Résumé

  • La réforme ICP-2 est généralement présentée comme un assainissement de la gouvernance après la longue crise d'AFRINIC.
  • La scène la plus révélatrice de la crise d'AFRINIC n'est pas une salle d'audience, une réunion politique ou une déclaration publique d'un organe de gouvernance d'Internet.

Le marché caché derrière une entrée de registre

La scène la plus révélatrice de la crise d'AFRINIC n'est pas une salle d'audience, une réunion politique ou une déclaration publique d'un organe de gouvernance d'Internet. C'est un tableau financier quelque part à l'intérieur d'un opérateur de réseau, d'un fournisseur de cloud, d'une société d'hébergement, d'un groupe de télécommunications ou d'un détenteur d'adresses. D'un côté du tableau se trouvent les routeurs, les clients, les engagements de niveau de service, les bureaux de traitement des abus, les travaux de géolocalisation, les listes de contrôle d'accès, les contrats d'entreprise et le coût de la renumérotation. De l'autre côté se trouve une ligne dans une base de données de registre.

Cette ligne semble administrative. Elle indique qu'une organisation est enregistrée pour un certain bloc IPv4 ou un numéro de système autonome. Pourtant, la valeur attachée à cette ligne n'est pas administrative. Elle provient du fait que d'autres réseaux acheminent le préfixe, que les contreparties considèreront le détenteur comme légitime, que les acheteurs verront l'enregistrement comme utilisable et que les clients ne seront pas contraints de subir la perturbation d'une renumérotation. Une entrée de registre n'est pas le réseau, mais dans un marché d'adresses rares, elle fait partie de la structure du capital qui permet au réseau de fonctionner.

La rareté des adresses IPv4 a rendu cette structure du capital visible. En 2019, KrebsOnSecurity a rapporté des allégations concernant un espace d'adressage africain dont la valeur marchande était estimée à plus de 50 millions de dollars, à une époque où les adresses IPv4 individuelles étaient décrites comme se vendant environ entre 15 et 25 dollars sur le marché libre. Le prix exact du marché évolue dans le temps et varie selon la qualité du bloc, l'historique de routage, la transférabilité et le contexte commercial. Le point important n'est pas un prix au comptant. C'est qu'une ressource de numérotation autrefois considérée comme un identifiant technique est devenue un élément de bilan. Le registre n'a pas créé cette valeur. Ce sont les opérateurs qui l'ont créée en construisant des services, des clients, une réputation de routage et une continuité autour de l'espace d'adressage. Mais le registre se situait toujours près du point de reconnaissance.

Les documents politiques d'AFRINIC eux-mêmes montrent les mécanismes formels. Le registre distribue et enregistre les ressources de numérotation Internet dans sa région de service. Les adresses IPv4 publiques doivent être uniques au niveau mondial. Les allocations et les assignations doivent être enregistrées dans la base de données d'AFRINIC, et les ressources non enregistrées sont considérées comme invalides à des fins politiques. Le manuel des politiques définit les registres Internet locaux, l'espace agrégable par le fournisseur, l'espace indépendant du fournisseur, les transferts au sein de la région AFRINIC, la délégation inverse, l'enregistrement des ASN et d'autres instruments de l'administration ordinaire du registre. Sur le papier, il s'agit de mécanismes visant à garantir l'unicité, la conservation, l'agrégation et la documentation. Dans l'économie qui s'est construite sur cette base, ils affectent également la liquidité, le risque opérationnel et la continuité des activités.

C'est pourquoi la réforme ICP-2 ne peut pas être évaluée uniquement comme un exercice constitutionnel de gouvernance d'Internet. Il s'agit d'un problème de conception économique. La reconnaissance détermine si un registre est considéré comme un émetteur digne de confiance d'un statut utilisable. La déreconnaissance détermine si un registre défaillant peut être remplacé. Les normes de défaillance déterminent si le pouvoir du registre peut être discipliné. La portabilité détermine si les membres peuvent partir avant que la défaillance ne devienne catastrophique. Le dépôt fiduciaire des données détermine si le grand livre survit au titulaire du poste. L'examen externe détermine si un registre peut évaluer ses propres performances. Chacune de ces idées semble procédurale jusqu'à ce que l'on se demande qui supporte la perte lorsque la procédure échoue.

Pendant des années, le système des RIR a pu éviter cette question parce que l'abondance atténuait les erreurs institutionnelles. Si les adresses étaient abondantes et les transferts marginaux, la gouvernance du registre pouvait ressembler à un problème de club. La rareté a changé la donne. Un retard dans le traitement d'un transfert peut affecter une transaction. Un litige sur le statut d'enregistrement peut affecter le financement, la location, la continuité du service client et la stratégie contentieuse. Un registre qui ne peut pas élire un conseil d'administration, traiter les politiques, maintenir la confiance dans les votes ou expliquer ses propres registres devient plus qu'une organisation à but non lucratif gênante. Il devient un facteur de risque dans un marché de capitaux qu'il refuse toujours de décrire comme un marché de capitaux.

La reconnaissance est le prix auquel ce refus devient impossible. Si la reconnaissance mondiale dit simplement que le registre en place reste légitime jusqu'à ce que d'autres titulaires en décident autrement, la reconnaissance protège le titulaire. Si la reconnaissance dit plutôt que le travail du registre est de maintenir un grand livre vérifiable, de fournir un service neutre, de respecter des normes objectives de continuité et de rester examinable de l'extérieur, la reconnaissance discipline le titulaire. La différence n'est pas sémantique. Elle détermine si la réforme ICP-2 réduit le pouvoir du registre ou le constitutionnalise.

AFRINIC transforme la question de la théorie en réalité. Il est le registre africain. Il a continué à fournir des services pendant des périodes de rupture de gouvernance. Il a également fonctionné à travers des litiges, une mise sous séquestre, des échecs électoraux, des allégations de documents de vote irréguliers, des conflits sur la légitimité du conseil d'administration et des affirmations périodiques selon lesquelles il se rétablit. Dans ce contexte, la question économique n'est pas de savoir si la stabilité est souhaitable. Tout le monde veut la stabilité. La question est de savoir la stabilité pour qui et sous quelle structure d'incitations: stabilité du grand livre et des utilisateurs, ou stabilité du titulaire en place. Cette distinction devrait guider tout le débat sur l'ICP-2.

Pourquoi AFRINIC rend la reconnaissance concrète

AFRINIC est important parce qu'il brise l'abstraction confortable selon laquelle les normes de reconnaissance ne concernent que les futurs candidats à la création de nouveaux registres. La logique originale de l'ICP-2 appartenait à un monde où la question principale était de savoir comment un registre Internet régional pouvait être établi. Le nouveau problème est différent: que se passe-t-il lorsqu'un registre existant devient dysfonctionnel après que le monde a déjà construit une dépendance opérationnelle autour de lui?

Le dossier public est inhabituellement clair. AFRINIC est l'un des cinq registres Internet régionaux et dessert l'Afrique et certaines parties de l'océan Indien. Le manuel des politiques d'AFRINIC indique que sa région de service englobe le continent africain ainsi que les Seychelles, Maurice, Madagascar, les Comores et La Réunion. Le registre s'inscrit dans la hiérarchie ordinaire de la distribution des ressources de numérotation: l'IANA alloue des blocs au RIR, et le RIR les redistribue à ses membres et délègue l'autorité pour les assignations et les sous-allocations lorsque la politique le permet. Ce n'est pas un rôle décoratif. C'est l'interface reconnue par laquelle une vaste région reçoit et enregistre les ressources de numérotation Internet.

La difficulté est que la vie institutionnelle d'AFRINIC n'est pas restée normale. L'Internet Governance Project a décrit AFRINIC comme étant entré en mise sous séquestre en 2023 après que la division des faillites de la Cour suprême de Maurice a nommé un séquestre. La déclaration de la Number Resource Organization a salué cette nomination comme un moyen de restaurer une gouvernance fonctionnelle grâce à un conseil d'administration et à un PDG, tout en notant que le séquestre devait maintenir le statu quo des actifs d'AFRINIC, préserver la valeur de l'entreprise, superviser les élections et accélérer la constitution du conseil. La déclaration a présenté ce développement comme positif car les membres continueraient à recevoir les services du registre. Ce cadrage officiel est une preuve utile, mais pas parce qu'il devrait être avalé tout rond. Il montre ce que le système valorise lorsqu'un registre échoue: la continuité du service, le maintien du statu quo, la restauration du conseil d'administration et le retour à la participation ordinaire du RIR. Ces objectifs sont raisonnables. Ils révèlent également l'instinct du système à préserver l'enveloppe institutionnelle. Une enveloppe peut être opérationnellement utile et structurellement dangereuse en même temps. Si les normes de reconnaissance sont construites uniquement pour restaurer l'enveloppe, elles peuvent laisser les incitations sous-jacentes intactes.

