L'objet vulnérable n'est pas un discours électoral, un communiqué, un titre de procès ou un slogan de politique publique. Il s'agit d'une ligne dans un registre de grand livre. Un bloc IPv4 possède un nom de titulaire, un identifiant d'organisation, des contacts, des champs de statut, des références de mainteneur, une délégation DNS inverse, des conséquences sur la sécurité du routage, un historique de transfert, le statut des frais, le contexte des litiges et une reconnaissance institutionnelle suffisante pour être traité par les acheteurs, les loueurs, les prêteurs, les clients et les tribunaux comme le registre public actuel du contrôle. La ligne peut sembler cléricale. Elle ne l'est pas. Elle peut être modifiée, régularisée, gelée, transférée, certifiée, remise en question, restaurée ou mise en révision. Chaque verbe a une conséquence sur le marché.

Imaginez un /16 rare administré par l'AFRINIC, qui fait désormais partie du bilan et de la clientèle d'un fournisseur d'hébergement. Un acheteur demande la chaîne de transfert. Un prêteur demande si le dossier du registre est vierge. Un client demande si le routage continuera. Un service anti-abus demande quel contact est responsable. Une équipe de routage demande si les ROA, les objets de route et les enregistrements DNS inverses survivront à un changement de contrôle d'entreprise. Un tribunal demande quel était le dernier état vérifié avant le début d'un litige.

L'agent du registre qui traite le dossier voit un ticket, des documents, des identifiants de portail, un ancien dossier de titulaire, un historique de propriété et une proposition de mise à jour. La question économique est simple: qui peut toucher le dossier, sous quelle autorité, avec quelle preuve, avec quelle seconde approbation, sous quelle déclaration de conflit, avec quelle trace publique et sous quel examen ultérieur? Si la réponse à ces questions est donnée par l'habitude, la personnalité ou une escalade privée, le registre a converti la confiance du public en un marché d'influence. Si la réponse est donnée par des contrôles, le dossier peut rester utilisable même lorsque l'institution qui l'entoure est sous pression.

AFRINIC est importante car tous ces risques ne sont plus théoriques. Des rapports publics ont décrit des allégations de manipulation historique des enregistrements IPv4 africains, des efforts institutionnels ultérieurs pour réparer ou surveiller l'utilisation des ressources, un litige majeur avec Cloud Innovation, des procédures judiciaires à Maurice, des gels de comptes bancaires, une mise sous séquestre, des tentatives d'élection échouées ou annulées, des litiges concernant les procurations, des efforts pour reconstruire un conseil d'administration et des luttes continues sur l'autorité du registre. Certaines affirmations sont des allégations. Certains sont des événements procéduraux signalés. Certaines affaires ont été portées devant les tribunaux. Certaines restent contestées. La question du contrôle de la corruption n'exige pas de transformer chaque allégation en un verdict. Elle exige de reconnaître qu'un registre détenant des enregistrements rares, précieux et opérationnellement intégrés ne peut pas compter sur la vertu institutionnelle.

L'économie institutionnelle est plus froide que la rhétorique. La rareté des IPv4 a transformé les enregistrements du registre en infrastructure de marché. Un registre qui peut modifier la reconnaissance, suspendre un transfert, accepter un signataire, certifier une assertion d'origine de route, publier ou retirer des données de contact, ou définir un état de litige se tient à la porte entre les réseaux en fonctionnement et la valeur du capital. Si cette porte est opaque, les acteurs du marché ajoutent une prime de risque. Si la porte est vérifiable, séparée, à double contrôle et documentée, la prime diminue. AFRINIC est donc un cas d'essai pour une proposition plus large: les contrôles anti-corruption ne sont pas une simple maintenance administrative du registre. Ils font partie du prix, de la liquidité et de la légitimité du marché des ressources de numéros lui-même.

C'est dans le dossier que le risque de corruption entre

La corruption dans un registre est mieux comprise comme la conversion non autorisée du pouvoir discrétionnaire du registre en avantage privé. Cette définition est plus large que la corruption criminelle et plus étroite que le dysfonctionnement général. Elle demande quel pouvoir peut changer l'état reconnu d'un enregistrement de valeur, et si ce pouvoir peut être exercé sans une piste fiable. Une personne qui peut déplacer un nom de titulaire, approuver un transfert, supprimer un litige, modifier l'autorité de contact, régulariser une ancienne incohérence ou retarder la transaction d'un rival peut affecter la valeur même si aucun argent n'est vu changer de mains.

Cela distingue les contrôles des risques de corruption de trois problèmes institutionnels connexes dans l'histoire récente d'AFRINIC. Le respect de la procédure demande quel avis, quels motifs, quels correctifs et quel appel un titulaire doit recevoir après une décision défavorable du registre. Le règlement des litiges demande quel forum doit trancher les réclamations contestées et comment les recours doivent isoler le conflit. La continuité du séquestre demande comment le registre continue de fonctionner lorsque la gouvernance ordinaire a échoué. Les contrôles des risques de corruption posent une autre question préalable: comment l'institution empêche-t-elle que le dossier, le forum, l'élection et le filet de sécurité d'urgence ne soient discrètement faussés par des initiés ou des personnes extérieures organisées avant que quiconque n'atteigne un appel?

La réponse commence par les changements d'état. Un fichier de registre a de nombreux états. Un bloc peut être actif, réservé, en cours d'examen, en transfert, contesté, gelé, récupéré, retourné, certifié pour RPKI, délégué pour le DNS inverse ou lié à une organisation particulière et à un ensemble de contacts. Chaque état devrait avoir une source d'autorité définie. Un reçu de paiement ne devrait pas autoriser un transfert. Une résolution du conseil d'administration ne devrait pas réécrire silencieusement un enregistrement technique. Un ticket du personnel ne devrait pas passer outre une ordonnance du tribunal. Une procuration ne devrait pas devenir un chèque en blanc pour des actions non liées au registre. Le mandat de conservation d'un séquestre ne devrait pas être étendu à une politique permanente d'allocation de valeur sans une piste d'autorité distincte.

Le contrôle des changements d'état est également le lieu où les preuves publiques et privées se rencontrent. Certains éléments ne peuvent pas être entièrement exposés: les documents d'identité, les justificatifs d'identité, les communications juridiques privilégiées, les preuves de sécurité, les rapports d'abus et les indicateurs de fraude peuvent nécessiter des occultations. Pourtant, l'existence du contrôle peut être publique. Le marché n'a pas besoin de chaque scan de passeport. Il a besoin de savoir que l'identité a été vérifiée par quelqu'un d'indépendant du demandeur, que le membre du personnel n'avait aucun conflit enregistré, qu'une deuxième approbation a été enregistrée, que le changement a été horodaté, que l'état antérieur est récupérable et qu'un changement contesté peut être isolé sans effacer les preuves.

Dans les associations ordinaires, de tels contrôles pourraient ressembler à de l'hygiène de gouvernance interne. Dans un registre post-épuisement, ils sont une infrastructure économique. Le titulaire d'un grand bloc IPv4 ne peut pas dire à un client ou à un prêteur que l'enregistrement est sûr simplement parce qu'un registre dit agir avec intégrité. Le titulaire doit pouvoir compter sur un système dans lequel une modification inappropriée est difficile, détectable et réversible. Un registre qui ne peut pas fournir cette confiance devient une source de risque plutôt qu'un réducteur de risque.

L'histoire publique d'AFRINIC montre pourquoi cela est important. L'institution a été décrite comme étant sans conseil d'administration pendant de longues périodes, soumise à un séquestre, exposée à des litiges et contestée sur les élections et l'autorité des membres. Ces conditions ne prouvent pas la corruption dans un acte donné. Elles diminuent la tolérance du marché envers le pouvoir discrétionnaire non documenté. Lorsqu'une institution est sous pression, le risque de corruption augmente non seulement parce que les gens deviennent malhonnêtes, mais parce que les contrôles normaux deviennent plus faciles à contourner au nom de l'urgence, de la stratégie juridique, de la pression des factions ou de la survie institutionnelle.

La première discipline consiste donc à nommer l'objet. L'objet n'est pas la « confiance de la communauté » dans l'abstrait. C'est la garde de l'autorité sur les enregistrements de numéros rares. Une fois l'objet nommé, la conception du contrôle devient moins théâtrale. Les questions pertinentes deviennent opérationnelles: qui avait la clé, qui a vérifié le dossier, qui a vu le conflit, qui a approuvé l'exception, qui a préservé l'ancien état, qui peut reconstituer le changement et qui peut le contester sans perdre la continuité du service pendant que la contestation est entendue?

