Les problèmes commencent une fois la route établie.

Un fournisseur d'hébergement africain a acheté ou loué ce qui semble être un /24 propre pour une clientèle réglementée. L'enregistrement au registre ne présente pas de défaut visible. Les fournisseurs en amont acceptent l'annonce. Les routeurs acheminent le trafic. La migration des clients est prévue pour un week-end, car les banques, les organismes publics et les sociétés de paiement n'aiment pas les changements d'adresse pendant les heures de bureau. Les ingénieurs font ce pour quoi les ingénieurs réseau sont payés: obtenir de l'espace d'adressage, annoncer le préfixe, configurer le DNS inverse, placer les clients, mettre à jour les pare-feu et surveiller les pertes de paquets.

Le lundi matin, le bloc est devenu un actif différent. Les récepteurs de courrier le limitent. Un point de terminaison de rappel d'un processeur de paiement échoue parce qu'un moteur de fraude associe encore une partie de la plage à un trafic de botnet antérieur. Un fournisseur de sécurité traite les adresses voisines comme hostiles parce qu'un précédent locataire d'hébergement utilisait le même voisinage pour une infrastructure de commandement éphémère. Un client gouvernemental demande si le problème vient du fournisseur, de l'utilisateur précédent, du titulaire enregistré, du courtier, du loueur, du fournisseur amont, de l'opérateur de liste noire, de l'enregistrement au registre ou du client qui vient d'être déplacé. Le préfixe route. Sa mémoire ne s'efface pas.

Cette mémoire est la contamination de la réputation des adresses. Un préfixe IPv4 n'est pas seulement une plage de numéros, un objet routable ou une entrée dans une base de registre. Il porte une mémoire sociale et machine accumulée dans les systèmes de messagerie, les moteurs de réputation DNS, les pare-feu d'applications web, les outils de fraude de paiement, les historiques d'hébergement, les fournisseurs de géolocalisation, les flux de renseignement sur les menaces, les dossiers des forces de l'ordre, les filtres en amont, les listes blanches des clients et le jugement informel des opérateurs qui se souviennent des réseaux ayant causé des problèmes. Une partie de cette mémoire est formelle et interrogeable. Une grande partie est privée. Une partie est exacte. Une partie est périmée, dérivée ou injuste. Toute cette mémoire peut devenir économiquement réelle.

L'AFRINIC est un cas d'étude utile parce que la rareté et l'incertitude institutionnelle rendent la mémoire des adresses plus difficile à ignorer. L'African Network Information Centre (AFRINIC) dessert l'Afrique et certaines parties de l'océan Indien en tant que registre régional pour les adresses IPv4, IPv6 et les numéros de systèmes autonomes. Sa phase 2 d'atterrissage en douceur IPv4 a commencé en janvier 2020, laissant les nouvelles attributions et cessions IPv4 ordinaires limitées à de petits blocs. Les manipulations d'enregistrements signalées impliquant un espace IPv4 africain dormant de valeur, le différend avec Cloud Innovation concernant l'utilisation des ressources et l'autorité du registre, les procédures judiciaires, la mise sous séquestre, les perturbations électorales, le rétablissement ultérieur du conseil d'administration et les questions de litiges en cours ont tous fait de la confiance dans le registre une préoccupation pratique. Ces faits ne sont pas l'histoire principale ici. Ils importent parce qu'ils rendent un point visible: en situation de rareté, un enregistrement n'est pas l'actif entier.

Les marchés connaissent déjà le prix d'une voiture sale, d'un terrain contaminé ou d'une créance avec des débiteurs contestés. L'IPv4 a sa propre version. Un bloc peut être techniquement utilisable mais commercialement compromis parce que des tiers ont appris à s'en méfier. Il peut avoir un enregistrement de registre valide tout en étant filtré par des systèmes qui ne consultent pas le registre. Il peut être acquis par un opérateur innocent tout en conservant le résidu d'un utilisateur précédent. Il peut être réparé, mais la réparation nécessite des preuves, du temps, des voies d'escalade et parfois un espace de remplacement. Le coût n'est pas simplement un coût de ticket d'abus. C'est un coût de qualité d'actif.

Cela rend la contamination de la réputation distincte des problèmes voisins. Les rapports d'abus sont un signal par lequel la réputation est observée; ils ne sont pas l'économie entière. La visibilité de la sous-attribution peut aider à identifier le client ou le revendeur à l'origine d'un incident; elle ne rétablit pas la confiance en soi. Les locations et les transferts déplacent l'exposition entre les parties; ils sont des canaux pour la mémoire, pas le sujet entier. Les décotes de liquidité sont une conséquence du défaut, pas le cadre. Le titre, la sécurité de routage, les objets de route et la certification peuvent prouver des faits importants concernant la reconnaissance et l'autorité d'origine. Ils ne disent pas si un processeur de paiement, un récepteur de courrier ou un pare-feu d'entreprise a pardonné à un préfixe.

La question centrale est plus froide: qui paie lorsque l'espace d'adressage rare arrive avec de la mémoire? Dans un monde d'abondance, un fournisseur pourrait éviter l'espace suspect et obtenir une autre attribution. Dans un monde de rareté, l'actif contaminé peut encore être nécessaire. Le fournisseur peut devoir segmenter les clients à risque, réchauffer le trafic de messagerie, demander des retraits de liste, prouver un changement de contrôle, acheter de la surveillance, négocier avec les fournisseurs de fraude, rassurer les acheteurs du secteur public, accepter une valeur de vente ou de location inférieure, ou réserver la plage pour des charges de travail moins sensibles. Le mauvais acteur a peut-être disparu. La facture demeure.

La réputation est un deuxième livre comptable autour du livre de registre

Le livre de registre enregistre la reconnaissance. Il indique qui est associé à un bloc, quels contacts et données techniques existent, et quels services d'enregistrement peuvent être dérivés de cette relation. Ce livre est essentiel parce que l'unicité et l'attribution ont besoin d'un point de référence commun. Mais il n'est pas le seul livre qui détermine si une adresse peut être utilisée commercialement.

Autour de lui se trouve un deuxième livre constitué par la mémoire opérationnelle. Les récepteurs de courrier suivent l'historique d'envoi. Les fournisseurs de fraude associent les adresses à des tentatives de prise de contrôle de compte, de test de cartes, de phishing, de trafic de bot, d'utilisation de proxy, de grattage ou à des schémas d'inscription suspects. Les sociétés de sécurité enregistrent les scans, les rappels de logiciels malveillants, les tentatives de force brute et les schémas d'hébergement. Les plateformes de contenu se souviennent des plaintes pour abus. Les fournisseurs amont se souviennent si les plaintes ont été ignorées. Les agences publiques et les banques tiennent des listes blanches et des listes de blocage internes. Les fournisseurs de géolocalisation attachent des attributs de pays, de ville, d'hébergement et de risque. Les intervenants en cas d'incident conservent des notes qui ne deviennent jamais un enregistrement de registre. Un bloc peut être passé d'un opérateur à un autre, mais beaucoup de ces systèmes continuent de le traiter comme le même voisinage.

