Une attestation d'origine de route est censée être le genre de chose dont un conseil d'administration n'a jamais à discuter. C'est une petite déclaration cryptographique, publiée par ou pour un détenteur de ressources réseau, qui informe le reste du système de routage du système autonome autorisé à annoncer un préfixe IP particulier. Les ingénieurs la connaissent sous le nom de ROA (Route Origin Authorization), qui fait partie de l'infrastructure de clés publiques de ressources (RPKI). Les dirigeants n'en entendent généralement parler qu'après un problème: un client demande pourquoi une route est filtrée, un fournisseur de transit veut une preuve d'autorisation, un assureur s'interroge sur la maîtrise du risque de détournement de route, un avocat chargé d'une acquisition demande si l'espace d'adressage de la cible pourra continuer à fonctionner après la finalisation, ou un prêteur cherche à savoir si les revenus liés à un portefeuille IPv4 reposent sur une chaîne de certificats contrôlés par une institution en difficulté.

C'est à ce moment-là que RPKI cesse de ressembler à de la tuyauterie de sécurité réseau et commence à ressembler à du crédit institutionnel. Un ROA n'est pas simplement une ligne dans un système technique. C'est une affirmation selon laquelle l'autorité du registre sur un bloc peut être suffisamment fiable pour que les routeurs, les contreparties et les clients puissent agir en conséquence. La partie qui s'appuie sur cette information peut ne jamais parler au registre. Elle peut seulement constater qu'une route est valide, invalide ou non trouvée selon une chaîne de certificats. Pourtant, derrière cet état de validation lapidaire se cache un contrat social à plusieurs niveaux: le registre sait précisément qui détient la ressource; le détenteur ou son opérateur autorisé contrôle le bon compte; les clés et systèmes de publication concernés sont intacts; la révocation est légale et susceptible de recours; et la continuité institutionnelle est suffisamment solide pour qu'un litige judiciaire, une mise sous séquestre, un effondrement du conseil d'administration ou un défaut d'enregistrement ne modifie pas discrètement les hypothèses opérationnelles d'un réseau.

AFRINIC est le test le plus aigu actuel de ce contrat. L'African Network Information Centre est le registre internet régional pour l'Afrique et certaines parties de l'océan Indien. C'est une organisation mauricienne à but non lucratif, basée sur ses membres, qui distribue et enregistre les adresses IPv4, les préfixes IPv6 et les numéros de système autonome, tout en offrant des services tels que WHOIS, RDAP, le DNS inverse, un registre de routage internet et un programme de certification de ressources pour RPKI. En temps normal, ce catalogue ressemble à un ensemble de fonctions de registre. En période de stress, il devient une liste de dépendances. Le même compte de membre qui demande une mise à jour d'enregistrement peut également être la voie par laquelle le matériel de certification est créé. Le même fait d'enregistrement qui identifie un détenteur peut déterminer qui peut publier un ROA. Le même conseil d'administration qui autorise les litiges, les budgets et la direction générale peut influencer la stabilité du personnel, des systèmes et des services aux membres, nécessaire pour que la publication de sécurité de routage soit digne de confiance.

Le risque n'est pas qu'AFRINIC puisse couper l'internet africain en émettant une commande dramatique. RPKI est plus subtil que cela, et les réseaux opérationnels ont de nombreuses couches de résilience. Le risque est que RPKI transforme la légitimité du registre en une dépendance de routage lisible par machine. Lorsque les opérateurs configurent les routeurs pour rejeter les origines invalides, ils ne font pas seulement confiance à la cryptographie. Ils font confiance à l'institution qui ancre la chaîne cryptographique. Cette institution doit être ennuyeuse d'une manière spécifique: précise dans ses registres, mesurée dans l'application des règles, suffisamment solvable pour fonctionner, suffisamment légitime pour prendre des décisions, suffisamment disciplinée pour ne pas utiliser les services de sécurité comme levier, et suffisamment continue pour que les tribunaux ou les administrateurs judiciaires puissent préserver la fonction sans transformer la publication d'origine de route en un autre champ de bataille.

L'histoire récente d'AFRINIC rend cette dépendance lisible. Des rapports publics ont fait état d'allégations antérieures de corruption de registres d'adresses impliquant un précieux espace IPv4 africain. Le différend avec Cloud Innovation a transformé l'examen des ressources, l'interprétation de l'utilisation régionale et l'activité commerciale IPv4 en litige. Le Internet Governance Project a rapporté qu'en juillet 2021, une ordonnance d'un tribunal mauricien a gelé provisoirement jusqu'à 50 millions de dollars sur les comptes bancaires d'AFRINIC, une mesure qui menaçait les opérations ordinaires. La Number Resource Organization a ensuite décrit une ordonnance judiciaire de 2023 nommant un administrateur judiciaire dont le rôle comprenait la préservation du statu quo, la supervision des élections et le rétablissement d'une gouvernance fonctionnelle. The Register a suivi la crise électorale qui a suivi: un registre sans conseil d'administration normal ni directeur général, des avertissements concernant les informations d'identification, des inquiétudes de l'ICANN, des retards de vote, des allégations impliquant des procurations, l'annulation d'une élection de juin 2025, puis le rétablissement du conseil et la poursuite des litiges jusqu'en 2026. Ces épisodes ne prouvent pas toutes les affirmations avancées par chaque partie. Ils prouvent que la couche institutionnelle du registre est devenue une surface de risque réelle.

RPKI est la partie de cette surface qui mérite une attention particulière car elle comprime la question institutionnelle en un résultat cryptographique. Un enregistrement de registre public peut être vérifié par une personne. Une délégation de DNS inverse peut échouer bruyamment. Les données WHOIS ou RDAP peuvent sembler obsolètes tout en étant interprétées avec prudence. RPKI est conçu pour l'automatisation. Il invite les opérateurs à laisser les validateurs transformer les affirmations soutenues par le registre en décisions de routage. C'est sa valeur en matière de sécurité. C'est aussi son risque de gouvernance. Lorsque le registre est digne de confiance, l'automatisation réduit les coûts de détournement et d'erreur. Lorsque la légitimité du registre est contestée, l'automatisation peut transmettre une défaillance institutionnelle plus rapidement et plus discrètement que l'ancienne dépendance manuelle.

La validation d'origine de route reste techniquement utile, et AFRINIC ne devrait pas y renoncer. La question est de savoir quelle économie institutionnelle RPKI révèle. Elle montre que le registre n'est plus simplement un conservateur de registres administratif dont les entrées peuvent être inspectées après coup. C'est une couche de confiance déléguée dont les certificats peuvent affecter le traitement des routes actives. Dans une région où la rareté d'IPv4 a transformé les blocs d'adresses en intrants commerciaux précieux, où la location et les transferts rendent courante la séparation entre détenteur et opérateur, et où la gouvernance, les tribunaux, la mise sous séquestre, le contrôle des comptes et l'exactitude des registres ont tous été mis à rude épreuve, cette couche de confiance devient un risque de marché et opérationnel à part entière.

Le certificat derrière la route

RPKI est souvent expliquée comme une réponse technique à un problème de sécurité de routage. Le protocole BGP (Border Gateway Protocol) permet aux réseaux d'annoncer la joignabilité des préfixes IP, mais il n'a pas été conçu à l'origine pour prouver que le système autonome annonceur est autorisé par le détenteur reconnu des ressources. Les erreurs, les fuites et les détournements peuvent donc se propager parce que les routeurs voient un chemin, et non une preuve légale ou administrative de l'autorité d'origine. RPKI ajoute une hiérarchie de certification des ressources. Au sommet se trouvent les ancres de confiance associées aux registres régionaux. En dessous se trouvent des certificats couvrant les ressources. Une autorisation d'origine de route dit, en effet, qu'un système autonome spécifié peut annoncer un préfixe spécifié, généralement dans la limite d'une longueur de préfixe maximale. Les validateurs récupèrent le matériel du dépôt, vérifient les chaînes de certificats et produisent les états sur lesquels les filtres de routage peuvent agir.

Les mécanismes importent parce qu'ils révèlent la dépendance économique. La déclaration d'origine de route est cryptographique, mais l'autorité qui la sous-tend est institutionnelle. Un validateur ne sait pas par lui-même si une entreprise à Lagos, Maurice, Johannesburg, Nairobi, Dubaï ou Hong Kong a la meilleure revendication contractuelle sur un bloc. Il sait si un objet publié remonte à une ancre de confiance reconnue et correspond aux données mises à disposition par ce système. Le certificat n'élimine pas le besoin d'un registre. Il rend la reconnaissance du registre plus difficile, plus portable et plus automatisable.

Dans un modèle RPKI hébergé, le registre ou ses systèmes peuvent créer et publier le matériel de certification après que le membre a utilisé un portail ou un compte pour exprimer l'autorisation souhaitée. Dans un modèle délégué, un membre peut exécuter davantage de ses propres opérations de certification, mais la chaîne commence toujours à partir de l'ancre de confiance du registre et de la relation de certificat de ressource. Dans les deux cas, le rôle du registre n'est pas accessoire. C'est la racine institutionnelle qui permet aux parties de confiance de traiter un objet cryptographique comme signifiant. Si les registres de ressources du registre sont erronés, si le contrôle du compte est compromis, si l'autorité d'un membre est contestée, si un certificat est révoqué sans processus clair, ou si la publication est interrompue, la couche de sécurité de routage hérite du problème.

Ceci est différent de la cybersécurité ordinaire. Un pare-feu, un magasin de clés ou un routeur peut être audité en tant qu'actif sous le contrôle de l'opérateur. RPKI est en partie sous le contrôle de l'opérateur et en partie sous un accord de confiance régional. L'opérateur peut choisir de créer un ROA, de maintenir son ensemble de routes, de sécuriser ses comptes et de surveiller les invalides. Il ne peut pas par lui-même déterminer si le registre régional reste légitime, solvable, capable de publier, prudent dans la révocation ou à l'abri des litiges. Une chaîne de certificats est donc un bien hybride: en partie logiciel, en partie droit des registres, en partie relation avec les membres, en partie confiance du marché.

