Résumé

  • La crise de l'AFRINIC rend la question institutionnelle suivante incontournable: si le pouvoir discrétionnaire du registre doit être restreint ou déplacé, la transition doit protéger les enregistrements de ressources, les services actifs et les utilisateurs avant de déterminer qui gouverne.
  • La répétition utile ne commence pas par un titre à scandale.

La question du lendemain est de savoir si le registre peut être contourné sans casser le réseau

La répétition utile ne commence pas par un titre à scandale. Elle commence par un opérateur assis devant une carte des dépendances et posant une question plus brutale: si un bureau de registre régional ne pouvait plus être digne de confiance demain matin, l'internet saurait-il quoi faire? Non pas si les avocats pourraient expliquer le dernier combat. Non pas si une déclaration publique pourrait défendre l'ancien modèle une semaine de plus. Non pas si l'institution en place pourrait encore invoquer le langage de la communauté, de l'unicité et de la stabilité. La question est opérationnelle. Les enregistrements de ressources continueraient-ils à avoir la même signification? RDAP et Whois continueraient-ils à répondre? Les délégations DNS inverses continueraient-elles à se résoudre? Les services RPKI et de certification des ressources éviteraient-ils une perturbation soudaine? Les enregistrements ASN et les fichiers de transfert resteraient-ils utilisables? Les litiges seraient-ils contenus plutôt que de pouvoir empoisonner le service courant?

L'AFRINIC rend cette répétition incontournable car elle combine une petite entité juridique, une empreinte de service continentale, une valeur IPv4 rare, une réparation de gouvernance supervisée par les tribunaux, des élections contestées, une dépendance des membres et des services techniques actifs. La documentation officielle de l'AFRINIC présente un registre avec une large pile de services: ressources de numérotation Internet, Whois, RDAP, DNS inverse, support lié à DNSSEC, fonctions de registre de routage Internet, certification des ressources et services aux membres. Sa documentation de politique décrit l'épuisement IPv4, les règles d'allocation et d'assignation, les transferts intra-régionaux, l'enregistrement ASN, la publication des contacts abus et la délégation inverse. Ce n'est pas simplement une salle de conseil. C'est une couche de règlement utilisée par les réseaux qui acheminent le trafic, vendent de la connectivité, louent ou transfèrent des adresses, satisfont les auditeurs, maintiennent les contrats clients et répondent aux plaintes de sécurité.

L'erreur est de traiter une transition au-delà du pouvoir discrétionnaire d'un RIR comme un synonyme de destruction institutionnelle. Un registre peut devenir trop contesté, trop discrétionnaire ou trop fragile pour rester le seul gardien sans rendre ses enregistrements sans valeur. En effet, tout l'argument économique en faveur d'une architecture de transition est que les enregistrements ont plus de valeur que le bureau qui les maintient à un moment donné. Le grand livre du registre est un actif de continuité. Le gardien est un arrangement institutionnel autour de lui. Si l'arrangement échoue, le grand livre ne devrait pas échouer avec lui.

Cette distinction est importante car les ressources de numérotation sont des actifs inhabituels. Elles ne sont pas une propriété au sens immobilier ordinaire, et les textes de politique officiels résistent souvent au langage de la propriété. Mais elles ne sont pas non plus de simples commodités administratives. Un préfixe IPv4 reconnu peut figurer dans les prévisions de revenus, les dossiers de prêt, la planification des centres de données, les listes blanches des clients, les règles de pare-feu, les sessions de peering, la réputation de livraison de courrier, les systèmes de géolocalisation, les journaux d'accès légaux et les budgets de renumérotation. Un ASN peut faire partie de l'identité publique d'un réseau. Une délégation DNS inverse peut affecter la livraison ou le filtrage du courrier. Les enregistrements RPKI peuvent influencer l'acceptation des routes par les parties qui valident l'autorisation d'origine. La dépendance du détenteur est économique même lorsque la forme juridique reste contractuelle ou basée sur des politiques.

La répétition a donc besoin d'une grammaire différente de la punition. Elle devrait demander comment préserver l'unicité, la continuité, la dépendance et l'historique des preuves si le registre en place ne peut pas exercer en toute sécurité un large pouvoir discrétionnaire. Elle ne devrait pas demander comment humilier le titulaire, effacer la mémoire du personnel ou improviser un remplacement héroïque en pleine procédure judiciaire. Une transition sérieuse part du principe que les réseaux actifs ne sont pas des monnaies d'échange. Le réseau n'a pas consenti à devenir l'otage de la santé d'une seule société de membres, d'un processus de mise sous séquestre, d'un différend électoral ou d'une prêtrise politique.

Le dossier public de l'AFRINIC fournit l'avertissement. La mise sous séquestre a été présentée comme un moyen de préserver les opérations et d'organiser la réparation de la gouvernance. Des rapports ultérieurs ont décrit des élections au conseil d'administration, des controverses sur les votes par procuration, une annulation, une préoccupation de l'ICANN, une demande de dissolution, des litiges sur les droits des membres et des demandes de recouvrement ultérieures. La leçon est que la couche de registre peut entrer dans un état prolongé où le service continue, l'autorité légale est contestée, les membres ne sont pas d'accord sur qui peut agir, et les tiers dépendent encore des données. C'est la condition qu'une architecture de transition doit survivre.

La réponse du lendemain ne peut pas être un discours sur la tradition multipartite. Elle doit être un plan de migration de qualité ingénierie, soutenu par une cartographie juridique et des incitations économiques. Elle doit dire quelles données font autorité, qui peut les vérifier, quels services continuent de fonctionner, quelles décisions sont gelées, lesquelles peuvent se poursuivre, comment les litiges sont mis en quarantaine, comment les pistes d'audit sont préservées et comment une autorité temporaire n'obtient que le pouvoir suffisant pour maintenir le système en vie.

La transition n'est pas une punition; c'est le prix de la préservation de la confiance

La première règle de l'architecture de transition est que la continuité et la sanction doivent être séparées. Un registre peut mériter des critiques, une discipline, le remplacement de la direction, un examen externe, une mise sous séquestre, une restructuration ou même une substitution éventuelle. Aucun de ces remèdes ne devrait être autorisé à corrompre l'historique d'enregistrement sur lequel les réseaux s'appuient. Si une banque fait faillite, les enregistrements de paiement ne deviennent pas des preuves jetables de l'échec institutionnel. Si une autorité portuaire fait l'objet d'une enquête, les manifestes de navigation ne sont pas détruits négligemment. Si un bureau de registre foncier est réorganisé, l'historique des titres ne doit pas être traité comme un trophée des réformateurs. La gouvernance des ressources de numérotation a besoin de la même discipline.

L'économie est simple. Le détenteur d'un préfixe ou d'un ASN s'appuie sur une chaîne d'entrées reconnues, de dépendances de service et de signaux publics. La valeur de cette confiance ne se limite pas aux frais de registre immédiats. Elle inclut la renumérotation évitée, la continuité des clients, la certitude des transactions, la capacité d'emprunt, l'éligibilité aux achats, le traitement des abus, la réputation de routage et l'optionnalité future. Une transition qui endommage cette confiance peut punir la mauvaise partie. Les initiés du registre en place peuvent être responsables de mauvaises décisions, mais le coût d'une transition brisée retombe sur les opérateurs, les clients, les créanciers, les contreparties et les services publics qui n'avaient aucun contrôle réaliste sur la gouvernance du registre.

C'est pourquoi une transition au-delà du pouvoir discrétionnaire du RIR doit être étroite avant d'être audacieuse. Elle devrait commencer par définir quelles fonctions du registre sont essentielles, lesquelles sont politiques ou discrétionnaires, et lesquelles peuvent être temporairement suspendues sans nuire au réseau. Les fonctions essentielles incluent la préservation du grand livre d'enregistrement, les services de requête, la continuité du DNS inverse, la continuité RPKI lorsque les certificats sont utilisés, la maintenance des enregistrements ASN, les mises à jour validées des contacts, le règlement des transferts en l'absence de litige actif, la publication des contacts abus et le support pour les corrections opérationnelles urgentes. Les fonctions politiques ou discrétionnaires incluent les vastes campagnes de politique, les réaffectations contestées, les mesures d'exécution agressives, la messagerie institutionnelle et toute décision dont l'effet principal est d'étendre le pouvoir du gardien lorsque l'autorité est remise en question.

La punition tend à brouiller ces catégories. Elle imagine que désactiver l'institution disciplinera l'institution. Mais lorsque l'institution est également une dépendance de service, la désactiver peut discipliner les utilisateurs à la place. Plus IPv4 devient précieux, plus cette distinction compte. Les adresses rares sont devenues une infrastructure économique. Elles peuvent être valorisées, prêtées, louées, transférées, assurées, réservées pour la croissance des clients ou intégrées dans la planification de la continuité des activités. Si une transition rend ces positions incertaines, elle impose une taxe cachée à chaque détenteur de la région, y compris les petits réseaux qui ont le moins de capacité à se diversifier face à une perturbation du registre.