Ce deuxième livre est fragmenté, privé et souvent opaque. Il n'y a pas d'autorité unique qui puisse effacer un préfixe partout. Un retrait de liste d'une liste de blocage de messagerie peut ne pas affecter un moteur de fraude de paiement. Un enregistrement RDAP propre peut ne pas affecter un pare-feu d'entreprise utilisant un ancien flux de menaces. Un nouveau ROA peut améliorer la confiance dans l'origine de la route mais ne rien dire sur l'historique de spam. Un changement de DNS inverse peut aider la délivrabilité tout en laissant intacte une archive de botnet. Un fournisseur peut corriger les faits du registre et toujours faire face à la méfiance dans des systèmes qu'il ne peut pas voir.

C'est pourquoi la réputation n'est pas simplement une question de sécurité. C'est une interface de marché. Un fournisseur vendant de l'hébergement, du courrier, du SaaS, de l'infrastructure de paiement, des portails du secteur public ou de la connectivité d'entreprise ne vend pas seulement des paquets. Il vend l'attente que ces paquets seront acceptés par les contreparties. Si les contreparties étouffent, contestent ou bloquent silencieusement les adresses, le service perd de la valeur. Si le support client doit expliquer pourquoi un nouveau déploiement est traité comme suspect, le fournisseur a hérité d'une dette de réputation.

Le deuxième livre a également une culture de preuve différente. Les faits du registre demandent qui est reconnu maintenant. Les systèmes de réputation demandent ce qui a été observé auparavant. Le registre peut dire qu'un titulaire a changé. Un moteur de fraude peut encore peser les abus plus anciens parce que les attaquants se déplacent souvent à travers des espaces délégués, loués et des chaînes de revendeurs. Le registre peut dire qu'un contact est actuel. Un récepteur de courrier peut encore attendre de voir des mois de trafic bénin avant de faire confiance à la plage. Le registre peut corriger un nom. Un dossier des forces de l'ordre peut encore contenir des références historiques. Les deux livres répondent à des questions différentes.

Les marchés évaluent le livre le plus difficile. Un acheteur d'adresses demande non seulement si le vendeur peut transférer le contrôle, mais aussi si le bloc sera utilisable pour les clients prévus sans nettoyage caché. Un prêteur demande si les revenus dépendants des adresses sont stables ou vulnérables au filtrage. Un client du secteur public demande si les services critiques seront pris dans l'histoire de quelqu'un d'autre. Un courtier demande si les problèmes de réputation doivent être divulgués. Un loueur demande si un utilisateur à risque contaminera un espace qui doit ensuite être utilisé par quelqu'un d'autre. Le livre de registre permet la transaction. Le livre de réputation détermine si la transaction est performante.

Le rôle de l'AFRINIC est indirect mais important. Il ne peut pas effacer tous les flux externes. Il ne doit pas devenir une police de la réputation. Pourtant, la qualité de ses enregistrements, le traitement des litiges, la clarté des transferts, la lisibilité des sous-attributions et la continuité des services affectent la facilité avec laquelle un nouvel opérateur peut prouver qu'une histoire contaminée appartient à quelqu'un d'autre. Un registre étroit ne possède pas le deuxième livre. Il peut néanmoins réduire le coût de l'expliquer.

La rareté fait du mauvais trafic d'hier un défaut d'actif tarifé

La rareté change le statut de la saleté historique. Lorsque les adresses étaient plus faciles à obtenir, un réseau avec une plage entachée pouvait renuméroter, réserver l'espace problématique pour des charges de travail moins sensibles ou demander une autre attribution. Ces choix n'ont jamais été gratuits, mais ils étaient plausibles. Dans la rareté IPv4, ils deviennent plus difficiles. Un /24 difficile à utiliser pour le courrier ou les paiements est encore trop précieux pour être jeté. Le titulaire doit soit le réparer, le décoter, l'isoler ou le vendre à quelqu'un avec une tolérance au risque différente.

C'est ce qui transforme la réputation en un défaut d'actif. Il ne suffit pas de dire que des abus se sont produits dans le passé. La question est de savoir si ce passé limite les utilisations économiques d'aujourd'hui. Un bloc avec un ancien historique de spam peut encore convenir pour des adresses d'infrastructure, des nœuds CDN, des environnements de laboratoire, des points de sortie VPN, des serveurs de jeux ou des charges de travail qui n'envoient pas de courrier ou ne touchent pas à des contreparties réglementées. Le même bloc peut être inadapté pour une banque, un portail de santé publique, un service d'identité gouvernemental ou une plateforme de paiement. Le défaut est spécifique à l'utilisation, mais le coût est réel.

En termes financiers, le bloc a une optionalité réduite. Un bloc propre peut prendre en charge de nombreuses catégories de clients. Un bloc suspect prend en charge moins de catégories ou nécessite plus de préparation avant une utilisation sensible. Cette différence affecte la valeur de vente et la valeur de location même lorsque la routabilité est identique. Un acheteur qui souhaite placer des clients entreprises sur la plage ne l'évaluera pas comme un acheteur qui a seulement besoin de capacité d'hébergement générique. Un loueur pensera différemment si l'utilisateur peut endommager la réputation future. Un acquéreur demandera si l'inventaire d'adresses peut être utilisé dans l'ensemble de l'entreprise combinée ou seulement dans des segments à faible confiance.

Le défaut change également le temps. Une utilisation propre peut commencer rapidement. Une utilisation contaminée nécessite une période de réchauffement, une surveillance de la réputation, un historique des tickets, une communication client, une hygiène de DNS inverse, un étranglement du courrier, des preuves d'abus, des démarches auprès des flux de menaces et parfois un inventaire de remplacement pour les clients sensibles. Le temps compte parce que les adresses ne sont pas détenues pour la décoration. Elles soutiennent des lancements, des migrations, des appels d'offres, des renouvellements et des événements de financement. Une réparation de réputation de trois mois est un coût de fonds de roulement.

La rareté amplifie l'injustice. L'opérateur qui hérite du défaut peut n'avoir rien fait de mal. Il peut s'agir d'un FAI régional, d'une société de centre de données ou d'un contractant public qui a besoin de rares IPv4 publiques pour servir des clients ordinaires. L'utilisateur précédent a peut-être disparu, changé de fournisseur ou s'est caché derrière un revendeur. L'opérateur de liste de blocage peut n'avoir aucun moyen pratique de distinguer le voisin innocent de l'ancien contrevenant. Le fournisseur de paiement peut refuser de divulguer sa logique de risque. Le client peut ne pas s'en soucier; il a acheté un service qui était censé fonctionner.

C'est pourquoi la contamination de la réputation des adresses ne doit pas être traitée comme une étiquette morale. C'est un problème d'allocation des coûts. Si le mauvais acteur ne paie rien et que le successeur innocent paie par la perte de clients, une valeur d'adresse inférieure et les frais de nettoyage, le marché a produit une externalité. Si chaque adresse de la région reçoit une décote de réputation parce que l'incertitude des enregistrements rend l'attribution difficile, l'externalité se propage des mauvais utilisateurs aux bons détenteurs. Si les registres, les vendeurs et les loueurs nient le problème, le coût ne disparaît pas. Il se déplace vers les acheteurs, les clients et les opérateurs en aval.

Le contexte de rareté de l'AFRINIC rend l'externalité plus aiguë parce que l'espace de remplacement est limité et que la confiance institutionnelle a été contestée. Un fournisseur ne peut pas supposer que d'autres adresses arriveront d'un pool gratuit profond. Il ne peut pas supposer que l'historique soutenu par le registre suffira à lui seul pour les systèmes tiers. Le bloc doit être rendu crédible dans de nombreux livres à la fois. C'est un travail coûteux, et la rareté le rend inévitable.

