Les adresses informatiques pour l’accès à Internet (adresses IP) ne tombent pas du ciel : l’Internet Engineering Task Force précise les protocoles Internet et a ainsi déterminé la capacité des espaces d’adressage : 4,3 milliards pour IPv4, 340 sextillions pour IPv6.
Le registre le plus élevé, l’Internet Assigned Numbers Authority, s’en inspire. Il attribue des blocs d’adresses IP aux Registres Internet Régionaux, en Europe aux Réseaux IP Européens, ou RIPE en abrégé. Le RIPE fournit à son tour des blocs d’adresses IP aux fournisseurs d’accès Internet européens. Enfin, un fournisseur accorde à ses clients un accès payant à Internet via des adresses IP. Ainsi, au moins, il sait quel client utilise quelle adresse IP.
Le RIPE doit-il désormais enregistrer les adresses des propriétaires des blocs d’adresses ? Dans tous les cas, beaucoup de matériel s’est accumulé dans les bases de données RIPE au fil des ans, ce qui aiguise l’appétit des forces de l’ordre, mais soulève des questions sur l’effort de maintenance et la légalité de la gestion des adresses.
Nombre de domaines Internet enregistrés sous .de du 30/12/1993 au 29/11/2021
(Photo : DENIC)
Il est incontesté que les fournisseurs ont besoin de bases de données pour coordonner leurs interconnexions de réseaux, que le RIPE maintient en tant que bureau d’enregistrement. La première base de données RIPE a été créée en août 1992. Cela inclut les propriétaires d’adresses IP et de systèmes autonomes (AS) en Europe, au Moyen-Orient, en Russie et dans certaines parties de l’Asie centrale – il s’agit principalement de fournisseurs tels que 1 & 1 ou Vodafone.
En 1995, RIPE a créé l’Internet Routing Registry (IRR) pour la coordination du routage, séparant ainsi les informations de routage de l’enregistrement des adresses (Internet Number Registry, INR). Il y a quelques années, la base de données RPKI a été ajoutée, qui contient des certificats pour sécuriser cryptographiquement les routes et les ressources étendues.
Cadavres de données et RGPD
Le croisement avec les bases de données RIPE est que les membres étaient à l’origine autorisés à faire leurs entrées volontairement. Au moins au début, certains l’ont fait avec enthousiasme – mais de plus en plus, il y avait un manque de volonté de mettre à jour, de sorte que certaines données sont obsolètes. Ainsi, aujourd’hui, le RIPE Network Coordination Center (NCC), le bras opérationnel, collecte une partie des données sur la base de contrats avec les membres. Une partie du registre RIPE non public, comme les données contractuelles telles que les adresses, les noms ou les numéros de téléphone, se trouve également dans l’INR accessible au public.
Le bureau européen d’attribution d’adresses IP a étendu ses bases de données depuis 1992. Cependant, la maintenance du contenu a été abandonnée.
(Image : RIPE)
Vraisemblablement pour cette raison, les désirs des procureurs pénaux se sont accrus ces dernières années. Europol a notamment exhorté le RIPE à collecter les adresses des titulaires de blocs d’adresses et à les stocker dans la base de données publique. Ils espèrent que cela accélérera les enquêtes transfrontalières.
Entre-temps, cependant, le Règlement général sur la protection des données (RGPD) est entré en vigueur en 2018 et a donné l’impulsion pour mettre les bases de données RIPE à l’épreuve. En 2019, les administrateurs d’adresses ont mandaté une task force de six personnes, qui comprenait également un représentant d’Europol. Après environ deux ans, le groupe a maintenant mis ses recommandations dans le document « Exigences relatives à la base de données RIPE » avant de.
En résumé, on peut dire : Le groupe de travail recommande l’économie stricte des données RIPE. Par exemple, l’adresse postale des propriétaires de blocs d’adresses IP dans la base de données ouverte doit devenir facultative à l’avenir, mais de préférence disparaître. L’adresse postale n’est pas nécessaire pour l’objectif principal de la base de données, à savoir la coordination du fournisseur et l’interconnexion du réseau.
