« La gouvernance du Web, qui sont les aiguilleurs de la toile ? »

Par François Lavaste, Président du Directoire de Netasq.

Comme je ne connaissais pas Monsieur Jean-Jacques Subrenat , je me suis donc lancé dans une rapide recherche qui révèle qu’il s’agit du seul français membre du directoire de l’ICANN (Internet Corporation for Assigned Names and Numbers – www.icann.org/  et ce depuis novembre 2007. Cet ancien chercheur au CNRS, puis diplomate (1972-2005), a contribué à la création en France du Commissariat à l’énergie solaire, a été conseiller auprès du secrétaire d’Etat aux affaires européennes, ambassadeur de France (UEO Bruxelles, Estonie, Finlande), et est aussi actuellement président du conseil scientifique de l’Institut Pierre Werner à Luxembourg. L’un des organismes clés de régulation de l’Internet a, dans son directoire, au moins un représentant des intérêts européens (il y a aussi entre autres un norvégien, un finlandais, un irlandais et un letton).

Par ailleurs il est intéressant de noter que l’actualité récente de l’ICANN semble marquer un tournant dans la politique américaine de régulation de l’économie numérique, un autre symbole de la fin de l’ère de Georges W. Bush et de l’arrivée de Barack Obama.

En effet, en Septembre 2009, cet organisme, chargé en particulier de la gestion des noms de domaine sur Internet, s’est dégagé partiellement de l’influence du gouvernement américain pour devenir une instance internationale. En effet, depuis 1998, date de sa création, l’organisme était placé sous la tutelle du Secrétaire d’État américain au Commerce par l’accord appelé « Joint Project Agreement ». Cette mainmise américaine sur une entité dont le rôle a une portée mondiale avait été vivement critiquée. Or, le 30 septembre 2009, le gouvernement américain a officialisé la fin de son contrôle et la signature d’un nouveau texte lui conférant un statut international et indépendant.

Ce nouveau modèle est marqué par le passage de l’ICANN aux mains de commissions d’examen constituées de représentants de différents États du monde. Le secrétariat d’État au Commerce américain garderait un siège au Governmental Advisory Committee, comité consultatif gouvernemental qui participe à la nomination du bureau directeur de l’ICANN. Les rapports d’activité seront désormais adressés au monde entier, y compris l’Union Européenne qui les réclamait depuis longtemps. En revanche, l’ICANN dépend toujours de la juridiction de l’État de Californie, où elle est basée, et le nouvel accord signé ne concerne pas l’IANA (Internet Assigned Numbers Authority), composante de l’ICANN chargée de gérer l’espace d’adressage IP d’Internet.

Viviane Reding, membre de la Commission européenne, responsable de la société de l’information et des médias qui sera remplacée par Neelie Kroes en février 2010, avait auparavant proposé la création d’un « G12 pour la gouvernance d’Internet » constitué de deux représentants de chaque continent, et Nathalie Kosciusko-Morizet, Secrétaire d’Etat chargée de la Prospective et du Développement de l’économie numérique auprès du Premier ministre français, est favorable à la mise en place d’un système de gestion proche de la philosophie de l’ONU où chaque pays aurait un droit de vote.

 

Et, au-delà des symboles, le 30 octobre 2009, l’ICANN a aussi voté la fin de l’exclusivité de l’alphabet romain pour la rédaction des noms de domaine Internet. A compter du 16 novembre 2009, pourront ainsi être enregistrées des adresses web rédigées avec des caractères arabes, chinois, coréens ou japonais. Mais cette mesure était attendue depuis longtemps. En fait, pour contourner le contrôle américain, la Chine dispose déjà d’un système de noms de domaine propre pour afficher les adresses Internet en caractères chinois et la mesure de l’ICANN peut être interprétée simplement comme une manière de tenter de reprendre la main sur ce point.

Cependant, comprendre qui pilote et assure la gouvernance de l’internet n’est pas simple. Au-delà des tendances de mondialisation, certains états veulent imposer leurs propres règles (filtrage national, blocage de certains sites…), certaines firmes privées ont aussi une contribution prépondérante (de Microsoft à Google, IBM, Cisco ou Verisign). Il y a certes le pilotage des noms de domaine mais aussi celui des standards techniques, de standards moraux, des droits des citoyens. On parle de plus en plus par exemple du « droit à l’oubli » ou du « droit de contrôle de ses données personnelles » (voir affaire DSK).