L'AFRINIC ajoute un risque de preuve à la contamination technique

La contamination de la réputation peut se produire dans n'importe quelle région. Un hébergeur négligent en Europe, un réseau pare-balles en Amérique du Nord ou un revendeur compromis en Asie peut empoisonner un bloc. Le cas de l'AFRINIC est distinctif parce que le problème de mémoire d'adresse repose sur un registre qui a lui-même été un cas de stress public.

Les faits doivent être utilisés avec précaution. L'AFRINIC administre les ressources de numérotation pour sa région de service et exploite des services adjacents à l'enregistrement tels que les données d'enregistrement publiques, le DNS inverse, les fonctions de registre de routage et la certification des ressources. Son statut d'épuisement est également clair: la phase 2 de son processus d'atterrissage en douceur IPv4 a commencé en janvier 2020, et les petites attributions sont devenues la frontière normale pour la nouvelle offre. Des cas signalés ont décrit une manipulation d'enregistrements impliquant un espace IPv4 africain dormant, un long différend entre l'AFRINIC et Cloud Innovation concernant l'utilisation des ressources et l'autorité du registre, des procédures judiciaires, des fonds gelés, une mise sous séquestre, une activité électorale contestée, un rétablissement ultérieur du conseil d'administration et des litiges en cours concernant la restauration de l'institution.

Pour cet article, la conséquence importante n'est pas un verdict sur chaque litige. C'est la charge de diligence supplémentaire. Si un bloc d'un marché ordinaire a un historique de réputation, l'acheteur demande: que s'est-il passé sur le bloc? Si un bloc d'un environnement de registre stressé a un historique de réputation, l'acheteur demande aussi: le titulaire peut-il prouver l'état actuel proprement, l'enregistrement du registre peut-il expliquer la transition, l'historique peut-il être séparé de la manipulation d'enregistrement alléguée, un problème judiciaire ou de mise sous séquestre peut-il affecter la continuité, et les systèmes extérieurs croiront-ils l'explication?

Ce deuxième ensemble de questions importe parce que la réparation de la réputation dépend des preuves. Un récepteur de courrier, un fournisseur de sécurité ou un client d'entreprise peut demander une preuve de nouveau contrôle, d'opérations modifiées, de clients retirés, de contacts mis à jour, de réponse aux abus et de temps sans nouveaux incidents. Des enregistrements de registre solides aident. Des enregistrements faibles ou contestés affaiblissent l'histoire. Si les rapports de vol d'adresses ont rendu les enregistrements dormants suspects, un acheteur d'un ancien espace doit prouver que l'historique du bloc est non seulement opérationnellement propre mais légitimement continu. Si la délégation commerciale est devenue politiquement chargée, un utilisateur doit prouver qu'il n'est pas simplement la dernière partie opaque d'une chaîne. Si les questions de mise sous séquestre ou d'élections ont rendu l'autorité institutionnelle visible, une contrepartie peut demander si l'état du registre d'aujourd'hui survivra au défi de demain.

Le problème de contamination a donc deux couches. La première est directe: qu'ont fait les utilisateurs précédents avec le préfixe? La seconde est institutionnelle: avec quelle confiance l'utilisateur actuel peut-il prouver que le comportement antérieur n'est plus pertinent? L'histoire de crise de l'AFRINIC rend la deuxième couche plus coûteuse. Cela ne signifie pas que chaque bloc administré par l'AFRINIC est suspect. Cela signifie que le marché a appris à poser plus de questions avant de faire confiance à la réponse.

Les déclarations du registre sur la continuité du service ne suffisent pas. Un registre peut continuer à exploiter RDAP, WHOIS, le DNS inverse et la certification des ressources pendant que le marché s'inquiète encore de certains enregistrements, chaînes d'autorité et états de réputation externes. Inversement, les critiques peuvent exagérer l'échec institutionnel alors que des blocs particuliers restent opérationnellement et réputationnellement sains. La réputation des adresses est granulaire. Une analyse sérieuse doit rester granulaire.

La bonne unité d'analyse est le bloc, l'historique, l'opérateur actuel, le dossier de preuves et l'utilisation prévue. L'AFRINIC est le cadre parce que la rareté et le stress de gouvernance augmentent le prix des preuves. Le registre ne crée pas chaque événement de contamination. Mais lorsque l'environnement du registre est incertain, il devient plus difficile pour les opérateurs propres d'isoler la contamination et de persuader les tiers que la mémoire devrait cesser de s'attacher à eux.

Des enregistrements d'apparence propre ne nettoient pas les historiques hérités

La phrase la plus dangereuse dans la diligence des adresses est « l'enregistrement est propre ». Elle peut être vraie et insuffisante. Un enregistrement de registre peut montrer un titulaire actuel, des contacts actuels, une origine de route plausible, une délégation de DNS inverse valide et aucun litige visible. Cela ne prouve pas que le bloc n'a pas de dommages de réputation hérités. La réputation est observée à la limite de l'utilisation, pas seulement au point d'enregistrement.

Un historique hérité peut se cacher à de nombreux endroits. L'utilisateur précédent a peut-être envoyé du spam, hébergé des kits de phishing, exploité des proxys ouverts, servi des logiciels malveillants, soutenu le bourrage d'identifiants, ignoré les plaintes pour abus, géré un mauvais produit VPN, toléré des clients d'hébergement pare-balles ou permis à des locataires compromis de rester en ligne. Le mauvais trafic a peut-être cessé depuis longtemps. Pourtant, les systèmes tiers peuvent maintenir la plage dans un niveau de risque parce que leurs calculs valorisent l'association historique. Certains fournisseurs se rafraîchissent rapidement. D'autres dépendent de flux dérivés, de vieilles notes manuelles ou de listes de blocage spécifiques aux clients. Une banque peut ne jamais dire au fournisseur quel flux a causé l'échec.

Cela crée un problème de diligence différent de l'examen ordinaire des titres. L'examen des titres demande si le vendeur ou le titulaire a l'autorité et s'il existe des revendications adverses. La diligence de réputation demande si l'adresse peut être digne de confiance par des étrangers après le déploiement. Les preuves sont différentes. Elles incluent les vérifications de listes de blocage, les tests de réchauffement du courrier, le DNS passif, l'historique BGP, les archives d'hébergement de logiciels malveillants, les schémas de tickets d'abus, les enregistrements de géolocalisation, l'historique des plaintes en amont, les catégories de locataires précédentes, la réputation d'hébergement web, les listes blanches des clients et l'expérience de préfixes similaires dans le même bloc réseau.

Aucune vérification unique n'est décisive. Un bloc absent des listes de blocage publiques peut encore être pénalisé par des systèmes de fraude privés. Un bloc apparaissant sur une liste peut être assez propre pour certaines utilisations après une courte remédiation. Une erreur de géolocalisation peut ressembler à un risque alors que le vrai problème est une base de données périmée. Un voisin bruyant peut contaminer un agrégat plus grand même si le /24 spécifique est silencieux. Un nouveau titulaire peut avoir des preuves de registre solides mais un historique opérationnel faible. Le dossier de diligence est probabiliste.

