Jusqu'à présent, lorsqu'un internaute souhaitait enregistrer un nom de domaine, il se devait de communiquer certaines informations personnelles concernant sa personne, informations qui étaient alors stockées au sein d'une base de données appelée Whois. Cette base de données était notamment exploitée par l'ICAAN (Internet Corporation for Assigned Names and Numbers) qui pouvait alors, en cas de besoin, y accéder.
Mais dans certains pays, les propriétaires de domaine ont également la possibilité de payer pour des services privés d'enregistrement de domaine. Ne restait alors sur la base Whois que des informations basiques telles que le nom du bureau d'enregistrement.
Un accès aux données désormais compliqué
Le nouveau règlement européen interdit désormais les bureaux d'enregistrement de fournir les données personnelles des propriétaires de nom de domaine sans leur consentement explicite, ce qui rend la base de données Whois tout simplement inutile.
Malgré le fait que l'ICAAN était au courant depuis des années de la future mise en place de la RGPD et des effets qu'elle aurait sur son accès à sa base de données, l'organisme n'a semble-t-il pas souhaité s'intéresser au problème jusqu'à maintenant, et semble ne se rendre compte qu'aujourd'hui des complications que la réglementation entraîne.
Malgré l'infraction à la réglementation que cela représente désormais, l'ICAAN a choisi de demander aux bureaux d'enregistrement de continuer la collecte des données personnelles des propriétaires de noms de domaines.
Un service devenu trop complexe pour les forces de l'ordre
Depuis ce 25 mai, date d'application du RGPD, l'accès aux données est devenu plus compliqué. Les forces de l'ordre doivent désormais contacter le bureau d'enregistrement du nom de domaine et demander l'accès aux données Whois non publiques. Une tâche qui complique sérieusement le travail des enquêteurs.Andy Kays, directeur technique de Redscan s'est exprimé sur le sujet auprès de Help Net Security : « Le retrait public des informations personnelles du Whois, le système utilisé pour stocker les données des utilisateurs enregistrant un domaine de sites Web, rend sans aucun doute la vie des agences de sécurité et d'application de la loi beaucoup plus difficile (...) Un système d'accréditation qui vérifierait l'accès aux données personnelles dans les dossiers Whois pour des groupes d'intérêts spéciaux tels que la police, les chercheurs en sécurité et les journalistes serait certainement le bienvenu et aiderait à répondre à ce problème. »
RGPD : appliquera, appliquera pas ?
La principale question à l'heure actuelle étant de savoir si les bureaux d'enregistrement de domaine tiendront compte des spécifications demandées par l'ICAAN, ou s'ils décideront de les ignorer. L'EPAG, par exemple, bureau d'enregistrement en Allemagne, a déjà fait savoir qu'il ne collecterait plus les données personnelles de ses utilisateurs puisque la nouvelle réglementation européenne l'interdit.En réponse, l'ICAAN a déposé une procédure d'injonction contre le bureau d'enregistrement en question afin qu'un tribunal puisse statuer sur la manière d'appliquer la RGPD dans cette affaire.
Source : Help Net Security.
