CREER UN DNS HORS EMPRISE AMERICAINE Memorandum Le 10 Mars 2009
Le cercle de réflexion «Serendip» est dédié aux enjeux de sécurité des Etats et de l Union. Ce cercle fut baptisé Serendip, du nom d un conte persan dans lequel trois princes trouvent sur leur chemin, par chance, par sagacité ou par accident, autre chose que ce qu ils étaient initialement partis chercher. 2 2
L absence de partage de souveraineté sur le réseau L Internet Corporation for Assigned Names and Numbers (ICANN), organisme de contrôle et de gestion de l Internet créé en 1998 par le Department of Commerce (DoC) des Etats- Unis, est censé s'occuper de la gestion et de la régulation de l Internet d'une manière neutre. La gestion de certains aspects essentiels du fonctionnement de l Internet lui a été conférée par le DoC lors de sa création, en contrepartie de la signature d un protocole d accord dit «transitoire» (le Joint Project Agreement), qui expire le 30 septembre 2009. En particulier, l ICANN s est vu confier les fonctions d allouer l espace des adresses de protocole Internet (IP), d attribuer les identificateurs de protocole, de gérer le système de nom de domaine de premier niveau pour les codes génériques (gtld) et les codes nationaux (cctld), et d assurer les fonctions de gestion du système de serveurs racines. Le statut juridique de l ICANN est celui d une organisation de droit privé à but non lucratif, enregistrée en Californie et régie par le droit de cet Etat. Ce statut lui permet de fonctionner sans fournir de garanties, impliquant une responsabilité très limitée, ce qui pose un problème de fond sur les contentieux en matière de noms de domaine afférents au droit de la concurrence et aux règles de propriété intellectuelle. Force est de constater que plus de 10 ans après la création de l ICANN, la tutelle quasiexclusive des Etats-Unis s exerce toujours sur cette instance. 3 3
La dimension économique : l autre face de la souveraineté Le schéma économique des noms de domaine est hiérarchisé linéairement, avec un système économique assez simple, mais particulièrement efficace. Le client final, «registrant», est obligé de payer annuellement de 10 à 30 $ par nom de domaine à un bureau d enregistrement, «registrar», accrédité par l ICANN (exemples : GoDaddy, Network Solutions, Gandi). Celui-ci reverse à son tour 6 $ au registre, «registry», gestionnaire de l extension (exemple : VeriSign pour le.com et le.net, AFNIC pour le.fr). Les registres et les bureaux d enregistrement financent l ICANN, VeriSign étant le contributeur le plus significatif. Ces règles de fonctionnement ont été établies par l ICANN, dans son intérêt et celui des registres, car si les bureaux d enregistrement se répartissent géographiquement sur tous les territoires, l activité de registre reste un privilège essentiellement américain. En témoigne le monopole de la gestion du.com et du.net par la société VeriSign, notoirement proche de la NSA : plus de 52% des 175 millions de noms de domaine (février 2009) ont une extension en.com (80 millions) ou en.net (12 millions). Pour VeriSign, l activité nom de domaine représente ainsi un chiffre d affaires estimé à 500 M$. A titre de comparaison, l AFNIC, gestionnaire du.fr (1,3 millions) réalise un chiffre d affaires de l ordre de 4 M. En juin 2008, l ICANN a annoncé sa décision de «libéraliser» les extensions de noms de domaine (new gtld program). Moyennant 185.000 $ (gtld evaluation fee) puis 25.000 $ de redevance annuelle à verser à l ICANN, tout un chacun pourrait créer et gérer son extension, et y commercialiser des noms de domaine. C est par exemple ce que souhaite faire la ville de Paris qui se porte candidate pour obtenir l extension.paris, et espère commercialiser par la suite des noms de domaine aux Parisiens et entreprises adhérentes à la CCIP. Cette libéralisation décidée par l ICANN suscite un tollé général, en particulier de la part des entreprises détentrices de marques, en regard des frais à acquitter et des risques qui portent sur la protection des marques (cybersquatting). 4 4
Une prise de conscience particulière des risques résultant de la dépendance Le mode de gestion actuel du «Domain Name System» (DNS) par l ICANN, dont dix serveurs racine (parmi lesquels le serveur maître A) sur les treize serveurs mondiaux sont localisés aux Etats-Unis, comporte des risques spécifiques pour tous les pays. Toute extension nationale, par exemple le.fr, pourrait tout simplement disparaître de la carte de l Internet en cas de manipulation des fichiers racine par ceux qui en ont la charge. La nature insupportable du doute qui pèse sur cette gestion s est déjà manifestée concrètement (désactivation du.ly libyen en 2004 ). C est un risque de même nature qui a conduit dans le domaine de la navigation par satellite à concevoir le système Galileo, pour se prémunir d une hégémonie américaine. 5 5
La prédominance américaine difficilement remise en question Considérant l Internet comme trop stratégique pour le laisser sous la tutelle d une seule puissance, l Organisation des Nations Unies (ONU) a organisé deux sessions d un Sommet Mondial de la Société de l Information (SMSI), à Genève en 2003 puis à Tunis en 2005. Le secrétaire général de l ONU Kofi Annan proposait alors de transférer une partie des pouvoirs de l ICANN à l International Telecommunications Union (ITU), agence de l ONU. Ces deux SMSI n ont débouché que sur l institution d un nouveau calendrier de réunions internationales : Internet Governance Forum (IGF). Rattaché au Secrétariat Général de l ONU, l IGF est un espace de dialogue multi-acteurs censé rassembler sur un pied d égalité les gouvernements, le secteur privé, la société civile et les organisations internationales pour débattre des enjeux de la gouvernance de l Internet et pour principal objectif d aboutir à une coopération renforcée. Après la tenue des trois premiers IGF (2006 Athènes, 2007 Rio de Janeiro, 2008 Hyberabad Inde) et malgré les positions fortes tenues par certains pays (Chine, Inde, Afrique du Sud, Brésil, Iran, Arabie Saoudite, Pakistan) pour modifier le système de gouvernance, de nombreux participants français pointent le regain de monopolisation de la parole par les «ICANNards» (lobbyistes, associations amies : ISOC ) et leur intérêt à ce que l IGF ne débouche sur rien. L absence de position des Etats européens se manifeste lors des IGF par des interventions officielles de l Union européenne nées d un consensus informe et sans fond. 6 6