L'environnement politique de l'AFRINIC rend le problème visible. La région est dans la phase 2 de l'épuisement IPv4, avec de petites tailles d'allocation et d'assignation, des contrôles d'utilisation et une offre future limitée. Son manuel de politique exige l'enregistrement des allocations, des assignations et d'autres entrées de ressources dans la base de données de l'AFRINIC, traite les données d'enregistrement correctes comme nécessaires pour les opérations réseau, et lie la délégation inverse aux assignations ou sous-allocations enregistrées. La couche d'enregistrement n'est pas décorative; elle a rationné l'offre rare, soutient les transferts, délègue le DNS inverse et rend l'identité opérationnelle lisible.

Une architecture de transition a donc besoin d'un principe de non-représailles pour les enregistrements. Aucun détenteur ne devrait perdre la reconnaissance opérationnelle simplement parce que le bureau du registre est devenu contesté. Aucun service courant ne devrait s'arrêter simplement parce que le litige est devenu intense. Aucun transfert qui satisfait les conditions objectives ne devrait être transformé en otage politique. Aucun sous-traitant de service ou syndic d'urgence ne devrait être autorisé à traiter l'autorité temporaire comme un mandat pour repenser la politique. Le but n'est pas de protéger les détenteurs d'un examen légitime. C'est de s'assurer que l'examen légitime se déroule dans un canal conçu pour l'examen, et non par un effondrement accidentel du service.

Cette discipline protège également la transition elle-même. Un effort de remplacement qui commence par créer le chaos confirmera chaque argument du titulaire pour garder l'ancien gardien. Un effort de remplacement qui préserve le service, publie les preuves, respecte les litiges limités et réduit le pouvoir discrétionnaire peut changer le marché institutionnel sans demander au monde de parier sur la rupture. L'alternative crédible à la discrétion du RIR est une architecture de continuité qui rend le titulaire moins irremplaçable parce que le grand livre, les services et les détenteurs sont plus résilients.

Quatre couches doivent être séparées avant que l'ancien bureau ne devienne moins indispensable

Le modèle actuel du RIR regroupe plusieurs fonctions dans un seul emballage institutionnel. Cet emballage semble efficace en temps normal et dangereux en temps contesté. Le bureau conserve les données, exécute les services, interprète la politique, traite les transferts, communique avec les membres, convoque les forums de politique, gère les litiges, répond aux tribunaux, parle aux organismes de coordination mondiaux et se présente comme la voix de la continuité régionale. L'architecture de transition commence par décomposer cet emballage en quatre couches: données, service, autorité et litige.

La couche de données est le grand livre et son historique. Elle comprend les préfixes, les ASN, l'identité du détenteur, les enregistrements de contact, l'état des allocations et des assignations, les délégations DNS inverses, les historiques de transfert, les signaux de statut de membre pertinents pour le service, les journaux d'audit, les horodatages, les clés de signature le cas échéant, et la chaîne de changements qui explique comment un enregistrement a atteint son état actuel. La couche de données doit être complète, exportable, signée, vérifiable et reproductible. C'est la partie du système qui devrait être la moins vulnérable à la personnalité, à la rhétorique et à l'humeur institutionnelle.

La couche de service est ce que les utilisateurs touchent. Elle comprend les services de requête Whois et RDAP, les opérations DNS inverses, RPKI et la certification des ressources le cas échéant, les portails de registre, le traitement des transferts, la billetterie, le support aux membres, la publication des contacts abus et les corrections ordinaires des enregistrements. Ces services peuvent être exploités par le titulaire, un sous-traitant, un syndic, un opérateur temporaire ou un successeur, à condition que l'opérateur soit contraint par la couche de données et par des règles de service étroites. La couche de service devrait être remplaçable sans modifier les droits ou les positions de confiance représentés dans les données.

La couche d'autorité décide qui peut modifier les enregistrements, selon quelle règle, avec quelles preuves et avec quel examen. C'est la couche la plus dangereuse car elle convertit l'accès administratif en pouvoir économique. Une partie qui peut changer le détenteur reconnu d'un préfixe peut affecter la valeur de transaction. Une partie qui peut refuser ou retarder un transfert peut altérer la liquidité. Une partie qui peut suspendre le service peut changer les positions de négociation. Une architecture de transition doit donc garder l'autorité mince, documentée et fondée sur des règles. L'autorité d'urgence ne devrait autoriser que ce qui est nécessaire pour la continuité, la prévention de la fraude et la maintenance non contestée.

La couche de litige traite les réclamations, les corrections, les appels, les litiges, la responsabilité et les droits contestés. Elle doit être isolée du service courant. Un bloc contesté devrait être marqué, protégé et traité par un processus défini. Il ne devrait pas entraîner le gel d'enregistrements non liés. Un litige sur le statut d'un détenteur ne devrait pas arrêter RDAP pour la région. Un dépôt de dossier judiciaire ne devrait pas désactiver le service DNS inverse pour les réseaux qui ne sont pas parties. Une contestation de transfert ne devrait pas devenir une licence pour une improvisation politique générale. L'isolement est la différence entre l'arbitrage et la contagion.

Ces quatre couches ne sont pas des abstractions. Elles répondent à des modes de défaillance concrets. Si le conseil d'administration d'un registre est absent, la couche de données devrait rester lisible et vérifiable. Si le bureau perd du personnel, la couche de service devrait être exploitée selon un plan de substitution. Si la direction est contestée, la couche d'autorité devrait se rétrécir plutôt que de s'étendre. Si un litige éclate, la couche de litige devrait préserver les preuves et empêcher les réclamations contestées de se répandre dans le service ordinaire. Si une demande de dissolution ou un événement de mise sous séquestre survient, la passation juridique devrait savoir quelle couche est protégée et quelle couche est examinée.

La séparation des couches clarifie également ce qu'une architecture au-delà du RIR n'est pas. Il ne s'agit pas d'un nouveau bureau mondial unique avec un logo différent. Cela ne ferait que déplacer le goulot d'étranglement. Il ne s'agit pas d'un fantasme romantique pair-à-pair où chacun déclare son propre historique d'adresses et espère que le marché réglera le problème. L'unicité et la confiance exigent toujours des faits communs. Il ne s'agit pas non plus d'un coup d'État des grands détenteurs. Une conception crédible doit protéger les petits réseaux, les utilisateurs du secteur public et les nouveaux entrants, pas seulement les parties assez riches pour plaider.

Le meilleur modèle est une coordination légère autour de faits vérifiables. La couche commune ne devrait contenir que les invariants nécessaires à l'unicité, la continuité des enregistrements, la sécurité et la compatibilité. Les préférences politiques futures, les arrangements commerciaux et les conseils régionaux devraient se situer en dehors de cette couche commune, sauf s'ils sont vraiment nécessaires pour préserver ces invariants. La séparation en quatre couches est la version institutionnelle de ce principe technique. Elle garde les faits portables, les services substituables, l'autorité étroite et les litiges contenus.

Les données séquestrées du grand livre sont une assurance économique, pas un dossier de sauvegarde

Toute conception de transition sérieuse commence par des données de registre séquestrées. Pourtant, le mot séquestre sous-estime le point s'il est compris comme une sauvegarde périmée conservée pour la reprise après sinistre. Pour les ressources de numérotation, les données séquestrées du grand livre sont une assurance économique. Elles réduisent la valeur de monopole du bureau en place en garantissant que les faits nécessaires à la continuité peuvent être vérifiés en dehors du bureau avant une crise. Elles réduissent également la valeur de panique des rumeurs, car les membres, les tribunaux, les opérateurs d'urgence et les organismes de coordination peuvent distinguer un combat institutionnel d'une défaillance des données.

L'ensemble minimal de données doit être plus qu'un instantané actuel. Un instantané actuel indique qui semble détenir quoi aujourd'hui. Une transition nécessite un historique. Elle a besoin de la provenance des allocations et des assignations, des enregistrements de transfert, des changements d'état des ressources, de l'état des délégations DNS inverses, des enregistrements d'enregistrement ASN, des entrées de contact publiques, des références de contact abus, de l'état lié à RPKI le cas échéant, des pistes d'audit dérivées des tickets pour les changements importants, des indicateurs de statut de paiement lorsque la politique ou le contrat les rend opérationnellement pertinents, et des drapeaux pour les litiges actifs. Sans historique, un opérateur de remplacement peut répondre aux requêtes mais ne peut pas expliquer pourquoi la réponse est fiable. Sans drapeaux de litige, il peut soit traiter trop, soit geler trop. Sans signature et horodatage, chaque instantané devient une question de confiance.

Le séquestre nécessite également une vérification cryptographique. Une exportation régulière devrait être hachée, signée et attestée par des parties dont les incitations ne sont pas identiques. L'ensemble des témoins ne doit pas devenir un nouveau dirigeant. Il peut s'agir d'un mécanisme d'assurance étroit: auditeurs, tribunaux, syndics d'urgence, représentants des membres, vérificateurs techniques ou autres rôles limités. L'objectif est de rendre la falsification coûteuse et détectable. Si le bureau du registre prétend plus tard qu'un enregistrement controversé a changé, la question ne devrait pas être de savoir quel communiqué de presse semble plus autoritaire. La question devrait être de savoir quel historique signé prouve le changement, quelle règle l'a autorisé et quel canal de révision peut l'examiner.

