Le mainteneur du serveur de route a déjà vu ce genre de ticket. Un petit fournisseur d'accès souhaite qu'un nouveau préfixe soit accepté à un échange africain. Le courriel est poli et urgent. Le client affirme que le préfixe appartient à une fondation universitaire qui a récemment déplacé son hébergement vers un centre de données local. La lettre d'autorisation est signée par un directeur financier dont le nom n'apparaît pas dans le contact du registre. Un objet de route existe, mais son AS d'origine pointe vers un ancien fournisseur de transit. L'AS-SET fourni par le client s'étend à deux réseaux en aval et à un revendeur dont le mainteneur est détenu par une société de services gérés dans un autre pays. Le contact du registre répond depuis une messagerie personnelle. Le client affirme que le changement est une routine, car les paquets transitent déjà par une liaison de secours. L'outillage du serveur de route indique autre chose: accepter l'annonce et l'échange pourrait aider une route non autorisée à se propager; la rejeter et un véritable réseau africain pourrait perdre un chemin moins coûteux vers l'accessibilité locale.

La même scène se reproduit, avec de légères variations, dans les départements de transit, les files d'attente d'intégration cloud, les équipes de routeurs gérés et les examens d'approvisionnement des entreprises. Personne dans ces salles ne devrait confondre un objet de route avec un acte de propriété. Personne ne devrait le traiter comme une autorisation d'origine de route cryptographique (ROA). Pourtant, l'enregistrement peut encore décider si un préfixe entre dans un filtre, si une migration se déroule cette semaine ou le mois prochain, et si un client est traité comme ordinaire ou exceptionnel. Un opérateur doit savoir si un acheteur de transit peut annoncer un bloc. Un IXP doit savoir ce que ses serveurs de route doivent laisser passer. Un revendeur doit convaincre un fournisseur en amont que sa délégation de client est réelle. Un réseau public a besoin de continuité lors d'un changement de sous-traitant. Un centre de données doit déplacer un client sans devenir le maillon faible d'un détournement. Dans chaque cas, une ancienne entrée textuelle dans un registre de routage Internet peut devenir un ticket pratique vers l'économie du routage.

C'est là l'importance des règles relatives aux objets de route de l'AFRINIC. Les entrées de route et route6 RPSL sont des déclarations opérationnelles préfixe-origine: elles associent un préfixe IP à un système autonome sous une forme que les ingénieurs réseau et les logiciels de filtrage peuvent consommer. Elles ne constituent pas un titre légal, ni une ordonnance de tribunal, ni un certificat de membre, ni une assertion RPKI signée. Leur autorité est plus souple et plus institutionnelle. Mais comme les opérateurs, les IXP, les fournisseurs gérés, les plateformes cloud et les clients utilisent souvent les données IRR pour construire des filtres de préfixe et d'origine, ces enregistrements peuvent déterminer s'il est facile de rendre un préfixe accessible. Dans une région où la rareté des IPv4 a rendu l'acceptation opérationnelle précieuse, une commodité de registre peut devenir un gardien de l'ombre si son objectif et ses règles de correction ne sont pas étroitement définis.

L'histoire institutionnelle récente de l'AFRINIC donne au problème une force inhabituelle. Le registre a été confronté à un stress juridique et de gouvernance de longue date, à des rapports publics sur des préoccupations de détournement d'IPv4, à des périodes de supervision judiciaire, à une mise sous séquestre, à une élection de 2025 annulée suite à des allégations d'irrégularités signalées et à une restauration ultérieure du conseil d'administration. Aucun de ces faits ne prouve qu'une déclaration de routage particulière est erronée. Une élection difficile ne montre pas qu'un AS d'origine manque d'autorité; une bataille juridique ne montre pas qu'un mainteneur est compromis; un scandale d'adresses signalé ne justifie pas de traiter chaque détenteur historique comme suspect. Mais le stress institutionnel modifie le coût de l'ambiguïté. Lorsque les canaux de correction sont lents, contestés ou mal documentés, les enregistrements opérationnels acquièrent plus de poids sur le marché. La réponse n'est pas de transformer chaque modification de routage en un procès de propriété. Il s'agit de rendre l'autorité étroite, vérifiable, basée sur la notification et peu coûteuse à corriger.

Le petit fichier qui devient une carte d'embarquement

L'objet de route a commencé comme un moyen de décrire la politique de routage, pas comme un instrument de marché. Dans RPSL, la classe route spécifie une route inter-AS provenant d'un système autonome. Sa clé est le préfixe et l'AS d'origine. La classe route6 pour IPv6 joue le rôle équivalent, en utilisant les attributs route6 et origin comme clé. La forme est volontairement dépouillée. Elle répond à une question opérationnelle: si un réseau prétend que l'AS X est à l'origine du préfixe P, existe-t-il une entrée de registre l'affirmant?

Cette réponse est importante car BGP est permissif. Un routeur qui reçoit une annonce ne sait pas intrinsèquement si l'AS annonceur est autorisé à être à l'origine du préfixe. Les opérateurs ajoutent donc des politiques. Ils peuvent rejeter l'espace non alloué, les routes trop spécifiques, les routes incompatibles avec les données RPKI, ou les routes absentes d'une liste d'autorisation dérivée de l'IRR. Chaque vérification répond à une question différente. L'enregistrement IRR répond à une question étroite: quelqu'un disposant de l'autorité pertinente a-t-il publié la déclaration préfixe-origine que mon outillage attend?

Dans un contexte fluide, ce fichier reste invisible. Un client demande à annoncer un préfixe. Le fournisseur en amont voit une entrée IRR propre, un enregistrement de détenteur de registre, un contact correspondant à la demande, éventuellement un ROA, et un AS-SET qui s'étend comme prévu. Le ticket de provisionnement est fermé. Le client obtient du transit, le fournisseur comptabilise des revenus, le serveur de route évite une erreur évidente, et personne n'a besoin d'une théorie de conception institutionnelle.

La friction commence lorsque les enregistrements divergent. Un préfixe peut être enregistré par une organisation, avoir pour origine une autre, être maintenu par une troisième, délégué à un client et présenté à un serveur de route par une quatrième. Ce n'est pas nécessairement suspect. Les réseaux modernes sont stratifiés. Les détenteurs externalisent le routage. Les universités embauchent des fournisseurs de services. Les agences publiques achètent de la connectivité via des contrats-cadres. Les centres de données annoncent l'espace client. Les revendeurs agrègent les clients derrière leurs propres ASN. Les fournisseurs de sécurité gérés dirigent le trafic lors d'attaques. Un préfixe peut passer par plusieurs mains légitimes avant d'atteindre la personne qui demande à un fournisseur en amont de l'accepter.

Les opérations stratifiées créent une charge de documentation. Le détenteur de registre peut contrôler les droits légaux ou contractuels. L'AS d'origine peut contrôler l'annonce BGP réelle. Le mainteneur peut contrôler l'édition IRR. Le client peut contrôler la relation commerciale. Le transporteur tiers peut contrôler l'acceptation. Si l'entrée est obsolète, ou si le mainteneur ne représente plus le détenteur, l'outillage de filtrage peut convertir une vieille paperasserie en accessibilité actuelle. Si le transporteur rejette la demande, il peut bloquer un trafic légitime. S'il accepte, il peut normaliser une chaîne d'autorité faible. Le petit fichier devient une carte d'embarquement parce que les tiers peuvent le traiter plus facilement qu'ils ne peuvent traiter la réalité institutionnelle sous-jacente.