La rareté a rendu le pouvoir discrétionnaire précieux

Le modèle de registre d'avant la rareté a été construit pour un monde de moindre valeur. Un registre Internet régional distribuait des numéros uniques, tenait à jour les données d'enregistrement et soutenait la coordination entre les réseaux. Le service était important, mais de nombreuses décisions pouvaient plausiblement être traitées comme administratives. L'épuisement des IPv4 a changé l'objet sous administration. Les adresses sont devenues rares, tarifées, louées, échangées, financées et litigieuses. Le registre n'est pas devenu une banque, un bureau des hypothèques ou un dépositaire de titres en droit. Il a cependant commencé à exercer une autorité pratique sur des enregistrements que les marchés utilisent de manière similaire aux infrastructures de titres, de garde et de règlement.

L'analyse de 2021 de l'Internet Governance Project a saisi la pression économique. Elle a noté qu'AFRINIC avait une petite part de l'espace IPv4 mondial, est arrivé tard dans le système RIR et, pendant une période, est resté la région avec le pool libre le plus significatif disponible à des prix administratifs. Elle a également décrit le prix du marché des transferts passant d'environ 8 $ par adresse IPv4 en 2017 à environ 30 $ en 2021, ce qui fait qu'un /16 valait environ 2 millions de dollars à ce moment-là. Les prix évoluent. L'implication institutionnelle demeure: une décision du personnel sur un bloc n'est plus un acte de classement à faible enjeu.

La rareté crée trois surfaces de corruption. La première est l'allocation et la récupération. Lorsque les ressources du pool libre sont rationnées, la personne qui peut déterminer le besoin, l'exhaustivité, l'admissibilité ou la conformité peut modifier qui reçoit la valeur. La deuxième est le transfert et la régularisation. Lorsque les adresses peuvent circuler sur un marché secondaire, la personne qui peut accepter une chaîne d'autorité ou rejeter un dossier de transfert peut affecter le règlement. La troisième est l'application et le contrôle de l'état des litiges. Lorsqu'un bloc est accusé d'utilisation abusive, de fraude ou d'autorité défectueuse, la personne qui peut geler, marquer, certifier ou démarquer la ressource peut affecter le pouvoir de négociation.

Ces surfaces importent même si un registre insiste sur le fait que les ressources de numéros ne sont pas des biens ordinaires. Cette doctrine peut décrire la vision formelle du registre sur la relation de ressource. Elle n'efface pas la dépendance du marché. Les opérateurs paient toujours pour les transactions, signent des baux, soutiennent les clients, transportent les routes, maintiennent les assertions de sécurité et valorisent la continuité. Le risque de corruption est lié à cette dépendance. Si un employé du registre, un membre du conseil d'administration, un consultant, un courtier ou un entité politiquement connecté peut influencer un enregistrement sans être exposé par des contrôles, le marché voit un gardien doté d'un pouvoir asymétrique.

Les documents officiels ne sont utiles ici qu'à titre de pièces factuelles. AFRINIC est un RIR à but non lucratif enregistré à Maurice, desservant l'Afrique et certaines parties de l'océan Indien. Ses documents publics identifient des fonctions telles que la gestion des IPv4, IPv6 et ASN, l'exploitation de Whois et RDAP, le soutien au DNS inverse, à l'IRR et à RPKI, et le traitement des demandes de ressources conformément aux politiques. Les documents sur l'épuisement décrivent les phases d'atterrissage en douceur, l'évaluation par le hostmaster, l'examen par les pairs et les mécanismes d'approbation. Ces faits montrent le processus institutionnel. Ils ne prouvent pas en eux-mêmes que le processus est suffisant pour un contrôle de la corruption de niveau « actif ».

Un processus de niveau « actif » traite le pouvoir discrétionnaire comme un coût à justifier. Un seul agent du personnel ne devrait pas pouvoir faire passer un enregistrement de grande valeur d'un état pratique à un autre sans vérification indépendante. Une seule faction du conseil d'administration ne devrait pas pouvoir modifier l'économie des transferts sans examen des conflits et analyse de la dépendance. Une seule stratégie juridique ne devrait pas contaminer la maintenance neutre des enregistrements. Une seule urgence de l'ère du séquestre ne devrait pas devenir un canal de capture silencieuse. Plus la valeur marchande de la ressource est élevée, plus le registre doit séparer le jugement de l'exécution.

Il ne s'agit pas d'un appel à ralentir le registre pour le plaisir. Les marchés de rareté ont besoin de rapidité. Un transfert qui prend des mois parce que chaque contrôle est manuel et discrétionnaire crée son propre risque de corruption: les entités commencent à chercher des raccourcis. Le meilleur modèle est objectif et rapide lorsque les preuves sont standard, plus lent et documenté lorsque les preuves sont contradictoires, et révisable de manière indépendante lorsque la décision affecte la valeur. Le risque de corruption diminue lorsque les entités connaissent le chemin et ne peuvent pas l'améliorer par un accès privé.

Ce point explique également pourquoi l'ancien langage de gouvernance semble désormais insuffisant. La « gérance » importait lorsque le risque central était le gaspillage d'un pool commun. Dans un marché de rareté, la gérance doit inclure la garde, l'audit et la discipline de règlement. Le registre sert toujours une communauté, mais la communauté ne peut pas être protégée par la seule bonne volonté. Elle est protégée lorsque l'institution rend le pouvoir discrétionnaire précieux coûteux à abuser.

Le « casse d'adresses » signalé était un avertissement sur la provenance

La pièce à conviction la plus directe du risque de corruption d'AFRINIC reste les rapports publics sur les allégations de manipulation historique d'adresses. KrebsOnSecurity a rapporté en décembre 2019 que des accusations faisaient suite à une enquête de plusieurs années menée par le chercheur Ron Guilmette sur des blocs IPv4 africains qui semblaient être passés entre les mains de sociétés de marketing Internet en dehors du contexte d'allocation initial. Le rapport décrivait des allégations selon lesquelles Ernest Byaruhanga, un ancien coordinateur des politiques d'AFRINIC et membre du personnel de la première heure, exploitait secrètement ou était lié à des entreprises vendant un espace d'adressage rare, et que les enregistrements liés à des entités africaines dormantes ou disparues avaient été modifiés. Guilmette a estimé la valeur marchande des ressources documentées à plus de 50 millions de dollars.

Ces déclarations exigent de la discipline. Un rapport, une allégation et une enquête ne sont pas la même chose qu'une décision finale rendue. Le dossier public pertinent comprend les réclamations, les réponses, les conséquences sur l'emploi, les enquêtes institutionnelles, les efforts de remédiation et les litiges ultérieurs autour des ressources récupérées ou contestées. Un article sur les contrôles des risques de corruption ne doit pas convertir chaque allégation rapportée en fait avéré. Le point le plus fort est institutionnel: si les faits allégués pouvaient même sembler plausibles dans un environnement de registre, le système de provenance était déjà trop faible pour la valeur qu'il protégeait.

La provenance est l'histoire de la façon dont l'enregistrement est devenu ce qu'il est. Pour un bloc IPv4 rare, la provenance devrait répondre à plusieurs questions sans folklore. Qui a reçu la ressource en premier? Sous quelle politique et quels documents? Quelle organisation existait alors? A-t-elle fusionné, s'est-elle dissoute, a-t-elle changé de nom, a-t-elle vendu des actifs ou a-t-elle cessé ses activités? Qui avait le pouvoir de demander des mises à jour? Quel membre du personnel a traité chaque changement important? La demande a-t-elle fait l'objet d'un examen par les pairs? Les conflits ont-ils été vérifiés? Les anciens titulaires ou successeurs ont-ils été informés? Le changement a-t-il été publié? Les marqueurs de litige ont-ils été préservés? Un examinateur ultérieur pourrait-il reconstituer la chaîne sans se fier à la mémoire de la personne qui a effectué le changement?

Les enregistrements dormants sont particulièrement dangereux. Un opérateur actif remarque lorsque son préfixe est touché. Une entreprise dissoute, une unité commerciale acquise, un contact obsolète ou une allocation longtemps inutilisée peuvent ne pas le remarquer. L'initié qui connaît la population dormante dispose d'informations que le marché n'a pas. Si les contrôles des modifications sont faibles, la même connaissance devient une opportunité économique. Le contrôle de la corruption n'est pas un communiqué de presse promettant un meilleur comportement. C'est un système qui traite les enregistrements dormants, hérités et historiques comme des enregistrements à haut risque nécessitant une provenance renforcée avant tout changement d'état important.