Les limites de confidentialité sont importantes. Les données du registre contiennent des coordonnées, des notes opérationnelles, des documents d'entreprise et un historique de support qui peuvent être sensibles. Le séquestre ne peut pas signifier le déversement de fichiers privés des membres dans le domaine public. Il doit séparer les enregistrements publics, les documents confidentiels des membres, les enregistrements sensibles en matière de sécurité et les preuves protégées par les litiges. Le public devrait pouvoir vérifier suffisamment pour savoir que l'unicité et la continuité du service sont protégées. Les membres devraient pouvoir vérifier leurs propres avoirs et historiques importants. Les tribunaux et les examinateurs dûment autorisés devraient pouvoir inspecter les enregistrements plus profonds dans des conditions contrôlées. Une architecture de transition qui ignore la confidentialité sera résistée pour de bonnes raisons.

L'accès des membres est la fonction d'assurance négligée. Un détenteur de ressources devrait pouvoir obtenir une déclaration portable et signée de ses ressources reconnues, de son statut, des délégations de service pertinentes et de l'historique des changements importants. Cette déclaration ne doit pas remplacer le grand livre du registre, mais elle devrait donner au détenteur une preuve si le registre échoue, conteste son statut ou refuse un service ordinaire. Sur les marchés de capitaux, les prêteurs demandent des documents parce que la confiance a besoin de preuves. Sur les marchés d'adresses, les détenteurs ont également besoin de preuves. Un membre qui peut prouver sa position est moins captif d'un bureau défaillant.

L'utilisabilité par les tribunaux est tout aussi importante. L'expérience de l'AFRINIC montre que les tribunaux peuvent devenir le lieu de préservation des opérations, d'organisation des élections, de test des droits des membres ou d'audition des demandes de dissolution. Les juges ne devraient pas être forcés de reconstruire le registre à partir de récits de plaidoyer. Ils ont besoin de données structurées, d'instantanés vérifiés, de cartes de service claires et de calendriers de litiges. Une ordonnance judiciaire ne peut protéger la continuité que si le tribunal peut voir en quoi consiste la continuité. Les données séquestrées transforment le grand livre d'un artefact technique mystérieux en preuve utilisable.

Enfin, le séquestre modifie les incitations avant même d'être utilisé. Les registres en place résistent à la transition en partie parce qu'ils savent que leur contrôle des données rend la substitution dangereuse. Les institutions homologues craignent un précédent car elles s'inquiètent qu'une substitution rende chaque registre moins sûr politiquement. Les gouvernements peuvent hésiter car ils ne voient pas de chemin entre la déférence et la prise de contrôle nationale. Les membres peuvent rester passifs car la sortie semble impossible. Le séquestre vérifié abaisse les enjeux de l'imagination. Il montre que le réseau peut survivre à un changement institutionnel parce que les faits ne sont plus piégés à l'intérieur de l'institution.

La substitution de service devrait maintenir les lumières allumées sans créer un nouveau trône

Une fois les données vérifiables, la substitution de service devient possible. Cela ne signifie pas qu'un opérateur d'urgence devrait acquérir la pleine discrétion du registre en place. Le substitut de service devrait être un service public étroit. Son travail est de maintenir les fonctions essentielles en marche pendant que l'autorité est réparée, déplacée ou reconstruite. Il répond aux requêtes, maintient les délégations, traite les mises à jour non contestées, préserve RPKI et la continuité de la certification le cas échéant, soutient les demandes urgentes des membres, met en œuvre les instructions du tribunal ou du syndic qui satisfont aux normes définies, et enregistre tout. Il ne réécrit pas la politique régionale, ne règle pas les arguments politiques et ne convertit pas un accès temporaire en pouvoir institutionnel permanent.

L'analogie est plus proche d'un processeur de paiement d'urgence que d'une nouvelle banque centrale. Un processeur peut maintenir les paiements en mouvement selon des règles. Il ne devrait pas décider de la politique monétaire. Un opérateur de registre temporaire peut maintenir RDAP, Whois, le DNS inverse, les enregistrements ASN, la continuité RPKI et le support des transferts en vie dans des conditions étroites. Il ne devrait pas décider de la future constitution de la gouvernance des ressources de numérotation. Plus le substitut de service est contraint, plus il devient acceptable pour les membres, les tribunaux, les gouvernements et les contreparties techniques.

La carte de service de l'AFRINIC montre pourquoi la substitution ne peut pas être improvisée. La politique de DNS inverse lie les délégations aux assignations ou sous-allocations enregistrées. Les enregistrements ASN nécessitent un enregistrement public et une maintenance des contacts. La politique de transfert exige un détenteur source reconnu, un destinataire qui justifie le besoin, des conditions d'adhésion et l'absence de litige actif sur les ressources concernées. Les règles d'épuisement nécessitent la gestion des tickets, les contrôles de complétude, les tests d'utilisation et la gestion d'un pool rare. Les services liés à RPKI peuvent avoir des implications opérationnelles directes pour les réseaux qui s'appuient sur la validation d'origine de route. Ces tâches nécessitent des systèmes testés, du personnel opérationnel, des contrôles d'accès, une gestion des clés, des fenêtres de changement, des communications aux membres et des procédures de retour en arrière.

La substitution de service d'urgence doit donc être répétée avant l'urgence. Le manuel devrait identifier quels systèmes peuvent être mis en miroir, quelles clés nécessitent une planification de garde, quelles interfaces les membres ont besoin, quelles cibles de niveau de service s'appliquent, quelles mises à jour sont autorisées, quelles mises à jour doivent être suspendues, quels litiges créent des blocages et quels enregistrements déclenchent un examen obligatoire. Il devrait également définir comment les membres sont informés de ce qui a changé. Le silence est dangereux car il crée des marchés de rumeurs. Les déclarations trop larges sont dangereuses car elles impliquent des pouvoirs que le substitut ne détient pas. Le message devrait être ennuyeux: les enregistrements restent reconnus, les services continuent, les changements contestés sont isolés, les actions importantes sont enregistrées et le substitut n'a pas de large autorité politique.

Qui pourrait jouer ce rôle? Plusieurs modèles sont possibles. Un sous-traitant technique pourrait exploiter les systèmes sous la supervision d'un syndic. Un administrateur nommé par le tribunal pourrait contracter le travail opérationnel tout en conservant la garde juridique. Une société de services neutre pourrait fournir les opérations de requête, de DNS et de certificat selon un calendrier strict de contrôle des changements. Un registre successeur pourrait assumer le service sans hériter de tous les litiges non résolus. Un syndic de protection des membres pourrait détenir le séquestre des données et autoriser la maintenance de routine. Le choix est moins important que la contrainte. Le substitut doit être assez puissant pour empêcher l'effondrement du service et trop faible pour devenir un nouveau gardien discrétionnaire.

Le problème de conception le plus difficile est RPKI et l'état de sécurité connexe. Les services de certification d'un registre sont précieux car ils relient les enregistrements de ressources aux assertions cryptographiques. Mais cette valeur rend également les changements soudains dangereux. Une couche de service substitutive devrait préserver l'état valide existant, maintenir les chemins d'expiration et de renouvellement, soutenir la continuité des clés d'urgence et éviter la révocation discrétionnaire sauf dans des conditions prédéfinies. Si un service de sécurité devient une arme pendant la transition, le remède devient pire que la maladie.

La substitution de service n'est crédible que si elle est réversible. Si le titulaire se répare lui-même, le service peut revenir dans des conditions vérifiées. Si un successeur est créé, le service peut migrer à nouveau. Si un détenteur porte ses actifs vers un autre arrangement de service reconnu, ses preuves peuvent se déplacer avec lui. La réversibilité discipline tout le monde. Elle dit aux titulaires que la continuité ne dépend pas d'eux pour toujours. Elle dit aux substituts qu'ils ne sont pas souverains. Elle dit aux détenteurs que la transition n'est pas un piège.

La portabilité fait de la sortie un slogan en une contrainte de gouvernance

La portabilité est souvent discutée comme un droit. Dans l'économie de la transition, c'est aussi un signal de prix. Si un détenteur de ressources peut déplacer la reconnaissance et le service vers un autre arrangement compétent lorsque le registre en place ne répond pas aux conditions objectives, la discrétion du titulaire devient moins précieuse. Si le détenteur ne peut pas bouger, le registre peut être médiocre, fragile ou politisé tandis que les membres restent captifs. La sortie est la différence entre la responsabilité par structure et la responsabilité par espoir.

La portabilité ne peut pas être illimitée au sens décontracté. Un détenteur ne devrait pas pouvoir chercher un teneur de registre amical alors qu'un litige de droit non résolu est en cours. Un débiteur ne devrait pas utiliser la portabilité pour échapper à un gel légal. Un demandeur frauduleux ne devrait pas porter un préfixe en agitant un document falsifié devant un sous-traitant occupé. Une partie sanctionnée ou légalement restreinte peut soulever des problèmes qu'une architecture de transition ne peut pas ignorer. Mais ces limites ne sont pas des arguments contre la portabilité. Ce sont des arguments pour la concevoir avec soin.