La séquence électorale de 2025 a aggravé le problème. L'Internet Governance Project a écrit qu'AFRINIC fonctionnait sans conseil d'administration depuis 2022 et qu'une élection était en cours en juin 2025. L'ICANN a contesté certains aspects du processus de nomination et a demandé la reconstitution immédiate du comité des nominations. La Cour suprême de Maurice a rejeté les contestations, a estimé que l'ICANN n'avait pas d'intérêt à agir et a autorisé la poursuite du processus électoral, tout en exigeant des précisions sur le fait que l'inscription de Cloud Innovation en tant que membre enregistré dans les registres de l'entreprise était erronée et imputable au registraire plutôt qu'à AFRINIC ou au séquestre. The Register a également rapporté que le tribunal n'avait pas réexaminé la composition du comité des nominations, que le vote électronique se poursuivait et que l'ICANN restait préoccupée par l'intégrité des élections. En l'espace de quelques jours, la situation s'est encore détériorée. The Register a rapporté que l'élection avait été suspendue puis annulée en raison de préoccupations concernant les procurations et les documents de vote. L'ICANN a averti qu'elle pourrait lancer un examen de conformité et, si AFRINIC échouait, demander à un autre RIR de servir de registre d'urgence pour l'Afrique. D'autres rapports en juillet 2025 ont fait état du silence persistant du séquestre, d'allégations de procurations frauduleuses, de la demande de l'ICANN de rapports transparents et de l'appel de Cloud Innovation à la dissolution d'AFRINIC et au transfert de ses responsabilités à un cadre plus digne de confiance. Il s'agit de revendications contestées qui ne doivent pas être considérées comme des conclusions définitives sur chaque entité. Pour l'économie de l'ICP-2, le point décisif est plus étroit: un registre en place peut entrer dans un état où son enveloppe juridique, la légitimité de ses membres, son mécanisme de vote, ses relations avec les superviseurs externes et ses garanties de continuité de service deviennent tous économiquement pertinents en même temps.

Au début de 2026, le ton avait de nouveau changé. The Register a rapporté depuis APRICOT qu'AFRINIC était « de nouveau sur la bonne voie », avec une amélioration du moral du personnel, un conseil d'administration en action, des postes de gestion intérimaire nommés, un budget et un plan d'action en cours d'élaboration, et une stratégie formelle 2027-2030 en préparation. Il a également rapporté qu'AFRINIC disposait toujours de 773 376 adresses IPv4 non allouées. Le même article indiquait que la communauté des RIR avait réexaminé l'ICP-2 parce que la politique décrivait comment créer un RIR mais ne prévoyait pas de dysfonctionnement, et que la politique révisée devrait définir un cycle de vie complet des RIR, une assistance en cas de crise et des dispositions pour la déreconnaissance. C'est là l'importance économique d'AFRINIC. Un registre peut être à la fois en voie de rétablissement, fragile, nécessaire, contesté et puissant. Il peut avoir du personnel qui assure le fonctionnement des services alors que la légitimité de la gouvernance est contestée. Il peut disposer d'un inventaire IPv4 non alloué alors que les membres se demandent si l'institution peut administrer des élections. Il peut être défendu comme un exemple de résilience de la gouvernance privée tout en montrant pourquoi la gouvernance privée a besoin de normes externes d'échec. Il peut être dépeint par les organismes officiels comme un problème de continuité, par les critiques comme un problème de mandat, par les membres comme un problème de vote, par les plaideurs comme un problème juridique et par les opérateurs comme un problème de continuité des activités.

La réforme ICP-2 doit survivre à toutes ces descriptions. Si elle choisit un récit institutionnel et construit la reconnaissance autour de lui, elle échouera. Une norme de reconnaissance sérieuse ne peut pas demander si le récit du titulaire est rassurant. Elle doit demander si le registre est objectivement capable de maintenir le grand livre, de fournir un service neutre, de respecter la mobilité des membres, de divulguer les risques importants, de conserver des données utilisables, de diriger des mécanismes de gouvernance légitimes et d'être remplacé sans nuire à la continuité opérationnelle s'il ne le peut pas. AFRINIC n'est donc pas simplement une crise africaine. C'est un événement de découverte du prix pour tout le système de reconnaissance. Il révèle ce que le modèle des RIR n'avait pas évalué: le coût de ne pas avoir de norme d'échec crédible, externe, vérifiable et ascendante lorsqu'un registre devient trop important pour être ignoré et trop troublé pour faire confiance sans vérification.

La reconnaissance comme pouvoir de marché

Pour comprendre la réforme ICP-2, commençons par une simple question d'économie institutionnelle: que produit la reconnaissance? La réponse officielle est la coordination. La reconnaissance indique à Internet quel registre dessert quelle région et donc d'où doivent provenir les enregistrements des ressources de numérotation. Elle préserve l'unicité et évite les revendications en double. Cette réponse est vraie, mais incomplète.

La reconnaissance produit également une valeur de garantie. Un bloc d'adresses IPv4 a plus de valeur lorsque le marché croit que le statut d'enregistrement est stable, transférable, routable et peu susceptible d'être attaqué par le registre reconnu. Un réseau est moins risqué lorsque ses avoirs en adresses ne sont pas piégés dans une institution qui ne peut pas se gouverner elle-même. Un acheteur de transfert évaluera l'incertitude. Un prêteur évaluera l'incertitude. Un client de location évaluera l'incertitude. Une plateforme cloud qui dépend de la continuité des adresses évaluera l'incertitude. La reconnaissance n'est pas la même chose que la propriété, mais elle affecte la croyance du marché selon laquelle l'utilisation revendiquée d'une ressource rare sera respectée par les autres.

C'est pourquoi le langage de la simple administration est devenu trompeur. Le manuel des politiques d'AFRINIC décrit les objectifs habituels d'un registre: unicité, enregistrement, agrégation, conservation, documentation et équité. Ces objectifs restent techniquement importants. Mais la rareté et la transférabilité ont transformé la performance du registre en un intrant économique. La base de données du registre n'est pas simplement une liste; c'est un actif de coordination. La politique de transfert ne se contente pas de ranger les dossiers; elle régule la liquidité. L'exigence du manuel des politiques selon laquelle un bénéficiaire de transfert doit justifier son besoin, être membre d'AFRINIC et signer l'accord de services d'enregistrement n'est pas une simple paperasse; elle détermine qui peut acquérir des ressources rares et à quelles conditions. Le DNS inverse, le RPKI, le WHOIS et les enregistrements ASN ne sont pas de simples services accessoires; ils contribuent à déterminer si les réseaux peuvent fonctionner de manière fluide et crédible. Les économistes décriraient cela comme une couche institutionnelle ayant des effets de création de marché.

Elle ne crée pas la rareté sous-jacente; l'espace fixe de 32 bits d'IPv4 et des décennies d'allocation l'ont fait. Elle ne crée pas toute la valeur; les opérateurs le font en déployant les ressources de manière productive. Mais elle peut créer ou détruire la confiance dans les revendications, les transferts et la continuité. Cela donne au registre un effet de levier sur des actifs dont la valeur dépasse de loin le bilan du registre lui-même.

Une fois que la reconnaissance a des effets de création de marché, les normes de défaillance deviennent économiquement importantes. Une norme de défaillance faible laisse les membres enfermés dans un registre même lorsque le registre ne remplit plus les conditions minimales d'une administration digne de confiance. Une norme de défaillance vague donne aux organismes externes le pouvoir discrétionnaire de menacer ou de discipliner les registres sans limites prévisibles. Une norme de défaillance contrôlée par les registres en place peut devenir une protection de cartel. Une norme de défaillance contrôlée par l'ICANN ou un autre organisme mondial sans contrainte ascendante peut transformer une réforme conçue pour la responsabilisation en un instrument de centralisation. Le défi de conception est de créer une discipline sans créer un nouveau monopole de la discipline.