La mainmise américaine comporte des risques La mainmise américaine sur la gouvernance de l Internet et sur la désignation des gestionnaires d extension non souveraines (.com,.net,.org,.aero ) comporte un certains nombre de risques : Capacité à bloquer de manière unilatérale une extension C est le cas libyen. A contrario, il peut aussi empêcher un Etat souverain de définir ses propres restrictions (.corse-libre, et cetera). Captation de valeur et monopole technologique L Internet va subir dans les années qui viennent de très importantes évolutions technologiques avec le Peer-to-Peer, l ouverture des gtld, l accès aux objets communicants, le multi-cast, la diversification des medias. Face à ces défis, l ICANN disposera d un rôle idéal pour orienter les standards et favoriser les industries américaines dans la fourniture des nouveaux produits et services. Capacité de cartographie du réseau à des fins SIGINT L ICANN et VeriSign disposent d une formidable capacité potentielle de cartographier le réseau internet, grâce à la maîtrise des bases DNS génériques (un serveur en.fr est pratiquement toujours aussi déclaré en.com ou.net ou.org). Des services de géolocalisation sont déjà disponibles à partir des bases DNS actuelles. Cette tendance pourrait s accentuer avec le nouveau plan d adressage IPv6 qui prévoit la possibilité d utiliser la MAC Adresse (sorte de N de série de la carte réseau d un ordinateur) pour construire l adresse IP. La capacité d usage de ces informations devrait tout au moins faire l objet de règles claires, transparentes et concertées, avec une capacité de contrôle collégiale. Capacité d étouffement des quotas d adresses Le plan d adressage IPv4 aujourd hui encore largement majoritaire, est en train d atteindre ses limites, ce qui inquiète notamment les grands ensembles envisageant une forte croissance de leur Internet domestique comme la Chine, l Inde L arrivée des objets communicants va renforcer cette pénurie. Le nouveau plan d adressage IPv6 a la capacité de résoudre ces problèmes, à condition de garantir que l attribution des plages soit équitable (problème des plages réservées) ce qui n est pas garanti dans l organisation actuelle qui donne à l ICANN la totale maîtrise du processus d attribution. 7 7
Une gestion plus distribuée et plus équitable de l Internet est techniquement possible Face à ces risques, une gestion plus distribuée et plus équitable de l Internet est techniquement possible, et ne se heurte qu à la mauvaise grâce du gérant actuel pour partager ses prérogatives. Concrètement, une organisation de ce type nécessiterait notamment les réformes suivantes : Répartition équitable des serveurs racines Suivant la règle classique de partage de risque, un seul ensemble (en l occurrence américain) ne doit pas maîtriser un ensemble suffisant de serveurs pour pouvoir «déconnecter» un gtld ou un cctld de l Internet. L Europe doit maîtriser au moins 2 serveurs racine (sans doute plus) ne fonctionnant pas en mode esclave par rapport au serveur A de l ICANN, maître du réseau DNS, opéré par VeriSign. Il s agit donc de proposer un protocole simple par lequel les racines fonctionnent comme des bases de données réparties, sans dominant, en gérant leur synchronisation de manière collaborative. Chaque racine peut par exemple prévenir ses consœurs lorsqu elle se met à jour (ce qui va arriver plus fréquemment qu aujourd hui avec l ouverture des gtld) et ces dernières acceptent ou non les mises à jour. Pour s assurer de la maîtrise et de la fiabilité de l Internet en Suède, ont été créées la société Netnod Internet Exchange, détenue par la fondation TU-stiftelsen, et sa filiale Autonomica qui gère le serveur racine I (i.root-servers.net) et plusieurs serveurs esclaves pour un certain nombre de TLDs. La création du point d échange national à Stockholm avait été financée par la Foundation for Knowledge and Competence Development, mais aujourd hui Netnod et Autonomica sont autofinancés par le biais des redevances payées par les ISP pour se connecter au point d échange, et par les TLDs. Diversification de la gestion des gtld Les gtld peuvent être gérés par plusieurs prestataires (au choix des registrars) qui doivent pouvoir vérifier par un protocole simple qu un nom de domaine n est pas déjà déposé auprès de leurs confrères. Le nombre de prestataires doit rester limité. Pour l Europe, il nécessite la création de datacenters sécurisés, à partir de moyens existants, disposant de très haute disponibilité et capacité de traitement. Les FAI savent déjà interroger plusieurs serveurs DNS jusqu à trouver celui qui leur répond favorablement (logiciel BIND). Certains marginaux ont d ailleurs, déjà créé un DNS alternatif pour des périmètres très limités (universités, associations). 8 8
Création d une instance de gouvernance représentative, sous l égide de l ONU Cette instance fixerait notamment : o Les règles d attribution des mandats de registre (coûts, capacités ) suivant des règles transparentes o L approbation des standards applicables à l internet o Les blacklists éventuelles o Les règles d allocation de plages d adresse Les règles de gouvernance devraient reposer sur le principe de subsidiarité, notamment pour tout ce qui relève de la gestion opérationnelle. 9 9