Cette incertitude affecte les prix et les choix de déploiement. Un acheteur peut exiger une période d'essai, un droit de rejeter les adresses qui échouent à des tests définis ou un prix inférieur pour les plages avec un historique non vérifié. Un client peut exiger la preuve qu'une plage peut passer les vérifications de courrier, de paiement ou d'approvisionnement avant la migration. Un vendeur peut résister à des assurances larges parce qu'il ne peut pas connaître tous les flux privés. Un courtier peut décrire un bloc comme propre sur la base uniquement de vérifications publiques, ce qui est commercialement tentant et analytiquement faible.

Pour l'espace administré par l'AFRINIC, le problème de diligence est aggravé par les préoccupations concernant les anciens enregistrements. Les cas signalés de vol d'adresses ont montré que des enregistrements africains faiblement surveillés ou dormants pouvaient devenir des cibles économiquement attrayantes une fois que l'IPv4 avait une valeur de marché. Cela ne rend pas chaque vieux bloc sale. Cela signifie que les vieux blocs nécessitent de meilleures preuves. Qui détenait l'espace? Était-il routé? Par qui? Était-il délégué? Les contacts étaient-ils maintenus? L'adresse est-elle apparue dans des listes de blocage? Un intermédiaire l'a-t-elle utilisée? A-t-elle été vendue, louée, récupérée, reclassée ou laissée dormante? Un enregistrement actuel propre peut être le début de cette enquête, pas la fin.

Le marché devrait devenir plus précis sur le mot propre. Propre pour quelle utilisation? Propre sur quelle période? Propre dans quelles listes publiques? Propre dans quels tests clients privés? Propre au niveau /32, /29, /24, /20 ou ASN? Propre après correction de géolocalisation? Propre après un changement de titulaire? Assez propre pour le courrier sortant, les rappels de paiement, l'hébergement du secteur public, l'intégration au cloud ou l'infrastructure à faible risque? Sans un cas d'utilisation, propre est un adjectif qui se fait passer pour une preuve.

La contamination se propage par les voisins, pas seulement l'hôte coupable

La réputation des adresses est rarement parfaitement granulaire. C'est pourquoi les voisins innocents paient. Un seul serveur compromis peut endommager un /32. Une campagne de spam peut endommager un /24. Un client pare-balles peut endommager un ASN. Un fournisseur connu pour tolérer les abus peut contaminer chaque plage qu'il touche. Un fournisseur de fraude peut traiter les nouvelles inscriptions d'un bloc réseau entier comme risquées parce que du mauvais trafic passé provenait d'adresses proches. Un récepteur de courrier peut limiter une plage entière parce que la distinction fine est trop coûteuse.

Ce regroupement est rationnel du point de vue du récepteur. Une banque, un fournisseur de messagerie ou une société de sécurité n'existe pas pour maximiser la valeur de revente de l'inventaire IP de quelqu'un d'autre. Elle existe pour réduire la fraude, le spam, les logiciels malveillants et les préjudices aux clients. Si ses preuves indiquent que le mauvais comportement se regroupe par fournisseur, ASN, revendeur ou voisinage d'adresses, elle utilisera ce regroupement. Le coût des faux positifs est supporté par le titulaire de l'adresse et ses clients. Le bénéfice de la prudence revient aux utilisateurs du récepteur.

Le regroupement crée l'externalité de contamination. Le comportement d'un mauvais locataire peut réduire la valeur des adresses voisines. La tolérance d'un revendeur peut affecter le bloc entier d'un titulaire. Les faibles contrôles clients d'un loueur peuvent réduire les revenus futurs de l'espace utilisé par des parties innocentes. Un fournisseur d'hébergement qui retire un client peut encore faire face à une méfiance agrégée parce que les observateurs en amont se souviennent du voisinage, pas de l'hôte corrigé. L'actif est local, mais la réputation est sociale.

L'externalité devient aiguë dans les marchés rares parce que la ségrégation consomme de l'inventaire. Un fournisseur peut protéger les clients premium en les isolant dans des plages connues propres, en réservant des blocs séparés pour l'hébergement à haut risque, en gardant le trafic de courrier loin des clients VPS génériques et en évitant l'utilisation mixte entre les charges de travail réglementées et anonymes. C'est opérationnellement sensé. C'est aussi coûteux. Chaque règle de segmentation réduit la fongibilité. Les adresses qui auraient pu autrefois servir n'importe quel client ont maintenant différentes classes de confiance.

La contamination de la réputation crée donc un système de zonage caché. Certaines plages deviennent adaptées au courrier sortant. Certaines deviennent adaptées uniquement aux services entrants. Certaines sont conservées pour les catégories de clients qui acceptent des taux d'échec plus élevés. Certaines sont évitées pour les services financiers. Certaines sont mises en quarantaine pendant que les retraits de liste se poursuivent. Certaines portent une décote parce qu'elles sont proches d'un mauvais ASN ou d'un hébergeur historique. Le marché commence à évaluer non seulement la taille et le statut de registre, mais la qualité du voisinage.

Cela a des conséquences pour les opérateurs africains. Les petits fournisseurs ne peuvent souvent pas se permettre de grands inventaires ségrégués. Ils peuvent avoir un ou deux blocs significatifs et une clientèle mixte. Si un client à risque contamine le bloc, le fournisseur ne peut pas simplement déplacer les clients réglementés vers une plage propre séparée. Si un nouveau bloc arrive avec de la saleté héritée, le fournisseur peut ne pas avoir d'adresses propres de rechange pour le client qui se plaint. Un grand cloud mondial peut absorber le zonage de réputation à travers des portefeuilles. Un hébergeur régional ne le peut pas.

La visibilité de la sous-attribution affecte ce problème, mais elle n'est pas la réponse complète. Savoir quel client a causé un incident aide pour l'attribution et les preuves de remédiation. Cela ne répare pas automatiquement la réputation des voisins. Le marché doit encore décider si les contrôles du titulaire sont suffisamment bons pour prévenir la récurrence, si la plage affectée doit être ségréguée, si les clients innocents ont besoin d'une migration, et si les futurs acheteurs ou utilisateurs doivent être avertis. La visibilité est une preuve. Le confinement est une conception opérationnelle.

La reprise de l'AFRINIC devrait être jugée en partie par la question de savoir si son environnement d'enregistrement aide les opérateurs à réduire la contamination. Si les enregistrements, les balises de rôle et les historiques de mise à jour peuvent distinguer l'espace exploité par le titulaire, l'utilisation par un FAI en aval, l'hébergement géré, les attributions protégées par la vie privée et les plages contestées, alors les tiers peuvent cibler leur méfiance plus précisément. Si l'enregistrement laisse toute utilisation sous une seule étiquette de titulaire, les récepteurs et les fournisseurs de sécurité continueront d'utiliser des regroupements plus grossiers. Les regroupements grossiers sont moins chers pour eux et plus chers pour tous les autres.

Le retrait de liste est un travail de preuve, pas un rituel de support client

Retirer une adresse contaminée d'une mauvaise réputation est souvent décrit comme un retrait de liste, comme si l'opérateur remplissait simplement un formulaire et attendait. En pratique, c'est un travail de preuve à travers de nombreuses juridictions de confiance. Chaque système veut une preuve différente. Une liste de blocage de messagerie peut demander que le spam ait cessé et que le DNS inverse soit sensé. Un flux de sécurité peut demander le nettoyage des hôtes infectés. Un fournisseur de paiement peut vouloir des preuves de vérification des clients et de faibles taux de fraude. Un propriétaire de liste blanche d'entreprise peut exiger un nouveau contact contractuel. Un dossier des forces de l'ordre peut ne pas être joignable du tout. Un moteur de risque privé peut ne fournir aucun appel.

