Europol pleure la disparition du « whois » public, sur un air connu

L'agence européenne estime que la protection des coordonnées des titulaires de noms de domaine est un obstacle à ses enquêtes. Elle reprend la plainte désormais habituelle des forces de l'ordre, habituées à puiser dans une rivière désormais tarie.

Dans un rapport sur le crime organisé sur Internet (IOCTA), repéré par Euractiv, l'agence européenne attaque la décision de l'Icann de masquer par défaut les coordonnées des titulaires de noms de domaine en gTLD.

Depuis 2003, les Cnil européennes expliquent que le « whois » public viole le droit européen, sans être entendues. Avec le Règlement général sur la protection des données (RGPD), qui rehausse les sanctions jusqu'à 4 % du chiffre d'affaires mondial, l'organisation en charge des ressources du Net a enfin validé le blocage de l'accès à ces données par défaut.

Des enquêtes ralenties, selon Europol

De quoi satisfaire les Cnil et organisations de défense de la vie privée. La publication des nom, prénom, adresse physique et mail des titulaires de nom de domaine est désormais (en principe) soumise à l'accord de l'internaute. Pour y accéder, forces de l'ordre et sociétés privées (notamment de protection du droit d'auteur) doivent montrer patte blanche (voir notre analyse).

Pour Europol, qui ne souligne à aucun moment le gain en matière de vie privée, il ne s'agit que d'une entrave à son travail. Même si des bureaux d'enregistrement proposent un formulaire pour l'accès, aucune solution n'est satisfaisante. Notons aussi que, selon une étude de l'Icann datée de 2016, les deux tiers des coordonnées déclarées dans le « whois » sont erronées, d'autant que les criminels mettraient rarement de vraies informations dans ces champs.

« Non seulement, [ces formulaires] ne permettent pas de passer à l'échelle (par exemple pour cartographier un botnet, ce qui demande des milliers de requêtes), mais ils ne garantissent pas la confidentialité de l'enquête. De plus, il se peut que les registres ou registrars préviennent les clients que leurs domaines sont sous le coup d'une enquête » se plaint l'agence.

Pour rappel, l'Afnic, l'association qui gère le « .fr » et masque par défaut les coordonnées des titulaires depuis 2006, nous disait avoir traité plus de 400 demandes l'an dernier. Dans un délai moyen d'un jour et demi.

Revers récent pour un exploitant du « whois »

En filigrane, Europol maintient l'idée que seul un « whois » public convient aux enquêtes des forces de l'ordre et des sociétés de cybersécurité. La protection des données personnelles des internautes n'est en aucun cas sa préoccupation, à en croire ce rapport.

Le problème pour l'agence et les sociétés de sécurité privées est aussi que la jeune jurisprudence les contraint. Un tribunal allemand a rejeté en bloc les attaques de l'Icann contre un registrar (EPAG) qui a cessé de lui livrer des données personnelles. Devant la Cour supérieure de Cologne, l'organisation a tenté de porter l'affaire au niveau de la Cour de justice de l'Union européenne (CJUE), dans l'espoir d'un autre verdict.

Le 17 septembre, l'Icann annonce que la Cour supérieure régionale de Cologne a rejeté sa demande d'injonction contre EPAG, libre de ne pas transmettre certaines données à l'organisation mondiale. Elle dit analyser les recours possibles, estimant que la justice allemande ne l'a toujours pas aidée à interpréter le RGPD.

Aussi, la justice américaine a livré une injonction préliminaire contre DomainTools, qui pompe le « whois » public pour vendre des services aux forces de l'ordre et enquêteurs privés. Il doit retirer les noms de domaine en « .nz » de ses résultats de recherche, qu'il collectait illégalement depuis la mi-2016.

La société était citée dans un article de l'Internet Governance Project, sur un brouillon de loi américaine poussé au Congrès par des lobbies, qui réduirait la portée du RGPD sur le « whois ».