Singulier objet de débat que celui que soulève Brian Krebs : l’application du RGPD aux bases de données des domaines Internet enregistrés -Whois- constitue-t-elle une entrave à la sécurité des systèmes d’information ?
L’argument de Krebs est simple : en expurgeant la base des données personnelles (nom, numéro de téléphone, adresse postale des administrateurs de sites), il devient plus compliqué de tracer et de localiser le responsable d’un serveur impliqué dans une diffusion de malware, un hébergement de pages de phishing, un serveur de contenus illégaux …
Quand bien même les identités fournies lors de l’enregistrement du site seraient-elles fantaisistes que l’on y trouve parfois des indices pouvant remonter à l’identité du responsable, affirme le pourfendeur du RBN. Mais interdire la consultation publique de ces informations, laissant un droit de regard aux seuls services d’enquêtes autorisés -et aux autorités d’enregistrement bien sûr- et c’en est fini de tout espoir de réaction rapide lorsque se déclenche une attaque.
D’autant plus que les organismes et personnes pressenties pour avoir le droit de consulter les données non publiques sont, outre les forces de police, les avocats spécialisés dans la défense des droits de reproduction ainsi que des « requêteurs » qualifiés et certifiés représentant les autorités et organismes d’enregistrement… autrement dit strictement n’importe qui. Les « registrars » ne sont pas tous de vaillants défenseurs de la transparence interne et de la lutte contre la délinquance numérique. Si cela était, cela ferait effectivement longtemps que les « bullet proof servers » situés sur la frontière Russo-Ukrainienne auraient été réduits au silence.
Côté défenseurs du RGPD, l’on fait remarquer que les véritables responsables de ces attaques, principalement les seigneurs du spam, du phishing, du stockage de malware, de la gestion des botnets, utilisent bien souvent des sites parfaitement légitimes et totalement compromis. Et la publication des coordonnées d’un administrateur « intrusé » n’aiderait en rien à la localisation des cyber-truands. En revanche, pouvoir le contacter au plus vite pour qu’il nettoie ses serveurs ou prévienne les victimes joue en faveur d’une mise à disposition publique de ces coordonnées. La question frise le cornélien.
Du côté de l’Icann, les positions ne sont pas encore franchement affirmées. Un organigramme et un document de travail (tableau au format XLS) énumèrent les différents modes de fonctionnement envisageables. Une réflexion entamée en consultation avec le groupe A29 des Cnil européennes.