Le premier coût est la découverte. Le fournisseur doit apprendre quels systèmes s'opposent. Les clients voient souvent les symptômes avant le fournisseur: courrier rebondi, appels API échoués, inscriptions rejetées, vérifications de fraude supplémentaires, tableaux de bord bloqués, géolocalisation étrange, suspicion de VPN ou drapeaux de risque d'approvisionnement. Le fournisseur doit alors séparer la réputation de l'adresse de l'erreur d'application, de l'erreur DNS, du problème TLS, de la mauvaise configuration du client, de la réputation de l'ASN et du risque de contenu. Cela prend du temps de cadre supérieur, pas seulement du temps de support.

Le deuxième coût est la preuve du changement. Les organismes de retrait de liste sont, de manière compréhensible, sceptiques face aux affirmations selon lesquelles une plage est sous une nouvelle direction. Les attaquants revendiquent également une nouvelle direction. Un dossier de preuves crédible peut inclure des enregistrements de registre, l'autorité de l'entreprise, les dates d'acquisition ou de location, les changements de routage, les changements de DNS inverse, le retrait de clients, les journaux de réponse aux abus, l'historique de trafic propre, les rapports de surveillance, les données de montée en puissance du volume de courrier et les déclarations des fournisseurs amont. Dans le cas de l'AFRINIC, des preuves de registre solides peuvent aider, mais si l'autorité du registre ou les anciens enregistrements sont contestés, les systèmes externes peuvent exiger davantage.

Le troisième coût est l'attente. Les systèmes de réputation ne bougent pas tous à la même horloge. Certaines listes publiques s'effacent rapidement lorsque le trafic s'arrête. D'autres vieillissent lentement. Les fournisseurs privés peuvent mettre à jour par lots. Les clients entreprises peuvent conserver d'anciens blocages manuels jusqu'à leur prochaine révision. Les systèmes de paiement peuvent exiger un historique de faible risque sur la durée plutôt qu'une preuve unique. Pendant cette période d'attente, le fournisseur doit décider s'il doit garder les clients sur le bloc, les déplacer, réduire les promesses de service ou les indemniser.

Le quatrième coût est l'incertitude sur les faux positifs. Les listes de blocage IP sont utiles mais imparfaites. Elles varient en couverture, géographie, vitesse de mise à jour et qualité d'appel. Elles peuvent manquer une activité malveillante tout en créant un risque de faux positif. Cette imperfection importe économiquement. Un titulaire innocent peut dépenser de l'argent pour prouver son innocence à des systèmes qui ne divulguent pas leurs données. Un titulaire contaminé peut découvrir que l'absence des listes publiques ne signifie pas l'absence de jugement privé. La diligence et la réparation fonctionnent toutes deux à travers une observation incomplète.

Le cinquième coût est la coordination entre les parties. Le titulaire enregistré peut contrôler le compte de registre. Le fournisseur opérationnel peut contrôler les serveurs. Un locataire peut contrôler les clients. Un revendeur peut posséder la relation commerciale. Un fournisseur amont peut recevoir des plaintes. Le client peut être celui qui est lésé. Le retrait de liste exige que ces parties produisent une histoire cohérente. Si elles ne sont pas d'accord sur qui a causé le problème, qui paie ou qui peut parler au nom du bloc, le système de réputation voit de la confusion et reste prudent.

Le retrait de liste n'est donc pas une nuisance après-vente. C'est un centre de coûts qui devrait apparaître dans l'économie des transactions. Un acheteur devrait demander qui paie pour la remédiation si un historique hérité apparaît. Un loueur devrait demander comment l'utilisateur doit coopérer au nettoyage et ce qui se passe si les clients de cet utilisateur créent de nouvelles inscriptions. Un acheteur du secteur public devrait demander si le fournisseur a des procédures de retrait de liste et une capacité de remplacement. Un prêteur devrait demander si les revenus soutenus par l'adresse sont exposés à une réparation de réputation non modélisée.

La leçon pour le registre est modeste. Un registre ne devrait pas promettre de retirer de la liste ce qu'il ne contrôle pas. Mais il peut rendre la preuve de la reconnaissance actuelle plus facile, plus rapide et plus crédible. Il peut préserver l'historique des enregistrements, publier les contacts actuels, soutenir une délégation de DNS inverse précise, distinguer les litiges des changements de routine et encourager des preuves responsables en aval. Le retrait de liste appartient à l'extérieur du registre. Les preuves nécessaires au retrait de liste commencent souvent à l'intérieur de celui-ci.

Le mouvement transfère la mémoire même lorsque le contrôle est clair

Les adresses rares se déplacent par le biais de ventes, transferts, locations, cessions, plans d'hébergement, chaînes de revendeurs et réorganisations internes. Chaque mouvement peut déplacer la réputation dans deux directions. Un mauvais historique peut voyager de l'utilisateur précédent à l'utilisateur suivant. Un nouveau mauvais comportement peut revenir d'un utilisateur temporaire ou d'un client vers le titulaire. C'est pourquoi la contamination de la réputation des adresses importe même lorsque la question du contrôle légal ou de registre est déjà répondue.

Un transfert est l'exemple le plus propre. Un acheteur reçoit un contrôle reconnu et peut croire que le passé devrait cesser d'. Les systèmes externes peuvent être en désaccord. Ils peuvent continuer à associer le bloc à un ancien ASN, une ancienne marque d'hébergement, un ancien botnet, une ancienne géolocalisation, une ancienne catégorie de clients ou une ancienne affaire des forces de l'ordre. L'acheteur paie alors pour la remédiation héritée. Si le vendeur n'a pas divulgué l'historique, l'acheteur peut prétendre avoir été induit en erreur. Si le vendeur ne savait vraiment pas, les deux parties peuvent apprendre que les vérifications publiques étaient insuffisantes.

Une location est plus compliquée parce que la réputation peut rebondir. Le titulaire conserve la relation enregistrée pendant qu'une autre partie utilise les adresses. Si cet utilisateur vend à des clients à risque, ignore les abus, gère de mauvaises opérations de messagerie ou permet des services de proxy anonymes, le bloc du titulaire peut devenir moins précieux après la fin de l'arrangement. L'utilisateur peut partir avec des revenus. Le titulaire garde l'actif sale. Le prochain acheteur ou utilisateur paie par une confiance moindre. L'objet économique est la crédibilité réutilisable de l'adresse, pas simplement le droit de l'annoncer pendant une période.

Les transferts et les locations créent également des fenêtres d'ambiguïté. Pendant la migration, certains systèmes voient l'ancienne route et d'autres la nouvelle. Le DNS inverse peut prendre du retard. La géolocalisation peut prendre du retard. Le trafic de courrier peut commencer avant que le réchauffement ne soit terminé. Les contacts d'abus peuvent encore pointer vers l'ancien bureau. Un moteur de fraude privé peut interpréter un changement soudain comme suspect. Les attaquants exploitent l'ambiguïté, mais les opérateurs ordinaires en souffrent également. Un plan de réputation devrait faire partie du calendrier de la transaction, pas une réponse d'urgence après que les clients se plaignent.

