Verisign, qui est (entre autres) le gestionnaire historique des noms de domaines « génériques » .com, .net et .org, a soulevé une tempête de protestations en décidant unilatéralement d’exploiter les noms de domaines qui n’existent pas.
Auparavant, un nom de domaine erroné aboutissait, dans le navigateur de l’utilisateur, à un message d’erreur généré par le navigateur lui-même. Depuis début septembre, c’était une page du site « SiteFinder » de Verisign qui s’affichait et proposait à l’utilisateur une liste de liens proches. Verisign entendait demander une petite somme par clic aux sites commerciaux qui récupèreraient par ce biais du trafic qu’ils auraient autrement pu perdre : les websurfeurs taperaient entre 800 et 900 millions d’adresses erronées par jour !
Nouveau service utile ou hold-up ?
Les protestations ne se sont pas fait attendre.
Sur le principe, l’espace des noms de domaines est généralement considéré comme une ressource publique, qui n’appartient a priori à personne et est gérée par un organisme à but non lucratif à dimension internationale, l’ICANN (Internet Corporation for Assigned Names and Numbers). L’initiative de Verisign s’apparenterait à une privatisation sauvage de l’espace des noms de domaines non-attribués, même si Verisign ne se prétend pas propriétaire des noms qui pourraient ultérieurement être déposés. Le comité représentant les « utilisateurs » à l’ICANN souligne également que SiteFinder « prive les utilisateurs de la possibilité de choisir les stratégies de gestion des erreurs qui répondent à leurs besoins (…) Les éditeurs de logiciels sont privés de la possibilité de développer des outils innovants pour répondre à ces besoins. » Microsoft est l’un de ces éditeurs : une fonction d’Internet Explorer permet de la même manière de proposer des liens alternatifs en cas d’adresse erronée. Mais, à la différence de l’initiative de Verisign, la fonction est mise en oeuvre par le navigateur et non pas au coeur du réseau.
On notera que SiteFinder installe un cookie permanent sur l’ordinateur de l’utilisateur et collecte des données telles que l’adresse IP de l’utilisateur – toutes choses très ordinaires pour un site web, mais en général, on arrive sur un site web quand on l’a demandé.
D’autres reproches tiennent à la sécurité et à l’intégrité du système de noms de domaines (DNS). En court-circuitant les systèmes de gestion d’erreur du DNS, Verisign peut menacer la stabilité de l’ensemble, notamment pour les applications autres que le web. L’Internet Architecture Board (IAB), « instance suprême » du processus de standardisation de l’internet, réagit fermement dans un communiqué : tout en admettant l’intérêt d’aider les utilisateurs par un traitement intelligent des erreurs dans les noms de domaines, l’IAB relève que SiteFinder ne respecte pas les standards sur lesquels est fondé le DNS, pose des problèmes d’intégrité des données et contredit le principe de neutralité du DNS vis à vis des applications.
Comme le souligne le Cigref (Club informatique des grandes entreprises françaises), le système pourrait aussi faire de Verisign le destinataire de communications privées et confidentielles, dès lors que l’adresse serait erronée.
Bref, la liste des problèmes que suscite SiteFinder en lien avec de nombreuses applications s’allongeait chaque jour, et celle des adversaires avec. Plusieurs groupes préparaient des contre-mesures techniques. Au moins trois procès étaient annoncés, notamment de la part de moteurs de recherche qui accusaient Verisign de concurrence déloyale.
La régulation de l’internet, ça marche ?
Dans une première réaction très diplomatique, l’ICANN, après avoir pris avis de l’IAB et de son propre « Comité sur la sécurité et la stabilité », a demandé à Verisign « de suspendre volontairement le service jusqu’à ce que les analyses en cours soient complètes ». Tout aussi diplomatiquement, la réponse de Verisign renversait la charge de la preuve en attendant l’avis d’un « groupe d’experts indépendants » – désignés par l’entreprise – sur les conséquences opérationnelles de son système…
Mais la crédibilité de l’ICANN, souvent mise en doute par le passé, ne se serait pas relevée d’un recul sur un thème aussi important. Son directeur général, Paul Twomey, en a pris la mesure en sommant finalement Verisign, le 3 octobre, de suspendre le service sous peine de lui imposer une amende pouvant atteindre 100 000 $ par jour. Selon le courrier, le contrat qui fait de Verisign le gestionnaire de la base de données des noms de domaine en .com, .org et .net ne lui permet pas de détourner ainsi le système. Le même jour, Verisign décidait de « suspendre » le service, tout en se réservant clairement le droit d’attaquer en justice la décision de l’ICANN. Celle-ci sort vainqueur de son premier véritable conflit avec la principale entreprise du secteur qu’elle régule, mais le débat n’est sûrement pas clos.
« Pourquoi faut-il avoir peur du WildCard DNS de Verisign sur .COM et .NET ? », une tribune d’Alain Thivillon du cabinet HSC dans ZDNet, qui indique également quelques contre-mesures : http://www.zdnet.fr/actualites/opinions/0,39020797,39123896,00.htm
Couverture du débat par News.com : http://news.com.com/2104-1032_3-5086101.html
Le site SiteFinder : http://sitefinder.verisign.com
SiteFinder par Verisign (.pdf) : http://www.verisign.com/resources/gd/sitefinder/implementation.pdf
Autre sujet d’étonnement, les domaines Sitefinder.com, .net et .org sont déposés, mais pas par Verisign. L’adresse www.sitefinder.com aboutit même à un moteur de recherche (l’un de ceux qu’exploitent certaines sociétés qui déposent de nombreux noms de domaines dans l’espoir de les revendre) qui n’est pas celui de Verisign.
L’IAB et l’ICANN contre Verisign :
Réaction de l’IAB : http://www.iab.org/Documents/icann-vgrs-response.html
Page de l’ICANN sur le conflit Verisign : http://www.icann.org/general/wildcard-history.htm