C'est le problème de traiter la « stabilité » comme une conclusion plutôt que comme une affirmation nécessitant des preuves. Les titulaires disent toujours que la stabilité signifie protéger le titulaire. Les marchés savent mieux. Parfois, la stabilité signifie protéger la chambre de compensation. Parfois, elle signifie déplacer l'activité d'une chambre de compensation défaillante avant qu'elle ne nuise au marché. Parfois, elle signifie laisser la marque intacte. Parfois, elle signifie préserver les dossiers tout en remplaçant l'opérateur. Il en va de même pour un registre. La chose stable n'est pas nécessairement le conseil d'administration, la hiérarchie du personnel, l'enveloppe corporative, le bureau, le logo ou la revendication historique de représentation régionale. La chose stable est le grand livre des enregistrements légitimes des ressources de numérotation et la capacité des réseaux à continuer à utiliser, acheminer, transférer et documenter les ressources sans interruption arbitraire.

Cette distinction est facile à énoncer et difficile à mettre en œuvre. Si la reconnaissance ne suit que l'ancienneté historique, un registre défaillant peut utiliser le langage de la continuité comme un bouclier. Si la reconnaissance ne suit que le mécontentement extérieur, un organisme extérieur puissant peut utiliser le langage de l'échec comme une arme. Si la reconnaissance suit des faits techniques et administratifs vérifiables, la réforme commence à ressembler à un régime d'accréditation crédible. L'accréditation ne signifie pas une confiance aveugle dans l'accréditeur. Elle signifie une norme délimitée, des preuves publiques, des tests reproductibles, des recours définis et un examen par des parties qui ne cherchent pas à hériter du pouvoir qu'elles jugent.

Dans les marchés normaux, les mauvais intermédiaires sont disciplinés par la sortie. Les clients changent de banque, de bourse, de fournisseur de cloud, d'auditeur, de courtier ou d'assureur, bien que le changement puisse être coûteux. Dans le système des RIR, la sortie est structurellement faible. Un réseau est ordinairement lié au registre qui dessert sa région. La politique de transfert d'AFRINIC est intra-régionale; la portabilité entre les RIR n'est pas une soupape de sécurité inconditionnelle. La dépendance au registre n'est donc pas une relation normale avec un fournisseur. C'est un régime de verrouillage justifié par l'unicité et la coordination historique. Le verrouillage peut être efficace lorsque l'institution verrouillée est étroite, fiable et disciplinée de l'extérieur. Il devient dangereux lorsque l'institution est large, discrétionnaire et à l'abri de la sortie. La réforme ICP-2 est le moment de décider quel modèle le système des RIR veut être. Si les normes de reconnaissance ne font que donner au club des registres en place plus d'outils pour se protéger, la réforme intensifiera le verrouillage. Si elles rendent la reconnaissance conditionnelle à des performances mesurables, au consentement des membres, à une responsabilité externe et à des droits de transition axés sur la continuité, la reconnaissance peut devenir le substitut à la discipline de marché qui fait actuellement défaut au système.

Le cas d'AFRINIC montre pourquoi le substitut est nécessaire. Le système ne peut pas s'appuyer sur un langage moral de bonne gérance lorsque les actifs sont devenus économiquement significatifs. Il ne peut pas s'appuyer sur une correction informelle de la communauté lorsque les élections elles-mêmes deviennent contestées. Il ne peut pas s'appuyer uniquement sur les tribunaux, car les tribunaux peuvent préserver les droits légaux mais ne sont pas conçus pour exploiter un registre mondial. Il ne peut pas s'appuyer uniquement sur l'ICANN ou la NRO, car leurs incitations peuvent favoriser la préservation du modèle en place. Il a besoin de normes de reconnaissance suffisamment étroites pour empêcher la centralisation et suffisamment fortes pour empêcher que l'échec ne soit normalisé. C'est le marché de capitaux caché au sein de l'ICP-2. La réforme décidera comment le risque du registre est évalué, qui peut forcer la divulgation, quand la sortie devient crédible, et si la valeur économique créée par les opérateurs reste otage d'un système de reconnaissance qui parle encore comme s'il n'effectuait qu'une coordination administrative.

Ce qu’une norme de défaillance devrait mesurer

Une norme de défaillance ne devrait pas commencer par la punition. Elle devrait commencer par la mesure. La première erreur dans de nombreuses crises institutionnelles est de demander qui est bon, qui est mauvais, qui appartient à quelle faction et quel récit devrait être confirmé. C'est de la politique. Les normes de reconnaissance ont besoin d'un vocabulaire plus froid.

La question pertinente est de savoir si le registre remplit les fonctions qui justifient la reconnaissance. Ces fonctions peuvent être mesurées sans trancher chaque conflit politique à l'intérieur de la région. Le grand livre doit être exact, accessible, vérifiable et protégé contre les modifications non autorisées. Les services d'enregistrement de base doivent être disponibles. Les données WHOIS ou RDAP, les processus de DNS inverse, les services RPKI, les enregistrements ASN, les enregistrements de transfert et les enregistrements du statut des membres doivent être maintenus sous des contrôles documentés. Les politiques doivent être adoptées et mises en œuvre par un processus que les entités concernés peuvent comprendre et contester. Les mécanismes de gouvernance doivent être capables de produire des administrateurs légitimes et une gestion responsable. Les conflits d'intérêts doivent être divulgués et gérés. La situation financière doit être suffisante pour fonctionner sans que la continuité du service ne soit otage d'un litige, d'une capture factionnelle ou d'une collecte de fonds d'urgence. Les différends importants ne doivent pas être dissimulés derrière un langage de relations publiques.

Aucun de ces tests ne nécessite qu'un organisme mondial devienne un super-conseil. Ils exigent des preuves. Le registre peut-il montrer des instantanés signés et horodatés de ses données de registre? Peut-il montrer des audits de sécurité indépendants? Peut-il montrer que les dossiers des membres correspondent à la réalité juridique et opérationnelle? Peut-il montrer que les demandes de transfert sont traitées selon des critères stables? Peut-il montrer la disponibilité du service? Peut-il montrer que les opérations RPKI et de DNS inverse sont séparables du factionnalisme du conseil d'administration? Peut-il montrer que les élections sont menées selon des règles qui empêchent la fraude par procuration, l'agrégation de votes non divulguée et l'annulation arbitraire? Peut-il montrer que le personnel jouit d'une indépendance opérationnelle vis-à-vis des factions cherchant à contrôler la politique des ressources? Peut-il montrer que la responsabilité, l'assurance et les réserves ont un rapport rationnel avec les dommages prévisibles?

AFRINIC illustre pourquoi ces questions sont importantes. Le manuel des politiques dit que les données d'enregistrement doivent être correctes à tout moment car elles soutiennent les opérations de réseau. Il dit que la documentation doit être réaliste et justifiable. Il dit que les politiques et les pratiques doivent s'appliquer de manière juste et équitable indépendamment de l'emplacement, de la nationalité, de la taille ou d'autres facteurs. Ce ne sont pas seulement de nobles phrases. Ce sont les affirmations mesurables qui justifient la reconnaissance. Un registre qui ne peut pas garder ses données d'enregistrement fiables, traiter les membres dans des situations similaires de manière équitable ou administrer des processus documentés de manière cohérente n'a pas simplement un désaccord de gouvernance. Il érode la base économique de la reconnaissance.

L'historique des allégations d'utilisation abusive d'adresses en Afrique soutient également une approche basée sur la mesure. Le reportage de KrebsOnSecurity sur le prétendu vol d'adresses IP africaines de 50 millions de dollars a décrit des accusations selon lesquelles un coordinateur des politiques d'AFRINIC aurait secrètement exploité des sociétés liées à la vente de blocs d'adresses et que les registres officiels auraient été modifiés concernant l'espace d'adressage africain hérité. Le nouveau PDG d'AFRINIC de l'époque a déclaré que l'organisation enquêtait. Le but pour l'ICP-2 n'est pas de rejuger chaque allégation historique. C'est que l'échec du registre peut impliquer l'intégrité des données, des conflits d'initiés, l'exploitation de ressources dormantes et la manipulation des enregistrements, et pas seulement les élections du conseil. Une norme de reconnaissance qui ne recherche que la paralysie formelle de la gouvernance manquera les formes économiques d'échec qui comptent le plus.