Un test de portabilité réalisable a plusieurs conditions. La détention doit être vérifiée par le biais de données de registre signées et de preuves du détenteur. Les frais ou obligations de service doivent être à jour ou capables d'être mis sous séquestre neutre. Les litiges doivent être absents, limités ou clairement marqués afin que les parties non contestées puissent se déplacer tandis que les parties contestées restent protégées. La continuité opérationnelle doit être préservée: RDAP, Whois, DNS inverse, RPKI, enregistrements ASN et publication des contacts ne doivent pas se rompre pendant le déplacement. Le service d'accueil doit accepter les devoirs étroits associés à l'enregistrement sans acquérir le pouvoir de réexaminer tout l'historique du détenteur en l'absence de motif défini. L'ancien service doit perdre la capacité de retenir le détenteur en otage une fois les conditions de portabilité remplies.

L'environnement de rareté de l'AFRINIC renforce l'argument. Dans la phase 2, l'IPv4 disponible est rationné en petits blocs et les demandes supplémentaires nécessitent des preuves d'utilisation. Les transferts deviennent plus importants car la nouvelle offre est limitée. Si le seul registre capable de reconnaître un transfert régional devient trop lent, trop contesté ou trop discrétionnaire, la liquidité est altérée. Le résultat n'est pas seulement un inconvénient. Il modifie la valeur du bilan, le calendrier des fusions, l'offre de location, les coûts d'entrée pour les petits réseaux et le financement de la croissance du réseau. La portabilité n'est donc pas un luxe pour les détenteurs impatients. C'est un moyen d'empêcher un monopole de service défaillant d'imposer une décote de liquidité régionale.

La portabilité devrait être échelonnée. La première étape est la portabilité des preuves: chaque détenteur peut obtenir une preuve signée de ses ressources reconnues et de son historique important. La deuxième est la portabilité du service dans des conditions d'urgence: la continuité des requêtes, du DNS et des certificats peut se déplacer temporairement si le registre échoue aux tests de service. La troisième est la portabilité de l'autorité: les mises à jour de routine et les transferts non contestés peuvent être traités par un successeur ou un syndic selon des règles étroites. La dernière étape est la portabilité institutionnelle: la relation du détenteur peut se déplacer de manière permanente si l'ancien registre ne peut pas satisfaire aux exigences de continuité et de responsabilité. Chaque étape devrait être réversible si les faits changent.

Cette séquence rend la portabilité moins effrayante et plus crédible. Ce n'est pas une évasion soudaine. C'est une soupape de sécurité avec des déclencheurs définis. Elle dit aux registres que le bon service et la retenue sont moins chers que l'enfermement. Elle dit aux détenteurs que la sortie ne nécessite pas le chaos. Elle dit à la communauté technique que l'unicité peut survivre à la mobilité parce que la couche de données, et non le bureau en place, est l'ancre.

Les transferts ont besoin de rails de règlement plutôt que d'une discrétion héroïque

Le traitement des transferts est le point où la discrétion du registre devient le plus visiblement une infrastructure de marché. Un transfert n'est pas seulement une mise à jour administrative. C'est un événement de règlement. Un vendeur, un acheteur, un prêteur, un courtier, un bailleur, un auditeur, un conseiller fiscal, un planificateur de centre de données et une équipe client peuvent tous s'appuyer sur l'exécution du registre. Dans un marché IPv4 rare, un transfert retardé ou incertain modifie la valeur. Un transfert contesté peut geler le capital. Un transfert qui est ultérieurement remis en question peut contaminer les routes, les contrats et les comptes. L'architecture de transition a donc besoin de rails de règlement de transfert qui peuvent survivre à un registre défaillant ou contesté.

Le manuel de politique de l'AFRINIC fournit un point de départ utile car il traite les transferts IPv4 intra-régionaux comme conditionnels. La source doit être le détenteur actuel reconnu et ne pas être impliquée dans un litige concernant les ressources. Le destinataire doit justifier le besoin, devenir ou être membre de l'AFRINIC, accepter les politiques applicables et signer l'accord de services d'enregistrement. Les ressources héritées transférées perdent leur statut hérité. Que l'on soit d'accord avec chaque règle est moins important ici que la perspicacité du règlement: l'exécution du transfert dépend du statut de la source, de la qualification du destinataire, de l'état du litige, de la documentation et de la mise à jour du registre.

Dans un cadre de transition, ces éléments devraient être convertis en rails objectifs. La vérification de la source devrait être basée sur l'historique du grand livre signé et l'authentification du détenteur, non sur le confort inexpliqué d'un fonctionnaire discrétionnaire. Les vérifications du destinataire devraient être limitées aux règles qui protègent véritablement l'unicité, la résistance à la fraude et la continuité. L'examen basé sur le besoin, lorsqu'il est conservé, devrait avoir des normes de preuve, des délais et des voies d'appel. Les vérifications des litiges devraient identifier les ressources spécifiques en litige plutôt que de geler des avoirs non liés. Les problèmes de paiement et de frais devraient pouvoir être mis sous séquestre lorsqu'ils ne concernent pas la fraude ou le droit. Chaque étape importante devrait être enregistrée.

Les rails de règlement ont également besoin d'une structure de salle de clôture. Le registre ou le substitut devrait publier ce qui est requis avant la soumission, ce qui est vérifié après la soumission, quand l'enregistrement changera, ce qui se passe si une ordonnance judiciaire arrive en cours de processus, comment le retour en arrière fonctionne si une fraude est découverte, et comment les contreparties reçoivent la confirmation. Un marché de transfert sans mécanique de clôture prévisible intègre le risque de la discrétion du registre dans le prix. Ce risque devient une décote de liquidité. Dans les régions où la rareté des adresses pèse déjà sur les nouveaux entrants, une décote de liquidité évitable est une taxe cachée sur la croissance.

Les litiges ne devraient pas être utilisés comme des mots magiques. Si le statut d'un détenteur source est véritablement contesté, un blocage peut être nécessaire. Mais le blocage devrait être spécifique à la ressource, fondé sur des preuves, limité dans le temps ou périodiquement révisé. Un registre en difficulté institutionnelle a des incitations à élargir la définition de litige car le statut de litige justifie le contrôle. Une architecture de transition doit inverser cette incitation. La partie qui revendique le litige devrait porter un fardeau de preuve. La couche de service devrait maintenir les services non contestés. Le détenteur devrait avoir un chemin pour corriger les erreurs. Les tribunaux devraient recevoir un calendrier de litige structuré plutôt qu'un brouillard d'allégations.

Les transferts exposent également la relation entre la portabilité et la continuité régionale. Si un détenteur ne peut pas terminer un transfert parce que le registre est devenu dysfonctionnel, mais que les conditions de transfert sont autrement satisfaites, un substitut neutre devrait-il exécuter la mise à jour? La réponse devrait être oui dans un cadre échelonné. Un transfert vérifié ne devrait pas attendre indéfiniment le retour à la normale institutionnelle. Mais l'autorité du substitut devrait provenir des rails de règlement, non d'une revendication large de gouverner la région. Il devrait exécuter la transition valide, préserver les preuves et laisser la politique plus large au forum futur approprié.

Les grands détenteurs et les courtiers essaieront de façonner ces rails à leur avantage. Ils préfèrent la vitesse, la liquidité et une friction minimale. Les petits réseaux ont besoin de protection contre la fraude, la pression soudaine sur les prix et le fait d'être surenchéris pour des ressources rares. Les gouvernements se soucient de la connectivité nationale et de la surveillance légale. Les titulaires se soucient de conserver leur discrétion. La conception ne devrait pas prétendre que ces incitations disparaissent. Elle devrait les rendre moins dangereuses en déplaçant l'exécution des transferts de la personnalité à la règle, du retard caché aux délais, et du contrôle du bureau au règlement vérifiable.

Le dernier point est la vérifiabilité. Chaque transfert de transition devrait pouvoir être audité par le détenteur, le destinataire, un examinateur et, si nécessaire, un tribunal. La piste d'audit devrait montrer l'enregistrement avant le transfert, l'autorité pour le changement, les preuves reçues, la vérification du litige, le statut des frais, les changements de service, l'heure de la mise à jour et toute conséquence de certification ou de DNS inverse. Si la nouvelle architecture ne peut pas prouver pourquoi un transfert a eu lieu, elle ne sera pas digne de confiance. Si elle peut prouver le transfert sans demander aux étrangers de faire confiance à un bureau, elle aura réduit le pouvoir du gardien.

