AccueilActualités informatiqueAutorité européenne d'attribution des adresses IP : la protection des données contre...

Autorité européenne d’attribution des adresses IP : la protection des données contre l’hébergement des données

Les adresses informatiques pour l’accès à Internet (adresses IP) ne tombent pas du ciel : l’Internet Engineering Task Force spécifie les protocoles Internet et a ainsi fixé la capacité des espaces d’adresses : 4,3 milliards pour IPv4, 340 sextillions pour IPv6.

C’est d’abord l’autorité supérieure d’attribution, l’Internet Assigned Numbers Authority, qui en tire profit. Elle attribue les blocs d’adresses IP aux registres Internet régionaux, en Europe aux Réseaux IP Européens (RIPE). Le RIPE distribue à son tour des blocs d’adresses IP aux fournisseurs d’accès européens. Enfin, un fournisseur d’accès accorde à ses clients des accès payants à Internet grâce aux adresses IP. Ainsi, il sait au moins quel client utilise quelle adresse IP.

Le RIPE doit-il maintenant collecter les adresses des détenteurs de blocs d’adresses ? En tout cas, beaucoup de matériel s’est accumulé au fil des ans dans les bases de données du RIPE, ce qui aiguise l’appétit des forces de l’ordre, mais soulève des questions quant à l’effort de maintenance et à la légalité de la gestion des adresses.

Nombre de domaines Internet enregistrés sous .de du 30.12.1993 au 29.11.2021

(Image : DENIC)

Il est indiscutable que les fournisseurs d’accès ont besoin de bases de données pour coordonner leurs interconnexions de réseaux, bases de données que le RIPE tient à disposition en tant qu’autorité d’attribution. La première base de données du RIPE a été créée en août 1992. Elle contient entre autres les propriétaires d’adresses IP et de systèmes autonomes (SA) en Europe, au Proche-Orient, en Russie et dans certaines parties de l’Asie centrale – il s’agit pour la plupart de fournisseurs d’accès comme 1&1 ou Vodafone.

En 1995, le RIPE a créé l’Internet Routing Registry (IRR) pour la coordination du routage, séparant ainsi les informations de routage de l’enregistrement des adresses (Internet Number Registry, INR). Il y a quelques années, la base de données RPKI, qui contient des certificats pour la sécurisation cryptographique des itinéraires et des ressources à longue distance, a été ajoutée.

Sommaire

Le problème avec les bases de données RIPE, c’est qu’à l’origine, les membres pouvaient faire leurs entrées volontairement. Au moins au début, certains l’ont fait avec enthousiasme – mais de plus en plus, la volonté de mettre à jour a fait défaut, si bien qu’une partie des données est devenue obsolète. C’est pourquoi le RIPE Network Coordination Center (NCC), le bras opérationnel, collecte aujourd’hui une partie des données sur la base de contrats passés avec des membres. Une partie du registre RIPE non public, comme les données contractuelles telles que les adresses, les noms ou les numéros de téléphone, se trouve également dans le RIN accessible au public.

Depuis 1992, l’autorité européenne d’attribution des adresses IP a développé ses bases de données. La maintenance des contenus est cependant restée en partie en suspens.

(Image : RIPE)

C’est probablement pour cette raison que la convoitise des services de poursuite pénale a augmenté ces dernières années. Europol, en particulier, a poussé le RIPE à saisir les adresses des détenteurs de blocs d’adresses et à les déposer dans la base de données publique. Ils espèrent ainsi accélérer les enquêtes transfrontalières.

Mais entre-temps, le règlement général sur la protection des données (RGPD) est entré en vigueur en 2018 et a donné l’impulsion pour mettre les bases de données RIPE au banc d’essai. En 2019, les gestionnaires d’adresses ont confié cette tâche à un groupe de travail composé de six personnes, dont une représentante d’Europol. Après environ deux ans, le groupe a présenté ses recommandations dans le document « RIPE Data Base Requirements ».

En résumé, on peut dire que le groupe de travail recommande au RIPE une stricte économie de données. Par exemple, l’adresse postale des détenteurs de blocs d’adresses IP dans la base de données ouverte devrait à l’avenir devenir facultative, mais de préférence disparaître. L’adresse postale n’est pas nécessaire pour l’objectif principal de la base de données, à savoir la coordination des fournisseurs d’accès et l’interconnexion des réseaux.