Ce caractère hybride est facile à manquer lorsque RPKI fonctionne. Un état d'origine de route valide semble propre. Un ingénieur réseau voit que le préfixe est couvert, que le système autonome d'origine correspond et que le validateur est satisfait. Un fournisseur de transit peut augmenter la préférence des routes valides ou filtrer les invalides. Un client peut demander une posture de sécurité de routage dans le cadre de l'approvisionnement. Un conseil d'administration peut accepter une brève assurance que l'entreprise a « mis en œuvre RPKI ». Mais cette phrase cache l'institution derrière la mise en œuvre. Elle ne dit rien sur qui peut modifier le ROA demain, ce qui se passe si le détenteur perd l'accès au portail, si un locataire peut obtenir la bonne autorisation d'un bailleur, comment un transfert contesté est géré, si une ordonnance judiciaire limite les modifications, ou si un administrateur judiciaire peut garder les services de certification neutres.

L'analogie économique est une lettre de crédit plutôt qu'un cadenas. La cryptographie vérifie que la lettre est authentique. Le marché se demande toujours si la banque la soutient. Si la banque est bien gouvernée, capitalisée et légalement supervisée, la lettre inspire confiance. Si la banque est en redressement judiciaire, se bat pour les signataires et est soumise à des ordonnances de gel, la même forme technique comporte un risque différent. Dans RPKI, le registre n'est pas une banque, mais il remplit une fonction de confiance connexe pour la dépendance à l'origine de route. Le marché se soucie moins des slogans institutionnels que de savoir si l'affirmation survivra au stress.

C'est pourquoi l'histoire RPKI d'AFRINIC ne peut être séparée de son histoire de gouvernance. La documentation publique d'AFRINIC place RPKI aux côtés de la gestion des ressources, du DNS inverse, de WHOIS, de RDAP et de l'IRR. C'est exact, mais cela sous-estime le caractère spécial de RPKI. WHOIS et RDAP publient des informations. Le DNS inverse délègue une fonction de nommage. Les objets IRR guident la politique de routage, souvent avec prudence car la qualité des données varie. RPKI demande aux routeurs de s'appuyer sur une autorité cryptographique de ressources. Plus les réseaux traitent les invalides comme des routes à rejeter, plus RPKI transforme la reconnaissance institutionnelle en résultat opérationnel.

La conséquence est un nouveau type de diligence. Une entreprise qui achète ou loue de l'espace IPv4 dans la région AFRINIC ne se contente pas de demander si le bloc est routé, si les contacts sont à jour, si la réputation d'abus est propre et si le DNS inverse peut être délégué. Elle demande qui peut publier des ROA, si les ROA peuvent être transférés ou réémis rapidement, si les routes des clients pourraient devenir invalides en cas de litige avec le registre, et si la continuité du registre lui-même pourrait affecter la publication. Pour un opérateur de réseau, ces questions sont techniques. Pour un directeur financier, ce sont des questions de protection des revenus. Pour un avocat, ce sont des questions d'autorité et de responsabilité. Pour un conseil d'administration, il s'agit de risques d'entreprise.

RPKI impose donc un changement de vocabulaire. La question importante n'est pas simplement « l'adoption de la sécurité ». C'est la confiance institutionnelle déléguée. Un système de sécurité de routage ne peut pas être jugé uniquement sur le nombre de préfixes ayant des ROA ou le nombre de réseaux qui filtrent les invalides. Il doit également être jugé sur la résilience et la retenue de l'autorité qui peut émettre, héberger, révoquer, suspendre, préserver ou ne pas publier le matériel sous-jacent. AFRINIC est une étude de cas parce que sa crise montre ce qui se passe lorsque l'environnement corporatif et juridique de l'ancre de confiance n'est plus invisible.

Pourquoi AFRINIC rend visible le contrat caché

AFRINIC n'est pas important pour cette question parce qu'il est particulièrement incapable de gérer des services techniques. Le dossier public suggère le contraire sur un point: le personnel a maintenu de nombreux services opérationnels pendant des années de tourmente. AFRINIC est important parce qu'il expose des conditions que de nombreux systèmes de registre préfèrent garder abstraites. C'est une société privée, basée sur ses membres, de droit national. Elle remplit une fonction de coordination régionale avec des effets transfrontaliers. Ses membres ne peuvent pas simplement déplacer leurs ressources africaines vers un autre registre régional si la gouvernance devient inconfortable. Elle administre des ressources IPv4 rares dont la valeur marchande peut éclipser les frais d'adhésion annuels. Elle offre des services de confiance technique qui dépendent du même système de reconnaissance que les tribunaux, les membres et les plaideurs ont contesté.

Cette combinaison rend le contrat institutionnel inhabituellement visible. Dans un registre stable, RPKI semble être un service standard. Dans le cas d'AFRINIC, les événements environnants rendent chaque hypothèse explicite. Qui parle au nom du registre quand il n'y a pas de conseil d'administration normal? Qui contrôle les budgets si les comptes bancaires sont bloqués? Qui supervise le personnel pendant une mise sous séquestre? Qui vérifie l'autorité d'un membre lorsque les informations d'identification électorales sont contestées? Qui décide si l'utilisation des ressources par un membre enfreint la politique? Qui préserve la publication RPKI si un litige demande des ordonnances affectant les comptes, les ressources ou le contrôle de l'entreprise? Qui empêche qu'un différend sur les sièges du conseil d'administration ne devienne un différend sur la confiance opérationnelle?

La réponse ne peut pas être simplement « la communauté ». Ce mot fait un travail utile dans l'élaboration des politiques, mais RPKI nécessite une autorité opérationnelle responsable. Une partie qui s'appuie sur RPKI dans un autre pays ne peut pas inspecter le consensus d'une liste de diffusion avant d'accepter ou de rejeter une route. Elle voit un objet dans un dépôt et un résultat de validation. Le système repose donc sur une chaîne plus étroite de faits institutionnels: la ressource a été allouée ou attribuée; le détenteur ou l'opérateur autorisé a l'autorité; le compte est sécurisé; le matériel de certification a été publié sous un contrôle approprié; et le registre reste capable de remplir sa fonction. Le langage communautaire peut expliquer comment les politiques émergent. Il ne gère pas en soi le contrôle des clés.

La réponse ne peut pas non plus être simplement « les tribunaux ». Les tribunaux sont essentiels parce qu'AFRINIC n'est pas souverain et que ses membres ont besoin de recours en vertu de la loi. La nomination d'un administrateur judiciaire à Maurice était une mesure de continuité supervisée par le tribunal, pas une panne d'internet. Elle a montré que les institutions juridiques ordinaires peuvent préserver une société privée exerçant une fonction technique d'apparence publique. Pourtant, les tribunaux ne sont pas des opérateurs de routage et ne devraient pas être invités à redessiner RPKI sous la pression d'une urgence. Un tribunal peut restreindre l'action de la société, nommer un administrateur judiciaire, ordonner des clarifications, entendre des arguments de liquidation ou trancher des réclamations contractuelles. Il ne peut pas être la source quotidienne de confiance que chaque ROA reste opérationnellement neutre.

Le problème économique est que RPKI réduit la tolérance aux retards. Une procédure judiciaire lente peut être supportable pour une demande de dommages-intérêts. Un litige lent entre membres peut être supportable pour une élection. Un transfert lent peut être coûteux mais négociable. Un problème de publication d'origine de route peut devenir visible en quelques minutes ou heures s'il change l'état de validation et que les réseaux l'appliquent. Même si aucune invalidation spectaculaire ne se produit, la possibilité change le comportement. Les clients demandent des assurances aux fournisseurs. Les bailleurs intègrent des clauses sur la maintenance des ROA. Les acheteurs exigent des conditions de livraison. Les fournisseurs de transit demandent une hygiène de routage. Les services cloud surveillent les états invalides. L'état institutionnel du registre devient donc un élément de la discussion sur les niveaux de service.

La crise d'AFRINIC montre également comment RPKI peut se situer à l'intersection de trois types de litiges souvent séparés: la légitimité de la gouvernance, l'exactitude des registres et l'utilisation commerciale. La légitimité de la gouvernance demande si le conseil d'administration, l'administrateur judiciaire, le personnel et les processus de l'entreprise sont habilités à agir. L'exactitude des registres demande si le registre connaît le véritable détenteur et les contacts autorisés. Les litiges sur l'utilisation commerciale demandent si la location, les transferts ou les clients hors région d'un détenteur sont conformes aux politiques et aux accords. RPKI a besoin que ces trois éléments soient stables. Si la légitimité est contestée, l'autorité de publication est remise en question. Si les données sont erronées, le mauvais acteur peut créer ou retenir un ROA. Si l'utilisation commerciale est contestée, le registre peut être tenté de traiter la certification comme un point de contrôle plutôt qu'un service de sécurité neutre.

Cette tentation est la plus importante. RPKI ne devrait pas devenir une arme d'exécution. Un registre doit pouvoir corriger les fraudes, suspendre les comptes compromis, se conformer aux ordonnances légales et empêcher les fausses certifications. Mais s'il peut utiliser la publication d'origine de route comme levier dans des litiges ordinaires sur les frais, l'interprétation des politiques, la location, les transferts ou la politique des membres, la couche de confiance devient une couche de filtrage. Les opérateurs sont alors confrontés au choix entre adopter RPKI pour la sécurité et limiter l'adoption pour éviter de dépendre d'un registre dont ils ne font pas confiance au pouvoir discrétionnaire. Ce serait un résultat pervers: un outil de sécurité affaibli par le risque de gouvernance.

Les faits particuliers d'AFRINIC donnent de la force à ce problème. Les allégations de corruption de registres d'adresses de 2019 ont fait de l'intégrité du grand livre une réelle préoccupation. Le différend avec Cloud Innovation a rendu l'utilisation commerciale d'IPv4 et l'interprétation des politiques économiquement explosives. Le gel des comptes signalé en 2021 a rendu visibles la solvabilité institutionnelle et les liquidités d'exploitation. La mise sous séquestre a rendu visible la continuité judiciaire. Les contestations électorales de 2025 ont rendu visibles l'autorité des membres et la légitimité du conseil. Les litiges se poursuivant en 2026 ont rendu la reprise incomplète. Chaque épisode touche une condition préalable à un RPKI de confiance: des registres précis, des comptes fiables, un fonctionnement solvable, une autorité légale, une supervision légitime et une publication stable.

Le résultat n'est pas un argument contre RPKI. C'est un argument pour traiter RPKI comme une infrastructure de confiance critique plutôt que comme un module complémentaire du registre. Dans la région d'AFRINIC, et éventuellement dans toutes les régions, la certification d'origine de route a besoin de sa propre constitution de continuité. Elle devrait être isolée de l'application discrétionnaire. Elle devrait avoir une autorité d'urgence documentée. Elle devrait protéger la publication pendant les périodes de stress corporatif. Elle devrait distinguer la compromission de compte du différend entre membres. Elle devrait donner aux détenteurs de ressources et aux parties qui s'appuient sur RPKI un préavis clair des changements. Elle devrait être auditée en tant que service à conséquences élevées, et non simplement comptabilisée comme une mesure d'adoption.