La norme devrait distinguer quatre types d'échec. L'échec opérationnel se produit lorsque le registre ne peut pas fournir les services minimums de manière fiable. L'échec du grand livre se produit lorsque les registres du registre ne peuvent pas être considérés comme exacts, autorisés, complets ou récupérables. L'échec de la gouvernance se produit lorsque l'institution ne peut pas produire une autorité légitime, gérer les conflits ou exécuter des processus responsables. L'échec de la continuité du marché se produit lorsque les membres ne peuvent pas compter sur l'enregistrement, le transfert, les services de soutien au routage et les processus de résolution des litiges de manière suffisante pour planifier leurs activités. Ces échecs peuvent se chevaucher, mais ils ne sont pas identiques. Un registre peut maintenir les serveurs en fonctionnement alors que la gouvernance s'effondre. Il peut avoir un conseil d'administration alors que l'intégrité des données est compromise. Il peut traiter les tickets alors que la confiance dans les transferts s'évapore. Les normes de reconnaissance doivent voir les quatre.

Les seuils sont aussi importants que les catégories. Toute erreur n'est pas un échec. Un registre devrait pouvoir corriger des erreurs, subir des litiges, changer de personnel, reporter des réunions ou perdre un procès sans faire face à la déreconnaissance. Si le seuil est trop bas, la reconnaissance devient une arme. S'il est trop élevé, l'échec devient permanent. Le seuil devrait dépendre de la persistance, de la matérialité, de la non-rémédiation et de la menace pour la continuité. Un délai non respecté ne suffit pas. Un schéma de délais non respectés inexpliqués affectant les droits des membres peut l'être. Un seul document électoral contesté ne suffit pas. Un système de vote incapable de vérifier l'autorité, de détecter les documents falsifiés, d'expliquer l'annulation et de mener à bien une élection légitime peut l'être. Un litige judiciaire ne suffit pas. Un état juridique qui empêche la gouvernance ordinaire pendant des années et laisse les membres sans conseil d'administration responsable peut l'être.

Accréditation sans accréditeur irresponsable

Les normes de reconnaissance ont besoin d'un accréditeur, mais l'accréditeur ne doit pas devenir le nouveau problème. C'est le paradoxe au centre de la réforme ICP-2. Un registre défaillant ne peut pas être laissé à lui-même pour s'auto-certifier. Pourtant, un organisme mondial qui peut déclarer l'échec, nommer des substituts, bloquer les nouveaux entrants et définir une gouvernance acceptable sans contrainte effective peut devenir plus dangereux que le registre qu'il discipline.

Le danger n'est pas imaginaire. Les notes publiées par Lu Heng sur l'ICP-2 soutiennent que tout mécanisme de dé-accréditation ou de ré-accréditation d'un RIR doit rester piloté par les membres plutôt que par la NRO ou l'ICANN. Le point sous-jacent est institutionnel, et non personnel. Le système des RIR existe par consensus volontaire plutôt que par coercition souveraine ordinaire. Il n'a pas d'armée, de base fiscale ou de juridiction issue de traités. Son autorité survit parce que les opérateurs, les États, les logiciels, les filtres de routage, les contrats et les contreparties acceptent la structure de coordination comme utile. Si la couche de reconnaissance commence à ressembler à un commandement descendant, les entités n'obéiront pas nécessairement. Ils peuvent le contourner, le contester en justice, bifurquer les pratiques opérationnelles ou retirer leur consentement.

Cela importe parce que l'accréditation peut être abusée dans deux directions. Dans un sens, un registre capture le processus et utilise la reconnaissance comme une immunité contre les membres, les tribunaux et la discipline du marché. Dans l'autre, des organismes externes capturent le processus et utilisent la reconnaissance pour imposer leurs résultats de gouvernance préférés. Les deux sont des échecs. Le premier protège l'ancienneté locale. Le second centralise le pouvoir mondial. Une ICP-2 crédible doit éviter les deux.

La conception institutionnelle devrait séparer la collecte des preuves, la détermination de l'échec, la supervision des mesures correctives et la sélection du successeur. Le même organisme ne devrait pas définir les preuves, poursuivre l'échec, choisir le remède, hériter de l'autorité et ensuite déclarer le système stable. C'est ainsi que le langage de la responsabilisation devient une expansion de mandat. Plus l'IPv4 devient économiquement important, plus la tentation est grande de transformer les normes de reconnaissance en un contrôle sur la transférabilité, le statut des membres et la politique régionale. La réforme doit être conçue en fonction de cette tentation, et non d'hypothèses idéalisées sur la vertu institutionnelle.

Un modèle utile n'est pas un ministère, mais un marché d'accréditation contraint. Les normes sont publiques. Les tests sont reproductibles. Les auditeurs sont indépendants. Les membres concernés peuvent déclencher un examen dans des conditions objectives. Le registre a le droit de répondre. Les remèdes sont échelonnés. Le remplacement est un dernier recours dans le cadre de règles de continuité prédéfinies. Le travail de l'accréditeur n'est pas de décider de la politique de la région. Il est de déterminer si le registre reconnu continue de remplir les conditions minimales pour la fonction étroite de coordination que confère la reconnaissance.

L'initiation par les membres est cruciale. Si seuls l'ICANN, la NRO ou les RIR en place peuvent déclencher un examen sérieux, les membres restent dépendants de la classe institutionnelle dont les incitations peuvent être d'éviter les précédents. Si n'importe quel membre peut déclencher un examen complet sur demande, le système devient ingérable. Le juste milieu est un seuil structuré: une part définie de membres, de détenteurs de ressources, d'opérateurs concernés ou d'utilisateurs de services objectivement affectés devrait pouvoir imposer un examen préliminaire; un seuil plus élevé devrait être requis pour passer à des procédures formelles de non-conformité; un examen d'urgence devrait être disponible pour les défaillances du grand livre ou de sécurité menaçant le service. Les détails peuvent être débattus. Le principe est clair. L'examen doit être accessible par le bas et limité par le haut.

L'accréditeur a également besoin de contraintes économiques. Il ne devrait pas être autorisé à exiger des résultats politiques sans rapport avec l'aptitude minimale du registre. Il ne devrait pas utiliser l'examen de conformité pour régler des différends ordinaires sur la location d'adresses, l'utilisation hors région, la libéralisation des transferts, la philosophie de tarification ou la stratégie de développement régional, à moins que ces différends n'affectent les critères objectifs de reconnaissance. Sinon, l'accréditation devient une voie par laquelle les institutions mondiales transforment les préférences politiques en conditions de reconnaissance. La norme devrait être délibérément ennuyeuse: intégrité du grand livre, continuité du service, viabilité financière, administration neutre, capacité de gouvernance, dépôt fiduciaire des données, contrôles des conflits, droits des membres, garanties de portabilité et remédiation transparente.

La leçon n'est pas que l'ICANN ne devrait jamais agir, ni que les titulaires devraient être laissés seuls. La leçon est que les normes de reconnaissance doivent rendre l'action moins dépendante de l'improvisation institutionnelle. Si les règles sont objectives, fondées sur des preuves, déclenchables par les membres, vérifiables de l'extérieur et limitées à l'aptitude du registre, l'intervention ressemble moins à du pouvoir et plus à de la discipline. Si les règles sont vagues, discrétionnaires et contrôlées par les mêmes institutions dont elles étendent le pouvoir, l'intervention ressemble à de la gestion de cartel.

Sortie, portabilité et le prix du verrouillage

La forme la plus puissante de responsabilisation dans un marché n'est pas la plainte. C'est la sortie. Un fournisseur qui sait que les clients peuvent partir se comporte différemment d'un fournisseur qui sait que les clients sont captifs. Le système des RIR a toujours été faible en matière de sortie parce que l'unicité régionale a été construite autour de territoires de service exclusifs. Cette faiblesse était tolérable lorsque les ressources de numérotation étaient abondantes et que le pouvoir discrétionnaire du registre était faible. Elle est dangereuse lorsque les ressources sont rares et que le pouvoir discrétionnaire du registre affecte la continuité.

La portabilité n'est donc pas un ajout idéologique à l'ICP-2. C'est la soupape de sécurité économique sans laquelle les normes de reconnaissance seront trop sollicitées. Si chaque échec grave nécessite une déreconnaissance mondiale, le système n'a qu'une option nucléaire. Parce que l'option nucléaire est effrayante, elle sera retardée. Parce qu'elle est retardée, les membres restent piégés. Parce que les membres sont piégés, les incitations du registre se détériorent. Un droit de sortie crédible réduit la nécessité de recourir à la déreconnaissance en disciplinant le registre plus tôt.