C'est pourquoi le sujet relève de l'économie institutionnelle plutôt que d'une annexe administrative de BGP. Le coût d'un enregistrement peu clair n'est pas supporté uniquement par le registre. Il l'est par le fournisseur d'accès qui perd un client, par l'échange qui doit faire une exception, par le centre de données qui ne peut pas terminer une migration, par le réseau public qui paie pour une revue manuelle, et par le fournisseur en amont dont l'équipe de sécurité doit décider de faire confiance à un document qu'elle ne peut pas entièrement vérifier. De bonnes règles réduisent les coûts de transaction. Des règles faibles les déplacent vers le marché, où elles apparaissent comme des retards, des primes de risque, des faveurs bilatérales et des décisions de filtrage incohérentes.

La déclaration étroite de RPSL et ses vastes conséquences

RPSL a été conçu pour que la politique de routage puisse être exprimée de manière structurée. La RFC 2622 décrit la classe route comme un moyen de spécifier une route inter-AS provenant d'un AS, le préfixe de route et l'AS d'origine formant la clé de classe. La RFC 4012 a ensuite étendu RPSL pour des familles d'adresses supplémentaires et décrit route6 comme la contrepartie IPv6. Ces documents sont des ancres techniques, pas des manifestes commerciaux. Leur importance pour l'AFRINIC est qu'ils définissent l'étroitesse de l'entrée. Un objet route ou route6 n'est pas une déclaration générale sur qui possède une ressource. C'est une déclaration préfixe-origine à l'intérieur d'un système de politique de routage.

Cette étroitesse est souvent perdue dans la pratique. Un ingénieur réseau sous pression demande « l'objet IRR » comme preuve qu'un client peut annoncer un préfixe. Le client produit l'entrée. L'entrée est traitée comme une preuve de légitimité parce que l'outil de filtrage la consomme. Si personne ne s'y oppose, la décision opérationnelle peut devenir un fait de marché. La route est acceptée, le trafic circule, les contrats sont exécutés et les examinateurs ultérieurs peuvent supposer que l'acceptation elle-même a prouvé l'autorité. L'enregistrement n'a pas changé de nature juridique. Sa fonction sociale a changé.

L'écart entre la nature juridique et la fonction opérationnelle est l'endroit où la réglementation importe. Si l'enregistrement est compris de manière trop large, il devient un substitut de titre. Celui qui peut le créer ou le préserver obtient un levier sur l'accessibilité. S'il est compris de manière trop étroite, les opérateurs peuvent l'ignorer et se rabattre sur des lettres privées, des exceptions ad hoc et une confiance basée sur les relations. Aucun extrême n'est sain. L'entrée doit être traitée comme une déclaration opérationnelle structurée avec des limites connues et des exigences d'autorité connues.

La comparaison avec route6 aide car elle montre que le problème n'est pas seulement un vestige de la rareté des IPv4. Les réseaux IPv6 ont aussi besoin de déclarations préfixe-origine. Les IXP et les fournisseurs en amont construisent également des filtres pour IPv6. Mais la rareté des IPv4 augmente les enjeux parce qu'un seul préfixe IPv4 accepté peut avoir une valeur marchande, un historique client et une difficulté de remplacement. Une entrée route6 obsolète peut créer un risque opérationnel; un objet de route IPv4 obsolète peut également affecter la liquidité et le pouvoir de négociation d'un actif rare. Le problème est de même forme et d'intensité différente.

Ces enregistrements diffèrent également des ROA. Un ROA fait partie du système RPKI et est validé par des certificats de ressource cryptographiques. Une entrée IRR dépend des règles de base de données, de l'authentification du mainteneur, de la sélection de la source et de la confiance de l'opérateur. Comparer les deux n'est utile que si la comparaison reste disciplinée. Les ROA peuvent montrer qu'un détenteur de ressource a publié une autorisation d'origine vérifiable cryptographiquement dans le système de certificats. Les objets de route peuvent montrer qu'une déclaration préfixe-origine existe dans un registre de routage selon les règles de mise à jour de ce registre. De nombreux opérateurs utilisent les deux. Aucun ne supprime la nécessité de comprendre qui avait l'autorité de publier le signal pertinent.

La conséquence pratique est que la syntaxe seule ne peut pas régler les questions importantes. Qui peut créer l'entrée lorsque le détenteur de la ressource et l'AS d'origine diffèrent? Qui peut la supprimer lorsqu'une relation client se termine? Que se passe-t-il lorsque deux sources contiennent des origines différentes pour le même préfixe? Que faire si un mainteneur est contrôlé par un fournisseur externalisé qui ne représente plus le détenteur? Que faire si le détenteur est une université dont le contact registre a pris sa retraite il y a des années? Que faire si un syndic, un liquidateur, un administrateur supervisé par un tribunal ou une agence publique revendique l'autorité? RPSL fournit la forme. Les règles institutionnelles déterminent si la forme reste fiable dans les marchés réels.

Mainteneurs, informations d'identification et valeur de l'autorité d'édition

L'objet mntner est le centre discret du système. La RFC 2622 décrit les mainteneurs comme des entités autorisées à ajouter, supprimer et modifier des ensembles d'objets. Cela semble administratif. Dans un environnement dépendant des filtres, l'autorité d'édition a une valeur économique. La partie qui peut créer, préserver ou supprimer une entrée préfixe-origine peut influencer l'apparition d'un préfixe dans les filtres. La partie qui peut contrôler un AS-SET peut influencer les ASN clients inclus dans les listes d'autorisation générées récursivement. La partie qui peut mettre à jour les champs de contact peut affecter qui reçoit les notifications. La partie qui peut authentifier les changements peut donner l'apparence d'ordre à une déclaration opérationnelle même lorsque la relation commerciale sous-jacente est contestée.

L'authentification est nécessaire mais insuffisante. Un mot de passe, une clé, un certificat, une session de portail ou une étape à deux facteurs peut montrer que l'utilisateur contrôle les informations d'identification du mainteneur. Cela ne montre pas en soi que l'utilisateur représente toujours le détenteur de la ressource, l'AS d'origine, le client ou la partie ayant la délégation actuelle. Un compte de messagerie d'entreprise peut rester valide après la fin d'un contrat. Un ancien fournisseur de services gérés peut conserver les identifiants. Un revendeur peut avoir un accès d'édition pour le préfixe d'un client mais aucune autorité pour autoriser une nouvelle origine. Un employé peut contrôler un mainteneur sans avoir l'autorité de l'entreprise. Des contrôles de connexion solides réduisent l'usurpation d'identité; ils ne règlent pas la question du mandat.

Pour l'AFRINIC, la distinction est précieuse parce que le stress institutionnel et la valeur du marché des adresses rendent l'autorité obsolète plus coûteuse. Si l'accès au mainteneur est lâche, des entrées peuvent être créées trop facilement. Si l'accès au mainteneur est traité comme concluant, d'anciens identifiants peuvent devenir des armes économiques. Si l'accès est trop difficile à récupérer, les détenteurs légitimes ayant de mauvais enregistrements historiques peuvent être exclus des fichiers mêmes que les fournisseurs en amont s'attendent à ce qu'ils maintiennent. Le registre a donc besoin d'un modèle d'autorité qui sépare l'authentification du droit.

L'erreur la plus simple est de confondre l'autorité du mainteneur avec celle du détenteur. Un mainteneur peut être attaché aux enregistrements du détenteur, mais la personne qui le contrôle peut être un sous-traitant, un ancien administrateur réseau ou un fournisseur tiers. L'erreur inverse est d'ignorer l'autorité du mainteneur et d'exiger une preuve complète du détenteur du registre pour chaque modification mineure. Cela rendrait les opérations de routine trop lentes, en particulier pour les petits réseaux qui dépendent de services gérés. L'approche utile est à plusieurs niveaux. Les mises à jour de routine par un mainteneur stable et validé doivent être rapides. Les changements qui modifient le sens commercial de l'entrée, comme un nouvel AS d'origine, une suppression contestée ou une modification après récupération de compte, doivent déclencher des contrôles plus stricts.