Le casse signalé montre également pourquoi la lutte contre la corruption ne peut pas signifier seulement une application plus stricte contre les détenteurs de ressources. Un registre qui sort d'allégations de manipulation d'enregistrements peut être tenté de répondre en étendant les audits des modèles économiques des membres, de la géographie d'utilisation ou des pratiques de location. Un certain examen est légitime lorsque la fraude ou une fausse autorité est suspectée. Pourtant, la réparation de la corruption ne doit pas devenir une licence générale pour une police commerciale discrétionnaire. La maladie originelle était un faible contrôle sur qui pouvait modifier l'enregistrement et sur quelle preuve. Le remède devrait être des contrôles plus solides des preuves, et non un nuage permanent sur le modèle d'exploitation de chaque titulaire.

La conséquence sur le marché est claire. Un acheteur ou un prêteur qui envisage un bloc enregistré auprès d'AFRINIC doit se demander si les anciens enregistrements sont vierges, si les changements historiques peuvent être retracés et si la reconnaissance du titulaire actuel pourrait être contestée ultérieurement. Si la réponse est incertaine, le bloc porte une décote de provenance. Cette décote ne pénalise pas seulement les auteurs présumés d'actes répréhensibles. Elle affecte les titulaires honnêtes, les petits réseaux et la réputation de la région en tant qu'environnement d'enregistrement fiable.

Les preuves publiques importent même lorsque les détails sensibles sont retenus. Un registre peut publier des catégories de remédiation: nombre de blocs historiques examinés, nombre placés en état de litige, nombre corrigés, nombre renvoyés devant les tribunaux ou les forces de l'ordre, nombre restitués aux titulaires antérieurs, nombre laissés inchangés après examen indépendant, et les changements de contrôle adoptés pour prévenir la récurrence. De telles divulgations n'exposeraient pas de documents privés. Elles indiqueraient au marché que le problème de provenance est passé de la rumeur à des preuves encadrées.

La leçon n'est pas qu'AFRINIC devrait rejuger chaque accusation historique dans une prose publique. La leçon est que la provenance est un atout préventif. Si la chaîne de transfert, l'examen des enregistrements dormants, le journal d'accès du personnel et le dossier d'autorité sont suffisamment solides, une allégation ultérieure aura un endroit où atterrir. S'ils sont faibles, chaque allégation devient une attaque générale contre l'intégrité du registre, car personne ne peut facilement séparer un mauvais dossier d'une mauvaise institution.

La séparation des tâches transforme l'intégrité en système

La séparation des tâches est la plus ancienne leçon anti-corruption dans les systèmes administratifs: la personne qui reçoit une demande ne devrait pas seule l'approuver, l'exécuter, la rapprocher et dissimuler sa piste d'audit. Dans un registre, l'idée devrait être traitée avec le sérieux d'une infrastructure de règlement. Le membre du personnel qui aide un membre à compléter un dossier ne devrait pas être l'approbateur final d'un transfert de grande valeur. La personne qui enquête sur une fraude présumée ne devrait pas être celle qui décide du remède commercial. Le membre du conseil d'administration ayant une préférence politique ne devrait pas diriger l'action du personnel dans un dossier de ressources actif. Le séquestre ou le gestionnaire d'urgence ne devrait pas mélanger l'autorité de conservation et le contrôle discrétionnaire du marché.

La raison est économique, et pas seulement éthique. Chaque rôle combiné réduit le coût de la capture. Si un seul agent peut interpréter la politique, valider les documents, approuver un changement d'état et supprimer la piste, un corrupteur ou un initié n'a besoin d'influencer qu'une seule personne. Si des fonctions indépendantes sont requises, chacune avec des journaux et des mandats étroits, la corruption devient plus difficile et plus visible. Le marché évalue cette différence. Un marché de transfert avec des contrôles séparés peut se régler plus rapidement parce que les contreparties font confiance au processus. Un marché avec des contrôles fusionnés exige des tampons juridiques, des indemnités et des retards.

Les processus existants d'AFRINIC contiennent déjà une certaine séparation limitée. Les documents publics sur l'épuisement décrivent l'évaluation par le hostmaster, l'examen par les pairs par un autre hostmaster et l'approbation finale par un gestionnaire des services d'enregistrement pour certaines demandes IPv4. Il s'agit d'une pièce factuelle utile. Elle devrait être étendue en une architecture complète de contrôle de la corruption pour toutes les actions à conséquences élevées: allocation, transfert, récupération, état de litige, reconnaissance de l'autorité des membres, autorité de contact, modifications du DNS inverse, changements d'état RPKI et restauration après une irrégularité historique.

La séparation requise comporte plusieurs niveaux. La réception vérifie l'exhaustivité et l'identité de base. L'examen des preuves évalue l'autorité de l'entreprise, la chaîne de contrôle et le statut de la ressource. L'examen technique examine l'unicité, les effets liés au routage, RPKI, le DNS inverse et les conséquences sur les services de publication. L'examen juridique ou politique évalue les contraintes formelles sans trancher seul les questions factuelles. L'examen des conflits vérifie si le personnel, les membres du conseil d'administration, les consultants, les candidats, les courtiers ou les contreparties ont des intérêts dans le résultat. L'exécution ne modifie le dossier qu'une fois que les niveaux précédents ont produit une décision enregistrée. L'audit examine un échantillon et tous les cas exceptionnels après coup.

La frontière entre le conseil d'administration et le personnel est cruciale. Un conseil d'administration devrait établir les politiques, le budget et les règles de surveillance. Il ne devrait pas devenir un bureau d'escalade privé pour des dossiers de ressources particuliers. La tentation est évidente en cas de crise: les administrateurs reçoivent des plaintes, des arguments juridiques, du lobbying et des pressions politiques. Mais une fois que les administrateurs peuvent orienter les modifications en direct des enregistrements, la politique du conseil d'administration entre dans le grand livre. C'est un risque de corruption même si chaque administrateur agit de bonne foi. Le contrôle consiste à exiger que toute affaire de ressource visible par le conseil soit enregistrée, acheminée vers le processus approprié du personnel et divulguée de manière agrégée ou, lorsqu'elle est significative, avec suffisamment d'informations publiques pour montrer qu'aucun canal privé n'a modifié le résultat.

La frontière entre le personnel et les membres importe également. Un agent du personnel traitant les enregistrements de ressources devrait avoir déclaré ses intérêts extérieurs, des limites de non-concurrence avec les courtiers et les consultants, un accès restreint aux enregistrements dormants, une utilisation surveillée des outils privilégiés et des congés obligatoires ou une rotation pour les fonctions sensibles. Rien de tout cela ne présuppose la culpabilité. Cela suppose que la familiarité avec les points faibles du registre a une valeur économique. Les rapports publics sur la manipulation historique de l'espace IPv4 africain ont rendu cette supposition incontournable.

La séparation protège également le personnel. Un employé du registre dans une institution à haut niveau de conflit ne devrait pas être forcé de porter seul tout le risque d'une décision controversée. Le double examen, les motifs écrits et les journaux de conflits répartissent la responsabilité et rendent les représailles plus difficiles. Le personnel qui peut pointer une chaîne régie par des règles est moins exposé à la pression des administrateurs, des plaideurs, des courtiers, des gouvernements ou des groupes militants. De bons contrôles ne sont donc pas anti-personnel. Ils sont anti-pression.

Le même principe devrait s'appliquer à la technologie. Les informations d'identification qui peuvent modifier les enregistrements du registre devraient être séparées de celles qui approuvent les exceptions aux politiques, publient des avis publics, gèrent le matériel RPKI, traitent les modifications du DNS inverse ou modifient le statut de membre électoral. Un compte compromis ne devrait pas devenir une clé principale. Un membre du personnel de confiance ne devrait pas devenir indispensable parce que personne d'autre ne peut vérifier ce que cette personne a fait. La séparation des tâches est en fin de compte un refus de laisser la confiance devenir un point de défaillance unique.

Le double contrôle devrait couvrir chaque intervention à haute conséquence

Le double contrôle est le pendant pratique de la séparation des tâches. Il stipule que certaines actions nécessitent deux approbations indépendantes ou plus avant leur exécution. Le modèle est courant dans les secteurs bancaire, de la garde, des opérations de sécurité et des infrastructures critiques, car certaines erreurs et abus sont trop coûteux pour un contrôle à clé unique. Un registre régional devrait appliquer le même principe aux actions qui modifient l'état reconnu des ressources de numéros rares.