Or, il existe une grande variété d’organismes ou d’initiatives qui touchent directement ou non à la gouvernance de l’internet. Parmi ceux-ci on peut citer par exemple :
•    L’IGF (Internet Governance Forum http://www.intgovforum.org/), une instance consultative de l’ONU dont la quatrième conférence était organisée à Charm el Cheikh en Egypte en novembre 2009
•    l’ISOC (Internet Society  – http://www.isoc.org/ ), une association de droit américain à vocation internationale créée en janvier 1992 par certains des pionniers de l’Internet (Vinton Cerf en particulier) pour promouvoir et coordonner le développement des réseaux dans le monde et dont dépendent l’IETF (Internet Engineering Task Force) et l’IAB (Internet Architecture Board)
•    Et en France :
o    La CNIL (Commission nationale de l’informatique et des libertés – http://www.cnil.fr/)
o    L’AFNIC (Association Française pour le Nommage Internet en Coopération – http://www.afnic.fr), association chargée de la gestion administrative et technique des noms de domaine en .fr (France) et .re (Île de la Réunion)
Bref, comme l’Internet lui-même, la gouvernance de celui-ci est un tissu d’influences diverses avec des enjeux stratégiques et nationaux où l’individu isolé peut perdre la confiance dans sa capacité à faire évoluer les choses. Cependant, les tendances actuelles semblent confirmer une convergence vers une notion de « gouvernance » mondiale, dépassant les intérêts particuliers d’une firme ou d’un pays. Il faut souhaiter que cette évolution se poursuive avec en particulier la mise en place de moyens efficaces destinés à faire respecter les règles du jeu.
En matière de sécurité, on peut aussi souligner des évolutions récentes qui prouvent à la fois que le sujet est critique et que la prise de conscience de la nécessité d’agir est forte.
Le fait que Rod Beckstrom, président de l’ICANN ait été auparavant directeur du National Cybersecurity Center (NCSC) au sein du U.S. Department of Homeland Security, n’y est surement pas étranger.

 

L’ICANN veut par exemple profiter de la création des nouvelles extensions génériques de noms de domaines pour instaurer un label de sécurité qui s’inspire des normes ISO 27000. A partir du premier trimestre 2010, les organisations qui auront obtenu la gestion d’une extension pourront, de manière volontaire, la transformer en high-security Top Level Domain (extension de haute sécurité). Ainsi, l’infrastructure technique du DNS de l’extension devra être suffisamment sécurisée et prête à pouvoir utiliser le protocole DNSSEC. Elle devra comporter des systèmes antiphishing et antispoofing. Les identités seront systématiquement vérifiées puisque les clients des nouvelles extensions devront fournir des informations sur leur identité lors de l’enregistrement de leur nom de domaine : adresse postale et adresse mail, numéro de téléphone, Kbis, bilan financier, etc. L’hébergement des données sensibles devra se faire de manière chiffrée. La certification sera délivr
ée à la suite d’un audit réalisé par un cabinet tiers.
La promotion du protocole DNSSEC (DNS Security Extensions) est aussi une des avancées majeures en ce qui concerne la sécurité de la toile. En effet, dès décembre 2009, l’ICANN et Verisign on annoncé qu’ils allaient le déployer sur les serveurs racine de l’internet. La faiblesse du système DNS actuel avait été largement médiatisée en 2008 et le nouveau protocole permet de signer l’intégralité des échanges DNS, tout en créant une chaîne de confiance entre les différentes zones de l’internet. L’AFNIC prévoit une disponibilité pour les extensions .fr courant 2010.

Cette nouvelle initiative montre cependant qu’il va falloir trouver le bon réglage pour éviter que la mise en place de ces nouvelles normes ne favorise l’émergence d’un web à deux vitesses entre les entreprises, organismes et pays qui peuvent financer ce label de sécurité et ceux ou celles qui ne le peuvent pas. Par ailleurs, il est difficile d’imaginer des autoroutes sans panneau de signalisation, limitations de vitesse et autres règles de circulation mais aussi sans une vraie police qui a autorité pour faire respecter ces règles et punir les contrevenants.
Qui sera la véritable police de l’internet de demain ? Est-elle réellement nécessaire ? Ces sujets restent aujourd’hui en débat.