La note de Lu Heng sur la portabilité expose le cas directement: les réseaux devraient avoir un droit inconditionnel de déplacer des adresses IP ou des numéros d'AS d'un RIR à un autre, afin qu'un registre peu performant ne puisse pas prendre des membres en otage. Il n'est pas nécessaire d'accepter chaque détail de cette proposition pour en voir la logique économique. La portabilité réduit les coûts de changement. Des coûts de changement plus faibles créent une discipline de performance. La discipline de performance réduit le besoin d'une intervention mondiale d'urgence. L'intervention d'urgence, lorsqu'elle est encore nécessaire, devient plus crédible parce que le système a déjà reconnu que le grand livre et la continuité des utilisateurs importent plus que l'exclusivité territoriale du registre en place.

Les mécanismes actuels d'AFRINIC montrent le fossé. Son manuel des politiques contient une politique pour les transferts IPv4 au sein de la région AFRINIC. La source du transfert doit être un compte de membre AFRINIC existant ou un détenteur de ressources héritées dans la région. La source doit être le détenteur des droits reconnu par AFRINIC et ne pas être impliquée dans un litige concernant les ressources. Le bénéficiaire doit justifier son besoin, être membre d'AFRINIC et signer l'accord de services d'enregistrement. Ces mécanismes ont un sens en tant qu'administration intra-régionale. Ils ne résolvent pas le problème de l'échec. Si le registre lui-même devient la source du risque, obliger le membre à rester dans le même registre et soumis au même accord n'est pas une sortie. C'est un changement de siège à l'intérieur du même théâtre.

Il existe de réelles objections. La portabilité inconditionnelle pourrait créer du forum shopping, des charges politiques inégales, une confusion des données de routage, un arbitrage réglementaire ou une pression sur les registres mieux gérés. Elle pourrait saper les objectifs de développement régional si les régions les plus pauvres perdent les relations avec les détenteurs de ressources au profit de registres mieux capitalisés. Elle pourrait être exploitée par de grands détenteurs cherchant le régime de conformité le plus léger. Ces préoccupations sont importantes. Ce sont des arguments pour concevoir la portabilité avec soin, et non pour la rejeter catégoriquement.

Un régime de portabilité raisonnable distinguerait la portabilité ordinaire de la portabilité en cas d'échec. La portabilité ordinaire pourrait être limitée, progressive ou conditionnée à des exigences de données harmonisées. La portabilité en cas d'échec devrait être plus forte. Si un registre entre en non-conformité formelle, perd sa capacité de service minimale, ne peut pas maintenir des registres dignes de confiance, ou reste sous une paralysie de gouvernance non résolue au-delà d'un seuil défini, les membres devraient avoir un chemin reconnu pour transférer le service administratif à un autre registre qualifié ou à un opérateur intérimaire sans perdre la continuité des ressources. Le membre qui se déplace n'acquerrait pas un nouvel espace d'adressage ni n'échapperait aux règles d'unicité applicables mondialement. Il déplacerait la relation administrative loin de l'institution défaillante.

La conception devrait également protéger le registre d'accueil. Un chemin de portabilité en cas d'échec ne peut pas simplement déverser des litiges non résolus, des dossiers erronés ou des conflits politiques sur une autre institution. Il devrait transporter l'historique des enregistrements, les indicateurs de litige, les documents d'autorité, l'état des transferts et la piste d'audit. Il devrait préserver le fait qu'un bloc peut être contesté. Il devrait maintenir la délégation inverse et les services de soutien au routage lorsque la continuité l'exige, tout en empêchant le déménagement de devenir un événement de blanchiment. La sortie est précieuse parce qu'elle discipline le titulaire. Elle ne devrait pas devenir une méthode pour effacer les obligations.

Discipline sans détruire la continuité

L'argument le plus fort en faveur de la prudence dans la réforme ICP-2 est aussi l'argument le plus fort en faveur de la réforme. Les registres ont de réelles responsabilités opérationnelles. Les briser négligemment endommagerait des réseaux qui n'ont joué aucun rôle dans l'échec de la gouvernance. Mais utiliser la continuité comme raison pour protéger indéfiniment les titulaires commet l'erreur inverse. Cela confond la continuité du grand livre avec la continuité du gardien.

Le grand livre est l'actif principal. Il enregistre qui est associé à quelles ressources de numérotation, quels contacts sont responsables, quelles délégations inverses existent, quelles autorisations d'origine de route sont prises en charge, quel historique de transfert importe et quels documents d'autorité des membres sont pertinents. Le grand livre n'est pas simplement une base de données au sens technique étroit. C'est le substrat factuel partagé dont dépendent le routage, le dépannage, la gestion des abus, les contrats et les transferts. La continuité signifie protéger ce substrat et les services qui le rendent utilisable.

Un titulaire de poste en place est différent. Un conseil d'administration, un PDG, un séquestre, un comité, une hiérarchie du personnel ou une enveloppe corporative peut être utile s'il protège le grand livre. Il ne devrait pas être traité comme identique au grand livre. Une norme de reconnaissance qui ne peut pas séparer les deux sera toujours biaisée en faveur de l'ancienneté. Chaque fois qu'un registre échoue, les défenseurs diront que toucher au titulaire met en danger la continuité. Parfois, cela sera vrai. Parfois, c'est le titulaire qui met en danger la continuité. La norme doit être capable de faire la différence.

La mise sous séquestre d'AFRINIC montre la tension. La déclaration de la NRO en 2023 a salué le séquestre comme un moyen de préserver les actifs, de maintenir le statu quo, de superviser les élections et de maintenir le flux des services. L'Internet Governance Project a présenté la mise sous séquestre comme une preuve de la résilience de la gouvernance privée d'Internet, avec l'état de droit et l'application gouvernementale agissant comme des freins qui préservent la stabilité organisationnelle. Cette interprétation contient une vérité importante: les tribunaux et les séquestres peuvent empêcher un conflit de gouvernance de détruire les services du registre. Elle contient également un biais institutionnel: elle traite la restauration du registre existant comme le point final naturel. L'ICP-2 devrait être plus précise. La mise sous séquestre est un instrument de continuité, et non la preuve que le modèle en place est économiquement solide.

La discipline sans destruction nécessite une échelle de recours. Le premier échelon est la divulgation: rapport public des métriques de service, de l'état des élections, de la situation financière, des contraintes juridiques et des risques importants. Le deuxième est l'audit indépendant: examen technique, financier, de gouvernance et d'intégrité des données par des parties qualifiées. Le troisième est la remédiation: un plan limité dans le temps avec des jalons mesurables et une supervision des membres. Le quatrième est l'assistance supervisée: d'autres registres ou des opérateurs techniques neutres fournissant un soutien défini sans acquérir le contrôle des politiques. Le cinquième est le transfert limité de fonctions: activation du dépôt fiduciaire, exploitation du service d'urgence ou portabilité pour les membres concernés. Le dernier échelon est le remplacement ou la déreconnaissance.

L'échelle est importante parce qu'elle rend le remplacement crédible sans le rendre occasionnel. Un registre ne devrait pas être déreconnu parce qu'il est impopulaire, contentieux ou politiquement gênant. Il ne devrait faire face au remplacement que lorsque les échecs objectifs persistent, que la remédiation échoue, que la continuité est en danger et qu'un successeur ou un arrangement intérimaire peut mieux protéger le grand livre que le titulaire. Inversement, un registre ne devrait pas éviter le remplacement simplement en invoquant la stabilité tout en refusant l'audit, la divulgation ou le contrôle des membres.

Le dépôt fiduciaire des données est le fondement pratique. Sans dépôt fiduciaire, chaque crise devient une situation d'otage. Le titulaire contrôle les données nécessaires pour le remplacer, de sorte que le remplacement semble trop risqué. Avec un dépôt fiduciaire régulier, signé et vérifiable de manière indépendante, le grand livre peut survivre à l'échec institutionnel. Le dépôt fiduciaire devrait inclure non seulement les enregistrements bruts d'allocation, mais aussi l'historique des transferts, les enregistrements d'autorité des membres, les indicateurs de litige, les délégations DNS inverses, les documents RPKI lorsque cela est possible, les journaux d'audit et la documentation nécessaire pour distinguer les enregistrements réglés des enregistrements contestés. L'objectif n'est pas de publier des données sensibles. C'est de s'assurer qu'un opérateur d'urgence autorisé peut préserver la continuité sans deviner.