La liste des actions n'est pas difficile à définir. Le double contrôle devrait couvrir les transferts, les étapes de récupération ou de révocation, la restauration de ressources précédemment contestées, les modifications des dossiers des organisations titulaires, l'acceptation d'un nouveau représentant autorisé, les modifications importantes de la délégation DNS inverse, les actions sur les certificats RPKI ou les ROA ayant des conséquences sur la continuité, la publication d'un marqueur de litige, la suppression d'un marqueur de litige, les modifications des enregistrements dormants ou historiquement entachés, et toute exception au processus normal. Si un changement peut affecter la valeur d'un actif, la continuité pour le client ou le pouvoir de négociation juridique, il ne devrait pas être le fait d'une seule personne.

Le double contrôle doit être indépendant, et non théâtral. Deux personnes dans la même chaîne hiérarchique approuvant sous la pression du même responsable peuvent ne pas suffire. Un véritable contrôle sépare les fonctions. Une personne vérifie les preuves. Une autre vérifie l'autorité et la conformité procédurale. Pour les actions à risque le plus élevé, un troisième contrôle vérifie les conflits et confirme qu'aucune ordonnance du tribunal, instruction du séquestre ou litige en cours n'exige la préservation du dernier état vérifié. Le but n'est pas de créer un labyrinthe de veto. Le but est de s'assurer qu'un acteur corrompu ou sous pression ne peut pas déplacer le grand livre seul.

Le contrôle devrait être visible dans les métadonnées même lorsque les détails sont privés. Un journal des modifications public ou destiné aux membres peut montrer qu'une action à haute conséquence a passé un double contrôle, qu'une vérification des conflits a été effectuée, qu'un ensemble de preuves occultées existe, qu'un chemin de révision est disponible et que l'état antérieur est archivé. Le marché n'a pas besoin des noms personnels de chaque examinateur du personnel dans chaque cas. Il a besoin d'une assurance vérifiable que le changement n'était pas un acte à clé unique non documenté.

La gestion des exceptions est là où le double contrôle est le plus important. Les urgences sont un canal de corruption classique. Une compromission de compte, une ordonnance du tribunal, une instruction du séquestre, une date limite électorale, un événement de sécurité ou une menace juridique peuvent tous justifier la rapidité. La rapidité peut être légitime. Elle peut aussi être exploitée. Le contrôle est une dérogation d'urgence qui nécessite une publication après action: quelle catégorie d'urgence, quelle action temporaire, quelle autorité, quand l'examen indépendant a eu lieu, quel état a été préservé, et si l'action est devenue permanente. Le secret d'urgence devrait expirer à moins qu'un tribunal ou une raison de sécurité n'exige une occultation continue.

RPKI mérite une mention spéciale. Une autorisation d'origine de route ou un état de certificat est technique, mais sa gouvernance n'est pas seulement technique. Les changements peuvent affecter la façon dont les parties utilisatrices traitent les routes. Un registre devrait traiter les contrôles de continuité RPKI comme faisant partie de la conception anti-corruption, car les services de sécurité peuvent devenir un levier s'ils sont liés à des litiges entre membres, des litiges de frais ou des désaccords commerciaux. Le double contrôle devrait empêcher quiconque d'utiliser un service de sécurité de routage comme un outil d'application privé. Les assertions de sécurité devraient être neutres, vérifiables et isolées de tout conflit institutionnel sans rapport.

Le DNS inverse, Whois et RDAP nécessitent également une réflexion en termes de double contrôle. Ces services peuvent sembler moins dramatiques qu'un transfert de ressources, mais ils font partie de la confiance opérationnelle. Une mise à jour de contact malveillante ou inappropriée peut rediriger la responsabilité. Une modification du DNS inverse peut affecter la réputation, la délivrabilité des courriels et les opérations de service. Un enregistrement Whois ou RDAP peut façonner le dossier de diligence raisonnable dans une transaction. Les contrôles devraient être proportionnels aux conséquences, mais le principe demeure: plus un changement affecte la dépendance externe, moins il devrait dépendre d'un seul acteur.

L'histoire du séquestre et des élections d'AFRINIC renforce l'argument. Lorsque la gouvernance ordinaire est contestée, le marché ne peut pas se fier à des suppositions informelles sur qui est aux commandes. Le double contrôle devient un substitut à la légitimité établie. Il indique aux membres que, même si le conseil d'administration, le séquestre ou la procédure judiciaire est contesté, les modifications opérationnelles du grand livre nécessitent toujours des preuves étroites et une approbation indépendante. C'est ainsi qu'un registre préserve la confiance pendant que l'institution qui l'entoure se bat.

La provenance des transferts est une infrastructure anti-corruption

Un transfert IPv4 est un événement de règlement économique. On peut l'appeler une mise à jour de registre, mais l'argent, les engagements des clients, le traitement fiscal, les arrangements de séquestre et le routage futur dépendent tous de la reconnaissance de la mise à jour. Cela fait de la provenance des transferts le système anti-corruption du registre. Si la chaîne de transfert est claire, les tentatives d'acheter de l'influence ont moins de place pour opérer. Si la chaîne est opaque, l'accès privé devient précieux.

La provenance des transferts devrait commencer avant que la demande de transfert n'atteigne le registre. Le contrôle du vendeur doit être attesté. L'identité et l'autorité de l'acheteur doivent être vérifiées. Le statut de la ressource doit être vérifié pour les litiges, les gels, les ordonnances du tribunal, les obligations impayées et les assertions de sécurité existantes. La chaîne de contrôle antérieure devrait être disponible au moins sous forme occultée lorsque les anciens enregistrements sont pertinents. Le registre devrait enregistrer quel type de preuve a satisfait chaque exigence et si une exception a été accordée. Un transfert propre n'est pas celui où tout le monde aime les parties. C'est celui où chaque changement d'état peut être reconstitué.

C'est là que la controverse d'AFRINIC sur l'utilisation hors région, la location et les restrictions de transfert recoupe les contrôles de la corruption. Un registre qui utilise un large pouvoir discrétionnaire pour décider si un modèle commercial est acceptable crée une valeur de négociation privée autour du processus d'approbation. Les entités essaieront de savoir quel membre du personnel est sympathique, quelle faction du conseil d'administration compte, quel consultant peut interpréter la règle, quel argument politique aidera et quel retard peut être transformé en arme. Des critères de transfert objectifs réduisent cette surface de corruption. Ils rendent le registre moins intéressant en tant que gardien.

Des critères objectifs ne signifient pas l'absence de contrôles. La prévention de la fraude doit être stricte. Un document falsifié, un faux successeur, des justificatifs d'identité volés, un litige non divulgué ou une fausse identité devraient arrêter la transaction. Mais l'arrêt devrait être lié à des preuves, et non à des sentiments. Un dossier de transfert devrait échouer parce qu'un élément requis est manquant ou contradictoire, non parce que le registre n'aime pas la location, craint la mobilité des actifs ou veut préserver le contrôle régional sur la valeur. Lorsque la moralité commerciale fait partie du test d'approbation, le test d'approbation devient vulnérable au lobbying.

L'analyse de 2021 de l'Internet Governance Project sur le litige Cloud Innovation illustre le problème. Elle a décrit les préoccupations d'AFRINIC concernant l'utilisation enregistrée, l'utilisation réelle, les déclarations de besoin et les obligations de service régional, et elle a également décrit l'argument de Cloud Innovation selon lequel exiger une approbation pour les changements dans l'utilisation du client ou du service pourrait faire du registre un planificateur central sur les réseaux opérationnels. Il n'est pas nécessaire d'adopter la position juridique complète de l'une ou l'autre partie pour voir la leçon en matière de contrôle de la corruption. Si le pouvoir de transfert ou de contrôle d'utilisation du registre est ouvert, les acteurs privés seront en concurrence pour influencer ce pouvoir. Si le rôle du registre est étroit et fondé sur des preuves, l'influence a moins à acheter.

La provenance des transferts devrait inclure des preuves négatives. Si un transfert est refusé, le refus doit indiquer l'élément exact qui a échoué. Si un marqueur de litige est ajouté, la source du litige doit être identifiée au niveau de la catégorie: ordonnance du tribunal, revendication d'autorité d'entreprise rivale, allégation de fraude, problème de frais impayés, obstacle politique ou incohérence technique. Si un transfert est suspendu, le dernier état vérifié doit rester public. Si un litige est résolu ultérieurement, le chemin de résolution doit être enregistré. Les marchés peuvent évaluer un problème connu. Ils décotent l'inconnu.