L'autorité doit être suffisamment étroite pour que les utilisateurs n'aient pas à la vénérer

La couche d'autorité devrait être conçue avec suspicion, y compris la suspicion des réformateurs. Une crise de registre attire souvent des parties qui disent qu'elles ont besoin de larges pouvoirs pour réparer le désordre. Certaines en ont. La plupart n'en ont pas. La fonction de tenue des registres nécessite l'autorité pour authentifier les détenteurs, mettre à jour les enregistrements, empêcher la duplication, corriger les erreurs, traiter les transferts valides, maintenir les délégations et répondre aux ordres légaux. Elle ne nécessite pas un pouvoir politique permanent pour décider de chaque futur modèle d'affaires, de chaque préférence régionale ou de chaque revendication morale sur l'utilisation des adresses.

Le test pratique est de savoir si une décision préserve un invariant mondial ou exprime simplement une préférence institutionnelle. L'unicité est un invariant mondial. Un préfixe ne peut pas être attribué valablement à deux détenteurs non liés dans le même ensemble de compatibilité. L'authenticité de base est un invariant de sécurité. Une demande falsifiée ne devrait pas mettre à jour un enregistrement. La continuité des services de requête et de délégation est un invariant de confiance. Le réseau ne devrait pas perdre les services ordinaires parce que la gouvernance est en litige. En revanche, de nombreux choix autour de l'utilisation commerciale, de la location, de la géographie des clients, de la structure d'entreprise, du calendrier de déploiement ou des aspirations politiques ne sont pas des invariants dans le même sens. Ils peuvent avoir de l'importance pour une région, mais ils ne devraient pas être introduits clandestinement dans la couche d'autorité centrale à moins qu'ils ne soient vraiment nécessaires pour maintenir la cohérence du système.

Cette distinction répond à un échec récurrent dans la gouvernance des registres: un rôle technique mince s'étend en un large contrôle social parce que le même bureau détient la base de données, le vocabulaire politique et l'interrupteur de service. La réponse n'est pas de nier que des questions politiques existent. C'est d'empêcher que la préférence politique ne devienne un contrôle d'enregistrement non révisable. Si une région veut débattre des normes d'utilisation des adresses, elle peut le faire par des canaux consultatifs, contractuels ou législatifs. L'autorité d'urgence qui maintient le grand livre ne devrait pas être autorisée à militariser le service de routine pour gagner ces débats.

L'autorité étroite devrait avoir des entrées et des sorties définies. Les entrées comprennent les demandes signées des détenteurs, les changements de contact authentifiés, les dossiers de transfert, les ordonnances judiciaires, les rapports de fraude, le statut de paiement le cas échéant, les rapports d'incident opérationnel et les avis de litige vérifiés. Les sorties comprennent les mises à jour des enregistrements, les blocages, les délégations de service, les renouvellements de certification, les confirmations de transfert, les messages de statut public et les journaux d'audit. Pour chaque sortie, la règle devrait dire qui peut l'autoriser, quelles preuves sont requises, quel préavis est donné, à quelle vitesse cela se produit, quel examen est disponible et ce qui se passe si la décision est erronée.

Le chemin de révision ne devrait pas devenir l'événement principal. Un système qui s'appuie sur des appels pour chaque décision ordinaire a déjà rendu la discrétion trop grande. La meilleure conception est de rendre la plupart des décisions déterministes ou ministérielles, en laissant l'examen pour les cas exceptionnels. Si un détenteur a une preuve signée, des frais à jour et aucun litige actif, une mise à jour de contact ne devrait pas nécessiter de philosophie institutionnelle. Si une délégation DNS inverse satisfait aux tests techniques et repose sur des ressources enregistrées, elle ne devrait pas être une faveur politique. Si un dossier de transfert respecte les rails de règlement, l'exécution ne devrait pas dépendre de l'appréciation par le titulaire des conséquences du marché.

L'autorité a également besoin de limites de rayon d'explosion. Pendant la transition, aucun fonctionnaire unique ne devrait pouvoir apporter des changements à haute conséquence sans double contrôle, journalisation et efficacité différée lorsque le délai est sûr. Les actions d'urgence devraient être possibles pour les incidents de sécurité, la prévention de la fraude ou la conformité légale, mais les actions d'urgence devraient expirer dans un examen plutôt que de devenir un précédent. Le personnel, les syndics et les sous-traitants devraient avoir un accès basé sur les rôles. Les clés devraient être contrôlées par une garde documentée. Les changements importants devraient être attestés. Ces contrôles semblent banals parce qu'ils le sont. Les contrôles banals sont la façon dont l'infrastructure échappe à la gouvernance charismatique.

Une architecture au-delà du RIR devrait donc être jugée non par l'absence d'autorité, mais par le fait que son autorité soit suffisamment petite pour être comprise, auditée et remplacée. Les utilisateurs ne devraient pas avoir besoin de croire en la vertu du bureau. Ils devraient pouvoir inspecter la règle, vérifier les preuves et prédire le résultat. C'est la différence économique entre un grand livre et un gardien. Un grand livre réduit l'incertitude parce qu'il est ennuyeux. Un gardien augmente l'incertitude parce que chaque interaction devient une négociation avec le pouvoir.

Les litiges doivent être mis en quarantaine pour qu'ils ne deviennent pas une panne régionale

Aucune architecture de transition ne peut éliminer les litiges. Les ressources rares créent des incitations à contester l'historique, à contester les signataires, à attaquer les transferts, à remettre en question le statut de membre, à alléguer la fraude, à invoquer des ordonnances judiciaires et à argumenter sur la politique. L'objectif de conception n'est pas un registre sans litige. C'est l'isolement des litiges. Le système devrait pouvoir dire qu'un préfixe, un transfert, un statut de détenteur ou un document électoral est contesté sans transformer toute la couche de service régionale en dommage collatéral.

L'histoire récente de l'AFRINIC montre pourquoi cela est important. Les rapports publics ont décrit une mise sous séquestre, des processus électoraux contestés, des irrégularités présumées dans les procurations, des interventions de l'ICANN, une demande de dissolution, des litiges sur les droits des membres en vertu du droit mauricien des sociétés et des arguments sur la question de savoir si les ressources de numérotation sont des actifs du registre. Chaque controverse a une signification juridique et institutionnelle. Mais l'internet a encore besoin de services de requête, d'opérations DNS inverses, de stabilité des enregistrements ASN et de support aux détenteurs pendant que ces controverses suivent leur cours. Un registre qui ne peut pas séparer le litige du service transforme chaque combat juridique en levier opérationnel.

Le modèle de quarantaine commence par la classification. Certains litiges concernent le droit à une ressource. Certains concernent qui peut parler au nom d'un détenteur. Certains concernent la validité d'un dossier de transfert. Certains concernent la gouvernance d'entreprise du registre. Certains concernent la légitimité de la politique. Certains concernent des factures ou la situation contractuelle. Certains concernent des allégations de fraude ou de fausse autorité. Les traiter tous de manière égale est une recette pour un surgel excessif. Un litige sur la procédure d'élection du conseil d'administration ne devrait pas automatiquement altérer la délégation DNS inverse d'un détenteur non lié. Une procuration contestée ne devrait pas devenir un argument général contre toute représentation des membres. Une procédure de dissolution devrait déclencher une planification de la continuité du service, pas une présomption que chaque enregistrement est suspect.

La quarantaine exige également un marquage spécifique à la ressource. Si un préfixe fait l'objet d'une réclamation crédible, marquez ce préfixe et gelez uniquement les changements qui pourraient porter préjudice à la réclamation. Continuez le service de requête publique de routine. Continuez les mises à jour de contact non liées lorsque cela est sûr. Continuez le service DNS inverse à moins que le litige ne concerne spécifiquement le contrôle de la délégation. Maintenez l'état de certification à moins qu'une condition de sécurité ou juridique prédéfinie n'exige un changement. Séparez les frais du droit lorsque cela est possible. Publiez suffisamment d'informations sur le statut pour que les contreparties comprennent le risque sans divulguer de preuves protégées.

La couche de litige devrait avoir ses propres règles de preuve. Une partie alléguant une fraude devrait présenter des documents spécifiques, des dates, des signataires et des ressources affectées. Une partie alléguant un défaut d'autorité devrait identifier le défaut d'autorité de l'entreprise. Une partie s'appuyant sur une ordonnance judiciaire devrait fournir l'ordonnance, la portée et les conséquences sur le service. Une partie demandant un blocage d'urgence devrait identifier le préjudice évité par le blocage. Une suspicion non étayée ne devrait pas suffire à geler la position opérationnelle d'un autre réseau. Mais des preuves crédibles devraient suffire à empêcher des changements irréversibles pendant l'examen.

Les appels et les litiges doivent être connectés mais pas fusionnés. Un registre ou un substitut peut fournir une correction interne et un examen pour les erreurs administratives. Les tribunaux peuvent décider des droits légaux lorsque leur compétence est engagée. L'architecture de transition devrait aider les deux en préservant les preuves et le service. Elle ne devrait pas prétendre que l'appel interne peut remplacer la loi. Elle ne devrait pas non plus permettre à chaque dépôt judiciaire de suspendre les opérations ordinaires au-delà de la portée de l'ordonnance. Le système doit apprendre à obéir précisément aux commandements légaux, et non théâtralement.