Les fournisseurs d’accès doivent omettre l’association entre les clients et les adresses IP publiques fixes. « Le RIPE NCC a exigé l’attribution comme preuve qu’un membre avait effectivement besoin de nouvelles adresses », explique Peter Koch, expert en politique du DENIC et membre de la task force. Seuls ceux qui pouvaient ainsi prouver qu’ils avaient attribué toutes leurs adresses pouvaient en demander de nouvelles. C’est surtout lorsque les adresses IPv4 sont devenues rares que l’administration des adresses a regardé de près.

Mais Koch a ajouté dans un entretien avec c’t : « Cette finalité est éteinte, car le RIPE a entre-temps épuisé son stock d’adresses IPv4 ». On peut également supposer que la taskforce ne considère pas qu’un tel contrôle soit nécessaire pour les adresses IPv6, car celles-ci sont disponibles en abondance.

Peter Koch (à droite) est expert en politique du DENIC et membre de la task force du RIPE. La taskforce a développé des propositions importantes pour l’épuration de la base de données du RIPE.

Koch assure que la recommandation de supprimer l’attribution des utilisateurs et des adresses IPv4 n’a pas tellement été motivée par le RGPD. Cette suppression est plutôt judicieuse « parce que les choses qui ne sont pas dans la base de données ne peuvent pas non plus devenir obsolètes ».

La taskforce propose également d’introduire à l’avenir des adresses de rôle pour les interlocuteurs techniques au lieu d’adresses personnelles réelles. Le RIPE et son NCC étaient de plus en plus préoccupés par le nombre croissant de données personnelles qui n’étaient pas uniquement enregistrées pour les contacts techniques.

« En mai 2021, la base de données du RIPE contenait au total 1,92 million d’objets personnels », indique le groupe de travail. C’est un point critique, car plus ce nombre est élevé, plus la probabilité de violations du RGPD est grande. De plus, les membres ne peuvent guère tenir à jour de telles masses de données.

Certains participants ont critiqué le fait que la taskforce s’oppose à l’utilisation de la base de données comme outil de gestion des adresses IP (IPAM). En effet, certains fournisseurs d’accès enregistrent à qui ils ont attribué quels sous-réseaux et quelles adresses IP, afin de surveiller leur utilisation et d’automatiser le dépannage. Mais la base de données RIPE n’est pas conçue pour cela, écrivent les membres du groupe de travail.

Denis Walker, président du groupe de travail du RIPE chargé de la base de données, a critiqué le fait que la task force n’ait pris en compte que les « fins historiques ». En outre, il existe de « nouvelles finalités » qui ne sont pas documentées. En effet, la taskforce n’a pas pris en compte les exigences des nouvelles parties prenantes. Walker fait allusion aux régulateurs et aux autorités de poursuite pénale.

Ces derniers se réjouiront donc de l’approbation de Walker. Car le groupe de travail reconnaît certes la nécessité d’un accès rapide aux données d’adresses dans la lutte contre la criminalité. Mais il n’y a pas eu de consensus au sein du groupe sur la proposition des forces de l’ordre. Si la Taskforce en décide ainsi, les services répressifs devront continuer à demander les données au RIPE NCC. Une ordonnance judiciaire est toutefois nécessaire pour la remise. Cependant, selon Walker, le RIPE devrait immédiatement lancer un nouveau débat sur la future destination de la base de données.

La présidente du RIPE, Mirjam Kühne, a toutefois freiné l’enthousiasme de Walker et estime que la balle est dans le camp des différents groupes de travail du RIPE. C’est à eux de décider quelles décisions ils vont mettre en œuvre et à quelle vitesse.

c’t édition 2/2022

Dans c’t 2/2022, nous avons composé pour vous le Windows d’urgence c’t 2022. Avec le kit pour le système fonctionnant à partir d’une clé USB, vous trouverez des virus, sauverez des données ou réinitialiserez des mots de passe. Nous mettons en lumière la manière dont l’UE veut utiliser les failles du RGPD pour les scanners de contenu, nous avons testé des smartphones haut de gamme, des moniteurs mobiles USB-C et des logiciels serveur pour la collection de médias privée. Vous trouverez le numéro 2/2022 à partir du 31 décembre dans la boutique et dans les kiosques à journaux bien achalandés.

Plus d'articles