Le principe de la continuité d'abord a donc un tranchant aiguisé. Il protège le registre lorsque les attaques contre le registre nuiraient au grand livre. Il discipline ou remplace le registre lorsque le registre nuit au grand livre. Il refuse d'assimiler une enveloppe corporative au besoin public qu'elle sert. C'est l'équilibre que l'ICP-2 doit trouver si elle veut une crédibilité économique.

Le remplacement comme option crédible mais limitée

Tout régime d'accréditation a besoin d'une sanction terminale. Si l'institution reconnue ne peut pas perdre sa reconnaissance quoi qu'elle fasse, la norme est du théâtre. Si elle peut perdre sa reconnaissance trop facilement, la norme devient une arme. Le remplacement doit donc être à la fois crédible et limité.

La crédibilité est la partie la plus difficile dans le monde des RIR parce que l'ancienneté a été traitée comme presque naturelle. Il y a cinq RIR. Ils ont des régions de service. Ils se coordonnent par l'intermédiaire de la NRO et interagissent avec l'ICANN. Leur existence a été suffisamment stable pour que les opérateurs construisent autour d'eux. Cette stabilité est précieuse. C'est aussi la source de l'aléa moral. Une institution qui se croit irremplaçable se comportera différemment d'une institution qui sait que la reconnaissance est conditionnelle.

La crise d'AFRINIC a rendu pensable ce qui était supposé impensable. The Register a rapporté que le travail de révision de l'ICP-2 avait été déclenché parce que la politique existante ne définissait pas ce qu'il fallait faire si un RIR devenait dysfonctionnel. Il a également rapporté que la politique révisée définirait le cycle de vie complet d'un RIR et inclurait des dispositions pour la déreconnaissance. La correspondance de l'ICANN en 2025, telle que rapportée par The Register, a soulevé la possibilité que si AFRINIC échouait à un examen de conformité, un autre RIR pourrait être invité à servir de registre d'urgence pour l'Afrique. Que cette voie particulière soit sage ou non est une autre question. Le fait important est que le système a concédé le point conceptuel: l'enveloppe n'est pas métaphysiquement permanente.

Le remplacement doit également être limité par son objectif. L'objectif n'est pas de punir un registre, de régler un conflit politique, de redistribuer des actifs, d'imposer des préférences politiques externes ou de créer un précédent pour la gestion centralisée des régions. L'objectif est de préserver la coordination des numéros uniques lorsque le registre reconnu ne remplit plus les conditions minimales. Cet objectif étroit devrait être inscrit dans la norme de reconnaissance. Si l'autorité de remplacement peut être utilisée pour des objectifs de gouvernance plus larges, elle deviendra l'outil de centralisation que craignent les critiques.

L'option de remplacement devrait avoir trois formes. La moins intrusive est la substitution fonctionnelle: un autre opérateur qualifié effectue temporairement des services spécifiques tels que l'hébergement de données, les opérations RPKI, le support DNS inverse ou le traitement des tickets sous audit. La suivante est la portabilité administrative: les membres concernés transfèrent leur relation de service de registre à un registre qualifié ou à un opérateur intérimaire pendant que la gouvernance régionale est réparée. La plus intrusive est la déreconnaissance complète et la succession: le titulaire perd la reconnaissance et un successeur devient le registre reconnu pour la région. Ce ne sont pas le même remède et ils ne devraient pas être confondus en un seul.

Le consentement des membres doit jouer un rôle décisif dans la succession complète. La raison n'est pas une foi romantique dans les processus communautaires. C'est la légitimité économique. Un registre successeur qui n'est pas accepté par les réseaux qu'il dessert aura du mal à maintenir une coordination volontaire. Mais le consentement doit être structuré. Un vote ou une consultation pour la succession doit utiliser un registre des membres vérifié, des documents d'autorité transparents, des limites sur l'agrégation des procurations, des divulgations de conflits et une supervision indépendante. L'expérience des élections contestées d'AFRINIC montre que « laisser les membres décider » ne suffit pas à moins que le mécanisme de décision ne soit lui-même digne de confiance.

La sanction terminale devrait être rare, mais non imaginaire. Dans les secteurs bancaire, des paiements, de l'audit, de l'assurance et des services publics, la supervision sans autorité de résolution échoue souvent parce que tout le monde sait que le superviseur n'appuiera pas sur la gâchette. L'institution défaillante parie sur l'indulgence. Les contreparties restent piégées. Les pertes augmentent. La reconnaissance des registres présente un problème similaire. Si la déreconnaissance est impossible, les normes de reconnaissance deviendront une autre couche de langage officiel. Si la déreconnaissance n'est possible que par un pouvoir discrétionnaire mondial opaque, elle effraiera les membres et les États. Si la déreconnaissance est possible grâce à des règles objectives, échelonnées et axées sur la continuité, elle devient une menace crédible.

Le danger de la protection de cartel

Le système des RIR a une structure inconfortable. C'est un petit groupe d'institutions régionalement exclusives qui se coordonnent entre elles, partagent un intérêt commun à préserver le modèle des RIR et participent à la définition des normes selon lesquelles les RIR sont reconnus. Dans de nombreux contextes, les économistes demanderaient immédiatement si une telle structure risque un comportement de cartel. La culture de la gouvernance d'Internet évite souvent ce mot parce que les institutions sont à but non lucratif, que la rhétorique est publique et que la mission technique est réelle. Pourtant, les incitations ne disparaissent pas parce que les entités utilisent un langage de gérance.

La protection de cartel dans ce contexte ne signifie pas nécessairement une fixation des prix. Cela signifie protéger l'ancienneté, limiter l'entrée, restreindre la sortie, contrôler la reconnaissance et traiter les défis à la classe institutionnelle comme des menaces à la stabilité. Une norme de reconnaissance peut facilement devenir une protection de cartel si elle rend pratiquement impossible la formation de nouveaux registres, rend les registres existants effectivement irremplaçables et définit l'examen des échecs par l'intermédiaire d'organismes dominés par les registres en place. Le résultat serait un système dans lequel le langage de la responsabilisation renforce la position de monopole qui a produit le problème de responsabilisation.

Le commentaire de Lu Heng sur la révision de l'ICP-2 met en garde contre ce risque en termes forts: un projet présenté comme protection et gérance peut bloquer l'entrée, restreindre la sortie, rendre les nouvelles institutions impossibles et transformer la coordination en permission. Cet argument ne devrait pas être réduit à une rhétorique anti-institutionnelle. Il identifie un schéma classique d'économie politique. Lorsqu'un système en place est en difficulté, il réagit souvent en élevant les barrières à la sortie et à l'entrée. Il appelle ces barrières la sécurité. Parfois, c'est de la sécurité. Parfois, c'est de l'auto-conservation.

La ligne entre sécurité et auto-préservation devrait être tracée par la nécessité objective. La coordination de numéros uniques nécessite des règles communes. Elle ne nécessite pas que chaque enveloppe juridique actuelle reste permanente. La continuité du registre nécessite une transition prudente. Elle ne nécessite pas que les membres soient piégés dans une institution défaillante. L'interopérabilité mondiale nécessite d'éviter les enregistrements contradictoires. Elle ne nécessite pas qu'un club privé décide de toutes les futures questions de reconnaissance sans examen externe. Si l'ICP-2 ne peut pas énoncer quelles restrictions sont techniquement nécessaires et lesquelles ne font que protéger l'ancienneté, elle ne sera pas économiquement crédible.

AFRINIC rend le risque de cartel visible parce que les organismes extérieurs avaient des incitations concurrentes. D'une part, ils avaient des raisons légitimes de s'inquiéter de la continuité des services, de l'intégrité des élections et du système mondial de numérotation. D'autre part, ils avaient des raisons institutionnelles d'éviter un précédent dans lequel un tribunal, un mouvement de membres, un plaideur ou une structure successeuse pourrait fondamentalement réorganiser un RIR. Les déclarations officielles doivent donc être lues comme des preuves d'incitations. Lorsque la NRO dit que la mise sous séquestre aide à restaurer la gouvernance et à maintenir les services, cela nous dit que la continuité est importante. Cela nous dit aussi que la classe des RIR en place valorise la restauration du modèle existant. Lorsque l'ICANN dit qu'elle est préoccupée par l'intégrité des élections, cela peut refléter un risque réel. Cela nous dit aussi que l'ICANN est disposée à intervenir lorsque la gouvernance d'un RIR menace l'ordre de coordination mondial tel que l'ICANN le comprend.