Les courtiers et les grands détenteurs devraient être à l'intérieur de la conception du contrôle, pas à l'extérieur. Les courtiers réduisent les coûts de recherche, mais ils peuvent aussi devenir des canaux d'influence. Les grands détenteurs fournissent de la liquidité, mais leurs dossiers peuvent porter des historiques complexes. Le registre devrait exiger la divulgation du courtier lorsque celui-ci agit pour une partie, devrait enregistrer si le courtier est payé par le vendeur, l'acheteur ou les deux, et devrait interdire les conflits d'intérêts entre le personnel, le conseil d'administration et les courtiers. Une telle divulgation ne criminalise pas le courtage. Elle traite le courtage comme un rôle économiquement important sur un marché de rareté.

La crédibilité future des transferts d'AFRINIC dépendra moins de la victoire de l'institution dans un argument narratif que de la capacité des contreparties ordinaires à conclure sans craindre un pouvoir discrétionnaire caché. Un acheteur ne devrait pas avoir besoin d'une carte politique du registre pour comprendre une transaction. Un vendeur ne devrait pas avoir besoin d'un initié pour savoir si un bloc peut être déplacé. Un prêteur ne devrait pas évaluer le risque qu'une objection non enregistrée apparaisse au dernier moment. La provenance des transferts est la façon dont le marché sépare la vérification légitime de la recherche de rente du gardien.

Les vérifications des conflits doivent être liées aux décisions, pas aux slogans

Le langage de la communauté est trop faible pour contrôler le risque de corruption. Une communauté peut être sincère, capturée, apathique, fragmentée ou organisée par une minorité. Une vérification des conflits est plus froide. Elle demande qui a un intérêt dans la décision et si cet intérêt a été divulgué avant que le pouvoir ne soit exercé. Dans un registre, les vérifications des conflits devraient couvrir le personnel, les administrateurs, les candidats, les membres des comités, les séquestres, les consultants, les avocats agissant dans des rôles de gouvernance, les responsables des nominations, les fournisseurs de services électoraux, les courtiers et les principaux détenteurs de ressources lorsqu'ils participent à des décisions qui affectent la valeur.

La gouvernance des conflits d'intérêts est un sujet plus large. Le point de contrôle de la corruption ici est plus étroit: sans enregistrements des conflits liés aux décisions, les autres contrôles ne peuvent pas être fiables. Une approbation en double contrôle est plus faible si les deux approbateurs ont des relations non déclarées avec un courtier. Une décision de transfert est plus faible si un examinateur a un intérêt commercial dans le résultat. Une décision électorale est plus faible si les responsables des nominations ou les mandataires ont des liens non divulgués avec un plaideur ou une liste. Une décision du séquestre est plus faible si les conseillers sont perçus comme alignés sur une faction. La confiance du public exige plus que des assurances de neutralité.

La divulgation des conflits doit être structurée. Une déclaration vague selon laquelle les responsables agiront dans l'intérêt de la communauté n'aide pas le marché. Le dossier doit identifier les catégories: emploi, conseil, représentation juridique, service au conseil d'administration, soutien de campagne, intérêt de détention de ressources, commission de courtier, relation familiale, intérêt dans un litige, relation avec un fournisseur, plaidoyer public antérieur et exposition financière aux résultats des transferts. Tous les conflits divulgués ne disqualifient pas la personne. Une certaine expertise vient de la participation. Le contrôle consiste à révéler l'intérêt, à déterminer si la récusation est requise et à enregistrer la décision.

Les rapports sur l'élection de 2025 d'AFRINIC montrent les enjeux pratiques. The Register a rapporté que le séquestre avait nommé des avocats britanniques de haut rang à un comité de nomination en raison de préoccupations concernant une ingérence potentielle. Des rapports ultérieurs ont décrit des questions soulevées autour de conflits potentiels dans le processus de nomination et une procédure judiciaire autour des modalités électorales. Le même ensemble de rapports a décrit des allégations entourant les procurations et la documentation des électeurs. Il ne s'agissait pas simplement de controverses de campagne. Le contrôle du conseil d'administration affecte les budgets, les statuts, les politiques, la gouvernance des ressources, la posture en matière de litige et l'environnement du personnel dans lequel les enregistrements du registre sont tenus. Les conflits électoraux deviennent donc des conflits de grand livre.

La distinction entre membre et loi ajoute une autre couche. Les rapports publics de 2025 ont décrit un débat sur les membres ressources, les membres enregistrés en vertu du droit mauricien des sociétés et les droits en vertu des statuts d'AFRINIC. Si les droits de gouvernance sont juridiquement ambigus, les contrôles des conflits deviennent plus importants, et non moins. Une personne peut avoir un type d'adhésion, un autre type d'intérêt dans les ressources et un troisième type d'alignement politique ou commercial. Un registre qui ne parvient pas à cartographier ces intérêts invite des allégations ultérieures selon lesquelles les décisions étaient procéduralement pures uniquement parce que l'institution a ignoré les intérêts qui importaient.

Les vérifications des conflits devraient également s'appliquer aux processus politiques, mais la limite devrait être modeste. Une politique de transfert, une règle de contact d'abus, une règle de portabilité ou un mécanisme de révocation peut déplacer une valeur significative. Les auteurs de politiques et les entités actifs peuvent avoir des raisons légitimes de participer tout en détenant des adresses, en courtant des transactions, en représentant des opérateurs ou en s'opposant à certains modèles commerciaux. La divulgation permet aux lecteurs d'évaluer l'argument. Elle réduit également le risque que le langage politique devienne un instrument caché pour un avantage privé. Le contrôle ne consiste pas à alourdir chaque commentaire de liste de diffusion d'un cérémonial juridique. Il consiste à rendre les intérêts matériels visibles avant que les recommandations à haute conséquence ne deviennent une action institutionnelle.

La divulgation publique ne doit pas devenir un outil de harcèlement. Les adresses personnelles, les documents d'identité privés et les informations sensibles en matière de sécurité peuvent être retenus. Mais l'intérêt économique ne doit pas être secret. Un membre du conseil d'administration lié à un courtier peut divulguer la catégorie sans publier les relevés bancaires. Un membre de comité qui a représenté un plaideur peut divulguer ce fait. Un auteur de politique ayant une grande exposition à la détention de ressources peut déclarer la fourchette d'exposition. Le registre devrait concevoir la divulgation pour informer, et non pour punir.

Le point économique clé est que les conflits sont inévitables dans les petites communautés d'experts. Le problème n'est pas que les gens ont des intérêts. Le problème est l'intérêt caché combiné à un pouvoir discrétionnaire à haute conséquence. Un registre qui prétend que la vertu de la communauté élimine les conflits est moins crédible qu'un registre qui suppose que les conflits existent et les gère ouvertement. Dans la gouvernance des adresses rares, un conflit déclaré est un coût. Un conflit caché est une prime de risque.

L'autorité électorale fait partie de la garde du grand livre

Il est tentant de traiter les mécanismes électoraux comme un théâtre constitutionnel distinct des opérations du registre. AFRINIC prouve que la séparation est fausse. Une élection du conseil d'administration détermine qui supervise les budgets, les cadres, la stratégie juridique, la ratification des politiques, l'appétit pour le risque, la formation des comités et la culture opérationnelle autour du grand livre. Si l'autorité d'un conseil d'administration est mise en doute, chaque action ultérieure du registre à haute conséquence porte une décote de gouvernance. Cette décote est un coût du risque de corruption avant même qu'aucune modification inappropriée des enregistrements ne se produise.

Le cycle électoral de 2025 a fourni un problème de contrôle concret. The Register a rapporté qu'AFRINIC n'avait pas pu élire de conseil d'administration depuis 2022, qu'un séquestre a organisé des élections, que le vote de juin 2025 a été suspendu peu avant son achèvement en raison de préoccupations concernant les procurations ou les pouvoirs donnés aux délégués, et que le séquestre a par la suite annulé l'élection après des préoccupations concernant la documentation des électeurs. ISPA South Africa aurait allégué que des représentants autorisés ont trouvé des votes ou des procurations enregistrés d'une manière qu'ils contestaient. AFStar aurait allégué des procurations frauduleuses. Ces allégations exigent une prudence en matière de jugement. Elles ne sont pas toutes des conclusions avérées. Mais elles montrent pourquoi l'autorité électorale doit être auditée comme une transaction de registre.