Le contexte de l'AFRINIC rend ces fenêtres plus sensibles parce que les arguments d'utilisation régionale et les questions de reprise institutionnelle peuvent affecter la façon dont les contreparties interprètent le mouvement. Un bloc passant d'un titulaire dormant à un hébergeur actif peut être une réallocation productive. Cela peut également déclencher des soupçons si la chaîne d'autorité est mince ou si la route semble éloignée de la région attendue. Une utilisation commerciale temporaire peut être une réponse rationnelle à la rareté. Elle peut également créer une voie de contamination si l'utilisateur en aval est opaque. Le marché n'a pas besoin de slogans; il a besoin de preuves sur ce qui a changé et qui est responsable maintenant.

La discipline utile est la précision. Un vendeur ne peut pas promettre de manière sensée qu'aucun système privé nulle part n'a une vue négative du bloc. Il peut divulguer l'historique connu des listes de blocage, les schémas d'abus connus, la correspondance connue avec les forces de l'ordre, les catégories d'hébergement connues, les plaintes de clients connues, les litiges de géolocalisation connus et les efforts de remédiation connus. Un acheteur peut tester l'utilisation prévue avant de se fier à la plage. Un loueur peut exiger des preuves d'exploitation propre pendant que les adresses sont utilisées. Un utilisateur peut demander si la réputation héritée convient à la charge de travail déclarée.

Le rôle étroit du registre est de rendre le mouvement lisible. Il ne devrait pas fixer le prix ni juger chaque utilisation commerciale. Mais lorsque le titulaire reconnu, le réseau exploitant, l'origine de la route, le DNS inverse, les données de contact et le rôle en aval sont alignés ou clairement expliqués, les systèmes extérieurs ont de meilleures chances de mettre à jour leur mémoire. Lorsque le mouvement est caché, les systèmes de réputation supposent la continuité avec le passé. Dans l'économie de la réputation, l'opacité est rarement neutre. Elle est généralement tarifée comme un risque.

La ségrégation est le prix opérationnel de la confiance

La réponse pratique à la contamination est la ségrégation. Les fournisseurs la pratiquent déjà, parfois formellement et parfois par instinct. Ils éloignent les clients à forte utilisation de messagerie de l'hébergement anonyme. Ils séparent les clients réglementés des pools VPS à fort taux de rotation. Ils réservent des plages connues propres pour les banques, les portails gouvernementaux, les systèmes de santé et les SaaS d'entreprise. Ils évitent de placer une nouvelle infrastructure de paiement à côté de clients susceptibles de déclencher des plaintes pour fraude. Ils traitent certaines plages comme une quarantaine jusqu'à ce que l'historique s'améliore.

La ségrégation est économiquement rationnelle parce que les systèmes de réputation punissent souvent les groupes. Si le récepteur regarde l'historique d'un /24, le fournisseur devrait gérer au moins à la qualité /24. Si le récepteur regarde la réputation de l'ASN, le fournisseur devrait considérer le mélange de clients au niveau de l'ASN. Si les systèmes de messagerie punissent l'envoi soudain à haut volume, le fournisseur devrait réchauffer les plages et garder le courrier sortant loin de l'hébergement générique. Si les fournisseurs de paiement se méfient du trafic proxy, le fournisseur ne devrait pas mélanger les utilisateurs de proxy avec des rappels réglementés. La confiance a besoin d'architecture.

Cette architecture a des coûts. Elle nécessite plus d'inventaire d'adresses, de meilleurs enregistrements internes, une classification des clients, une surveillance, une réponse aux abus, une politique de trafic, une discipline de DNS inverse, une gestion de la géolocalisation et un examen des incidents. Elle exige également que le fournisseur dise non à des revenus. Un client qui paie bien mais endommage un bloc peut ne pas être rentable après le coût de réputation. Un produit d'hébergement à court terme peut sembler attrayant jusqu'à ce qu'il contamine un inventaire rare nécessaire pour des contrats d'entreprise. Le coût d'opportunité d'un client sale est plus élevé lorsque les IPv4 propres sont rares.

Les petits opérateurs sont désavantagés. Ils ne peuvent pas maintenir de nombreuses classes de confiance s'ils ont peu d'espace d'adressage. Ils ne peuvent pas absorber facilement un /24 contaminé. Ils peuvent ne pas avoir le personnel pour exécuter une surveillance continue de la réputation ou négocier avec les fournisseurs. Ils peuvent compter sur des adresses fournies par le fournisseur amont, ce qui crée une dépendance, ou louer de l'espace, ce qui crée une incertitude de réputation. L'économie de la réputation renforce donc l'échelle. Les grands opérateurs peuvent diversifier le risque de réputation. Les petits opérateurs vivent avec la concentration.

Les clients du secteur public et réglementés devraient comprendre cela. La question d'approvisionnement pertinente n'est pas seulement de savoir si le fournisseur a suffisamment d'IPv4 publiques. C'est de savoir si le fournisseur a des contrôles de réputation d'adresse appropriés au service. Connaît-il l'historique des blocs offerts? Ségrégue-t-il les clients à haut risque? Peut-il remplacer une plage si un système de fraude privé s'y oppose? Maintient-il une discipline de DNS inverse et de messagerie? Conserve-t-il des preuves du contrôle actuel? A-t-il un chemin d'escalade pour les listes de blocage et les fournisseurs de paiement? Ce sont des questions de continuité, pas des luxes techniques.

Pour l'espace administré par l'AFRINIC, la ségrégation interagit également avec la rareté. Si les nouvelles attributions sont petites, et si l'offre existante se déplace par des transferts et des locations, alors la classe de réputation devient un allocateur caché. L'espace propre va aux clients qui peuvent payer pour l'assurance. L'espace douteux va aux charges de travail avec des exigences de confiance plus faibles. Certains opérateurs peuvent être exclus des plages propres par les prix. D'autres peuvent accepter un espace contaminé parce que c'est tout ce qu'ils peuvent obtenir. Cette distribution a des conséquences de développement même si personne ne l'appelle politique.

La ségrégation ne doit pas être confondue avec une discrimination contre des catégories légitimes mais à risque. La recherche en sécurité, les VPN, l'hébergement, le courrier, les services sensibles au grattage, les environnements de développement à fort taux de rotation et les petites entreprises ont tous besoin d'infrastructure. Le point n'est pas de les interdire. Le point est de tarifer et de contenir le risque de réputation qu'ils créent. Un marché d'adresses mature permet aux fournisseurs de faire correspondre le risque client à la classe de réputation de l'adresse honnêtement. Un marché immature mélange tout, attend la contamination, puis se dispute sur la responsabilité.

La règle économique la plus propre est simple: le client qui crée un risque de réputation devrait supporter une plus grande part du coût, et le titulaire qui profite de ce client devrait maintenir suffisamment de contrôles pour protéger les voisins innocents. Si aucun des deux ne se produit, la contamination devient une subvention des utilisateurs prudents aux utilisateurs négligents.

La retenue du registre importe parce que les systèmes de réputation sont déjà punitifs

Une tentation dans un marché contaminé est de demander au registre de résoudre le problème en devenant plus agressif. Si l'historique d'abus nuit aux utilisateurs innocents, peut-être le registre devrait-il inspecter les clients, punir les titulaires, bloquer certaines utilisations, juger les catégories commerciales ou récupérer de l'espace. Cet instinct est compréhensible et dangereux.

