés, tels que l’identification d’opposants politiques ou d’autres personnes persécutées pour leurs opinions.
Domaine 2 : conformité avec les réglementations en matière de protection des données et l’accord d’accréditation des bureaux d’enregistrement
Si, conformément à la réglementation locale en vigueur, un registrant (personne physique) s’oppose à la publication de ses informations personnelles dans des bases de données telles que la base publique du Whois, cette décision ne doit pas l’empêcher d’enregistrer un nom de domaine. Une analyse plus approfondie s’impose afin de savoir si :
- Les dispositions des paragraphes 3.3.1 et 3.3.6 de l’accord d’accréditation des bureaux d’enregistrement sont compatibles avec les réglementations locales du bureau d’enregistrement ;
- Le non-respect de ces dispositions par un bureau d’enregistrement, en raison des réglementations locales en vigueur, peut conduire à la résiliation du RAA pour ledit bureau d’enregistrement.
Une analyse plus approfondie est nécessaire afin d’aborder la question de l’exportation des données d’un registrant d’un pays à un autre. Il peut arriver qu’un bureau d’enregistrement situé dans le pays X ne soit pas légalement autorisé à exporter les données de personnes physiques vers un bureau d’enregistrement du pays Y. En outre, si le bureau d’enregistrement sous-traite l’aspect technique à un opérateur enregistré dans le pays Z mais exerçant ses activités dans un autre pays, la situation peut devenir véritablement complexe.
Concernant les registres des gTLD, l’ALAC remarque que les contrats de registre incluent certaines exigences sur les services Whois qui peuvent se révéler incompatibles avec les exigences légales de réglementations locales, auxquelles certains registres sont susceptibles d’être soumis. Une analyse plus approfondie s’impose afin d’évaluer si l’incapacité d’un registre à se conformer aux exigences Whois généralement reconnues de l’ICANN est susceptible d’être utilisée comme critère éliminatoire au cours du processus d’évaluation comparative mis en place par le programme des nouveaux gTLD. Si tel était le cas, l’ALAC redoute que le processus d’évaluation soit faussé en faveur des registres situés dans des pays ou des régions dont les lois sur le respect de la vie privée s’avèrent moins contraignantes.
Domaine 3 : disponibilité des services de confidentialité
Concernant les coûts des services proxy, il convient de noter que certains bureaux d’enregistrement peuvent être mandatés pour offrir des services proxy gratuits aux particuliers, en vertu des réglementations locales.
Domaine 5 : impact de la protection des données du WHOIS sur la criminalité et les abus
Concernant le commentaire 1 du GAC, il est important de définir ce qu’est « l’utilisation légitime des données WHOIS gTLD » et qui sont ces entités qui peuvent l’invoquer et par quel biais.
Domaine 6 : conformité des bureaux d’enregistrement proxy avec les réglementations en vigueur et les demandes de résolution de litige
Concernant le commentaire de Steve Metalitz : certains bureaux d’enregistrement gérant des services proxy/de confidentialité peuvent refuser de révéler des données de registrants demandées dans le cadre d’une procédure commune de résolution des litiges en matière de noms de domaine (UDRP). Ces bureaux d’enregistrement peuvent malgré tout y être contraints par les réglementations locales. L’UDRP est une procédure d’arbitrage, non judiciaire. Différentes règles peuvent s’appliquer, en fonction de la réglementation locale en vigueur. Une analyse plus approfondie s’impose afin de déterminer si la procédure UDRP est compatible avec les réglementations auxquelles doivent se soumettre les bureaux d’enregistrement.
Domaine 7 : exactitude des données du WHOIS
Comme souligné dans le rapport, « l’utilisation de jeux de caractères non-ASCII dans le Whois compromettrait l’exactitude et la lisibilité de ses données ». Cela rejoint nos commentaires formulés dans la remarque préliminaire ci-dessus. Le groupe d’étude sur les hypothèses du Whois doit examiner si d’autres systèmes offriraient une meilleure prise en charge des jeux de caractères non-ASCII, dans les noms de domaine mêmes comme dans les données de registrants.
La version originale, en anglais, du présent document est disponible à l’adresse suivante : https://st.icann.org/alac-docs/index.cgi?statement_on_whois_hypothesis_working_group_studies_al_alac_st_0908_3 . En cas de différence d’interprétation entre une version non anglaise de ce document et le texte original, ce dernier prévaut.