Une procuration dans une élection de registre n'est pas une simple commodité de vote. Elle peut décider qui contrôle le conseil d'administration qui contrôle l'institution qui contrôle le grand livre. Elle devrait donc avoir une chaîne de provenance: identité de l'émetteur, autorité du signataire, portée, date, conditions de révocation, méthode de vérification, canal de soumission, agent récepteur, vérification des conflits, notification du membre, période de contestation et acceptation finale. Si un membre apprend seulement au bureau de vote que quelqu'un d'autre prétend voter en son nom, le contrôle a déjà échoué économiquement. Le vote peut encore faire l'objet d'une enquête, mais la confiance a été endommagée.

Les registres des membres sont tout aussi importants. Un registre peut avoir des membres ressources, des membres enregistrés en vertu du droit des sociétés, des membres votants, des contacts de compte et des contacts techniques. Ces catégories ne devraient pas se brouiller lorsque le contrôle est contesté. Le dossier public autour d'AFRINIC a inclus une controverse sur le statut de Cloud Innovation dans les registres des sociétés mauriciens et des clarifications ou des litiges ultérieurs sur ce que ce statut signifiait. La leçon n'est pas que la théorie juridique d'une partie devrait prévaloir en toutes circonstances. C'est que le statut de membre est une surface de contrôle et doit être rapproché entre les registres des sociétés, les statuts, les comptes de ressources, les règles de vote et les ordonnances des tribunaux.

Les contrôles anti-corruption pour les élections devraient refléter les contrôles des ressources. Aucun agent unique ne devrait accepter des procurations illimitées sans vérification indépendante. Aucune délégation groupée de dernière minute ne devrait être traitée comme une routine. Chaque procuration ou pouvoir devrait déclencher un avis direct à l'émetteur présumé via un canal vérifié. Les membres devraient disposer d'une fenêtre de contestation claire. Les responsables électoraux devraient publier des statistiques agrégées sur les procurations: combien ont été déposées, combien ont été rejetées, combien ont été contestées, combien ont été retirées, combien sont détenues par le même représentant et quel plafond s'applique. Lorsque le secret est nécessaire pour les bulletins de vote, la vérification de l'autorité peut toujours être transparente de manière agrégée.

La sollicitation des justificatifs d'identité est un autre risque. The Register a rapporté que l'Association des fournisseurs de services Internet d'Afrique du Sud a averti les membres de protéger leurs justificatifs d'identité AFRINIC, car des entités obtenant les justificatifs d'identité de plusieurs membres pourraient manipuler les votes. AFRINIC avait également averti les membres des sollicitations pour accéder aux justificatifs d'identité. Le contrôle des justificatifs d'identité n'est pas une note de bas de page du support aux utilisateurs. Un justificatif d'identité de registre peut devenir un instrument de gouvernance. L'accès au portail des membres, l'identité de vote, l'autorité de contact et les autorisations de modification des ressources doivent être segmentés afin qu'un seul justificatif d'identité compromis ne puisse pas devenir un pouvoir institutionnel total.

La légitimité du conseil d'administration ne résout pas à elle seule le risque de corruption, mais une autorité illégitime ou mise en doute l'amplifie. Un conseil d'administration propre peut encore prendre de mauvaises décisions politiques. Un conseil d'administration contesté peut prendre de bonnes décisions opérationnelles que le marché décote. L'objectif du contrôle n'est pas de garantir que tout le monde aime le résultat. C'est de rendre la chaîne allant de l'autorité des membres à l'autorité du conseil d'administration suffisamment reconstructible pour que les perdants ne puissent pas raisonnablement prétendre à une manipulation invisible et que les gagnants ne puissent pas raisonnablement utiliser la victoire comme un bouclier contre l'audit.

Pour AFRINIC, ce n'est pas une leçon de gouvernance abstraite. Le rétablissement du registre dépend de la capacité à convaincre les détenteurs de ressources que l'institution peut distinguer un vote valide d'une instruction falsifiée ou non autorisée, un membre valide d'un membre mal classé, et un acte valide du conseil d'administration d'un acte factionnel. La même discipline utilisée pour protéger le grand livre doit protéger l'organe qui contrôle le grand livre.

Le séquestre concentre l'autorité et nécessite donc plus de contrôles

Le séquestre est souvent décrit comme un filet de sécurité d'urgence. Dans le cas d'AFRINIC, la Division des faillites de la Cour suprême de Maurice a nommé un séquestre après une paralysie de la gouvernance. Des déclarations publiques de la Number Resource Organization ont décrit le rôle du séquestre comme étant de maintenir le statu quo des actifs d'AFRINIC, de préserver la valeur de l'entreprise, de superviser le processus électoral, de faciliter la mise en place d'un conseil d'administration approprié et de soutenir la continuité opérationnelle. Cette image factuelle est importante. Pourtant, le séquestre n'est pas automatiquement un remède anti-corruption. Il remplace un problème d'autorité par une autorité temporaire plus concentrée. Cette concentration doit être contrôlée.

La fonction légitime du séquestre est la conservation. Le registre devrait continuer à servir les membres, maintenir les services techniques, protéger les actifs, organiser le rétablissement de la gouvernance et éviter une dérive institutionnelle irréversible pendant que la structure de gouvernance ordinaire est réparée. Le risque de corruption apparaît lorsque la conservation devient un canal pour le pouvoir discrétionnaire politique, l'avantage factionnel, la pression des créanciers, l'ingénierie électorale ou la réallocation silencieuse du contrôle. Un séquestre peut être honnête et néanmoins avoir trop de pouvoir. Les contrôles ne devraient pas dépendre de la supposition du caractère.

Les contrôles de l'ère du séquestre devraient commencer par une carte publique du mandat. Que peut faire le séquestre seul? Qu'est-ce qui nécessite l'approbation du tribunal? Qu'est-ce qui nécessite la consultation des membres? Qu'est-ce qui doit être préservé dans le dernier état vérifié? Quelles décisions sont temporaires et expirent lorsqu'un conseil d'administration est rétabli? Quels conflits ont été déclarés par les conseillers? Quelles modifications des enregistrements du registre sont des opérations ordinaires et quelles modifications sont exceptionnelles? Sans une telle carte, chaque acte du séquestre porte une prime d'ambiguïté évitable.

Les controverses électorales montrent pourquoi cela importe. Le séquestre devait orienter l'institution vers la reconstitution du conseil d'administration. Cette tâche nécessitait des règles de nomination, des décisions d'éligibilité, des mécanismes de vote, la sélection des fournisseurs et le traitement des procurations. Chaque étape pouvait affecter qui contrôlerait ultérieurement le registre. Un séquestre ne peut pas éviter de faire des choix. La question anti-corruption est de savoir si les choix sont étayés par des preuves, contestables et séparés de l'influence privée. Une élection ratée n'est pas seulement un retard; elle apprend au marché que le filet de sécurité d'urgence peut lui-même devenir une surface de contrôle contestée.

La continuité opérationnelle a également besoin d'être cloisonnée. Les enregistrements de ressources, les services de publication, RPKI, le DNS inverse, Whois, RDAP, IRR et le support ordinaire aux membres devraient rester sous des procédures opérationnelles documentées, à moins qu'un tribunal ou une urgence vérifiée n'exige un changement. La stratégie juridique dans un litige majeur ne devrait pas influencer silencieusement le traitement des enregistrements de membres non liés. Un séquestre gérant la survie institutionnelle ne devrait pas permettre au registre d'utiliser les interfaces de service de routine comme des points de pression contre des plaideurs ou des critiques, à moins qu'une base juridique spécifique n'existe et ne soit enregistrée.

Les contrôles financiers importent également. L'Internet Governance Project a décrit comment le gel des comptes bancaires de 2021 a menacé les opérations d'AFRINIC avant que le bien-fondé des réclamations sous-jacentes ne soit résolu. Les difficultés financières peuvent créer un risque de corruption parce que les fournisseurs, les avocats, les créanciers et les alliés institutionnels gagnent en influence. Le financement d'urgence, le soutien d'autres RIR, les budgets juridiques et les contrats avec les fournisseurs devraient donc être assortis de contrôles de divulgation et d'approbation. La question n'est pas de savoir si le soutien extérieur est mauvais. La question est de savoir si l'argent crée une influence sur la politique du registre, la posture en matière de litige ou le traitement des ressources.

Le séquestre devrait préserver les preuves pour la gouvernance ultérieure. Un conseil d'administration rétabli devrait hériter d'un dossier clair de ce que le séquestre a modifié, pourquoi il l'a modifié, ce qui reste temporaire, quels litiges sont en cours, quels contrôles ont été contournés sous une autorité d'urgence et quels engagements lient l'institution. Si le conseil d'administration ne reçoit que des résultats sans preuves, il peut ratifier une capture cachée sans le savoir. S'il reçoit un journal de passation complet, il peut distinguer les décisions de continuité des choix politiques.