AFRINIC rend le problème visible parce que sa crise a compressé des années de débat de gouvernance abstrait en questions pratiques que les réseaux peuvent comprendre. Si la route est valide parce que la chaîne de confiance du registre le dit, que se passe-t-il lorsque le registre lui-même est devant les tribunaux?

La rareté transforme la publication en levier

Le risque de gouvernance RPKI est plus aigu pour IPv4 que pour IPv6 parce que la rareté donne un prix à chaque contrôle administratif. L'espace d'adressage IPv6 est suffisamment abondant pour que la perte, le retard ou le litige autour d'une allocation soit grave mais ne constitue généralement pas un événement de rareté à l'échelle du marché. IPv4 est différent. Le propre matériel d'épuisement d'AFRINIC indique que la région est entrée dans la phase d'atterrissage en douceur 1 en mars 2017 et la phase 2 en janvier 2020. Il décrit IPv4 comme rare et explique que la politique d'allocation de la région est passée à des phases restreintes après l'épuisement mondial. Un rapport public ultérieur de 2026 a cité un dirigeant d'AFRINIC disant que le registre avait encore 773 376 adresses IPv4 non allouées et exprimant le désir d'atteindre zéro pour que la conversation puisse passer à IPv6. Cette aspiration ne supprime pas le problème de transition. Elle le confirme.

IPv4 reste la couche de compatibilité pour une grande partie de l'internet commercial. Les entreprises, les plateformes de contenu, les sociétés d'hébergement, les réseaux grand public, les services publics, les systèmes anti-abus et les environnements clients hérités dépendent encore de la joignabilité IPv4. Le déploiement d'IPv6 est important et doit se poursuivre, mais IPv6 n'est pas un simple substitut d'actif dans la réalité commerciale actuelle. Une entreprise qui a besoin d'IPv4 prêt pour les clients ne peut pas toujours le remplacer par un discours stratégique sur l'avenir. Elle doit acheter, louer, transférer, nettoyer, router et certifier des numéros rares aujourd'hui.

La rareté change la signification d'un ROA. Dans un système abondant, une autorisation d'origine de route erronée ou retardée peut être un défaut opérationnel. Dans un système rare, elle peut nuire à un flux de revenus adossé à un actif. Un bloc IPv4 propre avec un enregistrement stable, un DNS inverse, des contacts d'abus et une autorité RPKI peut soutenir des clients d'hébergement, de la capacité cloud, de la connectivité d'entreprise, des services gérés, des hypothèses financières et des revenus de location. Un bloc dont le statut ROA dépend d'un compte de détenteur contesté, d'un transfert litigieux, d'une autorité de bailleur floue ou d'un dossier d'exécution du registre subit une décote. La même longueur de préfixe peut avoir une qualité économique différente selon la confiance autour de la publication.

Les transferts et la location rendent cela plus complexe. Un détenteur peut conserver la relation avec le registre tandis qu'un client ou un locataire exploite la route. Un acheteur peut vouloir un ROA pour changer d'origine après la finalisation. Un courtier peut avoir besoin de prouver que le vendeur peut fournir non seulement un contrat privé, mais aussi une autorité d'origine de route reconnue par le registre. Un locataire peut avoir besoin que le bailleur publie un ROA pour le système autonome du locataire, ou peut avoir besoin d'un contrôle délégué selon des conditions claires. Si le registre traite par défaut la délégation commerciale comme suspecte, ou si l'interprétation de la politique concernant l'utilisation hors région n'est pas définie, les parties ne peuvent pas traiter RPKI comme une couche de sécurité neutre. Elles doivent le traiter comme un possible goulet d'étranglement.

Le conflit d'AFRINIC avec Cloud Innovation se situe à cette intersection. Les analyses publiques ont décrit le différend comme impliquant des millions de numéros IPv4, des allégations d'AFRINIC selon lesquelles l'utilisation violait les attentes de l'accord de service ou de la politique, et la position de Cloud Innovation selon laquelle AFRINIC affirmait un contrôle inapproprié sur une entreprise utilisant un espace d'adressage rare. Le bien-fondé juridique précis appartient aux tribunaux et aux contrats. La leçon économique est visible sans les trancher. Lorsqu'un registre peut menacer la position de ressources d'un grand détenteur, l'autorité d'origine de route devient une partie de l'ensemble des recours perçus, même si le litige immédiat est formulé autour des conditions d'adhésion ou d'allocation. Chaque détenteur se demande alors si un service de certification pourrait devenir un dommage collatéral.

Le risque ne se limite pas à la révocation. La non-publication peut être tout aussi importante. Si un service de registre est indisponible, si un compte portail est suspendu, si un administrateur judiciaire gèle les demandes de modification, si le personnel hésite à traiter les mises à jour RPKI d'un membre en litige, ou si une ordonnance judiciaire est interprétée avec prudence, un détenteur peut être incapable de créer ou d'ajuster des ROA à temps pour un changement de réseau. Dans un monde de validation d'origine de route, le retard n'est pas neutre. Il peut entraver une migration, ralentir l'intégration des clients, compliquer un transfert, saper la planification de la redondance ou forcer les opérateurs à choisir entre annoncer une route sans couverture ROA et retarder le service.

Plus les réseaux rejettent les routes invalides, plus cela importe. Le but de RPKI est de rendre les erreurs d'origine suffisamment coûteuses pour dissuader les détournements et les fuites. Mais l'application modifie la structure de négociation. Si un client sait que le préfixe d'un fournisseur pourrait devenir invalide parce que le fournisseur n'a pas de contrôle fiable des ROA, le client peut exiger des garanties contractuelles plus fortes ou choisir un autre fournisseur. Si un acheteur ne peut pas être sûr que la finalisation inclura une publication d'origine de route propre, il peut retenir le paiement ou exiger des indemnités. Si un bailleur ne peut pas garantir la maintenance des ROA pour l'origine du locataire, le prix de la location change. Si une banque voit que les revenus adossés aux adresses dépendent du pouvoir discrétionnaire du registre, le prêt subit une décote de gouvernance.

C'est un levier institutionnel même lorsque personne n'a l'intention de l'utiliser. Un registre peut ne pas militariser délibérément RPKI. Le simple fait que la publication dépende de l'autorité reconnue par le registre lui confère un pouvoir latent. Dans un environnement de confiance élevée, le pouvoir latent est acceptable parce qu'il est contraint par des normes, des contrats, une procédure régulière et une discipline de réputation. Dans un environnement de faible confiance, le pouvoir latent est évalué comme un risque. La crise d'AFRINIC a réduit la tolérance du marché à supposer une contrainte bénigne.

Les assurances officielles concernant la continuité sont une preuve utile d'intention, mais elles ne peuvent pas clore la question analytique. La déclaration de la NRO sur la mise sous séquestre indiquait que l'administrateur judiciaire aiderait à garantir que les membres continuent de recevoir les services du registre. C'est important. Mais la confiance dans l'origine de route exige plus qu'une déclaration générale de continuité de service. Elle exige des garanties spécifiques au service: qu'advient-il des ROA hébergés pendant la mise sous séquestre; qui peut autoriser les modifications; si les ressources contestées restent dans un état de suspension; quel préavis est donné avant la révocation; comment l'intégrité de la publication est surveillée; si le personnel peut traiter les demandes urgentes de sécurité de routage; et comment un membre peut faire appel d'une décision affectant la certification suffisamment rapidement pour les besoins opérationnels.

La rareté modifie également les incitations politiques. Une région où IPv4 est rare peut être tentée de traiter la mobilité des ressources et l'utilisation commerciale comme une politique économique régionale. Le langage peut être celui de l'intendance, de la conservation ou du développement. L'effet peut être un contrôle sur qui peut monétiser, louer, transférer ou router des adresses. RPKI ne devrait pas être le mécanisme par lequel ce contrôle est introduit subrepticement dans le routage. Si un débat politique veut limiter les transferts, il devrait le dire clairement et faire face à l'examen. Si un litige contractuel concerne une violation, il devrait utiliser des recours juridiques proportionnés. Le système d'origine de route devrait rester une couche de sécurité et d'autorité, pas une couche déguisée de permission de marché.

Le cas d'AFRINIC transforme donc une question d'adoption technique en une question de conception de gouvernance. La rareté d'IPv4 rend chaque canal de publication contrôlé par le registre économiquement significatif. RPKI est le canal le plus aigu parce que ses résultats peuvent être appliqués automatiquement par d'autres. Un registre crédible doit prouver que l'adoption de RPKI n'augmentera pas la dépendance à une autorité arbitraire. Il doit montrer que la route la plus sécurisée est aussi la route la plus protégée institutionnellement.

Cloud Innovation et la prime de continuité

Le différend avec Cloud Innovation est souvent présenté comme un affrontement entre un registre régional et un grand détenteur commercial de ressources IPv4 africaines. C'est vrai mais incomplet. Pour l'analyse RPKI, le différend importe parce qu'il montre comment un désaccord sur l'utilisation des ressources peut devenir une prime de continuité appliquée aux services de confiance technique. Le marché n'a pas à décider si AFRINIC ou Cloud Innovation a raison sur chaque point juridique. Il doit seulement observer que l'application par le registre, les recours en justice, les gels de comptes bancaires, le statut de membre, le contrôle des comptes et la légitimité institutionnelle sont devenus liés. Une fois liés, chaque contrepartie dépendante de la certification doit se demander jusqu'où ce lien peut s'étendre.

Les reportages publics de l'Internet Governance Project en 2021 ont décrit l'action d'AFRINIC contre Cloud Innovation comme une réponse façonnée par des problèmes antérieurs de gouvernance et d'intégrité des registres, mais l'ont critiquée comme une réaction excessive fondée sur des prémisses politiques faibles et une mauvaise gestion des risques. Il a également critiqué la réponse juridique de Cloud Innovation comme destructrice. Ce compte rendu équilibré est utile parce que le problème institutionnel n'est pas unilatéral. Un registre qui n'applique jamais les règles inviterait la fraude, les faux enregistrements et les abus. Un membre qui peut immobiliser un registre régional par un litige crée un risque systémique. Mais un registre qui utilise un pouvoir discrétionnaire lourd de conséquences contre des ressources actives crée le risque inverse. RPKI se situe entre ces risques.