Les règles relatives aux mainteneurs sont également un moyen d'attribuer la responsabilité sans prétendre l'éliminer. Un enregistrement peut être erroné parce que le détenteur a fait une erreur, parce que le client a fourni de mauvaises informations, parce que l'AS d'origine a changé, parce qu'un sous-traitant n'a pas nettoyé, parce que le processus du registre a permis une mise à jour non autorisée, ou parce qu'un autre IRR a copié une ancienne entrée. L'AFRINIC ne peut pas absorber toutes les erreurs opérationnelles de l'économie du routage. Mais elle peut exiger suffisamment d'attribution pour rendre les erreurs corrigibles. Un journal des modifications doit montrer quel mainteneur a agi, sous quel compte authentifié, sur quelle base déclarée et avec quelle notification aux contacts concernés. Ces preuves réduisent le coût des litiges ultérieurs.

Le fardeau des mauvaises pratiques de mainteneur pèse de manière inégale. Les grands transporteurs peuvent affecter du personnel pour nettoyer les enregistrements sur plusieurs sources. Les plus petits FAI peuvent avoir un seul ingénieur qui s'occupe également des pannes de courant, des achats, des escalades clients et de la sécurité. Une université peut ne pas savoir quel ancien sous-traitant détient un ancien mainteneur. Un réseau gouvernemental peut avoir besoin d'une chaîne de lettres officielles avant qu'un ingénieur puisse même demander une correction. Si les modifications dépendent de connaissances informelles, ces organisations paient plus. Si le registre fournit un processus d'autorité clair et étroit, elles peuvent rivaliser avec moins de dépendance aux relations personnelles.

Cinq formes d'autorité que les opérateurs compressent souvent en une seule

Le litige qui parvient à un fournisseur en amont arrive rarement sous une forme juridique propre. Il arrive comme une demande client. Le client peut dire « nous possédons ce préfixe » alors qu'il veut dire « notre fournisseur de services nous a dit que nous pouvions l'annoncer ». Il peut dire « l'AFRINIC a l'enregistrement » alors qu'il veut dire « il y a une entrée quelque part avec notre AS ». Il peut dire « le détenteur nous a autorisés » alors qu'il a une lettre d'une personne qui était autrefois le gestionnaire réseau du détenteur. L'opérateur doit traduire un langage imprécis en risque. Un bon processus aide en séparant les formes d'autorité que les opérations compressent souvent.

La première forme est l'autorité du détenteur du registre. Il s'agit de l'organisation reconnue dans l'enregistrement du registre comme détenteur ou cessionnaire de la ressource de numérotation. C'est le point de départ de nombreuses décisions, mais cela ne signifie pas que l'AS du détenteur doit toujours être à l'origine du préfixe. Les détenteurs délèguent le routage en permanence. Une entreprise peut utiliser l'AS d'un transporteur. Une agence publique peut externaliser l'infrastructure. Une université peut laisser un réseau de recherche transporter le trafic. L'autorité du détenteur est fondamentale, mais elle ne s'exécute pas automatiquement dans BGP.

La deuxième forme est l'autorité de l'AS d'origine. L'AS qui est à l'origine du préfixe doit être disposé et opérationnellement capable de l'annoncer. L'AS d'origine peut être un fournisseur de transit, un client, un centre de données, un réseau de contenu, un fournisseur de mitigation DDoS géré ou le détenteur lui-même. Son autorité peut découler d'un contrat, d'une relation client ou d'une délégation opérationnelle. Une entrée préfixe-origine n'a de sens que si la relation sous-jacente existe et si la partie qui l'a publiée avait qualité pour faire cette déclaration.

La troisième forme est l'autorité du mainteneur. Il s'agit de la capacité d'éditer l'enregistrement IRR. Elle est plus étroite que l'autorité du détenteur et de l'AS d'origine, mais peut être plus immédiatement puissante parce que les filtres dépendent des données publiées. Un mainteneur peut appartenir au détenteur, au réseau d'origine, au registre, à un sous-traitant ou à un arrangement historique. Son contrôle ne doit pas être confondu avec le droit complet de décider de l'avenir de la ressource.

La quatrième forme est la délégation client. Un client peut avoir une lettre, un contrat, une approbation de ticket ou un ordre de service qui l'autorise à router un préfixe via un fournisseur spécifique. La délégation peut être large ou étroite, temporaire ou indéfinie, révocable ou liée à un service payant. Le fournisseur en amont ou l'IXP doit savoir si elle couvre l'origine, la longueur de préfixe et la période demandées. Une lettre autorisant des « services de connectivité » peut ne pas autoriser la création d'un objet de route pour un AS différent trois ans plus tard.

La cinquième forme est l'acceptation par un tiers. Aucun registre ne peut forcer chaque transporteur ou IXP à accepter une route. Les opérateurs décident de leurs propres filtres. Ils peuvent utiliser les données liées à l'AFRINIC, d'autres IRR, RPKI, des exceptions manuelles et un historique de confiance privé. Leur acceptation n'est pas non plus un titre. C'est une décision opérationnelle. Mais une acceptation suffisante crée une dépendance, et un rejet suffisant peut détruire l'utilisabilité pratique. C'est pourquoi les formes d'autorité précédentes doivent être lisibles pour les tiers.

Lorsque ces formes sont alignées, le système est ennuyeux. Lorsqu'elles ne le sont pas, la question n'est pas « qui possède le numéro Internet? » dans l'abstrait. C'est « quelle déclaration opérationnelle peut être publiée, par qui, avec quelle notification, à quelle fin de routage, et comment peut-elle être corrigée si la chaîne d'autorité est erronée? » Ce cadrage maintient le rôle du registre étroit tout en tenant compte du fait économique que les filtres transforment les enregistrements en conditions d'accès.

Comment les données IRR deviennent des filtres chez les opérateurs et les échanges

La RFC 7454 décrit la logique opérationnelle simplement. Le filtrage des préfixes est une partie essentielle des opérations BGP. Les informations IRR peuvent être utilisées pour construire, pour un AS voisin donné, une liste de préfixes originaires ou transités qui peuvent être acceptés. Un pair fournit un AS et éventuellement un AS-SET; les outils étendent l'AS-SET récursivement pour obtenir les numéros d'AS; l'opérateur recherche ensuite les préfixes associés et construit des listes de préfixes et d'origines autorisés. La RFC avertit également que les registres ne sont pas toujours précis, que les objets varient dans le temps, que la sélection de la source est difficile et que les filtres doivent être actualisés régulièrement. Elle recommande la publication et la maintenance appropriées des ressources dans l'IRR du RIR lorsqu'il est disponible.

C'est le pont entre la discipline de la base de données et le coût du marché. Une entrée liée à l'AFRINIC peut être consommée par la construction nocturne de filtres d'un fournisseur de transit. La configuration du routeur du fournisseur peut ne pas connaître l'histoire derrière. Elle sait seulement si une paire préfixe-origine apparaît dans une source que le fournisseur a choisi de faire confiance. Si l'entrée est manquante, obsolète ou contestée, le client peut être rejeté automatiquement. Si elle est présente mais non autorisée, la route peut passer automatiquement. La décision humaine a été déplacée en amont dans la curation des données.

L'automatisation est économiquement nécessaire. Un grand transporteur ne peut pas examiner manuellement chaque changement de route. Un serveur de route IXP ne peut pas fonctionner en toute sécurité sur des promesses informelles. Un fournisseur géré ne peut pas traiter chaque nouveau client comme un dossier juridique sur mesure. Les filtres dérivés de l'IRR rendent le marché moins cher en transformant l'examen répété en logiciel. Mais l'automatisation amplifie également les erreurs d'enregistrement. Une seule mauvaise entrée peut être intégrée dans de nombreux filtres. Une seule suppression peut retirer l'acceptation chez de nombreux pairs. Une seule règle de sélection de source peut privilégier une version d'un litige par rapport à une autre sans que les parties concernées ne le remarquent avant que le trafic n'échoue.

