Quelques jours avant la mise en œuvre d'une loi européenne radicale sur la protection de la vie privée, le débat est en cours pour savoir si la mesure aura des conséquences négatives pour la cybersécurité.

La controverse porte sur le soi-disant carnet d'adresses Internet ou annuaire WHOIS, qui jusqu'à présent était une base de données publique identifiant les propriétaires de sites Web et de domaines.

La base de données deviendra en grande partie privée en vertu du prochain règlement général sur la protection des données qui doit entrer en vigueur le 25 mai. car il contient des informations personnelles protégées.

Les responsables du gouvernement américain et certains professionnels de la cybersécurité craignent que, sans la possibilité de trouver facilement les pirates et autres acteurs malveillants via WHOIS, les nouvelles règles pourraient entraîner une recrudescence de la cybercriminalité, spam et fraude.

Les critiques disent que le RGPD pourrait supprimer un outil important utilisé par les forces de l'ordre, chercheurs en sécurité, journalistes et autres.

Le verrouillage de l'annuaire WHOIS intervient après des années de négociations entre les autorités de l'UE et l'ICANN, l'entité à but non lucratif qui administre la base de données et gère le système de domaine en ligne.

L'ICANN - Internet Corporations for Assigned Names and Numbers - a approuvé la semaine dernière un plan temporaire qui autorise l'accès à des fins « légitimes », mais laisse l'interprétation aux bureaux d'enregistrement Internet, les entreprises qui vendent des domaines et des sites Web.

Secrétaire adjoint au commerce David Redl, qui dirigent la division du gouvernement américain pour l'administration d'Internet, la semaine dernière, a appelé l'UE à retarder l'application du RGPD pour l'annuaire WHOIS.

« La perte d'accès aux informations WHOIS affectera négativement l'application de la loi en matière de cybercriminalité, les activités de cybersécurité et de protection des droits de propriété intellectuelle à l'échelle mondiale, " a dit Redl.

Rob Joyce, qui a été coordinateur de la cybersécurité à la Maison Blanche jusqu'au mois dernier, a tweeté en avril que "le RGPD va saper un outil clé pour identifier les domaines malveillants sur Internet, " ajoutant que " les cybercriminels célèbrent le RGPD ".

Conséquences négatives?

Caleb Barlow, vice-président de la sécurité IBM, a également averti que la loi sur la protection de la vie privée « pourrait bien avoir des conséquences négatives qui, ironiquement, aller à l'encontre de son intention initiale.

Barlow a déclaré dans un article de blog plus tôt ce mois-ci que "les professionnels de la cybersécurité utilisent les informations (WHOIS) pour arrêter rapidement les cybermenaces" et que les restrictions du RGPD pourraient retarder ou empêcher les entreprises de sécurité d'agir contre ces menaces.

James Scott, chercheur principal à l'Institute for Critical Infrastructure Technology, basé à Washington, a reconnu que les règles du RGPD « pourraient entraver les chercheurs en sécurité et les forces de l'ordre ».

« Les informations seraient probablement encore détectables avec un mandat ou éventuellement à la demande des forces de l’ordre, mais les couches d'anonymisation ajoutées retarderaient considérablement" l'identification des acteurs malveillants.

Certains analystes disent que les inquiétudes concernant la cybercriminalité sont exagérées, et que les cybercriminels sophistiqués peuvent facilement cacher leurs traces au WHOIS.

Milton Mueller, un professeur de Georgia Tech et fondateur de l'Internet Governance Project de chercheurs indépendants, a déclaré que la notion d'une recrudescence de la cybercriminalité découlant de la règle était "totalement fausse".

« Il n'y a aucune preuve que la plupart de la cybercriminalité dans le monde soit arrêtée ou atténuée par le WHOIS, ", a déclaré Mueller à l'AFP.

"En fait, une partie de la cybercriminalité est facilitée par le WHOIS parce que les méchants peuvent aussi s'en prendre à ces informations."

Mueller a déclaré que le répertoire avait été "exploité" pendant des années par des entités commerciales, dont certains revendent les données, et des régimes autoritaires pour une surveillance étendue.

"C'est fondamentalement une question de procédure régulière, " il a dit.

« Nous convenons tous que lorsque les forces de l'ordre ont un motif raisonnable, ils peuvent obtenir certains documents, mais le WHOIS permet un accès sans entraves sans aucune vérification de la procédure."

Aucun retard

Akram Atallah, président de la division des domaines mondiaux de l'ICANN, a déclaré à l'AFP que l'organisation avait tenté en vain d'obtenir un délai d'exécution de l'UE pour que l'annuaire WHOIS élabore des règles d'accès.

La règle temporaire supprimera toute information personnelle du répertoire WHOIS mais autorisera l'accès aux données à des fins "légitimes", Atallah a noté.

"Vous devrez obtenir la permission de voir le reste des données, " il a dit.

Cela signifie que les bureaux d'enregistrement, qui incluent des entreprises qui vendent des sites Web comme GoDaddy, devra déterminer qui a accès sous peine de lourdes amendes de la part de l'UE.

L'ICANN travaille sur un processus d'« accréditation » pour accorder l'accès, mais était incapable de prédire combien de temps il faudrait pour obtenir un consensus entre le gouvernement et les parties prenantes privées de l'organisation.

Matthieu Kahn, un assistant de recherche de la Brookings Institution, a déclaré que les entreprises qui conservent les données sont plus susceptibles de refuser les demandes que de faire face à des sanctions de l'UE.

« Avec des démocraties assiégées par l'ingérence électorale en ligne et les campagnes de mesures actives, ce n'est pas le moment d'entraver les capacités des gouvernements et des chercheurs en sécurité à identifier et arrêter les cybermenaces, " a déclaré Kahn sur le blog Lawfare.

© 2018 AFP