Le gel signalé de jusqu'à 50 millions de dollars sur les comptes bancaires d'AFRINIC a rendu le problème inévitable. Un gel bancaire ne modifie pas directement un ROA, mais il change la capacité de l'institution à fonctionner, à payer le personnel, à maintenir les systèmes et à rassurer les membres. Un administrateur judiciaire peut préserver la continuité, mais la mise sous séquestre elle-même signale que la gouvernance ordinaire a échoué. Une élection du conseil d'administration peut rétablir l'autorité formelle, mais si l'élection est retardée, contestée, suspendue, annulée ou rejugée, chaque étape devient un événement de confiance. Les parties qui s'appuient sur RPKI n'ont pas besoin de suivre chaque mémoire pour comprendre la question fondamentale: l'institution de l'ancre de confiance est-elle suffisamment stable pour que la publication d'origine de route reste neutre et fiable?

La prime de continuité est le coût ajouté aux transactions par ailleurs normales en raison de l'existence de cette question. Elle apparaît lorsqu'un acheteur d'espace géré par AFRINIC exige des garanties supplémentaires sur le contrôle RPKI. Elle apparaît lorsqu'un locataire demande si le bailleur peut maintenir les ROA pendant toute la durée du bail. Elle apparaît lorsqu'un client cloud demande si les adresses d'un fournisseur sont exposées à une action du registre. Elle apparaît lorsqu'un fournisseur de transit demande une preuve que l'origine est dûment autorisée. Elle apparaît lorsqu'un prêteur décote les revenus soutenus par des avoirs d'adresses contestés ou sensibles aux politiques. Elle apparaît lorsque les ingénieurs passent du temps à surveiller le risque institutionnel plutôt que le seul risque de routage.

Cette prime n'est pas irrationnelle. Dans RPKI, la différence entre valide et invalide peut être opérationnellement décisive pour les réseaux qui appliquent la validation d'origine de route. Un détenteur de ressources qui perd la capacité de publier des ROA corrects peut encore être en mesure d'annoncer des routes, mais certaines contreparties peuvent traiter ces routes avec suspicion ou les rejeter si des états invalides contradictoires émergent. Un détenteur qui ne peut pas mettre à jour les ROA lors d'une migration d'origine peut faire face à des retards. Un détenteur pris dans un litige de transfert peut être incapable de fournir la condition de sécurité de routage attendue à la finalisation. Si suffisamment de grands réseaux traitent RPKI comme une hygiène normale, un mauvais contrôle RPKI devient un défaut commercial.

Le différend d'AFRINIC avec Cloud Innovation souligne également l'importance de séparer l'application de la neutralité de service. Supposons qu'un registre estime qu'un détenteur a violé les conditions de l'accord. Le registre peut avoir besoin d'enquêter, de demander des informations, de placer un indicateur de litige, de demander une réparation judiciaire ou, dans les cas extrêmes, de poursuivre la résiliation. Mais la neutralité de service pose une question plus étroite: tant que le litige n'est pas résolu, les services de sécurité nécessaires pour protéger le réseau actif devraient-ils être maintenus à moins qu'une raison juridique ou technique spécifique ne l'exige autrement? La réponse devrait généralement être oui. Sinon, le registre peut créer l'instabilité même qu'il prétend prévenir.

Le même principe s'applique au contrôle des comptes. Si le compte d'un membre est compromis, les changements RPKI devraient être gelés ou annulés si nécessaire. Si un membre refuse de payer les frais, il peut y avoir des conséquences contractuelles. Si un membre est dans un litige politique, le registre peut restreindre certaines transactions. Mais les conditions qui affectent la publication d'origine de route devraient être explicites. Un détenteur devrait savoir si le non-paiement, l'examen des ressources, la suspension du transfert, la retenue judiciaire, le litige de succession d'entreprise ou l'abus présumé peuvent affecter la publication RPKI, et dans quel ordre. L'ambiguïté est coûteuse car elle permet à chaque litige de jeter une ombre sur la confiance en la sécurité de routage.

Ceci est particulièrement important lorsque le détenteur et l'opérateur diffèrent. La location d'IPv4, les attributions aux clients, l'hébergement géré et les opérations de réseau externalisées impliquent souvent une partie qui détient la relation avec le registre et une autre qui a besoin de l'autorité d'origine de route pour le service. RPKI peut soit rendre cette relation plus sûre en rendant l'autorité explicite, soit plus fragile en soumettant chaque arrangement commercial au pouvoir discrétionnaire opaque du registre. Un registre n'a pas besoin de bénir chaque location comme une politique de marché. Il a besoin d'un moyen clair de permettre au détenteur reconnu d'autoriser des origines opérationnelles sans transformer chaque autorisation en un procès idéologique sur la commercialisation d'IPv4.

Le conflit Cloud Innovation montre le coût de ne pas avoir établi cette frontière tôt. Une fois que l'application est mêlée à des arguments sur l'utilisation régionale, la propriété des adresses, la location, les tactiques de litige, la survie du registre et le contrôle du conseil d'administration, chaque service technique est soupçonné d'avoir un poids politique caché. Même si le personnel d'AFRINIC continue à gérer les systèmes de manière professionnelle, les contreparties ne peuvent pas ignorer le contexte institutionnel. La couche de confiance est devenue politiquement et juridiquement bruyante.

La bonne leçon n'est pas que les registres doivent éviter l'application. C'est que l'application doit être isolée de la continuité de la sécurité de routage. Un modèle sérieux de gouvernance RPKI établirait que les services de certification pour les ressources actives existantes sont présumés maintenus pendant les litiges; que les restrictions sévères exigent des motifs juridiques ou de sécurité définis; que les actions d'urgence sont enregistrées et révisables; que les changements de publication sont notifiés; que la continuité de l'origine de route pour les utilisateurs en aval innocents est prise en compte; et que le registre ne peut pas utiliser RPKI comme levier économique dans une lutte plus large. Un tel modèle protégerait à la fois le registre et le membre, car il réduirait l'incitation à traiter chaque lettre d'exécution comme une menace pour les routes actives.

La crise d'AFRINIC a transformé cela de la théorie à la pratique du marché. La prime existe maintenant parce que les entités peuvent imaginer la chaîne allant du litige, à l'institution, à la publication, à la route. La sécurité RPKI ne peut pas mûrir dans un tel environnement à moins que la chaîne ne soit rendue plus sûre.

Mise sous séquestre, élections et autorité de signature

La mise sous séquestre est un dispositif juridique, mais dans le contexte d'un registre, c'est aussi une question de savoir qui peut signer. Pas seulement qui peut signer un chèque, un contrat ou une résolution du conseil d'administration, mais qui peut autoriser les conditions institutionnelles dans lesquelles les certificats sont émis, maintenus et publiés. La déclaration de la NRO de 2023 indiquait que la Cour suprême de Maurice avait nommé un administrateur judiciaire pour AFRINIC, restreint les actions de délocalisation ou de prise de contrôle, et chargé l'administrateur de préserver les actifs du statu quo, de superviser les élections et de faciliter la mise en place d'un conseil d'administration et d'un directeur général appropriés. En tant que description factuelle, c'est central. Cela montre que la supervision judiciaire visait à préserver la continuité plutôt qu'à liquider la fonction de registre.

Pour RPKI, cependant, la préservation doit être traduite en autorité opérationnelle. Un administrateur judiciaire qui préserve les actifs n'est pas automatiquement un modèle de gouvernance de sécurité de routage. Si les services RPKI hébergés continuent, sous l'autorité opérationnelle déléguée de qui le personnel agit-il? Si un membre en litige demande une mise à jour de ROA, s'agit-il d'une demande de service ordinaire, d'un changement du statu quo ou d'une décision nécessitant un examen juridique? Si un certificat doit être révoqué en raison d'une compromission, qui approuve l'action d'urgence? Si un transfert est finalisé pendant la mise sous séquestre, du nouveau matériel d'origine de route peut-il être créé à temps? Si une ordonnance judiciaire restreint certains changements de membres, comment cette restriction s'applique-t-elle à la publication RPKI? Ces questions ne sont pas académiques. Elles sont la traduction opérationnelle de la détresse de l'entreprise.

Un registre sain répond à la plupart d'entre elles avant la crise. Il dispose de contrôles internes, d'une autorité déléguée, de catégories de services documentées, de plans de réponse aux incidents, de journaux d'audit, de règles de notification aux membres et de voies d'escalade. Un registre en difficulté y répond sous pression. La période de mise sous séquestre d'AFRINIC importe donc non pas parce qu'elle a nécessairement causé une défaillance RPKI, mais parce qu'elle a révélé l'absence d'une constitution de continuité largement comprise pour la couche de confiance. Le public a appris que le registre pouvait être placé sous séquestre; il n'a pas appris, avec la même clarté, comment chaque service technique critique était isolé du conflit corporatif.

La séquence électorale de 2025 a étendu le problème de la mise sous séquestre à la légitimité. The Register a rapporté qu'AFRINIC n'avait pas pu élire de conseil d'administration depuis 2022 et qu'un administrateur judiciaire avait prévu des élections pour juin 2025, nommant des avocats britanniques de haut niveau pour superviser les nominations au milieu de préoccupations d'ingérence. Il a ensuite fait état de préoccupations de l'ICANN, d'une procédure judiciaire, de la poursuite du vote, puis de la suspension et de l'annulation après des allégations concernant des procurations et des documents d'électeur. Des rapports ultérieurs ont décrit une nouvelle élection qui a produit des administrateurs mais a laissé place à d'éventuelles contestations juridiques, des enquêtes gouvernementales et un malaise concernant l'influence. Ces détails importent pour RPKI parce que la légitimité du conseil est la couche de gouvernance au-dessus de la confiance opérationnelle.

Le conseil ne crée pas chaque ROA. Il ne le devrait pas. Mais le conseil fixe les conditions dans lesquelles la politique de certification, la réponse juridique, le statut des membres, les budgets, le personnel, les contrôles de sécurité et les communications de crise sont gérés. Si la légitimité du conseil est contestée, les décisions concernant des mesures sévères contre un membre ou une politique affectant la certification deviennent plus faciles à contester. Si le conseil est absent, le personnel peut devenir prudent. Si un administrateur judiciaire est l'autorité pratique, chaque décision sensible risque d'être qualifiée de dépassant la préservation. Si l'ICANN ou un autre organisme extérieur intervient, les membres peuvent se demander si c'est la gouvernance d'entreprise locale ou la coordination mondiale qui est aux commandes. RPKI a besoin d'une réponse ennuyeuse à la question de savoir qui peut agir. L'histoire électorale d'AFRINIC a rendu la réponse moins ennuyeuse.