Les IXP exposent le problème de manière aiguë. Un serveur de route d'échange n'est pas simplement une relation bilatérale; c'est une commodité partagée pour de nombreux membres. Si le serveur accepte de mauvaises données, le risque se propage. S'il rejette de manière trop agressive, les petits membres perdent l'un des principaux avantages de rejoindre un échange: une accessibilité multilatérale simple. De nombreux IXP africains existent pour réduire la dépendance au transit international coûteux et garder le trafic local local. Une ambiguïté qui pourrait être une nuisance sur un grand marché européen peut être un coût matériel dans un écosystème plus petit où le peering local est encore en cours d'approfondissement.

Les fournisseurs de transit sont confrontés à une incitation différente. Ils veulent vendre du service, éviter les détournements et réduire la charge de support. Un enregistrement propre permet aux ventes et au provisionnement de se dérouler. Un enregistrement désordonné crée des retards internes. Si le revenu du client est faible, le fournisseur peut refuser plutôt que d'enquêter. Ce refus est rationnel pour le fournisseur mais coûteux pour le marché. Il en résulte un biais en faveur des clients dont les données sont déjà bien rangées, dont les ingénieurs connaissent le rituel, ou dont la marque est suffisamment grande pour justifier une escalade manuelle.

L'économie du filtrage dépend donc de la qualité des données en amont. L'AFRINIC ne contrôle pas la politique de routage de chaque opérateur, mais elle peut affecter le coût d'utilisation des enregistrements liés à l'AFRINIC. Si la création et la correction sont claires, les opérateurs peuvent s'appuyer sur la source avec moins d'exceptions. Si l'autorité est opaque, les opérateurs s'en méfient ou l'utilisent avec un risque caché. Les deux résultats sont coûteux. La méfiance pousse les réseaux vers des preuves fragmentées et des exceptions bilatérales. La confiance excessive laisse les entrées obsolètes ou non autorisées façonner l'accessibilité.

La récursion AS-SET et le pouvoir discret des listes déléguées

Les objets de route déclarent des paires préfixe-origine, mais les AS-SET décident souvent comment ces paires entrent dans les filtres à grande échelle. Un client de transit peut dire à un fournisseur en amont de construire des filtres à partir de AS-CUSTOMER. Cet ensemble peut contenir l'AS du client, les ASN des clients en aval et d'autres AS-SET. La récursion peut se poursuivre à travers les revendeurs et les réseaux gérés. Le résultat est une grande liste d'ASN dont les préfixes associés sont acceptés depuis le chemin client. Le processus est efficace lorsque les ensembles sont bien organisés. Il est risqué lorsqu'ils deviennent obsolètes ou trop larges.

La pratique des AS-SET appartient à la même discussion parce que les deux instruments interagissent. Si un ensemble inclut un ASN en aval et que cet ASN a des objets de route pour plusieurs préfixes, le filtre d'un fournisseur en amont peut accepter ces préfixes depuis le chemin client. Si la relation en aval a pris fin mais que l'ensemble n'a pas été mis à jour, le filtre peut continuer à autoriser l'acceptation. Si un revendeur ajoute un client sans preuve suffisante, le fournisseur en amont peut accepter ce client indirectement. Si un ensemble de routes inclut des préfixes par référence à des mainteneurs, le contrôle du mainteneur peut façonner les préfixes qui apparaissent dans les listes dérivées.

Le risque n'est pas seulement le détournement malveillant. Les ensembles trop larges créent une exposition accidentelle. Une société de services gérés peut inclure tous les ASN clients dans un seul ensemble par commodité. Un centre de données peut oublier de retirer un locataire parti. Un petit FAI peut copier une structure recommandée par un fournisseur en amont sans comprendre la récursion. Une université peut s'appuyer sur un réseau de recherche qui maintient des fichiers pour de nombreux campus. La sortie du filtre semble technique, mais elle reflète des choix concernant la délégation, la garde et le nettoyage.

Pour la région de l'AFRINIC, les listes récursives peuvent imposer un coût de développement. De nombreux opérateurs dépendent de fournisseurs gérés parce qu'ils manquent de personnel pour maintenir chaque fichier de registre. C'est raisonnable. Mais la dépendance devient un enfermement si le fournisseur contrôle l'AS-SET et les objets de route qui rendent les préfixes du client acceptables. Un petit FAI quittant un arrangement de transit géré peut découvrir que l'ancien fournisseur contrôle les enregistrements nécessaires au nouveau fournisseur. Le litige peut ne pas concerner la propriété légale du préfixe. Il peut concerner la capacité pratique de mettre à jour les données que les filtres consomment.

De bonnes règles doivent donc traiter les listes déléguées comme des instruments opérationnels révocables. La partie qui contrôle un AS-SET doit être identifiable. La base de l'ajout d'ASN clients doit être documentée. Il doit y avoir un chemin simple pour qu'un détenteur de ressource ou l'AS d'origine actuel conteste une inclusion obsolète. Il doit y avoir un préavis avant la suppression lorsque la suppression peut interrompre le service en cours, à moins qu'une raison de sécurité urgente ne justifie une action plus rapide. L'enregistrement doit distinguer le roulement ordinaire des clients de l'utilisation non autorisée suspectée. Cette distinction empêche le nettoyage de devenir une arme.

La sélection de la source complique la question. Les opérateurs peuvent interroger plusieurs IRR et préférer certaines sources à d'autres. Une entrée propre liée à l'AFRINIC peut être remplacée en pratique par un enregistrement obsolète ailleurs si l'outillage de l'opérateur donne la priorité à cette autre source. Inversement, une entrée obsolète liée à l'AFRINIC peut avoir plus de crédibilité qu'un fichier tiers plus récent parce qu'elle apparaît plus proche de l'enregistrement de ressource. Cet article ne porte pas sur la fragmentation mondiale de l'IRR; l'accent est mis sur l'autorité et la correction liées à l'AFRINIC. Néanmoins, les propres données de l'AFRINIC doivent être suffisamment bonnes pour que les opérateurs aient une raison de les préférer. Des données de mauvaise qualité à l'apparence autoritaire sont pires que des données manifestement informelles car elles sont plus susceptibles d'être automatisées dans les filtres.

La récursion AS-SET est un multiplicateur. Elle multiplie la confiance lorsque les enregistrements sont propres. Elle multiplie les erreurs lorsque la délégation est obsolète. Elle élargit l'accès au marché pour les petits réseaux lorsqu'elle est bien gérée. Elle approfondit la dépendance aux intermédiaires lorsque la correction est difficile. L'AFRINIC ne peut pas traiter les fichiers préfixe-origine comme des entrées isolées si les mêmes décisions d'acceptation sont construites par le biais d'ensembles récursifs.

Enregistrements obsolètes et contradictoires, des taxes cachées

Le coût d'une mauvaise déclaration de routage apparaît rarement comme un poste de dépense. Il apparaît comme une semaine de provisionnement retardé, un client perdu, le dimanche d'un ingénieur passé à nettoyer les données du registre, un membre d'échange exclu d'un serveur de route, une migration d'entreprise reportée, un ticket de support traduit à travers trois organisations, une exception manuelle que personne ne se rappelle plus tard, ou un prix plus élevé proposé par un transporteur s'attendant à des problèmes. Ces coûts sont réels même lorsque le trafic finit par circuler.