Les systèmes de réputation sont déjà punitifs. Les récepteurs de courrier, les fournisseurs de fraude, les flux de sécurité et les fournisseurs amont peuvent imposer des coûts réels sans action en justice, action du registre ou même divulgation. Un fournisseur peut perdre la délivrabilité, la confiance des clients et les revenus parce qu'un calcul de risque privé change. Le fait que ces systèmes soient imparfaits ne les rend pas illégitimes; ils protègent leurs propres utilisateurs. Mais cela signifie que l'écosystème d'adresses contient déjà de nombreux mécanismes de punition et d'exclusion. Ajouter une large discrétion du registre par-dessus peut multiplier l'incertitude.

L'avantage comparatif du registre n'est pas le jugement moral. C'est l'intégrité des enregistrements. Il peut conserver des données de titulaire précises, préserver l'historique, soutenir le DNS inverse, permettre la publication de sécurité, traiter les changements autorisés, enregistrer les litiges de manière étroite, exiger des contacts actuels et corriger les fraudes d'enregistrement démontrables. Ces fonctions aident les marchés à séparer la responsabilité actuelle de la contamination passée. Elles n'exigent pas que le registre devienne un tribunal de la réputation pour chaque client ou charge de travail.

L'histoire de l'AFRINIC illustre le risque d'extension excessive. Le signalement de manipulation d'enregistrements d'adresses a créé une demande légitime de contrôles d'enregistrement plus forts. Le différend avec Cloud Innovation et le débat environnant ont montré comment les questions sur l'utilisation, la région et l'autorité du registre peuvent dégénérer en conflit institutionnel existentiel. La mise sous séquestre et les problèmes électoraux ont montré que le registre lui-même peut devenir fragile sous une pression à enjeux élevés. Dans un tel contexte, étendre la discrétion peut sembler rétablir l'ordre, mais cela peut également augmenter la valeur du prix du contrôle du registre.

Un registre étroit réduit le prix. Si le rôle de l'AFRINIC est limité aux enregistrements vérifiables, à la publication technique, au processus régulier et à la continuité, le capturer ou l'influencer donne moins de pouvoir sur les résultats commerciaux. Si son rôle s'étend à juger quelles utilisations sont réputationnellement acceptables, quels clients méritent un service ou quels titulaires devraient perdre des ressources parce que des systèmes externes s'en méfient, alors le contrôle du registre devient une arme de marché. Cela ne résoudrait pas la contamination de la réputation. Cela ajouterait une autre couche de contamination: la peur institutionnelle.

La meilleure réponse est des preuves structurées et des conséquences limitées. Si un bloc a un historique d'abus, le titulaire devrait pouvoir montrer les contrôles actuels. Si un utilisateur en aval a causé un préjudice, le titulaire devrait identifier et contenir cet utilisateur. Si un enregistrement est faux, le registre devrait le corriger. Si l'utilisation en aval est cachée, le registre peut exiger des informations de rôle plus précises. Si un problème de réputation appartient à une liste de blocage privée, le registre peut soutenir la preuve de la reconnaissance actuelle mais ne devrait pas prétendre ordonner à la partie privée de faire confiance au bloc.

Cette retenue profite aux victimes comme aux titulaires. Un opérateur innocent héritant d'un espace sale a besoin de preuves qu'il est différent de l'ancien contrevenant. Il n'a pas besoin d'un registre qui fait de chaque plainte de réputation un litige potentiel sur les ressources. Un client lésé par un voisin contaminé a besoin de confinement et de migration. Il n'a pas besoin que tout le titulaire soit jeté dans l'incertitude. Une agence publique a besoin d'un chemin d'escalade traçable. Elle n'a pas besoin d'un combat de registre opaque qui interrompt le service.

La contamination de la réputation est une raison d'améliorer l'hygiène du marché, pas une raison d'abandonner les frontières institutionnelles. Plus les systèmes de confiance externes deviennent punitifs, plus il est important que le registre reste ennuyeux, précis et révisable. La leçon de l'AFRINIC est qu'un livre fragile ne devrait pas chercher la force en devenant un gardien de chaque mémoire attachée aux numéros.

Les tribunaux et le rétablissement ne réinitialisent pas la mémoire externe

Les ordonnances des tribunaux, la mise sous séquestre et le rétablissement du conseil d'administration peuvent réparer l'autorité institutionnelle. Ils peuvent restaurer la prise de décision, préserver les opérations, relancer les élections, clarifier les droits des membres et aider un registre à reprendre ses fonctions ordinaires. Ils ne peuvent pas réinitialiser la réputation des adresses par eux-mêmes. Le deuxième livre de l'internet n'obéit pas à la restauration d'entreprise.

Cette distinction importe pour l'AFRINIC. La mise sous séquestre a été décrite comme un moyen de préserver les opérations et de restaurer la gouvernance. Les élections ultérieures et les actions du conseil d'administration ont signalé un chemin vers une administration normale, même si les litiges et les questions de rétablissement se poursuivaient. Ce sont des éléments importants pour le registre. Ils indiquent aux membres si l'institution peut traiter les demandes, maintenir les services et prendre des décisions. Mais un fournisseur de fraude de paiement évaluant un préfixe ne demande pas simplement si l'AFRINIC a un conseil d'administration. Un récepteur de courrier ne fait pas automatiquement confiance à une plage parce qu'une période supervisée par un tribunal a préservé le registre. Un client n'oublie pas les rappels échoués parce que la gouvernance s'améliore.

La réparation institutionnelle aide indirectement. Un registre stable peut produire de meilleurs enregistrements, des mises à jour plus rapides, des états de litige plus clairs et une continuité plus crédible. Il peut séparer les anciens problèmes d'autorité des faits opérationnels actuels. Il peut réduire la prime de risque générale que les contreparties appliquent aux ressources administrées par l'AFRINIC. Il peut rendre les preuves de retrait de liste plus faciles. Il peut rassurer les acheteurs que les changements futurs ne seront pas piégés dans une paralysie institutionnelle. Ce sont de réels gains.

Mais les systèmes de réputation se souviennent du comportement. Si un bloc a été utilisé pour du spam, le récepteur veut des preuves que le spam a cessé. Si une plage était associée à du trafic de botnet, le fournisseur de sécurité veut une observation propre sur la durée. Si un locataire précédent a causé une fraude de paiement, le processeur veut des taux de fraude plus faibles et peut-être de nouvelles données clients. Si un client du secteur public a vu des défaillances de service, il veut un plan de continuité. Le rétablissement de la gouvernance n'est pas un substitut à la réhabilitation opérationnelle.

Cela crée un problème de séquençage. Le rétablissement de l'AFRINIC peut réduire la composante institutionnelle de la décote avant de réduire les coûts de réputation au niveau des blocs. Un acheteur peut devenir plus à l'aise que le registre puisse traiter un transfert, tout en décotant encore des plages particulières pour d'anciens abus. Un loueur peut retrouver confiance dans les services de compte, tout en traitant les utilisateurs à risque avec prudence. Un fournisseur peut faire confiance aux mises à jour du DNS inverse, tout en réchauffant le trafic de courrier pendant des mois. Le rétablissement réduit une incertitude. Il n'efface pas toute la mémoire.

Le même point s'applique aux victoires juridiques des titulaires. Une position reconnue par un tribunal peut être une preuve puissante d'autorité. Elle peut aider à prouver qu'un titulaire a des droits dans la relation de registre ou qu'une action précédente du registre était contrainte. Elle ne prouve pas que chaque adresse du portefeuille est réputationnellement propre. L'autorité et la réputation sont liées mais séparées. Les marchés ne devraient pas traiter la reconnaissance juridique comme une amnistie réputationnelle, ni traiter les problèmes de réputation comme une preuve de mauvais titre.