La responsabilité fait partie de la quarantaine. Si la couche de service suit une règle documentée et préserve les preuves, son exposition devrait être plus facile à évaluer. Si elle improvise, favorise une faction ou désactive des services non liés, son exposition augmente. Les membres ont également besoin de clarté. Un détenteur en litige devrait savoir ce qui est gelé, ce qui continue, quelles preuves sont nécessaires, combien de temps l'examen prendra et quels recours existent si le blocage était erroné. Les contreparties devraient savoir si elles peuvent se fier à l'enregistrement pour les opérations, le transfert ou le crédit. L'incertitude coûte cher. La quarantaine des litiges est un moyen de tarifer l'incertitude seulement là où elle appartient.

La tentation en cas de crise est de dire que tout est lié. Politiquement, cela peut sembler vrai. Institutionnellement, c'est fatal. Si tout est lié, chaque litige justifie un contrôle total. Une architecture de transition mature fait le contraire. Elle décompose le problème en réclamations limitées pour que le réseau puisse continuer autour d'elles. Ce n'est pas de l'indifférence à la loi. C'est le respect de la différence entre juger une réclamation et prendre des utilisateurs en otages.

La passation juridique doit être cartographiée avant que quiconque ne demande à un tribunal de l'improviser

La continuité technique ne peut pas dépasser indéfiniment la forme juridique. L'AFRINIC est constituée à Maurice. D'autres registres sont situés dans leurs propres systèmes juridiques nationaux. Les contrats, les statuts, les catégories de membres, les règles d'insolvabilité, les obligations de protection des données, les obligations d'emploi, les comptes bancaires, les baux, les assurances, les contrats de fournisseurs et les ordonnances judiciaires façonnent tous ce qui peut arriver en cas de crise. Une architecture de transition qui ignore ces réalités échouera lorsqu'elle aura le plus besoin d'autorité. La passation juridique doit être cartographiée avant la défaillance, pas inventée dans le couloir après une audience d'urgence.

La première carte est celle de l'entreprise. Qui contrôle légalement l'entité du registre? Qui peut donner des instructions au personnel? Qui peut accéder aux comptes bancaires? Qui peut lier l'entité à un contrat de service? Qui peut autoriser une exportation de données? Qui peut signer un accord de transfert? Qui représente le registre devant le tribunal? Que se passe-t-il s'il n'y a pas de conseil d'administration, de syndic, de liquidateur provisoire, d'administrateur fiduciaire ou d'administrateurs contestés? Les réponses varient selon la juridiction, mais les questions ne devraient pas attendre la crise. Dans le cas de l'AFRINIC, les rapports sur la mise sous séquestre et l'absence de conseil d'administration montrent à quelle vitesse la carte de l'entreprise peut devenir la carte opérationnelle.

La deuxième carte est contractuelle. Les membres peuvent avoir des accords de services d'enregistrement, des obligations de frais, des identifiants de portail, des engagements politiques et des attentes de service. Les fournisseurs peuvent fournir l'hébergement, la sécurité, le DNS, le courrier électronique, les logiciels, les audits, les systèmes de paiement ou les services de bureau. Les contrats de personnel peuvent contrôler qui peut exploiter les systèmes. Les polices d'assurance peuvent conditionner les actions d'urgence. Un opérateur de substitution doit savoir quels contrats peuvent être cédés, mis en miroir, suspendus ou remplacés. Il doit également savoir quelles obligations des membres sont essentielles à la continuité et lesquelles peuvent être différées sans risque.

La troisième carte est la protection des données. Les enregistrements du registre comprennent des données personnelles, des contacts d'entreprise, des contacts techniques, des contacts abus, des documents d'identité, des tickets de support et peut-être des détails opérationnels sensibles. Le séquestre transfrontalier et la substitution de service nécessitent des bases légales, des contrôles d'accès, des règles de conservation, des procédures de violation et des avis aux membres. La confidentialité n'est pas une excuse pour la captivité des données, mais la transition n'est pas non plus une excuse pour une divulgation incontrôlée. La conception devrait définir les enregistrements publics, les enregistrements accessibles aux détenteurs, les enregistrements accessibles aux examinateurs et les enregistrements accessibles aux tribunaux à l'avance.

La quatrième carte est l'utilisabilité par les tribunaux et l'autorité publique. Si un tribunal est invité à préserver le service, à nommer un syndic, à approuver une passation ou à envisager la dissolution du registre, il a besoin d'un calendrier de continuité couvrant les services essentiels, le séquestre des données, la garde des clés, les communications aux membres, le financement, les blocages de litiges, les files d'attente de transfert et les contraintes juridiques. Les gouvernements ont également besoin d'un rôle défini: recevoir un préavis, protéger les services nationaux critiques, soutenir le traitement légal des preuves, respecter l'unicité mondiale et éviter les enregistrements en double unilatéraux. L'objectif est de restaurer la responsabilité publique sans transformer la numérotation en une conquête géopolitique.

La cinquième carte est la légitimité du successeur. Si le titulaire ne peut pas continuer, qui peut recevoir le grand livre et les services? Un syndic, un sous-traitant sous la supervision du tribunal, une association élue par les détenteurs, une couche de service fédérée ou un organisme régional successeur peuvent chacun correspondre à une phase différente. Le service d'urgence peut se déplacer avant que la légitimité constitutionnelle ne soit reconstruite, à condition que l'autorité soit étroite. L'autorité permanente nécessite la protection des membres, la voix régionale, la vérification externe, des règles de conflit, une discipline de financement et des garanties contre la recréation du même gardien dans une nouvelle coquille.

La passation juridique n'est pas glamour. C'est aussi là que de nombreux rêves de transition meurent. Une conception qui ne peut pas répondre à qui peut légalement exporter les données, exploiter le service, maintenir les clés, facturer les membres, traiter les changements non contestés et obéir aux ordonnances judiciaires n'est pas une architecture de transition. C'est un manifeste. L'expérience de l'AFRINIC suggère que le monde pourrait ne pas avoir des mois de réflexion calme lorsque la prochaine défaillance de registre arrivera. La carte juridique doit exister avant que la question du lendemain ne soit posée.

La voix régionale peut survivre si la garde est séparée de la politique

L'un des arguments les plus faibles contre la transition est que la réduction du pouvoir discrétionnaire du registre effacerait la voix régionale. Elle effacerait une forme particulière de voix: la forme dans laquelle un bureau régional privé combine la garde des données, l'exploitation des services, la convocation politique et le contrôle discrétionnaire. Elle n'a pas besoin d'effacer l'expertise régionale, la représentation ou la contribution opérationnelle. En effet, la séparation de la garde et de la politique peut rendre la voix régionale plus crédible parce que les entités peuvent parler sans menacer le grand livre.

La connaissance régionale est importante. Les réseaux africains sont confrontés à des contraintes particulières: des coûts d'investissement variés, une exposition aux devises, une dépendance aux câbles sous-marins, une concentration des centres de données, une croissance mobile, une demande du secteur public, des IXP à différents stades de maturité, des charges de transition IPv6, une diversité linguistique, une capacité réglementaire inégale et une longue traîne de petits opérateurs. La documentation de la politique de l'AFRINIC sur l'atterrissage en douceur IPv4, les réservations IXP, la délégation inverse et les processus de membres reflète de véritables questions opérationnelles régionales. Une architecture au-delà du RIR ne devrait pas prétendre que ces questions disparaissent dans un tableur mondial.

La question est de savoir où cette connaissance régionale se situe. Si elle se situe à l'intérieur de la couche d'autorité en tant que veto non révisable sur la continuité des détenteurs, elle devient dangereuse. Si elle se situe dans les canaux consultatifs, politiques, de renforcement des capacités et de preuves, elle reste précieuse. Un forum régional peut recommander des priorités d'allocation pour l'offre rare restante. Il peut documenter les besoins opérationnels locaux. Il peut conseiller les gouvernements. Il peut coordonner la formation. Il peut publier des recherches sur les contacts abus, l'hygiène DNS, le déploiement RPKI ou la préparation IPv6. Il peut aider les petits réseaux à participer. Rien de tout cela n'exige que le forum soit le seul gardien du grand livre ou le seul chemin pour que les détenteurs vérifiés reçoivent un service.

Cette séparation protège également les petits réseaux. La rhétorique des titulaires prétend souvent que la transition ne sert que les grands détenteurs commerciaux. Ce risque est réel si la transition est conçue autour d'une sortie pure de marché. Mais une séparation garde-politique peut faire le contraire. Elle peut garantir aux petits détenteurs un dossier de preuves signées, un service de continuité à faible coût, des règles de litige claires, un support DNS inverse prévisible, une représentation des membres et une protection contre l'ignorance pendant la crise institutionnelle. La captivité n'est pas une protection. Un petit FAI piégé dans un registre défaillant a moins de levier qu'un grand détenteur. Une architecture de transition devrait réduire cette asymétrie.

La voix régionale devrait donc être préservée en restreignant la garde, et non en défendant l'ancien paquet. La région devrait pouvoir parler, conseiller, s'organiser et contester. Elle ne devrait pas avoir à retenir les réseaux en otages pour être entendue.