Le caractère obsolète est la taxe la plus courante. Un préfixe qui provenait autrefois de l'AS A provient maintenant de l'AS B, mais l'ancien enregistrement subsiste. Certains outils peuvent accepter les deux. Certains opérateurs peuvent voir un conflit et rejeter la demande. Certains peuvent demander une suppression que le client actuel ne peut pas effectuer parce que le mainteneur appartient à l'ancien fournisseur. La situation peut être inoffensive en intention mais coûteuse en temps. Le caractère obsolète est particulièrement coûteux sur les marchés où le personnel est limité car la personne qui connaissait l'arrangement initial peut être partie des années plus tôt.

Les doublons créent un autre coût. Si le même préfixe apparaît avec des origines différentes, les opérateurs doivent décider si la situation reflète un routage multi-origine légitime, une migration par étapes, de l'ingénierie de trafic, une erreur ou une utilisation non autorisée. Les arrangements multi-origine existent, et des règles de suppression trop rigides peuvent les briser. Mais les doublons sans contexte forcent les tiers à deviner. Un registre qui les autorise doit rendre la raison et l'autorité suffisamment visibles pour que les opérateurs puissent interpréter le résultat.

Les conflits entre les sources créent un coût plus subtil. Une entrée liée à l'AFRINIC peut montrer une origine; un IRR commercial peut en montrer une autre; un ensemble de routes peut inclure un préfixe par référence; un ROA RPKI peut pointer vers une troisième origine ou être absent. L'outillage du transporteur peut être configuré pour faire confiance à une source pour certains clients et à une autre source pour d'autres. Le client ne vit pas cela comme un pluralisme élégant. Il vit un retard arbitraire. On lui dit de corriger « l'IRR » sans savoir quel fichier importe.

Les entrées non autorisées sont le cas le plus grave car elles externalisent le risque. Une partie qui peut publier une déclaration préfixe-origine plausible peut convaincre certains réseaux d'accepter une route avant que le détenteur ne s'en aperçoive. Même si aucun trafic n'est volé, l'enregistrement peut polluer les filtres, créer un travail de nettoyage ultérieur et réduire la confiance dans la source du registre. Dans un environnement IPv4 rare, il peut également soutenir des modèles commerciaux qui dépendent d'un contrôle apparent. Un acheteur, un locataire, un client ou un fournisseur d'hébergement peut s'appuyer sur l'entrée comme élément d'un dossier de due diligence. Lorsque l'enregistrement est corrigé, la chaîne de dépendance se brise.

La taxe cachée frappe particulièrement durement les réseaux africains qui cherchent à réduire les coûts de connectivité. Le peering local et le transit régional réduisent la dépendance aux longs chemins internationaux. Mais le peering exige la confiance. Si les enregistrements d'un petit opérateur sont désordonnés, un serveur de route peut le rejeter ou ses pairs peuvent éviter les sessions bilatérales. Si les préfixes des clients d'un centre de données sont difficiles à valider, le centre de données peut utiliser un fournisseur en amont plus cher prêt à gérer les exceptions. Si les réseaux du secteur public ne peuvent pas nettoyer les anciens fichiers, ils peuvent rester liés aux fournisseurs en place plus longtemps que la politique d'approvisionnement ne le prévoyait.

Le propos n'est pas que chaque entrée obsolète est un scandale. Les registres et les opérateurs maintiennent des données imparfaites partout. Le propos est que le coût de l'imperfection augmente lorsque les enregistrements deviennent des entrées d'admission pour une connectivité rare et précieuse. Dans cet environnement, le règlement de l'AFRINIC est un outil de réduction des coûts. Il abaisse le coût ordinaire de dire oui aux routes africaines légitimes.

Les utilisateurs qui paient lorsque l'ambiguïté persiste

Les petits FAI paient en premier parce qu'ils manquent de poids de négociation. Un grand transporteur peut persuader un fournisseur en amont de créer une exception temporaire. Un petit FAI est plus susceptible de se voir dire de revenir lorsque ses objets sont propres. Cela peut sembler juste, mais cela peut renforcer la position dominante. Le petit FAI peut être le réseau qui apporte le service à une ville secondaire, une zone rurale ou une communauté d'affaires spécialisée. Si ses enregistrements de préfixe sont hérités d'un revendeur, d'un ancien sous-traitant ou d'une délégation de client, il peut faire face à des semaines de retard avant qu'un fournisseur n'accepte son annonce. Un problème de réseau devient un problème de capital: les revenus sont retardés tandis que les coûts fixes continuent.

Les revendeurs paient différemment. Leur activité dépend de l'assemblage de la connectivité, des adresses, de l'hébergement et du support en un package que les clients peuvent acheter sans devenir des experts en routage. Un revendeur avec une mauvaise discipline d'enregistrement devient un risque pour tous en amont. Un revendeur soumis à des règles de correction arbitraires devient commercialement fragile. L'objectif politique ne doit pas être de stigmatiser la revente. Il doit être de rendre la délégation visible. Si le revendeur est autorisé à router le préfixe d'un client via un AS nommé dans un but défini, l'entrée doit en dire assez pour que les opérateurs comprennent ce fait. Si la délégation prend fin, le nettoyage doit être prévisible.

Les centres de données paient par le frottement de la migration. Un client entrant dans un centre de données peut apporter son propre espace d'adressage et s'attendre à ce que l'installation l'annonce. Si l'entrée existante nomme toujours un ancien AS de transit, le centre de données ne peut pas simplement demander aux routeurs de se conformer. Il a besoin d'un alignement de registre, d'une autorité client, peut-être d'un nouvel objet de route, peut-être d'un AS-SET mis à jour, peut-être d'un ROA et parfois de la suppression de données obsolètes. La proposition de valeur du centre de données est la rapidité et la fiabilité. Des données IRR ambiguës transforment l'intégration en une enquête.

Les détenteurs historiques d'entreprise paient parce que leur histoire est souvent administrativement désordonnée. Une entreprise peut avoir reçu de l'espace dans le cadre d'anciens arrangements, fusionné plusieurs fois, externalisé les opérations réseau et conservé des adresses qui prennent encore en charge l'accès à distance, les systèmes industriels ou les services clients. La personne qui peut signer un contrat peut ne pas connaître le mainteneur. La personne qui connaît le mainteneur peut ne pas être autorisée à signer. Si les règles de correction sont trop rigides, les détenteurs légitimes peuvent être incapables de moderniser les enregistrements. Si les règles sont trop lâches, l'espace historique devient une cible pour les revendications opportunistes. Des preuves proportionnelles sont la seule réponse viable.

Les universités paient parce que les réseaux académiques mélangent souvent autonomie et dépendance. Une université peut avoir de l'espace historique, une relation avec un réseau national de recherche, des départements informatiques de campus, des fournisseurs d'hébergement externes, des laboratoires financés par des subventions et d'anciens contacts. Un objet de route peut avoir été créé par un ancien fournisseur pour un projet de recherche terminé depuis longtemps. Lorsque l'université veut déplacer le trafic vers un nouveau fournisseur, on peut lui dire de corriger un enregistrement dont personne ne se souvient. L'intérêt public n'est pas servi en obligeant ces institutions à choisir entre un laxisme insécurisé et une paperasserie impossible. Il l'est par des chemins documentés vers l'autorité qui peuvent gérer la continuité institutionnelle.

Les réseaux du secteur public paient parce que leurs chaînes d'autorité sont formelles et lentes. Les ministères, les municipalités, les systèmes de santé et les agences peuvent dépendre de sous-traitants tout en conservant une responsabilité publique. Une modification de routage peut nécessiter une lettre, un dossier d'approvisionnement ou un agent nommé. Si un sous-traitant contrôle le mainteneur, l'agence peut avoir une dépendance pratique à un intermédiaire privé. Si le registre insiste sur une seule forme de preuve, l'agence peut échouer malgré un contrôle légitime. S'il accepte n'importe quelle lettre, il invite aux abus. Les réseaux publics ont besoin de catégories de preuves qui reconnaissent les lois, les nominations, les instruments d'approvisionnement et les obligations de continuité sans exposer des détails internes sensibles au dossier public.