Le pool d’adresses IPv4 a été utilisé
Les fournisseurs devraient omettre l’attribution entre les clients et les adresses IP publiques fixes. « Le RIPE NCC a demandé la mission comme preuve qu’un membre a réellement besoin de nouvelles adresses », explique Peter Koch, expert en politiques de DENIC et membre du groupe de travail. Seuls ceux qui pouvaient prouver qu’ils avaient attribué toutes leurs adresses étaient autorisés à en demander de nouvelles. Surtout lorsque les adresses IPv4 sont devenues rares, la gestion des adresses l’a examinée de près.
Mais Koch a ajouté dans une interview avec c’t : « Cet objectif a expiré, car le RIPE a maintenant utilisé son pool d’adresses IPv4. » On peut également supposer que la Task Force sur les adresses IPv6 ne considère pas un tel contrôle nécessaire, car elles sont disponibles en abondance.
Peter Koch (à droite) est expert politique chez DENIC et membre du groupe de travail du RIPE. Le groupe de travail a développé des propositions importantes pour purifier la base de données RIPE.
En recommandant de supprimer l’attribution d’utilisateurs et d’adresses IPv4, Koch nous assure que nous n’avons pas tant pensé au RGPD. Au contraire, cette suppression a du sens, « parce que les éléments qui ne sont pas dans la base de données ne peuvent pas devenir obsolètes ».
Le groupe de travail suggère également d’introduire des adresses de rôle pour les personnes de contact techniques au lieu d’adresses personnelles réelles. Au RIPE et à son NCC, on s’inquiétait de plus en plus du nombre croissant de données personnelles qui n’étaient pas saisies uniquement pour les personnes de contact techniques.
« En mai 2021, la base de données RIPE contenait un total de 1,92 million d’objets personne », déclare le groupe de travail. Ceci est essentiel, car plus ce nombre est élevé, plus la probabilité de violations du RGPD est élevée. Les membres pouvaient difficilement tenir à jour une telle masse de données.
Surveillance des adresses
Certains participants ont critiqué le fait que le groupe de travail s’oppose à l’utilisation de la base de données comme outil de gestion des adresses IP (IPAM). Certains fournisseurs saisissent à qui ils ont attribué quels sous-réseaux et adresses IP afin de surveiller leur utilisation et d’automatiser le dépannage. Les membres du groupe de travail écrivent que la base de données RIPE n’est pas destinée à cela.
Denis Walker, président du groupe de travail responsable de la base de données au RIPE, a critiqué le fait que le groupe de travail n’ait considéré que les « objectifs historiques ». Il y a aussi des « nouvelles fins » qui ne sont pas documentées. Le groupe de travail n’a pas pris en compte les exigences des nouveaux intervenants. Par cela, Walker devrait signifier les régulateurs et les agents des forces de l’ordre.
Ils seront donc heureux des encouragements de Walker. Parce que le groupe de travail reconnaît la nécessité d’un accès rapide aux données d’adresse dans la lutte contre la criminalité. Mais il n’y a pas eu de consensus dans le groupe sur la proposition des procureurs. Donc, si le groupe de travail réussit, les agents des forces de l’ordre devraient demander les données au RIPE NCC comme auparavant. Une ordonnance du tribunal est alors requise pour la remise. Cependant, si Walker parvient à ses fins, le RIPE devrait immédiatement lancer un nouveau débat sur la future destination de la base de données.
La présidente du RIPE, Mirjam Kühne, a ralenti l’enthousiasme de Walker et n’a d’abord vu que les différents groupes de travail du RIPE dans le train. C’est maintenant entre leurs mains lesquelles des décisions qu’ils mettent en œuvre et à quelle vitesse.
Dans c’t 2/2022, nous avons concocté pour vous le c’t Emergency Windows 2022. Avec le kit pour le système fonctionnant à partir de la clé USB, vous pouvez trouver des virus, enregistrer des données ou réinitialiser des mots de passe. Nous avons mis en lumière la manière dont l’UE souhaite utiliser les failles du RGPD pour les scanners de contenu, nous avons testé des smartphones haut de gamme, des moniteurs USB-C mobiles et des logiciels de serveur pour la collecte privée de médias. Vous trouverez le numéro 2/2022 du 31 décembre dans Boutique Heise et au kiosque à journaux bien approvisionné.
(dz)
Avis de non-responsabilité : cet article est généré à partir du flux et non modifié par notre équipe.