Les incitations autour de la transition sont hostiles par défaut

Aucune architecture de transition ne peut compter sur le fait que tout le monde se comporte comme des ingénieurs à l'esprit public. Les incitations sont trop fortes. Les registres en place résistent à la transition parce que le paquet de données et de services est leur atout le plus fort. Si les détenteurs peuvent vérifier les enregistrements à l'extérieur, porter le service, exiger le séquestre, mettre en quarantaine les litiges et utiliser des substituts d'urgence, l'aura d'indispensabilité du titulaire s'affaiblit. Même un registre bien géré peut craindre qu'une soupape de sécurité ne devienne un mécanisme de discipline. Un registre en difficulté a de plus fortes raisons de le craindre.

Les registres homologues craignent un précédent. Si un bureau régional peut être substitué, séquestré ou restreint, les autres peuvent être interrogés sur la raison pour laquelle leurs propres grands livres ne sont pas également portables. Ils peuvent présenter la question comme une stabilité, mais la stabilité et l'auto-préservation se ressemblent souvent de l'intérieur d'un club. Cela ne signifie pas que l'aide des pairs est inutile. Le support technique, l'expérience partagée et la coopération d'urgence peuvent être précieux. Cela signifie que la conception de la transition ne peut pas dépendre de pairs qui réduisent volontairement leur propre futur pouvoir de négociation.

Les gouvernements ont des incitations mitigées. Ils portent le fardeau public lorsque la continuité des communications est menacée, mais ils peuvent aussi voir une crise de registre comme une occasion de prendre le contrôle. Certains voudront une continuité légale. Certains voudront un levier national. Certains craindront qu'une entreprise privée étrangère ait trop de pouvoir sur les réseaux nationaux. Certains préféreront l'ancien modèle parce qu'il garde les choix difficiles en dehors du ministère. Une architecture de transition doit donner aux gouvernements un rôle responsable sans inviter à la fragmentation. La meilleure façon de le faire est de rendre la continuité riche en preuves et compatible à l'échelle mondiale, afin que les autorités publiques puissent protéger les intérêts nationaux sans inventer de grands livres contradictoires.

Les grands détenteurs ont également des incitations mitigées. Ils veulent de la certitude, de la transférabilité, de la portabilité et une protection contre les actions arbitraires. Ils peuvent aussi chercher un avantage: des sorties plus rapides, un examen plus léger, un traitement sur mesure ou une influence sur la conception du successeur. Leurs ressources les rendent essentiels pour construire la capacité de transition et dangereux si on ne les contrôle pas. Une architecture crédible devrait accueillir leurs preuves et leur financement le cas échéant tout en les empêchant d'acheter des changements de règles que les petits réseaux ne peuvent pas obtenir.

Les petits réseaux ont besoin de prévisibilité avant tout. Ils peuvent se méfier à la fois du registre en place et des grands contestataires commerciaux. Ils peuvent manquer de budgets juridiques, de temps de personnel, de maîtrise des politiques ou de conseils transfrontaliers. Leur principale question est de savoir si le service continuera et si les règles seront compréhensibles. Si la transition ressemble à un combat entre élites, les petits réseaux préféreront rationnellement le diable qu'ils connaissent. La conception devrait donc rendre les protections des petits détenteurs visibles: des dossiers de preuves à faible coût, des droits de préavis, des procédures de correction simples, des limites strictes sur les frais d'urgence, un support linguistique, une aide à la continuité du DNS inverse et un isolement clair des litiges.

Les créanciers, les fournisseurs, le personnel et les tribunaux ajoutent une complexité supplémentaire. Un registre insolvable ou quasi-insolvable a des créances ordinaires contre lui: salaires, fournisseurs, frais juridiques, impôts et dettes. Le personnel peut également détenir les connaissances opérationnelles nécessaires pour maintenir les systèmes fragiles en vie. Pourtant, les enregistrements de numérotation eux-mêmes ne devraient pas être traités comme un lot de liquidation. Les rapports publics en 2026 ont décrit l'argument de l'ICANN selon lequel les ressources de numérotation administrées par l'AFRINIC ne sont pas des actifs disponibles pour distribution lors d'une dissolution. Quoi que les tribunaux décident dans toute procédure spécifique, l'architecture de continuité devrait supposer que le grand livre est un système de confiance publique, pas un meuble dans le bureau.

Ces incitations expliquent pourquoi la transition ne peut pas être laissée à la bonne foi. Elle a besoin d'une conception rigoureuse: séquestre, signatures, substitution de service, déclencheurs de portabilité, cartes juridiques, règles de financement, quarantaine des litiges, pistes d'audit et limites des rôles. Les institutions se comportent mieux lorsque l'architecture rend l'opportunisme difficile. Le but n'est pas de trouver des anges. C'est de rendre le système moins dépendant d'eux.

Une migration échelonnée est plus conservatrice que la captivité discrétionnaire permanente

Les critiques qualifieront toute conception au-delà du RIR de radicale. En un sens, ils ont raison. Cela change l'hypothèse selon laquelle un bureau de registre régional devrait être le centre permanent des données, du service, de l'autorité et du traitement des litiges. Dans un autre sens, la transition échelonnée est plus conservatrice que le statu quo. Elle cherche à préserver les enregistrements existants, la confiance des utilisateurs, la continuité du service et les connaissances régionales tout en réduisant le risque qu'un seul bureau fragile puisse les briser. La captivité discrétionnaire permanente est le modèle le plus imprudent.

La première étape est la transparence et les preuves. Chaque registre devrait maintenir des instantanés complets, signés et vérifiables de l'extérieur du grand livre et des historiques importants. Les détenteurs devraient pouvoir obtenir des preuves signées de leurs propres ressources et de l'état des services. Les données publiques devraient être reproductibles. Les auditeurs devraient pouvoir tester si les instantanés correspondent aux services opérationnels. Les tribunaux devraient pouvoir recevoir des calendriers structurés. Aucune autorité ne change de mains à cette étape. Le principal changement est que le titulaire ne monopolise plus la preuve.

La deuxième étape est la répétition de la continuité. Les services essentiels devraient avoir des plans de substitution documentés, des environnements de test, des procédures de garde des clés, des modèles d'avis aux membres, des arrangements de financement d'urgence et des règles de contrôle des changements. La répétition devrait inclure la continuité RDAP et Whois, les opérations DNS inverses, RPKI et le renouvellement de la certification le cas échéant, les enregistrements ASN, les files d'attente de transfert et les portails de support. L'objectif n'est pas d'embarrasser le titulaire. L'objectif est de savoir si le réseau peut survivre à un week-end où le bureau ne peut pas agir.

La troisième étape est la quarantaine des litiges. Les registres devraient classifier et marquer les litiges au niveau des ressources, séparer les litiges de gouvernance d'entreprise des litiges de service, publier le statut non sensible, préserver les preuves et continuer le service non lié. Cette étape peut être mise en œuvre même à l'intérieur du registre existant. Elle réduit les dommages avant toute substitution. Elle révèle également si le titulaire peut accepter des limites à sa propre discrétion.

La quatrième étape est la substitution de service d'urgence. Si des déclencheurs de service objectifs sont atteints, un opérateur temporaire ou un syndic peut exécuter des fonctions étroites à partir des données séquestrées. Les déclencheurs pourraient inclure la perte de service, l'incapacité de maintenir les systèmes essentiels, l'absence d'autorité corporative légale, une ordonnance judiciaire, un risque avéré pour l'intégrité des données ou l'échec du traitement des changements urgents non contestés dans un délai défini. Le substitut exécute des services, pas de politique. Il est payé, audité et révocable.

La cinquième étape est la portabilité dans des conditions limitées. Les détenteurs avec des positions vérifiées, des frais à jour et aucun litige non limité peuvent déplacer la reconnaissance de service vers un arrangement de continuité approuvé. Les ressources contestées peuvent rester détenues; les services non contestés peuvent continuer. Si la portabilité n'arrive qu'après la mort du bureau, elle arrive trop tard.

La sixième étape est la reconstruction de l'autorité. Un organisme régional successeur, un modèle fédéré, une structure de syndic ou une couche de coordination légère peut prendre en charge une autorité étroite seulement après que la continuité est protégée. Le successeur doit prouver qu'il peut maintenir le grand livre sans recréer la captivité discrétionnaire.

L'échelonnement est important parce qu'il réduit la peur. Les titulaires peuvent voir quels pouvoirs sont réellement menacés. Les membres peuvent voir quels services continueront. Les tribunaux peuvent voir quelles étapes sont réversibles. Les gouvernements peuvent voir que l'unicité mondiale est protégée. Les opérateurs techniques peuvent tester les systèmes avant l'incendie. Une migration échelonnée n'est pas un saut dans l'obscurité. C'est l'éclairage des voies de sortie dans un bâtiment que tout le monde doit encore utiliser.