L'ère du séquestre d'AFRINIC enseigne donc une leçon anti-corruption spécifique. La gouvernance d'urgence n'est pas un substitut aux contrôles. C'est une raison de les intensifier. Un registre sous séquestre doit prouver non seulement que les services continuent, mais que la continuité n'a pas été achetée en déplaçant l'autorité décisive dans un endroit où les membres ordinaires, les tribunaux, le personnel et les marchés ne peuvent pas voir comment le grand livre est protégé.

Les preuves publiques réduisent la prime d'opacité

L'opacité a un prix. Sur un marché IPv4, ce prix se manifeste par des transferts retardés, des garanties plus larges, des retenues de séquestre plus importantes, des blocs décotés, des réserves pour litiges, une diligence raisonnable dupliquée, une réticence à prêter sur des entreprises dépendantes des adresses et une inquiétude des clients concernant la continuité. Le registre peut considérer l'opacité comme de la flexibilité. Le marché la considère comme de l'incertitude. Si l'incertitude est liée à un actif rare, elle devient une prime.

Les preuves publiques réduisent cette prime en rendant les catégories de risque lisibles. Elles n'exigent pas une transparence totale. Un registre mature peut publier suffisamment pour soutenir la confiance tout en protégeant les informations sensibles. Pour chaque action à haute conséquence, il peut enregistrer l'état modifié, la catégorie d'autorité, la catégorie de preuves, le chemin de contrôle, le statut des conflits, la disponibilité de l'examen, la préservation de l'état antérieur et l'effet public. Un journal des modifications occulté peut être plus précieux qu'une longue déclaration institutionnelle, car il permet aux contreparties de vérifier le processus plutôt que d'absorber un récit.

Le dossier public d'AFRINIC contient plusieurs exemples où les lacunes de preuves étaient elles-mêmes coûteuses. Les rapports de 2019 sur la manipulation d'adresses ont soulevé des questions sur la façon dont les enregistrements historiques avaient changé. Le litige Cloud Innovation a soulevé des questions sur la base et la portée de l'examen des ressources. L'annulation de l'élection de 2025 a soulevé des questions sur les procurations et les conclusions de l'enquête. Des lettres de l'ICANN rapportées dans la couverture publique ont insisté sur la transparence autour de l'intégrité des élections. Des rapports ultérieurs sur des pétitions de liquidation et une intervention gouvernementale ont soulevé des questions sur la possibilité de traiter la gouvernance des ressources de numéros comme un problème d'actif de l'entité corporative. Dans chaque cas, le marché avait besoin de plus qu'une posture. Il avait besoin de frontières fondées sur des preuves.

Les preuves publiques devraient classer les réclamations par statut. Une allégation, une enquête, une ordonnance provisoire, un jugement définitif, une décision du registre, une décision du séquestre, une ratification de politique, une plainte de membre et un reportage médiatique sont des choses différentes. Un registre qui les confond invite à la méfiance. Un critique qui les confond fait de même. Le contrôle de la corruption exige des étiquettes disciplinées, car la conséquence en termes de valeur d'une réclamation dépend de son statut procédural. Une ressource faisant l'objet d'une allégation n'est pas la même chose qu'une ressource jugée détournée. Une procuration contestée n'est pas la même chose qu'une contrefaçon avérée. Un communiqué du séquestre n'est pas la même chose qu'une ordonnance judiciaire définitive.

Le journal public des modifications devrait également distinguer la correction d'enregistrement de l'application. Si le registre corrige un contact obsolète, il s'agit d'une action de maintenance du grand livre. S'il gèle un transfert parce qu'un signataire est contesté, il s'agit de l'isolement du litige. S'il révoque des ressources en raison d'une violation contractuelle, il s'agit de l'application. S'il met à jour RPKI ou le DNS inverse parce que le titulaire l'a demandé sous une autorité vérifiée, il s'agit d'une opération de service. Mélanger ces catégories transforme chaque changement en une punition possible et chaque punition en un acte clérical possible. La corruption prospère là où les catégories se brouillent.

Les points de surveillance sont concrets: des approbations exceptionnelles inexpliquées, une concentration de l'autorité de procuration, des relations de courtage non divulguées, l'accès du personnel à des enregistrements dormants de grande valeur, des interprétations rétroactives des politiques, des actions d'urgence qui n'expirent jamais, des marqueurs de litige supprimés sans motif, des modifications de RPKI ou du DNS inverse liées à des conflits sans rapport, et des décisions du conseil d'administration prises alors que l'autorité des membres est contestée. Ce ne sont pas des slogans. Ce sont les endroits où l'avantage privé peut entrer dans un dossier public.

Les preuves publiques disciplinent également les organes officiels et les critiques. Un registre qui publie des preuves de contrôle ne peut pas facilement se cacher derrière « la communauté » ou « la stabilité ». Un plaideur ou un acteur du marché ne peut pas facilement prétendre à la persécution là où le chemin des preuves est étroit, cohérent et révisable de manière indépendante. Les organismes de coordination, les gouvernements et les groupes industriels ne peuvent pas soutenir ou condamner de manière responsable une action sans examiner le dossier. Le débat devient moins théâtral parce que les preuves sont organisées.

Pour AFRINIC, un régime de preuves publiques serait une issue à l'épuisement narratif. L'institution a été décrite à travers trop de récits totalisants: registre corrompu, registre victime, registre capturé, registre en voie de rétablissement, registre litigieux, symbole de souveraineté africaine, coquille de droit privé, teneur de livres technique. Aucun de ces récits ne peut soutenir à lui seul la confiance du marché. Les preuves le peuvent. Le registre n'a pas besoin que tout le monde s'accorde sur sa vertu. Il a besoin que suffisamment de personnes vérifient que le pouvoir à conséquences est contraint.

Une norme de contrôle pratique pour les registres de numéros rares

La norme dont AFRINIC a besoin n'est pas une vague promesse de transparence. C'est une architecture anti-corruption spécifique au registre, liée aux conséquences économiques de la rareté des IPv4. La conception devrait partir d'une règle simple: toute action qui peut modifier la dépendance du marché, juridique ou opérationnelle liée à une ressource de numéros nécessite une piste de preuves, des fonctions séparées, un double contrôle, un examen des conflits, la préservation de l'état antérieur et un chemin de révision. Les actions à faible risque peuvent être plus légères. Les actions à haute conséquence doivent être traitées comme un règlement d'infrastructure.

Le premier élément est un registre des actions à haute conséquence. Il devrait définir les actions qui déclenchent des contrôles renforcés: allocation à partir d'un pool rare, approbation ou refus de transfert, récupération de ressources, publication ou suppression d'un état de litige, changement de nom du titulaire, reconnaissance d'un successeur, activation d'un enregistrement dormant, modifications importantes de RPKI, modifications importantes du DNS inverse, acceptation de documents d'autorité étendue, acceptation de procuration électorale, dérogation d'urgence et toute action impliquant un plaideur ou un responsable en conflit d'intérêts. La définition devrait être publique afin que les membres sachent quand les contrôles renforcés s'appliquent.

Le deuxième élément est une matrice d'autorité. Elle devrait cartographier qui peut approuver quoi: les hostmasters, les gestionnaires d'enregistrement, les examinateurs juridiques, le personnel de sécurité, les cadres, le séquestre, le conseil d'administration, le tribunal et l'examinateur indépendant. La matrice devrait interdire l'implication du conseil d'administration ou du séquestre dans les dossiers de ressources ordinaires, sauf par des canaux enregistrés et définis. Elle devrait interdire au personnel d'exécuter une action qu'il a approuvée seul. Elle devrait exiger une escalade lorsqu'une partie est un administrateur, un candidat, un courtier, un plaideur majeur, un contractant ou une entité liée.

Le troisième élément est la classification des preuves. Le registre devrait identifier quelle preuve soutient quelle revendication: existence de l'entreprise, autorité du signataire, chaîne de titre ou de contrôle, relation de succession, statut des frais, statut de la ressource, ordonnance du tribunal, revendication de litige, indicateur de fraude, autorité de vote du membre, autorité de procuration, continuité technique et état de sécurité. Les preuves peuvent être privées, mais la catégorie doit être enregistrée. Cela aide les contreparties à comprendre si une décision est fondée sur des faits, le droit, la politique, une contrainte technique ou une allégation non résolue.