Ce n'est pas un plaidoyer pour la technocratie contre la loi. La responsabilité juridique est nécessaire. Un registre qui contrôle des ressources rares et des services de confiance doit être soumis aux tribunaux, aux contrats et au contrôle des membres. Le problème n'est pas que les tribunaux puissent superviser AFRINIC. Le problème est que la publication de sécurité de routage n'a aucune tolérance pour un vide de gouvernance. La loi peut examiner l'autorité; elle ne peut pas se substituer à la confiance opérationnelle quotidienne. Si chaque acte contesté du conseil peut remettre en question la légitimité de la posture de sécurité de l'institution, le registre a besoin d'une séparation plus forte entre la contestation corporative et le fonctionnement des services critiques.

Cette séparation peut être conçue. Les opérations RPKI peuvent être placées sous un mandat de continuité de service défini qui survit aux lacunes du conseil, sous réserve d'audit et de supervision d'urgence. Les changements de certification peuvent être classifiés: création, suppression ou modification de ROA de routine autorisée par le membre; urgence de sécurité; transfert de ressources; ressource contrainte par un tribunal; autorité de membre contestée; compromission de compte suspectée; mesure d'exécution sévère. Chaque classe peut avoir un approbateur documenté et une règle de notification. Les administrateurs judiciaires peuvent hériter d'un manuel plutôt que d'improviser. Les conseils peuvent superviser la politique et les budgets sans microgérer les objets d'origine de route. Les tribunaux peuvent voir quelles actions préservent le statu quo et lesquelles modifient les droits.

La crise d'AFRINIC suggère qu'une telle conception n'est pas facultative. Une ancre de confiance de registre est un point unique de dépendance institutionnelle même si le routage de l'internet est distribué. Les validateurs du monde entier récupèrent du matériel en supposant que la hiérarchie reflète une autorité de ressource stable. Si l'institution derrière la hiérarchie ne peut pas montrer comment l'autorité survit à une mise sous séquestre, à des élections contestées ou à un litige, les opérateurs doivent soit accepter un risque caché, soit réduire leur dépendance. Ni l'un ni l'autre n'est souhaitable.

Le marché posera des questions simples. Si AFRINIC n'a pas de conseil, un membre peut-il encore créer un ROA? Si un administrateur judiciaire est aux commandes, un destinataire de transfert peut-il obtenir l'autorité d'origine de route? Si les informations d'identification de vote d'un membre sont contestées, cela affecte-t-il son compte technique? Si un tribunal remet plus tard en question une élection du conseil, qu'advient-il des décisions de certification prises entre-temps? Si l'ICANN menace d'un examen de conformité, un autre registre peut-il intervenir pour des fonctions de registre d'urgence, et cela inclurait-il le matériel de confiance RPKI? Le dossier public actuel donne des réponses institutionnelles partielles, mais pas une constitution complète au niveau du service. Cette lacune est le risque.

La leçon plus large est que l'autorité de signature dans la gouvernance de l'internet n'est pas seulement cryptographique. Les clés cryptographiques sont contrôlées par des personnes, des contrats, des comptes, des entités corporatives, des tribunaux et des budgets. Si ces couches échouent, la clé peut encore signer mathématiquement. La question du marché est de savoir s'il doit faire confiance à la signature comme institutionnellement légitime. La mise sous séquestre et le stress électoral d'AFRINIC rendent cette question incontournable.

Intégrité des registres et dépendance cryptographique

RPKI ne peut être aussi fiable que les faits du registre qui le sous-tendent. La cryptographie protège l'authenticité d'une déclaration; elle ne prouve pas que l'enregistrement sous-jacent du registre est vrai. Si un faux détenteur est enregistré, le système peut publier fidèlement une fausse autorité. Si un contact autorisé est obsolète, la mauvaise personne peut contrôler la publication. Si les ressources d'une société dormante ont été déplacées au moyen d'une documentation inappropriée, un ROA peut donner à la route résultante une apparence plus propre que l'histoire ne le mérite. C'est pourquoi l'épisode signalé de corruption des registres d'adresses d'AFRINIC est directement pertinent pour le risque de gouvernance RPKI, même si les rapports publics ne portaient pas principalement sur RPKI.

KrebsOnSecurity a rapporté en 2019 que des allégations issues d'une enquête de plusieurs années impliquaient de précieux blocs IPv4 africains associés à des entités dormantes ou disparues, des sociétés liées à un ancien coordinateur de politique d'AFRINIC, et une valeur marchande estimée à plus de 50 millions de dollars pour les adresses affectées identifiées par le chercheur Ron Guilmette. Le rapport indiquait que le directeur général d'AFRINIC à l'époque avait reconnu être au courant des allégations et avait déclaré que l'organisation enquêtait. Ce sont des allégations et des rapports, pas un compte rendu judiciaire final de chaque fait. Mais la signification économique est claire: une fois qu'IPv4 a un prix de marché, des registres de registre faibles deviennent une forme de risque de garde.

RPKI amplifie le risque de garde parce qu'il donne à l'autorité reconnue par le registre une expression cryptographique. Un faux changement de base de données importait parce qu'il affectait WHOIS, la confiance dans le transfert, le contact d'abus et les revendications de contrôle. Sous RPKI, il peut également affecter le système autonome qui peut être autorisé à annoncer le préfixe. Le système n'est pas conçu pour enquêter sur l'historique des successions d'entreprises ou la fraude de sociétés dormantes au moment de la validation. Il repose sur le registre pour avoir fait ce travail correctement. Un validateur qui voit un ROA valide n'a pas de mémoire indépendante de l'allocation initiale, de l'historique des fusions, du dirigeant qui a signé un formulaire ou des informations d'identification du personnel utilisées pour modifier un enregistrement.

Cela ne rend pas RPKI dangereux par conception. Cela signifie que RPKI doit être associé à une gouvernance des registres plus forte. Un registre de haute qualité peut utiliser RPKI pour réduire le risque de détournement précisément parce qu'il dispose de registres de détenteurs fiables et de comptes de membres sécurisés. Un registre faible peut utiliser la même machinerie cryptographique pour durcir les erreurs. La différence est la discipline institutionnelle, pas les mathématiques.

Le défi d'AFRINIC est double. Il doit réparer et protéger les registres historiques parce que les rapports publics ont fait de la corruption des registres une préoccupation crédible. Il doit également éviter de transformer la réparation des registres en un pouvoir discrétionnaire sans limites qui menace les détenteurs légitimes. Les deux conditions sont importantes pour RPKI. Si la réparation des registres est trop faible, une autorité fausse ou compromise peut être certifiée. Si la réparation est trop large et imprévisible, les détenteurs peuvent craindre que la certification soit provisoire en fonction de l'interprétation future par le registre de l'ancienne utilisation, de l'ancien besoin ou de l'ancienne politique. La confiance exige un chemin étroit entre ces risques.

Ce chemin commence par la séparation de la vérité et de la préférence. Un registre a toutes les raisons de vérifier si un détenteur existe, si un représentant est autorisé, si un successeur corporatif a des documents valides, si un compte a été compromis, si la source d'un transfert est le détenteur reconnu, si une ordonnance judiciaire restreint l'action, et si un ROA demandé correspond à la ressource enregistrée. Ce sont des questions d'autorité. Elles sont directement pertinentes pour RPKI. Un registre devrait être beaucoup plus prudent dans l'utilisation de la publication RPKI pour contrôler s'il aime le modèle d'affaires du détenteur, sa stratégie de location, la géographie de sa clientèle ou sa vision des marchés IPv4. Ce sont des litiges politiques ou commerciaux, pas automatiquement des défauts de certification.

Le contrôle des comptes est un risque particulier. RPKI est opérationnellement puissant parce qu'un identifiant de portail ou une clé déléguée peut modifier l'état d'origine de route. Si le compte d'un membre est volé, contraint, acheté, utilisé abusivement par un ancien employé ou manipulé par une procuration contestée, l'autorité d'origine de route peut être affectée. Les controverses électorales d'AFRINIC en 2025 impliquaient des allégations concernant les informations d'identification et les procurations dans le contexte du vote. Ces allégations ne prouvent pas en elles-mêmes la compromission de comptes RPKI. Elles illustrent cependant pourquoi les contrôles d'autorité des membres sont importants. Un registre qui ne peut pas vérifier de manière convaincante qui peut voter, nommer un mandataire ou agir pour un membre aura du mal à rassurer le marché sur la protection de toutes les actions de compte à conséquences élevées.

La réponse n'est pas de publier sans discernement les informations privées des membres. C'est de construire des contrôles d'autorité auditables. Pour RPKI, cela signifie une authentification forte, une séparation claire des rôles, une confirmation des modifications, des journaux infalsifiables, un double contrôle pour les actions graves, des procédures de verrouillage d'urgence, une notification aux membres et un examen indépendant après des modifications contestées. Cela signifie également séparer l'autorité de vote de l'autorité technique. Une personne qui peut voter lors d'une élection ne devrait pas automatiquement pouvoir modifier les autorisations d'origine de route, à moins que le membre n'ait expressément accordé ce rôle opérationnel. Un avocat avec une procuration pour la représentation corporative peut ne pas être l'ingénieur réseau qui devrait contrôler les ROA. L'autorité doit être granulaire.

L'exactitude des registres affecte également les relations bailleur-locataire. Si un détenteur loue des adresses à un opérateur, l'enregistrement du registre peut toujours indiquer le détenteur tandis que RPKI autorise l'origine de l'opérateur. Ce n'est pas nécessairement un défaut; cela peut être une expression précise de la délégation commerciale. Mais cela exige de la clarté. L'enregistrement devrait montrer suffisamment de responsabilité pour les abus, les contacts et l'autorité sans imposer chaque terme commercial dans la base de données publique. Le ROA devrait être compris comme une autorisation opérationnelle, et non comme un transfert de propriété. Si le bail prend fin, le détenteur devrait pouvoir retirer ou modifier le ROA. Si le bail est contesté, la continuité des clients en aval peut nécessiter une fenêtre de remédiation définie. Sans de telles règles, RPKI devient un amplificateur de litiges.

L'historique signalé de corruption des registres d'AFRINIC devrait donc pousser l'institution vers une gouvernance de certification plus précise, et non vers une suspicion généralisée de toute utilisation commerciale des adresses. La leçon d'un scandale de registres est que l'autorité factuelle doit être vérifiée. Ce n'est pas que le registre devrait manier les services de sécurité de routage comme un contrôle économique général. Un écosystème RPKI propre nécessite à la fois des preuves plus solides et un pouvoir discrétionnaire plus étroit.