L'AFRINIC est la répétition parce qu'elle combine la rareté, la forme juridique et la confiance du public

L'AFRINIC ne devrait pas être traitée comme une exception exotique. C'est une répétition précisément parce que ses difficultés exposent des caractéristiques présentes dans tout le système des RIR. Un registre régional est une entité juridique privée en vertu du droit national, pourtant il fournit des services sur lesquels les réseaux de nombreuses juridictions s'appuient. Il administre des ressources rares dont l'importance économique a dépassé l'ancien langage de l'allocation cléricale. Il exécute des fonctions publiques de requête et de délégation. Il dépend de la confiance des membres, de la reconnaissance des tribunaux, de la compétence technique et de l'acceptation mondiale. Lorsque l'un de ces soutiens s'affaiblit, le système découvre combien il avait supposé plutôt que conçu.

La mise sous séquestre a fourni une leçon: les systèmes juridiques peuvent préserver les opérations, mais seulement s'ils comprennent ce qui doit être préservé. Les rapports en 2023 ont présenté la mise sous séquestre de l'AFRINIC comme un mécanisme d'État de droit qui pourrait maintenir les services pendant que la direction était réparée. C'est la version optimiste de l'implication des tribunaux. Elle montre que le droit national n'est pas automatiquement l'ennemi de la gouvernance de l'internet. Mais elle montre aussi que la communauté des registres ne peut pas simplement se déclarer en dehors de la réalité juridique ordinaire. Si le navire juridique coule, les tribunaux seront appelés à agir. L'architecture de transition devrait les équiper plutôt que de se plaindre ensuite qu'ils ne comprennent pas l'internet.

Les litiges électoraux ont fourni une autre leçon: la légitimité corporative peut rester incertaine tandis que les services restent nécessaires. Que l'on souligne les allégations d'irrégularités dans les procurations, les préoccupations de l'ICANN, la discrétion du syndic, les classifications des droits des membres ou le rétablissement éventuel du conseil, le point opérationnel est le même. La gouvernance peut être contestée pendant des mois ou des années. Pendant ce temps, le grand livre ne peut pas attendre une légitimité parfaite. Le système a besoin d'un mode sûr: service étroit, données préservées, changements à haut risque gelés, changements à faible risque traités, preuves structurées et avis transparents aux membres.

Le contexte de l'épuisement IPv4 fournit une troisième leçon. La page d'épuisement de l'AFRINIC elle-même décrit la rareté de la phase 2, les petites plages d'allocation et d'assignation, les exigences d'utilisation et le traitement des demandes. La rareté signifie que le retard a de la valeur. Elle signifie que la certitude des transferts compte. Elle signifie que les anciens enregistrements deviennent des preuves financières. Elle signifie que la capacité du bureau du registre à dire oui, non, plus tard ou à demander des preuves supplémentaires est économiquement conséquente. La conception de la transition ne peut pas se limiter à garder un site Web en ligne. Elle doit préserver la confiance dans le règlement autour des ressources rares.

La controverse sur les droits des membres fournit une quatrième leçon. Les rapports publics en 2026 ont décrit un débat sur la relation entre les membres des ressources de l'AFRINIC et les membres enregistrés en vertu du droit mauricien des sociétés. Cette distinction peut sembler paroissiale, mais elle est centrale pour l'architecture de transition. La dépendance aux ressources et les droits de vote corporatifs ne sont pas la même chose. Un détenteur peut dépendre du service du registre même si le droit des sociétés traite son rôle de gouvernance de manière plus étroite. Inversement, un acteur corporatif peut avoir une autorité de gouvernance sans être la bonne partie pour modifier un enregistrement de ressource particulier. La transition doit séparer la dépendance au service des formalités corporatives tout en respectant les deux.

Le différend sur la dissolution fournit la dernière leçon. Un registre peut être une société locale et pourtant porter une fonction publique mondiale. Dire cela ne le rend pas souverain. Cela signifie que les recours juridiques devraient distinguer la coquille corporative de la fonction de continuité du grand livre. Si la société est restructurée, remplacée ou dissoute, les enregistrements de ressources ne devraient pas être traités comme des chaises de bureau. Ce sont des enregistrements de confiance dans un système de coordination mondial. La question de la transition est de savoir comment déplacer cette confiance légalement, pas comment prétendre que la forme juridique n'a pas d'importance.

La valeur de l'AFRINIC en tant que répétition n'est donc pas qu'elle prouve qu'une faction a raison. C'est qu'elle oblige la question de conception à être ouverte. Qu'est-ce qui doit exactement continuer si le bureau ne le peut pas? Quels pouvoirs sont nécessaires, lesquels sont des habitudes héritées, et lesquels sont dangereux? Qui vérifie le grand livre? Qui exécute les services? Qui peut modifier les enregistrements? Qui entend les litiges? Qui protège les petits réseaux? Qui informe les tribunaux? Qui paie pour le pont? Un système qui ne peut pas répondre à ces questions n'est pas stable. Il est simplement non testé.

Le test pratique est de savoir si le grand livre peut survivre au gardien

Le test final est délibérément simple. Si l'AFRINIC, ou n'importe quel registre, échouait demain, le grand livre pourrait-il continuer? Cela signifie plus qu'un vidage de fichier. Cela signifie des enregistrements complets, signés, audités et utilisables; des preuves d'accès pour les détenteurs; un historique suffisant pour expliquer le statut actuel; la continuité des requêtes publiques; des contrôles de confidentialité; des drapeaux de litige; et un calendrier des dépendances utilisable par les tribunaux. Si la réponse est non, la région dépend de la chance institutionnelle.

Les utilisateurs pourraient-ils être servis? Cela signifie les réponses RDAP et Whois, la maintenance du DNS inverse, le support des enregistrements ASN, la continuité RPKI et de la certification le cas échéant, le traitement des transferts pour les cas non contestés, les corrections urgentes de contacts, la publication des contacts abus, le support aux membres et des avis clairs. Cela signifie également des attentes de niveau de service, un financement d'urgence et des opérateurs techniques qui peuvent exécuter sous pression. Si la réponse est non, le registre n'est pas un coordinateur léger. C'est un point de défaillance unique.

Les litiges pourraient-ils être mis en quarantaine? Cela signifie qu'un préfixe contesté ne gèle pas un continent. Un différend électoral ne désactive pas le service. Un dépôt judiciaire ne devient pas un veto politique général. Une autorité prétendument falsifiée ne contamine pas tous les détenteurs. La quarantaine nécessite une classification, des normes de preuve, des blocages spécifiques aux ressources, des voies de révision, une journalisation et une communication disciplinée. Si la réponse est non, la couche de litige a déjà capturé la couche de service.

L'autorité pourrait-elle être reconstruite sans retenir les réseaux en otages? Cela signifie que l'opérateur d'urgence ne devient pas un nouveau dirigeant, que le titulaire n'utilise pas la captivité de service pour exiger de la déférence, que les grands détenteurs n'achètent pas le successeur, que les gouvernements ne fragmentent pas le grand livre, et que les petits réseaux ne perdent pas l'accès parce qu'ils manquent d'avocats. Cela signifie que la voix régionale reste possible pendant que la garde est restreinte. Cela signifie que la portabilité existe avant l'effondrement. Cela signifie que la passation juridique est cartographiée, pas souhaitée.

C'est l'économie de l'architecture de transition au-delà des RIR. L'argument n'est pas que l'unicité n'a plus d'importance. Elle a plus d'importance que jamais. L'argument n'est pas que les services de registre sont triviaux. Ils sont précieux précisément parce que les réseaux s'appuient sur eux. L'argument n'est pas que la discrétion peut disparaître du jour au lendemain. Un certain jugement restera dans la prévention de la fraude, la conformité légale et les cas exceptionnels. L'argument est que le paquet actuel donne trop de levier institutionnel au bureau et trop peu de résilience indépendante au grand livre, aux services et aux utilisateurs.

L'AFRINIC montre à la fois le danger et le chemin. Le danger est un registre régional dont la vie corporative, le processus électoral, les litiges juridiques et les conflits de membres peuvent s'enchevêtrer avec des enregistrements critiques. Le chemin n'est pas un arrêt brutal. C'est une continuité échelonnée: données du grand livre séquestrées, preuves portables, substitution de service, autorité étroite, quarantaine des litiges, passation juridique, protection des membres, preuves publiques et conseils régionaux séparés de la garde. C'est moins dramatique que le langage de la réforme ou de la révolution. C'est aussi plus sérieux.

La couche de numérotation de l'internet était tolérée parce qu'elle était censée être ennuyeuse. La rareté, la valeur des actifs, la pression géopolitique et la crise institutionnelle l'ont rendue intéressante de la pire des manières. Le remède n'est pas de rendre une nouvelle prêtrise encore plus intéressante. Le remède est de rendre les parties critiques à nouveau ennuyeuses: des enregistrements vérifiables, des services prévisibles, une autorité limitée et des litiges qui ne se propagent pas.

Si un registre peut prouver que le grand livre survivra à son propre échec, il mérite plus de confiance. S'il ne le peut pas, aucune quantité de rhétorique sur la communauté, l'histoire ou la reconnaissance ne devrait suffire. La loyauté appropriée n'est pas envers le gardien. C'est envers la continuité des utilisateurs qui ont construit de vrais réseaux au-dessus des numéros que le gardien était seulement censé enregistrer.