Le quatrième élément est la journalisation infalsifiable et les résumés publics des modifications. Un registre devrait tenir des journaux internes durables pour toutes les actions à haute conséquence et publier des résumés occultés pour les modifications visibles du marché. Le résumé ne devrait pas révéler de données personnelles sensibles. Il devrait révéler suffisamment pour montrer que l'action a été autorisée, examinée et récupérable. Un tribunal, un auditeur ou un examinateur indépendant ultérieur devrait pouvoir reconstituer le chemin de la demande à l'exécution.

Le cinquième élément est la gestion des conflits au niveau du dossier. Le personnel, les administrateurs, les candidats, les membres des comités, les responsables électoraux, les consultants et les fournisseurs devraient déposer des déclarations périodiques de conflits, mais le contrôle décisif est la vérification avant une décision spécifique. Les récusations et les non-récusations devraient être enregistrées. Les relations de courtage, le plaidoyer rémunéré, les intérêts dans les litiges et l'exposition à la détention de ressources devraient être traités comme importants. L'objectif n'est pas d'expulser tous ceux qui ont de l'expertise. C'est de s'assurer que l'expertise ne devienne pas une influence cachée.

Le sixième élément est l'audit indépendant. Un registre peut s'auditer lui-même pour les opérations, mais l'audit du risque de corruption devrait inclure un examen externe d'échantillons et de tous les cas exceptionnels. L'audit devrait vérifier si les contrôles ont été suivis, si les exceptions étaient justifiées, si les conflits ont été déclarés, si les enregistrements dormants étaient protégés, si les refus de transfert correspondaient aux critères publiés, si les documents d'autorité électorale ont été vérifiés et si les modifications de l'ère du séquestre sont restées dans le mandat. Les conclusions devraient être publiques de manière agrégée avec des mesures correctives spécifiques si nécessaire.

Le septième élément est l'isolement des litiges. Lorsque les preuves sont contradictoires, le registre devrait préserver le dernier état opérationnel vérifié, publier une catégorie de litige le cas échéant, empêcher les modifications contradictoires et orienter l'affaire vers une décision indépendante. Il devrait éviter de convertir les litiges non résolus en révocation, redistribution ou perturbation des services de sécurité. L'isolement des litiges est un outil anti-corruption, car il refuse aux acteurs privés la récompense immédiate de modifier l'état alors que les preuves restent contestées.

Cette norme ne rendrait pas AFRINIC parfait. Aucun système de contrôle ne le peut. Elle rendrait l'influence indue plus difficile à cacher et plus facile à évaluer. Elle protégerait également l'application légitime du registre. Si un bloc a vraiment été détourné, une piste de preuves solide soutiendrait la correction. Si un transfert était légitime, des contrôles objectifs empêcheraient les opposants de le faire échouer par insinuation. La lutte contre la corruption fonctionne mieux lorsqu'elle protège l'institution et le membre l'un de l'autre.

La norme devrait également être proportionnée. Toute faute de frappe dans un contact n'a pas besoin d'un auditeur externe. Toute petite demande d'assistance n'a pas besoin d'un journal de niveau du conseil d'administration. La charge de contrôle devrait augmenter avec les conséquences: volume d'adresses rares, historique dormant, autorité contestée, règlement de transfert, effet sur la sécurité du routage, impact électoral, contexte de litige ou dérogation d'urgence. Le contrôle proportionné est plus rapide que le contrôle discrétionnaire, car le chemin est connu à l'avance. Il est également plus équitable, car la même catégorie de risque reçoit la même discipline, quelle que soit l'identité politique du demandeur.

La légitimité se situe à la frontière entre le grand livre et le gardien

La question institutionnelle plus profonde est de savoir où les contrôles des risques de corruption d'AFRINIC devraient tracer la frontière entre le grand livre et le gardien. Un grand livre protège l'unicité, enregistre le contrôle, publie les données de contact et de sécurité, préserve l'historique, marque les litiges et exécute les modifications objectives lorsque les preuves sont suffisantes. Un gardien décide quels modèles commerciaux, coalitions politiques, régions, factions ou stratégies de marché méritent le privilège de la reconnaissance. Le premier rôle peut être contrôlé. Le second invite l'influence, car il convertit le pouvoir discrétionnaire moral et politique en pouvoir économique.

La crise d'AFRINIC montre à quelle vitesse la frontière peut se déplacer. Les allégations historiques de manipulation des enregistrements ont créé un besoin légitime de réparation de la provenance. La rareté des IPv4 a créé un besoin légitime d'enregistrements d'allocation et de transfert minutieux. Les litiges ont créé un besoin légitime de conservation. Le séquestre a créé un besoin légitime de continuité. Les difficultés électorales ont créé un besoin légitime de vérification de l'autorité. Chaque besoin légitime peut être satisfait par un contrôle étroit. Chacun peut également devenir un argument pour un pouvoir discrétionnaire institutionnel plus large. Le risque de corruption réside dans le glissement de l'un à l'autre.

Un registre qui veut la légitimité devrait choisir des contrôles ennuyeux plutôt qu'un pouvoir discrétionnaire héroïque. Il devrait rendre difficile pour le personnel de modifier seul les enregistrements dormants. Il devrait rendre l'approbation des transferts suffisamment objective pour que les courtiers ne puissent pas vendre de l'influence. Il devrait rendre les vérifications des conflits suffisamment routinières pour que le langage de la communauté ne puisse pas cacher les intérêts privés. Il devrait rendre l'autorité électorale suffisamment vérifiable pour que la légitimité du conseil d'administration ne dépende pas des applaudissements. Il devrait rendre les actions de l'ère du séquestre suffisamment délimitées pour que la continuité d'urgence ne devienne pas une capture silencieuse. Il devrait rendre les preuves publiques suffisamment claires pour que les déclarations officielles et les revendications contradictoires puissent être testées par rapport au même dossier.

La récompense économique est la liquidité. Un enregistrement de registre propre, vérifiable et à gouvernance étroite permet aux IPv4 de se déplacer vers une utilisation de plus grande valeur avec moins de décotes. Il permet aux prêteurs, aux acheteurs, aux loueurs et aux clients de distinguer les défauts réels du brouillard institutionnel. Il permet aux détenteurs honnêtes de monétiser ou d'exploiter des ressources sans craindre qu'une contestation cachée n'apparaisse après que la valeur a été engagée. Il permet aux tribunaux de préserver le statu quo parce que le statu quo peut être identifié. Il permet à AFRINIC de continuer en tant que registre utile plutôt qu'en tant que gardien contesté.

Le coût de l'opacité est l'inverse. Si un marché croit qu'un fichier de registre peut être modifié par un accès privé, retardé par des pressions factionnelles, gelé par un large pouvoir discrétionnaire, certifié par une autorité floue ou gouverné par un conseil d'administration dont le mandat est contesté, il n'attendra pas une réponse philosophique sur la propriété. Il ajoutera une décote. Cette décote pèsera sur les opérateurs africains, les contreparties utilisant l'espace enregistré par AFRINIC, les clients dépendant de ces réseaux et l'institution elle-même. Le risque de corruption devient une taxe sur la légitimité du registre.

Le jugement final est institutionnel plutôt que moral. AFRINIC n'a pas besoin de contrôles anti-corruption parce que l'Afrique est particulièrement corrompue, parce qu'un plaideur est particulièrement vertueux ou parce que les organismes de coordination sont particulièrement suspects. Il en a besoin parce qu'un grand livre IPv4 rare est une infrastructure de marché, et toute institution qui contrôle un tel grand livre doit contraindre les personnes qui peuvent y toucher. Les pistes d'audit, la séparation des tâches, le double contrôle, la provenance des transferts, les journaux de modifications, les registres de conflits, la garde de l'autorité et les preuves publiques ne sont pas des réformes facultatives en périphérie. Ils sont le mécanisme par lequel un registre privé gagne la confiance pour rester un point de référence public.

À la frontière entre le grand livre et le gardien, la légitimité ne se produit pas en disant que le registre sert la communauté. Elle se produit en rendant chaque intervention conséquente sur le dossier responsable devant des preuves. La liquidité des IPv4 dépend de cette discipline. La continuité des opérateurs en dépend, car les réseaux en direct ne peuvent pas être des dommages collatéraux dans un combat institutionnel opaque. La légitimité du registre en dépend, car la croyance partagée s'effondre lorsque le dossier semble pouvoir être orienté en privé. L'économie des adresses rares a déjà rendu la leçon visible: un registre peut être petit, privé et utile si son pouvoir est étroit et vérifiable. S'il devient un gardien opaque de la valeur, le risque de corruption n'est plus un problème interne. C'est le prix du marché.