Ces groupes ne sont pas des exemples décoratifs. Ils sont le marché. Les règles relatives aux objets de route de l'AFRINIC réduisent leurs coûts d'exploitation ou les augmentent. Les débats sur les ressources rares se concentrent souvent sur les grands détenteurs d'adresses et les litiges de grande valeur, mais la valeur économique quotidienne d'une bonne pratique IRR est plus petite et plus largement distribuée: moins de tickets, un peering plus rapide, des migrations plus propres, une moindre dépendance aux opérateurs en place et moins besoin d'intervention personnelle.

Le stress institutionnel et le prix de la correction

Le système d'objets de route de l'AFRINIC ne peut pas être analysé comme si l'institution avait connu une décennie tranquille. Les rapports publics depuis 2019 ont décrit de graves préoccupations concernant le détournement d'IPv4 et l'abus des enregistrements du registre. Des litiges juridiques distincts ont placé le registre sous une pression intense, y compris l'implication de tribunaux, des épisodes de gel d'avoirs, la discontinuité du conseil d'administration et la mise sous séquestre. En 2025, un processus d'élection du conseil d'administration a été annulé après des préoccupations d'irrégularités signalées, y compris des allégations concernant les votes et les procurations; une élection ultérieure a restauré un conseil. Les rapports publics ultérieurs ont décrit des efforts continus pour reconstruire la gestion et la planification ordinaires tandis que la pression des litiges demeurait.

Ces faits doivent être utilisés avec prudence. Ils ne prouvent pas qu'un objet de route particulier est invalide. Ils ne signifient pas que le personnel de l'AFRINIC ne peut pas exploiter les services techniques. Ils ne justifient pas que les acteurs extérieurs traitent les enregistrements liés à l'AFRINIC comme coupables jusqu'à preuve du contraire. La leçon est plus étroite: les voies de correction importent davantage lorsque la confiance institutionnelle a été mise à l'épreuve. Si une déclaration de routage est erronée, qui peut la corriger? Si deux parties ne sont pas d'accord, qui reçoit une notification? Si un mainteneur est compromis ou obsolète, comment l'autorité est-elle restaurée? Si une période de direction nommée par un tribunal ou restaurée par le conseil modifie qui peut agir pour le registre, comment les enregistrements techniques sont-ils isolés des turbulences institutionnelles?

Le prix de la correction a trois composantes. La première est le temps. Un préfixe qui ne peut pas être accepté aujourd'hui peut perdre un client aujourd'hui. La deuxième est l'incertitude. Si les parties ne peuvent pas prédire les preuves que le registre acceptera, elles collectent trop de documents, embauchent des intermédiaires ou abandonnent le changement. La troisième est la légitimité. Si la partie perdante ne peut pas voir pourquoi une entrée a été créée, supprimée ou préservée, elle peut déplacer le litige vers l'accusation publique ou le contentieux. Des règles de correction transparentes réduisent ces trois coûts.

Le stress modifie également les incitations. Lorsqu'un registre est critiqué, il peut éviter les corrections décisives par crainte d'être accusé de prendre parti. Le retard semble sûr en interne, mais il externalise les coûts vers les opérateurs. La tentation inverse est de sur-corriger, en utilisant le besoin de réparer les anciens enregistrements comme justification d'un large contrôle discrétionnaire. Cela peut ressembler à de la force, mais cela peut transformer les modifications de routage de routine en événements politiques. L'AFRINIC n'a besoin ni de paralysie ni de contrôle théâtral. Elle a besoin de procédures étroites suffisamment ennuyeuses pour survivre aux critiques.

L'histoire de l'appropriation illicite d'adresses est pertinente parce qu'elle montre que les défaillances d'intégrité des enregistrements peuvent avoir de grandes conséquences. La bonne réponse n'est pas une présomption permanente de mauvaise foi. C'est un meilleur contrôle d'accès, des journaux plus solides, la séparation des tâches, des vérifications d'autorité documentées, une escalade pour les changements à haut risque et des étiquettes publiques claires pour le statut des enregistrements. Un registre qui a connu des abus d'enregistrement devrait devenir plus précis, pas plus vague.

L'épisode électoral de 2025 est pertinent pour une raison similaire. Les allégations autour du vote institutionnel ne déterminent pas l'autorité de routage. Mais elles rappellent aux entités du marché que les processus de gouvernance peuvent être contestés. Si la légitimité est en cours de reconstruction, les systèmes de correction technique devraient nécessiter moins de confiance personnelle. Un détenteur ne devrait pas avoir besoin de savoir quelle faction, quel responsable ou quel initié appeler. Un IXP ne devrait pas avoir besoin de deviner si une demande de suppression reflète une correction légitime ou un point de pression institutionnel. L'enregistrement lui-même devrait montrer la catégorie de processus, le statut de notification et la base de l'action.

Cela importe parce que les litiges de routage peuvent devenir des mandataires pour des conflits plus larges. Un combat sur l'utilisation des ressources, la location, le contrôle des clients, la succession d'entreprise ou la conformité aux politiques peut se manifester comme une demande de création ou de suppression d'une entrée. Le registre doit résister aux tentatives des deux parties de transformer un fichier préfixe-origine en une décision finale sur tout. Sa question doit rester opérationnelle: les preuves justifient-elles la publication, la maintenance, l'annotation ou la suppression de cette déclaration à des fins de routage?

La suppression est une gouvernance, pas du ménage

La création retient le plus l'attention parce qu'une nouvelle entrée peut permettre l'accessibilité. La suppression mérite une attention égale parce que la suppression peut désactiver l'acceptation. Un enregistrement obsolète ne devrait pas vivre éternellement simplement parce que la suppression est risquée. Mais la suppression sans préavis peut briser un service réel. Le problème est de distinguer le nettoyage de la perturbation.

Il existe plusieurs scénarios de suppression. Le plus facile est le nettoyage non contesté: le détenteur ou le mainteneur autorisé actuel supprime une entrée dont tout le monde convient qu'elle est obsolète. Le deuxième est le renouvellement du fournisseur: un ancien AS d'origine subsiste après le départ d'un client. Le troisième est la délégation contestée: un client dit qu'il a encore l'autorité; le détenteur dit que non. Le quatrième est la création non autorisée suspectée: le fichier semble avoir été créé sans qualité. Le cinquième est la correction institutionnelle: le registre découvre que les données historiques ou le lien du mainteneur sont erronés. Chaque scénario nécessite une norme différente.

Le renouvellement du fournisseur devrait généralement être basé sur un préavis et limité dans le temps. Si un enregistrement nomme l'ancien fournisseur comme origine, la suppression peut être nécessaire. Mais la suppression immédiate peut nuire au trafic si la migration est échelonnée ou si l'ancien fournisseur assure encore un service de secours. Le processus du registre ou du mainteneur devrait permettre une période de correction définie, avec des notifications au détenteur, à l'AS d'origine, aux mainteneurs pertinents et aux contacts publiés. Si aucune partie ne s'y oppose avec des preuves, la suppression se poursuit. Si une partie s'y oppose, l'entrée peut nécessiter une annotation ou un statut temporaire pendant que la question étroite de routage est examinée.

La création non autorisée suspectée peut justifier une action plus rapide, mais la norme doit être explicite. Le registre doit se demander si l'entrée a été créée par un mainteneur avec une autorité reconnue, si le détenteur ou l'opérateur délégué a été notifié, si l'AS d'origine confirme la relation, s'il existe un ROA correspondant ou contraire, si la route est active, et si la suppression immédiate créerait des dommages collatéraux disproportionnés. Une action d'urgence peut être nécessaire, mais elle doit être journalisée, examinée et limitée dans le temps.