La protection de cartel peut également apparaître à travers le vocabulaire. « Communauté » peut être utilisé pour faire paraître une classe procédurale étroite comme une région entière. « Stabilité » peut être utilisé pour faire paraître la préservation des titulaires comme une protection des utilisateurs. « Ascendant » peut être utilisé pour valider des processus dans lesquels la participation est inégale, les registres sont contestés ou les intérêts organisés dominent. « Coordination mondiale » peut être utilisé pour supprimer la responsabilité locale. « Reconnaissance » peut être utilisé pour transformer une fonction de tenue de registres en une couche de permission. Ces mots ne sont pas inutiles. Ils sont dangereux lorsqu'ils ne sont pas définis.

Une ICP-2 crédible devrait donc inclure des garanties anti-cartel. L'examen des échecs ne devrait pas être contrôlé uniquement par les RIR en place. Les critères d'entrée pour les opérateurs successeurs ou intérimaires devraient être exigeants mais réalisables. La portabilité devrait empêcher le verrouillage territorial de devenir absolu. Les normes de données devraient rendre les grands livres remplaçables. L'assistance d'urgence devrait être modulaire et temporaire. Les décisions de reconnaissance devraient publier les preuves et le raisonnement. L'examen déclenché par les membres devrait empêcher le club des titulaires d'ignorer l'échec. Les limites de l'accréditeur devraient empêcher la centralisation mondiale. Personne ne devrait pouvoir convertir la peur de la fragmentation en un chèque en blanc pour le pouvoir. La meilleure défense n'est pas l'hostilité à la coordination. C'est la coordination légère. Définir les invariants qui doivent être communs: unicité, exactitude des enregistrements, continuité, sécurité, portabilité des données essentielles, non-duplication, marquage transparent des litiges et niveaux de service minimum. Garder tout le reste de devenir une condition de reconnaissance à moins qu'il n'y ait une nécessité technique ou administrative démontrable. Plus la norme de reconnaissance devient épaisse, plus elle invitera à la capture. Plus elle est mince et vérifiable, plus elle peut discipliner sans gouverner.

Le danger de la protection de cartel n'est pas une raison pour abandonner la réforme ICP-2. C'est la raison pour laquelle la réforme doit être étroite, externe, vérifiable et ancrée dans les membres. Un registre défaillant est mauvais. Un registre défaillant protégé par un cartel mondial de reconnaissance est pire.

Ce dont les opérateurs, les tribunaux et les gouvernements ont besoin de la réforme

Les acteurs qui supportent le coût de l'échec du registre ont besoin de choses différentes de l'ICP-2. La réforme échouera si elle ne parle qu'aux initiés de la gouvernance d'Internet.

Les opérateurs ont besoin de prévisibilité. Leur première préoccupation n'est pas la philosophie institutionnelle. C'est de savoir s'ils peuvent maintenir les réseaux en fonctionnement, acquérir ou louer des adresses, maintenir la crédibilité du routage, mettre à jour les enregistrements, obtenir le DNS inverse, gérer les contacts d'abus, utiliser le RPKI, satisfaire les clients et éviter une renumérotation catastrophique. Ils doivent savoir que la crise interne d'un registre ne deviendra pas soudainement leur crise de continuité des activités. Ils ont besoin de niveaux de service publiés, d'enregistrements exportables, de délais de transfert, de règles de marquage des litiges, de contacts d'urgence et de droits de portabilité dans des conditions définies. Ils ont également besoin de l'assurance que le pouvoir discrétionnaire du registre ne sera pas utilisé pour punir des modèles commerciaux défavorisés par les initiés institutionnels, à moins que ces modèles ne violent des règles claires et adoptées.

Les opérateurs ont également besoin de signaux de prix. Si un registre fait l'objet d'un examen formel, le marché devrait savoir ce que cela signifie. S'agit-il d'un risque de service, d'un risque de gouvernance, d'un risque financier, d'un risque d'intégrité des données ou d'un différend politique? Les transferts sont-ils toujours en cours de traitement? Les certificats et le DNS inverse sont-ils stables? Les dossiers des membres sont-ils gelés? La portabilité est-elle disponible? Un nuage vague sur la reconnaissance peut être aussi dommageable qu'une sanction formelle car il laisse les contreparties dans l'incertitude. L'ICP-2 devrait exiger une classification publique des risques afin que les marchés puissent évaluer les faits plutôt que les rumeurs.

Les tribunaux ont besoin d'une autre chose: une distinction claire entre la continuité du registre et le privilège institutionnel. Les tribunaux sont déjà impliqués parce que les RIR sont des entités juridiques nationales, et non des souverains flottant au-dessus de la loi. Lorsqu'un registre entre dans une procédure d'insolvabilité, une mise sous séquestre, des litiges d'injonction ou des conflits de registres d'entreprise, les juges doivent comprendre quelles fonctions du registre sont opérationnellement critiques et quelles revendications sont simplement institutionnelles. Un tribunal devrait être en mesure de protéger le grand livre sans qu'on lui dise que chaque préférence du registre est une question de stabilité mondiale de l'Internet. L'ICP-2 peut aider en définissant les fonctions minimales de continuité, les obligations de dépôt fiduciaire, les protocoles de service d'urgence et les conséquences factuelles de la perturbation du registre.

Cela ne signifie pas que les tribunaux devraient gérer les registres. Ils ne le devraient pas. Cela signifie que le système des registres devrait cesser de s'appuyer sur des affirmations mystiques lorsqu'il se présente devant la loi ordinaire. Si le grand livre est critique, montrez pourquoi. Si un service doit continuer, identifiez-le. Si un dossier de membre est contesté, préservez les preuves. Si une élection est nécessaire, spécifiez les documents d'autorité et les règles de vérification. Les tribunaux peuvent travailler avec des faits. Ils sont moins bien adaptés pour juger le vocabulaire sacré de la gouvernance d'Internet.

Les gouvernements ont besoin d'un troisième ensemble d'assurances. Les États supportent les inconvénients publics lorsque la continuité de la numérotation échoue. Les communications, les services d'urgence, les systèmes financiers, les plateformes cloud, les réseaux de télécommunications et l'administration publique dépendent tous de la continuité d'Internet. Pourtant, la couche de registre en amont est souvent une entité privée constituée dans une juridiction et desservant de nombreuses autres. AFRINIC est constitué à Maurice et dessert une vaste région. APNIC, RIPE NCC, ARIN et LACNIC fonctionnent également par le biais de formes juridiques spécifiques tout en desservant de vastes régions. Cet arrangement peut être efficace, mais il crée une inversion de souveraineté si les États supportent les inconvénients tandis que les organismes de registre privés détiennent un effet de levier pratique sans responsabilité suffisante.

Les gouvernements ont donc besoin que l'ICP-2 clarifie que la reconnaissance n'est pas une propriété politique d'une région. Une région de service de registre est une empreinte administrative, et non un mandat souverain. La reconnaissance ne devrait pas donner à un registre le droit de revendiquer l'immunité de la loi ordinaire ou de traiter la continuité de la numérotation d'une région entière comme sa propriété institutionnelle. En même temps, les gouvernements ne devraient pas répondre en nationalisant ou en politisant l'administration des ressources de numérotation. L'intérêt public est la continuité, la neutralité et l'interopérabilité, et non la capture par l'État.

La réforme devrait donner aux gouvernements l'assurance qu'il existe une voie d'échec non politique. Si un registre échoue, il devrait y avoir des mécanismes prédéfinis pour maintenir les services, protéger les données, valider l'autorité des membres, communiquer avec les régulateurs nationaux si nécessaire et empêcher une crise du registre de devenir un concours géopolitique. Si une telle voie n'existe pas, les gouvernements finiront par improviser la leur. Cela serait pire pour la coordination mondiale qu'un régime d'échec ICP-2 étroit et crédible.

Les membres et les détenteurs de ressources ont besoin d'une voix, mais la voix doit être vérifiable. Les controverses électorales d'AFRINIC montrent la fragilité de la représentation lorsque les procurations, les limites de procuration, la classification des entreprises et les registres des membres deviennent contestés. L'ICP-2 ne devrait pas supposer que le processus d'adhésion est légitime simplement parce qu'il est ascendant en nom. Elle devrait exiger des registres qu'ils tiennent des registres d'autorité des membres vérifiés, des règles transparentes sur les procurations, des systèmes électoraux vérifiables et des canaux indépendants pour signaler les irrégularités. Un système ascendant sans adhésion vérifiable n'est pas ascendant. C'est un marché pour la capture procédurale.