Le marché jugera sur le comportement. Si AFRINIC peut montrer que les changements RPKI sont traçables à une autorité vérifiée, que les ressources contestées sont traitées par des catégories de statut transparentes, que les actions de certification graves sont rares et motivées, et que les autorisations opérationnelles ordinaires sont traitées dans les délais impartis, la confiance augmentera. Si la certification semble vulnérable à la politique, à l'humeur d'exécution, à des contrôles de compte faibles ou à une réparation opaque des registres, la confiance diminuera. Une couche de confiance cryptographique ne peut pas dépasser la qualité institutionnelle des registres qu'elle certifie.

Révocation, non-publication et le risque discret d'invalidité

La crainte dramatique dans la gouvernance RPKI est la révocation: le registre ou l'autorité de certification retire le matériel de certification et une route qui était autrefois validée devient invalide ou non couverte. Ce risque est réel, mais ce n'est qu'une partie du problème. Les risques plus discrets sont souvent plus probables et plus importants commercialement: un membre ne peut pas publier un ROA nécessaire; un ancien ROA reste en place après un changement d'entreprise; une nouvelle origine ne peut pas être autorisée avant une migration; un destinataire de transfert attend la certification; une ressource contestée est dans les limbes; un dépôt de publication tombe en panne; un validateur voit du matériel obsolète; ou un registre hésite à traiter une demande parce que l'autorité légale n'est pas claire.

Dans l'économie du routage, l'inaction peut être une action. Un opérateur de centre de données qui déplace des clients vers un nouveau système autonome a besoin de changements de ROA en temps opportun. Un fournisseur de cloud qui répartit le trafic entre plusieurs fournisseurs en amont peut avoir besoin d'ajustements de longueur de préfixe maximale. Un acheteur qui finalise un transfert IPv4 peut avoir besoin d'une autorité d'origine de route immédiate pour intégrer des clients. Un bailleur qui autorise l'origine d'un locataire peut avoir besoin d'une publication prévisible pendant toute la durée du bail. Si le registre ne peut pas agir, l'opérateur peut être confronté à des annonces invalides, des annonces non validées moins sécurisées, un filtrage de route par des réseaux stricts ou un retard de service. L'absence de décision défavorable n'élimine pas le coût.

Le stress institutionnel d'AFRINIC rend le risque de non-publication plausible même sans preuve de mauvaise conduite spécifique à RPKI. Un gel bancaire peut affecter le personnel et les systèmes. Un administrateur judiciaire peut créer de la prudence autour des changements qui pourraient être perçus comme modifiant le statu quo. Une vacance du conseil peut laisser le personnel incertain quant aux décisions sensibles. Les litiges peuvent amener les avocats à examiner des actions qui étaient autrefois routinières. Les contestations électorales peuvent remettre en question l'autorité des membres. Une demande de dissolution peut soulever des craintes de continuité. Chaque condition peut ralentir la couche de service opérationnel même si toutes les personnes impliquées veulent préserver l'internet.

C'est pourquoi les pare-feu de service sont importants. Un registre devrait distinguer les changements qui préservent la continuité opérationnelle active des changements qui modifient le droit aux ressources. La mise à jour d'un ROA pour refléter une migration de réseau déjà autorisée peut être une préservation de la continuité. La création d'un ROA pour une partie dont l'autorité est contestée peut nécessiter une suspension et un examen. La suppression d'un ROA en raison d'une compromission de compte avérée peut être une action de sécurité d'urgence. La suppression d'un ROA en raison d'un litige commercial non résolu peut être un excès de pouvoir à moins qu'un tribunal ou une règle claire ne l'exige. Le registre doit classifier l'action, et non pas simplement traiter tous les changements RPKI comme des privilèges discrétionnaires.

La gouvernance de la révocation devrait être particulièrement stricte. Dans un système où les réseaux qui s'appuient sur RPKI peuvent rejeter les routes invalides, la révocation peut avoir des effets en aval au-delà du membre immédiat. Elle peut affecter les clients, la joignabilité du contenu, l'accès des entreprises, les services publics et la réputation. Certaines révocations sont nécessaires: clés compromises, fausse autorité, restitution de ressources, transfert terminé, certification en double, ordonnance judiciaire ou fraude avérée. Mais nécessaire ne signifie pas désinvolte. Le registre devrait avoir des motifs définis, un préavis lorsque c'est possible, des exceptions d'urgence, des périodes de remédiation lorsque c'est sûr, un journal, un appel et une divulgation post-incident au moins agrégée. Un certificat d'origine de route ne devrait pas être plus facile à perturber qu'un abonnement à une liste de diffusion.

La gouvernance de la non-publication est plus difficile parce qu'elle se cache souvent dans le retard. Un registre peut nuire à la confiance sans prendre de décision défavorable formelle. Il peut simplement ne pas traiter une demande. Dans un cadre commercial normal, le retard peut être mesuré par rapport à une norme de service. Dans un cadre de registre en difficulté, le retard peut être expliqué par la prudence juridique, l'absence d'autorité, le manque de personnel, la maintenance du système ou l'incertitude politique. Le marché ne se soucie pas de la catégorie interne qui s'applique si le résultat est l'absence de déploiement client. RPKI a besoin d'engagements de service limités dans le temps et de voies d'escalade précisément parce que la validation de routage automatisée comprime le coût du retard.

La crise de gouvernance plus large d'AFRINIC soulève également la question du remplacement d'urgence. The Register a rapporté que l'ICANN avait averti en 2025 que si AFRINIC échouait à un examen de conformité, un autre registre régional pourrait être invité à intervenir en tant que registre d'urgence pour l'Afrique. Cette possibilité a été décrite dans le contexte des préoccupations électorales et de mandat d'AFRINIC, et non comme un plan de basculement RPKI. Pourtant, elle soulève la question évidente: si un registre d'urgence devait un jour préserver les services de numéros, comment le matériel de confiance RPKI migrerait-il ou serait-il maintenu? Les ancres de confiance changeraient-elles? Les ROA existants resteraient-ils valides? Qui informerait les parties qui s'appuient sur RPKI? Comment les détenteurs prouveraient-ils leur autorité? Comment les tribunaux de Maurice interagiraient-ils avec un plan de continuité inter-registres?

Ces questions ne devraient pas être laissées pour le jour de la crise. La valeur de RPKI dépend de la certitude routable. Si la continuité d'urgence oblige les validateurs, les opérateurs, les détenteurs et les tribunaux à interpréter de nouvelles relations de confiance sous pression, le système transmettra de la confusion. Un plan de défaillance du registre devrait inclure la continuité RPKI comme un service de premier ordre, et non comme une annexe. Il devrait définir comment les dépôts de publication sont préservés, comment les clés sont protégées, comment l'accès des membres est maintenu, comment la validité des certificats est gérée, comment les révocations sont gelées ou autorisées, et comment les parties qui s'appuient sur RPKI sont informées de ce à quoi se fier.

Le risque discret d'invalidité interagit également avec l'assurance et la conformité. Les grandes entreprises demandent de plus en plus aux fournisseurs des informations sur leur posture de sécurité de routage. Un fournisseur qui ne peut pas prouver un contrôle RPKI stable peut échouer à une évaluation de fournisseur. Un questionnaire d'assurance cyber peut porter sur la prévention des détournements de route. Un client réglementé peut exiger un routage sécurisé pour les services sensibles. Dans de tels contextes, le risque de gouvernance du registre devient un coût de conformité. Les ressources administrées par AFRINIC peuvent être techniquement saines, mais si le détenteur ne peut pas donner d'assurances convaincantes sur la continuité des ROA en cas de litige, l'entreprise peut perdre des clients ou accepter des conditions plus faibles.

Ce n'est pas parce que RPKI est mauvais. C'est parce que RPKI fonctionne: il a rendu l'autorité d'origine suffisamment visible pour être gouvernée. Le problème est que l'autorité visible doit être soutenue par des garanties institutionnelles visibles. La crise d'AFRINIC est un rappel que la cryptographie peut rendre un problème de confiance plus précis sans le faire disparaître.

Le meilleur résultat serait ennuyeux. Les ROA devraient être créés, modifiés et retirés selon des règles suffisamment claires pour que les entreprises ordinaires puissent s'y fier, que les tribunaux puissent les comprendre et que le personnel du registre puisse les appliquer sous stress. Un détenteur en règle ne devrait pas craindre que la publication d'origine de route puisse être entraînée dans une lutte politique. Un registre ne devrait pas craindre que la préservation du service RPKI actif l'empêche d'agir contre la fraude. Les parties qui s'appuient sur RPKI ne devraient pas avoir besoin de savoir quel litige électoral ou quelle ordonnance judiciaire se cache derrière un état de validation. Elles devraient pouvoir avoir confiance que les règles de continuité de service séparent la sécurité de routage du combat institutionnel.

Pourquoi ce n'est pas une histoire WHOIS, RDAP ou DNS inverse

Les services de registre d'AFRINIC sont étroitement liés, il est donc tentant de fondre RPKI dans un récit générique de risque de couche de registre. Cela passerait à côté de ce qui rend la certification d'origine de route distincte. L'exactitude des registres concerne la véracité, l'actualité, l'attribuabilité et la fiabilité des faits sous-jacents du registre. Le DNS inverse concerne la délégation de noms et les conséquences opérationnelles pour le courrier, les diagnostics et la réputation du réseau. WHOIS et RDAP concernent l'accès aux registres publics, la contactabilité et la diligence. Le risque générique de couche de registre concerne la prime globale créée lorsque le conservateur des registres devient instable ou discrétionnaire. RPKI est différent parce qu'il transforme l'autorité reconnue en preuve cryptographique de routage.

Cette différence modifie à la fois la vitesse et l'opacité. Un contact WHOIS obsolète peut être remarqué par un avocat ou un service anti-abus. Un problème de DNS inverse peut être diagnostiqué dans les journaux de courrier. Une incohérence RDAP peut être discutée lors de la diligence. Une erreur de ROA peut être convertie par les validateurs et les filtres de route en traitement de route sur de nombreux réseaux. L'entreprise affectée peut en prendre connaissance d'abord par des plaintes de joignabilité, des alertes de surveillance ou le rejet de route d'un fournisseur de transit. RPKI n'est pas simplement une autre interface publique. C'est une couche d'autorisation lisible par machine.