La délégation contestée est plus difficile car la modification peut devenir un levier dans un litige commercial. Un détenteur peut vouloir couper un revendeur. Un revendeur peut dire que ses clients en dépendent. Un fournisseur peut réclamer des factures impayées. Un client peut invoquer un contrat. Le registre ne doit pas devenir un collecteur de dettes ou un arbitre commercial. Il ne doit demander que ce qui est nécessaire pour la déclaration de routage: qui peut autoriser cette origine pour ce préfixe maintenant, quelles preuves soutiennent cette revendication, quelle notification a été donnée, et quelle période de transition protège les utilisateurs innocents si l'enregistrement actuel est retiré?

Les normes de suppression doivent également traiter les doublons. Si deux entrées existent pour le même préfixe avec des origines différentes, la réponse n'est pas toujours d'en supprimer une. Le routage multi-origine, l'anycast, la migration par étapes et la mitigation DDoS peuvent être légitimes. La question est de savoir si les raisons sont documentées et si les détenteurs et les origines ont l'autorité. Un doublon sans explication devrait déclencher un examen; un doublon avec une autorité claire et actuelle peut être acceptable.

Traiter la suppression comme un acte de politique a un autre avantage: cela réduit l'incitation à créer un encombrement défensif. Si les opérateurs craignent que les entrées puissent être supprimées de manière imprévisible, ils peuvent créer des doublons dans plusieurs sources, préserver d'anciens membres d'AS-SET ou résister au nettoyage. Si la suppression est prévisible, ils ont moins de raisons de maintenir des revendications redondantes. Des procédures propres produisent des données plus propres.

Règles de preuve pour une commodité sur laquelle les marchés comptent

Le bon modèle de preuve pour les objets de route doit être étroit dans son objectif et large dans les preuves acceptées. Étroit dans son objectif signifie que le registre demande seulement si un objet route ou route6 doit exister en tant que déclaration opérationnelle préfixe-origine. Large dans les preuves signifie que différents acteurs peuvent montrer l'autorité de différentes manières: enregistrements du détenteur du registre, documents d'autorité d'entreprise, instruments du secteur public, lettres de clients, confirmations de fournisseurs, historique de routage, enregistrements de tickets, journaux de mainteneur, ROA, BGP observé, entrées antérieures et documents judiciaires ou d'insolvabilité le cas échéant.

Les preuves doivent être étiquetées selon leur diffusion. Certains faits peuvent être publics: l'existence de l'entrée, l'AS d'origine, le mainteneur, les horodatages, le statut et peut-être une catégorie de motif tel que autorisé-par-le-détenteur, délégué-par-le-client, confirmé-par-le-fournisseur, migration, multi-origine ou en-cours-d'examen. Certains éléments doivent rester non publics: les contrats, les documents d'identité, les tickets internes, les rapports de sécurité, les lettres gouvernementales, les documents de récupération de compte et les détails sensibles des clients. La transparence publique n'exige pas de déverser des fichiers privés dans un registre. Elle exige une structure suffisamment visible pour que les opérateurs comprennent le statut.

Le registre doit également distinguer la force de la preuve de l'adjudication finale. Une confirmation du détenteur actuel plus une confirmation de l'AS d'origine peuvent être suffisamment solides pour créer une entrée. Cela ne prouve pas que chaque relation commerciale derrière la route est incontestable. Une ordonnance du tribunal peut déterminer qui peut agir pour une entreprise, mais le registre doit encore mapper cette ordonnance à une modification de routage. Le BGP observé peut montrer qu'une route est active, mais il ne prouve pas que la route est autorisée. Un ROA peut soutenir la revendication d'origine, mais RPKI reste ici un comparateur et un signal de soutien, pas le centre de la décision.

La notification fait partie de la preuve. Avant de créer une entrée qui change l'origine acceptée pour un préfixe, le processus doit notifier les contacts du détenteur, les mainteneurs existants, l'AS d'origine proposé et toute origine actuelle visible dans les objets existants lorsque c'est possible. Avant de supprimer, il doit notifier les mêmes parties concernées sauf si des conditions d'urgence justifient une action immédiate. La notification transforme la surprise en processus. Elle donne aux parties légitimes une chance de corriger les enregistrements et donne au registre un enregistrement de qui n'a pas répondu.

Les périodes de correction doivent être calibrées en fonction du risque. Un nettoyage de routine d'un enregistrement obsolète peut permettre plusieurs jours ouvrables ou une fenêtre opérationnelle définie. Un détournement suspecté peut nécessiter une suspension temporaire immédiate suivie d'un examen rapide. Un cas de continuité du secteur public ou universitaire peut nécessiter plus de temps parce que les chaînes d'autorité sont plus lentes. La période de correction ne doit pas devenir un moyen de garder les mauvaises entrées en vie indéfiniment; l'urgence ne doit pas non plus devenir un moyen de contourner l'examen dans les litiges commerciaux ordinaires.

Les journaux d'audit doivent être infalsifiables et utilisables. Le marché n'a pas besoin de voir les documents privés, mais le registre doit conserver qui a demandé le changement, quel mainteneur l'a authentifié, quels contacts ont été notifiés, quelle catégorie de preuve a été acceptée, qui a approuvé l'escalade, ce qui a changé et quand. Si l'AFRINIC fait face plus tard à des critiques ou à une demande judiciaire, le journal doit montrer le processus sans reconstruire la mémoire à partir des boîtes de réception. Pour un registre se remettant d'un stress institutionnel, ce type d'enregistrement n'est pas un luxe bureaucratique. C'est une infrastructure de légitimité.

Le modèle doit éviter les exigences uniformes. Un petit FAI peut ne pas avoir de procès-verbaux officiels du conseil pour une mise à jour de routine. Un ministère peut exiger des lettres officielles. Une université peut prouver la continuité par d'anciennes allocations, des enregistrements réseau et des déclarations de dirigeants institutionnels. Un centre de données peut avoir une lettre de client et un historique de tickets. Un revendeur peut avoir une autorisation de client et une confirmation en amont. Le registre doit exiger des preuves proportionnées au risque de l'action et au préjudice causé par le retard.

Continuité, correction d'urgence et examen sous pression

Le travail sur les objets de route doit continuer même lorsque l'institution n'est pas calme. L'expérience de l'AFRINIC montre pourquoi. Les services techniques ne peuvent pas attendre que chaque litige de gouvernance soit réglé. Les opérateurs ont besoin des données du registre, des entrées IRR, du DNS inverse, des mises à jour de contacts et des services de soutien au routage pour continuer à fonctionner pendant un litige, une mise sous séquestre, une transition du conseil ou un changement de direction. Le plan de continuité doit donc identifier les opérations sur les objets de route comme une fonction technique protégée, pas comme une monnaie d'échange dans un conflit institutionnel.

La continuité commence par la séparation des rôles. Les personnes qui administrent les changements IRR doivent avoir une autorité claire selon des procédures documentées. Les changements à haut risque doivent être examinés par plus d'un rôle. Les changements d'urgence doivent être journalisés et examinés ultérieurement. La direction institutionnelle doit définir la politique, mais les corrections individuelles ne doivent pas dépendre de l'approbation personnelle des directeurs à moins qu'un cas ne soulève véritablement des exceptions politiques ou juridiques. Plus le processus est routinier, moins l'autorité de modification devient un prix dans un conflit de gouvernance.