La leçon pratique est de garder le rétablissement institutionnel et la réhabilitation des actifs séparés dans le dossier de diligence. Une section devrait demander si la gouvernance et les services actuels de l'AFRINIC peuvent soutenir les actions de registre nécessaires. Une autre devrait demander si l'historique de réputation du bloc spécifique soutient l'utilisation client prévue. Une troisième devrait demander si des preuves existent pour séparer l'utilisation antérieure du contrôle actuel. Les combiner crée de la confusion. Un registre stable avec un bloc sale est toujours un bloc sale. Un registre stressé avec un bloc propre et bien documenté n'est pas automatiquement sale.

Le rétablissement de l'AFRINIC sera donc mesuré non seulement par la gouvernance formelle, mais par la question de savoir si les opérateurs peuvent utiliser l'institution rétablie pour produire des preuves crédibles pour les systèmes de confiance externes. La route peut monter en quelques minutes. La confiance institutionnelle prend plus de temps. La réputation des adresses peut prendre encore plus de temps.

Un marché d'adresses propre a besoin de preuves de remédiation, pas de foi

Un marché mature de l'IPv4 rare ne peut pas supposer que chaque bloc d'adresses est propre. Il ne peut pas non plus traiter chaque tache historique comme permanente. Il a besoin d'une discipline intermédiaire: des preuves de réputation suffisamment spécifiques pour tarifer, réparer et allouer le risque.

Le premier élément est la diligence pré-transaction. Les acheteurs, les utilisateurs et les grands clients devraient tester les utilisations prévues avant la conclusion ou le déploiement. Les vérifications de listes de blocage publiques, les tests de messagerie, l'examen de la géolocalisation, le DNS passif, l'historique d'hébergement de logiciels malveillants, l'examen de l'historique des routes, la réputation de l'ASN et du fournisseur amont, les schémas antérieurs de DNS inverse, les catégories d'hébergement connues, l'examen des tickets d'abus lorsque disponible, et les tests spécifiques aux clients pour les paiements ou les services réglementés ont tous un rôle. Le résultat ne devrait pas être une étiquette binaire propre ou sale. Il devrait classer l'utilisation prévue: adaptée maintenant, adaptée après réchauffement, adaptée uniquement pour les charges de travail non sensibles, inadaptée sans remédiation ou inacceptable pour l'objectif de l'acheteur.

Le deuxième élément est la divulgation. Les vendeurs et les loueurs devraient divulguer les problèmes de réputation connus, les clients antérieurs à haut risque, les plaintes non résolues, les efforts de retrait de liste, les conflits de géolocalisation, les avis des forces de l'ordre, les associations de botnet et les périodes d'hébergement suspect. Ils ne devraient pas être censés connaître chaque jugement privé dans le monde. Mais ils ne devraient pas commercialiser un bloc comme propre tout en cachant des défauts connus. Les acheteurs devraient divulguer l'utilisation prévue parce que l'adéquation de la réputation dépend de la charge de travail.

Le troisième élément est les preuves de remédiation. Si un bloc a un historique, le marché devrait demander ce qui a changé. Le mauvais client a-t-il été retiré? L'origine de la route a-t-elle changé? Les enregistrements de DNS inverse ont-ils été corrigés? L'envoi de courrier a-t-il cessé et repris sous des volumes contrôlés? Les contacts d'abus ont-ils été mis à jour? Le titulaire a-t-il mis en place une vérification des clients? Les listes pertinentes ont-elles retiré le bloc? Un trafic propre a-t-il été observé pendant une période significative? Les plages voisines sont-elles encore sales? La remédiation est une histoire racontée avec des dates, des enregistrements et des comportements.

Le quatrième élément est l'allocation commerciale du risque. Les parties devraient savoir qui gère les défauts de réputation hérités, qui dirige le retrait des listes, quand l'espace de remplacement est opérationnellement nécessaire, quels tests importent pour l'utilisation déclarée, comment la nouvelle contamination est documentée et comment la migration des clients sera gérée si les systèmes privés refusent de libérer la plage. Ces arrangements devraient être liés à des preuves, pas à des revendications vagues sur une mauvaise réputation. Un langage vague de réputation devient un litige. Des preuves de réputation testables deviennent un prix.

Le cinquième élément est la segmentation. Les fournisseurs devraient maintenir des classes de confiance internes pour l'inventaire d'adresses. Une plage utilisée pour l'hébergement à haut risque ne devrait pas être revendue avec désinvolture comme un bloc propre pour les services financiers. Un bloc avec un historique de messagerie réussi devrait être protégé des clients susceptibles de l'endommager. Une plage revenant d'une utilisation temporaire devrait revenir avec un dossier montrant le routage, le DNS inverse, les événements d'abus, les catégories de clients et le statut de retrait de liste. La segmentation convertit la réputation du folklore en gestion d'inventaire.

Le sixième élément est le soutien du registre sans extension excessive du registre. L'AFRINIC peut aider en rendant précis la reconnaissance actuelle, l'historique, les contacts, les informations de rôle, l'autorité du DNS inverse, le statut des litiges et les changements autorisés. Elle peut préserver les transitions d'enregistrement historiques afin qu'un nouvel opérateur puisse prouver quand le contrôle a changé. Elle peut encourager les titulaires à maintenir des dossiers de responsabilité en aval. Elle peut traiter les mises à jour légitimes de manière prévisible afin que les systèmes externes voient des faits cohérents. Elle ne devrait pas promettre de certifier qu'un bloc est réputationnellement propre. Ce serait une fausse assurance.

Le septième élément est l'humilité du marché. Les systèmes de réputation peuvent être périmés ou injustes. Les titulaires peuvent être évasifs. Les clients peuvent être innocents. Les mauvais acteurs peuvent exploiter de nouvelles plages. Les registres peuvent étendre leur pouvoir de manière excessive. Aucune institution unique ne voit l'image entière. La réponse n'est pas la foi dans le registre, la foi dans les listes de blocage, la foi dans les courtiers ou la foi dans les acheteurs. La réponse est des preuves étroites, datées, contestables et liées à l'utilisation prévue.

Dans un tel marché, l'IPv4 administré par l'AFRINIC ne deviendrait pas exempt de risque de réputation. Aucun marché d'adresses rares ne peut promettre cela. Mais le risque serait plus précisément alloué. Les blocs propres commanderaient des prix plus propres. Les blocs contaminés porteraient des décotes adaptées à l'utilisation. Les successeurs innocents auraient un chemin pour prouver le changement. Les clients à haut risque paieraient pour les dommages qu'ils peuvent causer. Les acheteurs du secteur public et réglementés sauraient quelles questions poser. Le registre resterait la couche des enregistrements, pas le tribunal de la réputation.

C'est l'économie de la contamination de la réputation des adresses. La rareté de l'IPv4 a transformé l'historique des adresses en historique de capital. Un préfixe porte maintenant une mémoire dans des systèmes qui sont en dehors du registre et souvent en dehors de la vue du titulaire. L'AFRINIC importe parce que sa rareté, son historique d'intégrité des enregistrements et le stress de sa gouvernance rendent le coût de cette mémoire visible. Le bloc peut router. Le marché pose une question plus froide: qui s'en souvient, qui croit la mémoire, qui peut la changer, et qui paie pendant que tout le monde attend?