Cela change également le public de la confiance. WHOIS et RDAP sont lus par des humains et des outils, mais leurs utilisateurs savent généralement que les données du registre peuvent être désordonnées. Les données IRR sont utilisées par les systèmes de routage, mais de nombreux opérateurs les traitent avec prudence car la qualité des objets varie. RPKI aspire à une assurance plus forte. Son but est de rendre l'autorité d'origine plus fiable que les revendications de routage informelles. Cette aspiration rend les faiblesses de gouvernance plus lourdes de conséquences. Si RPKI est traité comme de haute confiance mais que sa base institutionnelle est de faible confiance, l'écart devient dangereux.

L'exactitude des registres reste fondamentale. Un registre ne peut pas publier du matériel RPKI digne de confiance s'il ne sait pas qui détient quoi. Les allégations signalées de corruption de registres d'adresses d'AFRINIC importent donc. Mais la question de l'exactitude de la base de données demande si l'enregistrement lui-même peut fonder la confiance du marché. La question RPKI demande ce qui se passe lorsque cet enregistrement est utilisé pour publier une autorité cryptographique de routage. C'est la différence entre un registre foncier et un verrou numérique lié au registre foncier. Si le registre est erroné, les deux échouent. Mais le verrou ajoute une nouvelle conséquence opérationnelle.

Le DNS inverse est également lié mais distinct. Une délégation de DNS inverse peut être précieuse pour la réputation du courrier, les opérations des clients et les diagnostics. Elle dépend des attributions enregistrées et de l'autorité appropriée. Pourtant, un problème de DNS inverse affecte généralement la confiance au niveau de la couche application et les attentes de nommage. RPKI affecte la validation d'origine de route. Si une route devient invalide sous un filtrage strict, le problème de joignabilité peut être plus large et plus immédiat. La continuité du nommage et la confiance dans l'origine de route dépendent toutes deux de la gouvernance du registre, mais elles n'échouent pas de la même manière.

Les registres publics RDAP et WHOIS concernent la transparence et la lisibilité publique. Ils permettent aux contreparties de voir le détenteur, les contacts, le statut et les données connexes, sous réserve de limites de confidentialité et de politique. RPKI peut être opaque en comparaison. Un client peut ne pas inspecter la chaîne de certificats; il peut seulement voir qu'un fournisseur a passé un examen de sécurité. Un routeur peut ne pas se soucier de la raison pour laquelle un ROA a changé; il applique seulement la politique. Cela rend les garanties de gouvernance plus importantes, et non moins. L'automatisation réduit la possibilité d'interprétation humaine au cas par cas.

Le problème générique de couche de registre demande comment AFRINIC est devenu une prime de risque au-dessus du routage, des contrats et des marchés. Le problème de certification réduit la prime au canal RPKI. Le registre pourrait être généralement fragile mais garder RPKI bien isolé, auquel cas le risque d'origine de route serait inférieur au risque institutionnel global. Ou le registre pourrait être généralement stable mais utiliser RPKI de manière discrétionnaire, auquel cas le risque d'origine de route serait plus élevé que ne le suggère la gouvernance de premier plan. L'important est d'évaluer le pare-feu spécifique au service.

Ce pare-feu comporte plusieurs parties. Premièrement, RPKI devrait dépendre de l'autorité vérifiée sur les ressources et les comptes, et non d'une faveur institutionnelle générale. Deuxièmement, les changements affectant les routes actives devraient être classifiés et limités dans le temps. Troisièmement, les actions graves telles que la révocation devraient exiger des motifs définis et un examen. Quatrièmement, les litiges devraient préserver la sécurité opérationnelle existante lorsque c'est sûr. Cinquièmement, la réalité des transferts et de la location devrait être traitée par une autorisation claire plutôt que par un refus par ambiguïté. Sixièmement, la mise sous séquestre ou la défaillance du conseil devrait déclencher un mode de continuité pour les services de certification. Septièmement, les dépôts de publication et les clés devraient avoir un audit indépendant et une réponse aux incidents.

De telles garanties n'affaibliraient pas les fonctions de base de données, de DNS inverse ou de RDAP. Elles les renforceraient en rendant plus claires les limites de chaque fonction. Une correction de base de données identifierait le véritable détenteur. Une délégation de DNS inverse suivrait les règles d'attribution enregistrée. RDAP exposerait les faits publics appropriés. RPKI exprimerait l'autorité d'origine de route en vertu d'un mandat de sécurité neutre du point de vue du service. Le registre conserverait le pouvoir d'exécution contre la fraude et la fausse autorité, mais il n'utiliserait pas la couche de sécurité pour gagner des combats institutionnels non liés.

La crise d'AFRINIC montre pourquoi cette précision importe. Si toutes les fonctions du registre sont regroupées en une seule autorité discrétionnaire, alors un litige sur une fonction contamine toutes les autres. Un membre faisant l'objet d'un examen des ressources craint les conséquences RPKI. Un acheteur confronté à un retard de transfert craint le retard du DNS inverse et de la certification. Un tribunal qui examine une restriction corporative peut affecter par inadvertance les services opérationnels. Un administrateur judiciaire qui préserve le statu quo peut geler les mises à jour de sécurité nécessaires. Un litige électoral au conseil peut amener les contreparties à remettre en question l'autorité du compte. Le regroupement propage le risque.

Défaire le regroupement ne signifie pas démanteler le registre. Cela signifie reconnaître que différentes fonctions nécessitent des garanties différentes. RPKI mérite les garanties de continuité et de neutralité les plus fortes parce qu'il est le pont le plus direct entre la légitimité du registre et le comportement de routage. Le cas d'AFRINIC devrait pousser le système de registres régionaux à rendre ce pont plus sûr avant qu'un litige de certificat ne devienne une panne.

Le marché qui évalue le doute sur les certificats

Les marchés évaluent l'incertitude bien avant que les tribunaux ne la règlent. C'est le fait économique central du risque de gouvernance RPKI. Un préfixe n'a pas besoin de devenir injoignable pour que sa valeur baisse. Il suffit qu'il porte un doute crédible sur la capacité de maintenir l'autorité d'origine de route à travers les transferts, les baux, les litiges, les migrations ou le stress institutionnel. La décote peut être invisible dans les cotations publiques, mais elle apparaît dans les conditions privées: prix d'achat plus bas, séquestre plus long, indemnités plus larges, représentations plus fortes, finalisation retardée, exclusions de clients, frais juridiques plus élevés, surveillance supplémentaire, ou une préférence pour les ressources provenant d'un environnement de registre moins troublé.

La rareté d'IPv4 rend ces décotes significatives. L'analyse publique dans le différend AFRINIC a cité des prix IPv4 passant de quelques dollars par adresse les premières années à des niveaux beaucoup plus élevés pendant l'ère de rareté, et un /16 peut représenter des millions de dollars de valeur marchande. Lorsque les valeurs sont aussi élevées, un petit changement dans la certitude perçue importe. Un acheteur qui paierait le prix fort pour un bloc propre peut réduire l'offre si le contrôle RPKI dépend d'un détenteur ayant des problèmes de registre non résolus. Un bailleur peut facturer plus cher s'il doit assumer la responsabilité de la maintenance continue des ROA dans le cadre d'une politique incertaine. Un client peut demander un préfixe alternatif si le fournisseur ne peut pas garantir la validation d'origine. Un prêteur peut considérer les revenus adossés à des adresses comme moins bancables.

Le mécanisme de tarification est similaire à l'assurance titres dans l'immobilier ou au risque de règlement dans les titres, mais l'actif n'est pas un terrain ordinaire ou une action. Les adresses IP sont des identifiants de réseau uniques administrés par des contrats et des politiques. Les registres résistent aux analogies simples avec la propriété, et la résistance a une base technique: l'unicité, la coordination et la responsabilité de routage importent. Pourtant, non-propriété ne signifie pas non-valeur. De nombreux droits économiquement importants ne sont pas des propriétés en fief simple. Les baux, les licences, les concessions, les droits de spectre, les permis d'exploitation et les droits contractuels peuvent tous soutenir l'investissement tout en restant conditionnels. Le marché évalue les conditions.

RPKI ajoute une telle condition. La position économique du détenteur est plus forte s'il peut prouver que l'origine autorisée restera valide lors de changements opérationnels ordinaires. Elle est plus faible si le registre peut refuser, retarder ou révoquer la publication selon des normes ambiguës. La condition importe le plus lorsque le détenteur et l'opérateur diffèrent. La location rend cela visible. Si un bailleur ne peut pas garantir des ROA pour le réseau du locataire, le bail est moins utile. Si le locataire ne peut pas compter sur des changements opportuns, il doit réserver de l'espace de secours ou négocier la flexibilité du client. Si le registre remet en question l'arrangement par la suite, le locataire peut être innocent mais toujours exposé. Le prix du bail devrait refléter ce risque.

Les marchés de transfert sont confrontés à un problème connexe. Un transfert n'est pas économiquement complet lorsque l'argent change de mains. Il est complet lorsque l'enregistrement reconnu du registre, l'autorité de routage, le DNS inverse, les contacts d'abus et le matériel d'origine de route correspondent à l'opération prévue par l'acheteur. Si le changement RPKI est retardé ou contesté, l'acheteur contrôle une ressource qui n'est pas entièrement déployable. Les accords de séquestre devraient donc traiter la livraison du ROA comme faisant partie du règlement. C'est une réponse du marché à la confiance dans le registre. Plus le registre est incertain, plus les conditions de règlement sont détaillées.

Les entreprises de cloud et d'hébergement répercutent le risque dans les contrats clients. Un fournisseur peut détenir des préfixes administrés par AFRINIC, les louer, ou s'appuyer sur des fournisseurs en amont qui le font. Les clients lisent rarement la politique du registre régional, mais ils remarquent les pannes et le filtrage des routes. Si un client exige un routage sécurisé, le fournisseur doit montrer non seulement que des ROA existent, mais que le fournisseur peut les maintenir. Si les ressources du fournisseur sont en cours d'examen, si le détenteur est en litige, ou si le registre a un historique de turbulences institutionnelles, le client peut exiger des droits de résiliation ou un plan de migration. Le problème de gouvernance du registre est devenu un problème commercial de vente.