La communauté technique a besoin d'une dernière assurance: que la réforme ne transformera pas la reconnaissance du registre en un commandement politique général. Les ingénieurs et les opérateurs de réseau acceptent la coordination parce qu'elle préserve l'unicité et l'interopérabilité. Ils n'ont pas besoin d'une autorité mondiale de reconnaissance qui puisse imposer des préférences sociales, économiques ou politiques épaisses sous le couvert de l'aptitude du registre. L'ICP-2 devrait donc définir les invariants techniques et administratifs minimaux de la reconnaissance et laisser les débats politiques ordinaires aux processus régionaux, au choix des membres et à l'adoption opérationnelle.

Cette nature volontaire est essentielle. Le système de numérotation Internet fonctionne parce que les réseaux acceptent les enregistrements comme utiles et agissent en conséquence. Les normes de reconnaissance qui ignorent l'économie du consentement peuvent paraître fortes sur le papier et faibles dans la réalité. La tâche de la réforme est de rendre le consentement à nouveau rationnel.

L'accord étroit qui rendrait l'ICP-2 crédible

L'accord crédible est étroit. Les registres en place ne peuvent conserver la reconnaissance exclusive de leurs régions que si cette reconnaissance est conditionnelle, mesurable et révocable. Les organismes mondiaux ne peuvent aider à appliquer les normes de reconnaissance que si leur autorité est limitée, fondée sur des preuves et vérifiable. Les membres ne peuvent déclencher la responsabilisation que par des mécanismes vérifiés et structurés. Les opérateurs d'urgence ne peuvent protéger la continuité qu'en ne transformant pas l'assistance temporaire en contrôle politique. Chacun abandonne quelque chose. C'est pourquoi l'accord pourrait fonctionner.

Commençons par la primauté du grand livre. L'ICP-2 devrait énoncer, en substance, que la continuité protège le grand livre et les utilisateurs, et non les titulaires de postes en place. Chaque recours devrait être jugé en fonction de sa capacité à préserver des enregistrements exacts, les services de soutien au routage, l'accès des membres, les preuves de litige, la transférabilité et l'utilisation opérationnelle. Ce principe ne forcerait pas le remplacement. Souvent, le registre en place restera le meilleur véhicule pour la continuité du grand livre. Mais il empêcherait le langage de la continuité de protéger automatiquement le titulaire lorsque le titulaire devient le risque.

La reconnaissance devrait alors dépendre de critères publics: disponibilité du service, intégrité des données, viabilité financière, capacité de gouvernance, contrôles des conflits, protection des droits des membres, élections vérifiées, conformité au dépôt fiduciaire, posture de sécurité, administration des transferts et performance de remédiation. Les critères devraient être suffisamment précis pour être testés et suffisamment étroits pour éviter la construction d'un empire politique. Ils devraient mesurer si le registre peut remplir la fonction reconnue, et non si des étrangers aiment sa politique.

Le déclenchement devrait venir d'en bas aussi bien que d'en haut. Les membres et les détenteurs de ressources concernés devraient pouvoir imposer un examen préliminaire lorsque des seuils définis sont atteints. L'examen externe devrait alors être mené par des auditeurs indépendants et des examinateurs techniques qui ne risquent pas d'hériter de l'autorité du registre. L'ICANN, la NRO et les autres RIR peuvent avoir des rôles, mais ils ne devraient pas être les seuls gardiens. Le but est d'empêcher à la fois la capture locale et la centralisation mondiale.

Le soulagement devrait être disponible avant l'effondrement. Les membres ne devraient pas avoir à attendre la déreconnaissance complète avant d'obtenir de l'aide d'un registre défaillant. Si la non-conformité objective persiste ou si certains déclencheurs d'urgence sont atteints, la portabilité administrative devrait devenir disponible par le biais de mécanismes prédéfinis. Cela ne signifie pas des revendications de numéros contradictoires ou des transferts non vérifiés. Cela signifie que la relation de service peut se déplacer tandis que l'unicité et les enregistrements de litige sont préservés. La portabilité est la discipline de marché qui rend la reconnaissance moins fragile.

Chaque registre reconnu devrait maintenir un dépôt fiduciaire vérifiable de manière indépendante des données essentielles du registre et des métadonnées opérationnelles. Le dépôt fiduciaire devrait être testé, et pas seulement promis. Un exercice d'incendie qui ne peut pas restaurer les services n'est pas un plan de continuité. Le dépôt fiduciaire réduit la capacité du titulaire à prendre le système en otage et réduit la crainte de l'accréditeur que l'intervention ne casse Internet.

Les recours devraient être échelonnés. La divulgation, l'audit, la remédiation, l'assistance, la substitution fonctionnelle limitée, la portabilité, l'exploitation d'urgence et la déreconnaissance devraient être des étapes distinctes. Le fait de sauter des étapes devrait nécessiter la preuve d'un risque immédiat pour la continuité. Cela protège les registres des attaques opportunistes tout en protégeant les membres d'une indulgence sans fin.

Le processus de reconnaissance devrait également contenir une limite anti-cartel. Il ne devrait pas être autorisé à bloquer toutes les nouvelles formes institutionnelles, à geler tous les territoires de service actuels pour toujours, ou à permettre aux registres en place de juger les concurrents potentiels sans supervision indépendante. L'entrée devrait être difficile parce que l'unicité est importante. Elle ne devrait pas être impossible parce que l'ancienneté est confortable. La sortie devrait être contrôlée parce que les enregistrements doivent rester cohérents. Elle ne devrait pas être interdite parce que les registres préfèrent des membres captifs.

Enfin, l'ICP-2 devrait refuser l'expansion du mandat par le vocabulaire. Des mots tels que gérance, communauté, stabilité, reconnaissance, conformité et coordination mondiale devraient être liés à des significations opérationnelles spécifiques. Un registre est un coordinateur des enregistrements de ressources de numérotation et des services connexes. Il n'est pas le propriétaire politique d'une région. Un accréditeur est un vérificateur de l'aptitude minimale du registre. Il n'est pas un gouvernement mondial pour les ressources de numérotation. Un processus communautaire est une méthode de développement des politiques. Il n'est pas une conversion magique d'une participation étroite en consentement universel.

Si ces termes semblent modestes, c'est le but. La réforme ICP-2 ne devrait pas tenter de résoudre tous les arguments sur les marchés IPv4, la location, l'utilisation hors région, la philosophie de transfert, le développement régional ou l'avenir à long terme de la coordination Internet. D'autres travaux et d'autres processus peuvent débattre de ces questions. La question immédiate de la reconnaissance est plus étroite: comment Internet peut-il identifier, discipliner et, si nécessaire, remplacer un RIR défaillant sans transformer ce pouvoir en une nouvelle hiérarchie irresponsable?

AFRINIC est le test parce qu'il contient toutes les tentations. La tentation pour les titulaires est de dire que la crise prouve la nécessité d'une protection plus forte du système existant. La tentation pour les organismes centraux est de dire que la crise prouve la nécessité d'une intervention mondiale plus forte. La tentation pour les critiques est de dire que la crise prouve que l'ancien système devrait être balayé immédiatement. La réponse économique est moins satisfaisante et plus durable: protéger le grand livre, discipliner l'institution, préserver la sortie, contraindre l'accréditeur et rendre le remplacement possible avant qu'il ne soit nécessaire.

Le système de numérotation d'Internet a été construit sur une forme étroite de confiance. Les réseaux n'avaient pas besoin de faire confiance à un souverain mondial. Ils avaient besoin de faire confiance au fait que les enregistrements étaient uniques, que les services étaient fiables, que les processus étaient suffisamment équitables et qu'aucun intermédiaire unique ne pouvait arbitrairement détruire leur continuité. La rareté des adresses IPv4 a rendu cette confiance plus coûteuse. AFRINIC a montré ce qui arrive lorsque le prix n'est pas payé à l'avance.

La réforme ICP-2 ne sera crédible que si la reconnaissance devient conditionnelle aux faits plutôt qu'à la mythologie. Un registre qui maintient le grand livre, sert les membres de manière neutre, accepte l'audit externe et permet une sortie limitée devrait être protégé. Un registre qui ne peut pas faire ces choses devrait être discipliné. Un registre qui ne peut toujours pas les faire après la remédiation devrait être remplaçable. Et les organismes qui appliquent ces normes devraient eux-mêmes être contraints par le même principe qui justifie l'ensemble du système: la coordination existe pour servir les réseaux qui font fonctionner Internet, et non pour transformer les gardiens de registres en dirigeants.