La correction d'urgence reste nécessaire. Si une entrée non autorisée est utilisée pour soutenir un détournement actif ou un mauvais routage grave, attendre une période de correction normale peut être irresponsable. Mais le pouvoir d'urgence a besoin de limites. Il doit être limité au préjudice de routage, à la création non autorisée, à l'accès compromis du mainteneur, au déni clair du détenteur, au conflit avec des preuves actuelles plus solides ou au risque immédiat pour les tiers. Il doit produire un statut temporaire, une notification aux parties concernées, une courte période d'examen et un chemin pour restaurer l'entrée si la conclusion d'urgence était erronée.

L'examen doit être suffisamment indépendant pour compter et suffisamment étroit pour être rapide. Le premier examen peut être une escalade interne par du personnel non impliqué dans le changement initial. Un deuxième examen peut impliquer un panel technique ou de règlement des différends pour les cas difficiles. L'examen ne doit pas trancher toutes les questions de propriété, de contrat ou de politique. Il doit décider si l'action sur l'objet de route correspondait à la norme publiée. Si les parties ont besoin d'un tribunal ou d'un arbitre pour des droits plus larges, le processus de routage peut préserver ou annoter le statut opérationnel pendant que ces droits sont testés ailleurs.

Le langage d'appel doit être prudent. Si chaque modification devient susceptible d'appel comme s'il s'agissait d'une révocation de ressource, le système gèlera. Si aucune modification ne peut être examinée, l'autorité de modification devient trop puissante. Le juste milieu est l'examen opérationnel: une notification a-t-elle été donnée, la catégorie de preuve était-elle appropriée, l'action d'urgence était-elle justifiée, la période de correction était-elle raisonnable, la décision a-t-elle été journalisée, et de nouvelles preuves nécessitent-elles une correction? Cela suffit à discipliner le processus sans le convertir en tribunal de la propriété.

La continuité exige également une communication externe. L'AFRINIC devrait publier des métriques agrégées: combien de créations d'objets de route, de suppressions, de corrections contestées, d'actions d'urgence et d'examens ont eu lieu; le temps moyen d'achèvement; combien ont été résolus par notification; combien impliquaient des mainteneurs obsolètes; combien impliquaient des problèmes d'autorité du secteur public, universitaire ou historique. Les rapports agrégés réduisent la rumeur sans exposer les fichiers privés. Ils permettent également aux opérateurs d'évaluer la fiabilité de la source. Un registre qui rend compte de sa performance de correction est plus facile à faire confiance qu'un registre qui demande la confiance en silence.

Pendant le stress institutionnel, ces mécanismes font plus que garder les routeurs propres. Ils réduisent la récompense économique de la capture de l'institution. Si l'autorité de modification est étroite, journalisée, révisable et protégée par la continuité, alors gagner de l'influence sur le registre est moins utile comme moyen d'affecter l'accès au marché. C'est un avantage de gouvernance d'une règle technique. Des procédures étroites peuvent réduire les enjeux politiques.

Un marché plus abordable pour l'accessibilité

Le meilleur système d'objets de route n'est pas celui avec le langage d'application le plus dramatique. C'est celui qui rend le routage légitime ordinaire bon marché. Un petit FAI devrait pouvoir faire accepter un préfixe valide sans connaître les habitudes privées de chaque fournisseur de transit. Un centre de données devrait pouvoir migrer un client sans mendier des exceptions. Une université devrait pouvoir réparer une entrée obsolète sans prouver toute son histoire institutionnelle en public. Une agence publique devrait pouvoir déléguer le routage sans abandonner le contrôle pratique à un sous-traitant. Un transporteur devrait pouvoir construire des filtres sans se demander si la source qu'il utilise est une loterie.

Pour l'AFRINIC, la conception doit commencer par l'objectif. Les objets route et route6 existent pour soutenir la publication de la politique de routage et le filtrage. Ils ne doivent pas être traités comme un titre légal, un substitut de RPKI, une preuve de vertu commerciale, un outil de sanction pour des litiges non liés ou une large licence d'exploitation. Leur pouvoir vient de leur utilité. Leur danger vient du même endroit. Parce qu'ils sont utiles, les marchés comptent sur eux. Parce que les marchés comptent sur eux, des règles faibles peuvent les transformer en portes cachées.

La conception doit ensuite définir l'autorité. La confirmation du détenteur du registre, la confirmation de l'AS d'origine, l'authentification du mainteneur, la délégation du client et l'acceptation par un tiers sont distinctes. Le processus doit dire quelles combinaisons sont suffisantes pour la création, la modification, la suppression et la correction d'urgence. Il ne doit pas prétendre qu'un seul identifiant répond à toutes les questions. Il ne doit pas laisser un mainteneur obsolète vaincre un détenteur actuel. Il ne doit pas laisser un détenteur perturber une route déléguée actuelle sans préavis lorsque des utilisateurs innocents en dépendent. Il ne doit pas laisser un AS d'origine préserver un enregistrement après la fin de l'autorité.

Viennent ensuite les preuves. Les étiquettes publiques doivent indiquer aux opérateurs si une entrée est ordinaire, déléguée, multi-origine, sous préavis, en cours d'examen ou corrigée d'urgence. Les preuves non publiques doivent être préservées sans exposer les détails sensibles. Les journaux d'audit doivent rendre possible une reconstruction ultérieure. Les périodes de correction doivent donner aux vraies parties le temps de répondre. La suppression doit être aussi disciplinée que la création. L'action d'urgence doit être possible mais limitée.

Vient enfin la continuité. Le système doit continuer à fonctionner à travers les turbulences juridiques et institutionnelles. La restauration du conseil d'administration de l'AFRINIC importe, mais la gouvernance restaurée sera jugée sur le marché par de petits faits opérationnels: si les tickets se ferment de manière prévisible, si les entrées obsolètes peuvent être corrigées, si les entrées contestées sont étiquetées plutôt que cachées, si les changements d'urgence sont examinés, si les opérateurs peuvent voir la performance agrégée, et si le registre résiste à l'utilisation des enregistrements de routage comme mandataires de combats institutionnels plus larges.

Ce n'est pas un plaidoyer pour le laxisme. Une mauvaise pratique des objets de route peut soutenir les détournements, l'acceptation obsolète, la dépendance aux anciens fournisseurs et une économie grise de l'autorité apparente. Ce n'est pas non plus un plaidoyer pour le maximalisme du registre. Un contrôle trop large peut exclure des réseaux légitimes de l'accessibilité, augmenter le coût du changement de fournisseur et convertir une base de données technique en une porte de marché discrétionnaire. La discipline est plus étroite: rendre la bonne déclaration opérationnelle facile à publier, rendre la mauvaise facile à contester, et rendre chaque modification conséquente suffisamment visible pour être digne de confiance.

Le mainteneur du serveur de route du début de l'histoire n'a pas besoin d'une théorie de la propriété. Elle a besoin d'une raison fiable d'accepter ou de rejeter le préfixe. Le client n'a pas besoin d'un sermon sur la conception institutionnelle. Il a besoin d'un chemin pour prouver l'autorité sans perdre la semaine. Le détenteur n'a pas besoin que sa ressource rare soit transformée en otage d'anciens identifiants. L'AS d'origine n'a pas besoin que chaque changement de routage soit litigieux. L'échange n'a pas besoin d'absorber l'ambiguïté du registre dans son propre risque. Une bonne pratique des objets de route de l'AFRINIC les sert tous en abaissant le coût de l'accessibilité.

L'économie est simple. Un objet de route est une déclaration opérationnelle modeste. Dans un marché axé sur les filtres, des déclarations modestes peuvent devenir des tickets d'admission. Si l'AFRINIC garde leur objectif étroit, l'autorité vérifiable, les preuves étiquetées, les voies de correction rapides et l'examen crédible, les objets de route réduiront le coût de l'interconnexion africaine. Si elle les laisse devenir obsolètes, opaques ou discrétionnaires, ils augmenteront le prix de chaque réseau qui doit s'expliquer avant que les paquets puissent circuler.