Les petits opérateurs peuvent souffrir le plus parce que les coûts fixes ne diminuent pas. Un grand fournisseur de cloud ou opérateur peut employer des avocats, des spécialistes des registres, des ingénieurs de routage et du personnel de conformité. Il peut diversifier les sources d'adresses, détenir des stocks supplémentaires, maintenir plusieurs systèmes autonomes et négocier des contrats sophistiqués. Un petit FAI ou une société d'hébergement peut avoir un ou deux blocs, une relation de registre et un personnel limité. Pour lui, un seul litige ou retard RPKI peut monopoliser l'attention de la direction et menacer les clients. La promesse de RPKI devrait être d'aider ces opérateurs à réduire le risque de détournement de route, et non d'ajouter une autre dépendance institutionnelle qu'ils ne peuvent pas gérer.

La dépendance des membres d'AFRINIC est donc plus large que le service de certification. Les membres dépendent des registres d'allocation, de WHOIS, de RDAP, du DNS inverse, de l'IRR, de RPKI, du statut de facturation, de la reconnaissance des transferts et de l'accès au compte. Ces services ne sont pas des substituts; ils se renforcent mutuellement. Un enregistrement de base de données propre soutient l'autorité RPKI. RPKI renforce la crédibilité du routage. Le DNS inverse soutient le courrier et les diagnostics. WHOIS et RDAP soutiennent la responsabilité publique et la diligence. La reconnaissance des transferts soutient la liquidité. Si le risque de gouvernance affecte un service, les contreparties s'inquiètent pour les autres. L'ensemble reçoit une décote de registre.

La décote peut également devenir auto-renforçante. Si les entités du marché considèrent les ressources administrées par AFRINIC comme plus risquées, ils peuvent préférer d'autres régions lorsque c'est possible, exiger plus des détenteurs africains, ou acheminer l'activité commerciale par des structures perçues comme plus sûres. Cela réduit la liquidité et peut nuire aux arguments de développement régional utilisés pour justifier un contrôle fort du registre. Un registre qui veut soutenir sa région devrait donc se soucier des primes de risque. Moins la confiance est chère, plus les ressources de ses membres deviennent précieuses et plus il est facile pour les réseaux africains d'obtenir des capitaux, des clients et des partenaires.

Le marché n'est pas toujours vertueux. Les acteurs commerciaux peuvent exagérer le risque du registre pour obtenir des prix plus bas, résister à un examen légitime ou défendre un arbitrage rentable. AFRINIC et ses partisans ont raison de se rappeler que les marchés d'adresses créent des incitations aux abus, à la spéculation et à la manipulation des registres. Mais l'existence d'acheteurs opportunistes ne supprime pas le besoin de services de confiance prévisibles. Cela les rend plus importants. Une gouvernance RPKI claire aide à distinguer la dépendance opérationnelle légitime de la pression de mauvaise foi. Un pouvoir discrétionnaire opaque aide les acteurs les plus forts parce qu'ils peuvent se permettre de le contester.

La conclusion économique est simple. La qualité de la gouvernance RPKI fait désormais partie de la qualité des adresses. Un préfixe avec une autorité d'origine de route stable vaut plus que le même préfixe avec une autorité incertaine. La crise d'AFRINIC rend cela explicite, mais le principe s'applique partout. À mesure que la validation d'origine de route se répand, les marchés évalueront non seulement la quantité et la réputation des adresses, mais aussi la confiance institutionnelle dans la chaîne de certificats.

Un pare-feu RPKI crédible

Un pare-feu RPKI crédible n'est pas un pare-feu au sens d'appareil réseau. C'est une frontière institutionnelle qui empêche la certification d'origine de route de devenir un dommage collatéral dans les luttes pour la gouvernance, les frais, les litiges, les élections, la politique de transfert ou l'idéologie commerciale. Cela accepte qu'un registre doive gérer RPKI, vérifier l'autorité et agir contre la fraude. Cela rejette l'idée qu'un registre puisse utiliser l'incertitude de la certification comme un levier général sur les ressources d'adresses rares. Dans un monde post-épuisement, cette frontière est aussi importante que le protocole cryptographique.

Le premier élément est la continuité du service. Les ROA valides existants pour les ressources actives devraient être présumés rester en vigueur pendant les périodes de stress institutionnel, à moins qu'il n'y ait une raison technique, juridique ou d'autorité spécifique de les modifier. La mise sous séquestre, l'absence de conseil, les litiges ou les controverses publiques ne devraient pas par eux-mêmes perturber la publication d'origine de route. Si un membre est en litige, la valeur par défaut devrait être de préserver le dernier état sûr vérifié pendant que le litige est classifié. Cela protège les clients en aval et réduit les incitations à des litiges d'urgence.

Le deuxième élément est la granularité de l'autorité. Un compte de registre ne devrait pas être une clé unique et indifférenciée pour tout le pouvoir. L'autorité de vote, l'autorité de facturation, l'autorité de représentation légale, l'autorité de gestion des ressources, l'autorité RPKI et l'autorité de contact d'abus devraient être séparables. Les controverses d'AFRINIC en 2025 autour des informations d'identification des membres et des procurations montrent pourquoi. Une personne peut avoir le droit de voter mais pas de modifier les ROA. Un avocat peut avoir le droit de recevoir des avis mais pas d'autoriser une route. Un ingénieur réseau peut avoir le droit de gérer les ROA mais pas de lier l'entreprise lors d'une élection du conseil. La granularité réduit le risque que la capture de la gouvernance ne devienne une capture du routage.

Le troisième élément est une échelle de remèdes. Tous les problèmes ne justifient pas une perturbation de la certification. Un contact obsolète devrait déclencher des exigences de notification et de mise à jour. Un problème de facturation peut entraîner des conséquences contractuelles, mais pas un préjudice immédiat pour l'origine de route, à moins que les règles ne le disent clairement et que des garanties s'appliquent. Une compromission de compte suspectée peut nécessiter un verrouillage d'urgence et une vérification du membre. Un transfert contesté peut nécessiter une suspension temporaire des nouveaux ROA tout en préservant le service existant lorsque c'est sûr. Une fausse autorité avérée peut nécessiter une révocation. Chaque catégorie devrait être définie avant la crise, avec des délais et des voies d'escalade.

Le quatrième élément est la transparence sans témérité. Les actions RPKI affectant les ressources actives devraient être enregistrées de manière à permettre un audit. Les membres devraient recevoir un avis clair des changements, des raisons et des voies d'appel. Les parties qui s'appuient sur RPKI n'ont pas besoin de dossiers de litige privés, mais la communauté peut bénéficier de rapports agrégés sur les révocations, les verrouillages d'urgence, les incidents de publication, les ressources contestées et la disponibilité des services. Un registre qui publie uniquement des statistiques d'adoption mais pas les incidents de gouvernance cache la partie de RPKI que les marchés doivent évaluer.

Le cinquième élément est le réalisme des transferts et de la location. AFRINIC et les autres registres n'ont pas besoin d'approuver toutes les revendications du marché sur la propriété IPv4. Ils doivent reconnaître que la délégation opérationnelle existe. Un détenteur peut légalement autoriser un autre réseau à annoncer un préfixe pour des raisons d'hébergement, de transit, de cloud, de client, de location ou de service géré. RPKI devrait capturer l'autorité opérationnelle de manière propre tout en laissant les litiges commerciaux aux contrats et aux processus politiques. Si le registre souhaite restreindre certaines formes de délégation, il devrait le faire par une politique explicite soumise à un examen, et non par un refus opaque de soutenir l'autorisation d'origine de route.

Le sixième élément est la succession d'urgence. Si un registre est mis sous séquestre, perd un conseil d'administration, subit une compromission du système ou risque une perte de reconnaissance, la continuité RPKI devrait avoir un plan écrit. Le plan devrait dire comment les clés sont protégées, comment les dépôts restent en ligne, comment l'accès des membres est préservé, comment les changements urgents sont approuvés, comment la validité des certificats est traitée, comment les changements d'ancre de confiance sont communiqués si jamais nécessaire, et comment un autre registre ou service neutre pourrait aider sans prendre le contrôle des politiques. La mise sous séquestre d'AFRINIC montre qu'un tel plan n'est pas spéculatif.

Le septième élément est un examen indépendant pour les actions graves. Un registre ne devrait pas être le seul juge, procureur et bourreau lorsqu'une décision affectant la certification pourrait nuire aux routes actives et aux ressources précieuses. L'examen indépendant n'a pas besoin d'être lent en cas d'urgence. Il peut utiliser des panels accélérés, des médiateurs techniques, des procédures approuvées par les tribunaux ou un examen post-action lorsque des mesures immédiates sont nécessaires. Le principe est que les perturbations graves de RPKI devraient relever de la responsabilité d'un organe ou d'un processus non identique à la position du personnel ou du conseil dans le litige sous-jacent.

Le huitième élément est la symétrie de responsabilité, au moins en matière de divulgation, sinon toujours en dommages-intérêts. Les registres fonctionnent souvent avec une responsabilité limitée, et il y a des raisons de limiter l'exposition des organismes de coordination. Mais si un registre peut prendre des mesures qui affectent des ressources de grande valeur et la continuité des clients, les membres doivent savoir quel recours existe en cas de perturbation erronée de la certification. La réponse ne peut pas être un slogan. Elle peut impliquer des crédits de service, une correction accélérée, un examen indépendant, une assurance, une politique de réserve ou des limites légales. Quelle que soit la conception, l'attribution des risques devrait être explicite.

La reprise d'AFRINIC serait plus crédible si elle traitait RPKI de cette façon. Un nouveau conseil, un budget ou une stratégie sont utiles, mais la question RPKI est plus concrète: chaque membre, y compris un membre mal aimé ou contesté, peut-il savoir exactement quels services de certification se poursuivront, quelles actions peuvent les affecter, qui approuve ces actions, à quelle vitesse l'examen a lieu et comment la continuité en aval est protégée? Si la réponse est oui, RPKI devient une technologie stabilisatrice. Si la réponse est non, elle reste un risque de gouvernance déguisé en adoption de la sécurité.

Un tel pare-feu ne priverait pas AFRINIC de son autorité. Il rendrait l'autorité plus légitime. Il donnerait au personnel des instructions plus claires en cas de stress, aux membres des attentes plus claires, aux tribunaux des catégories plus claires, et aux parties qui s'appuient sur RPKI de meilleures raisons de faire confiance à la chaîne de certificats. Il protégerait également le registre contre les allégations selon lesquelles chaque mesure d'exécution est une menace pour le routage actif. La précision est une forme de défense institutionnelle.

Le grand livre étroit et la route de confiance

Le risque de gouvernance RPKI d'AFRINIC commence par une petite déclaration technique et se termine par une grande conclusion institutionnelle. La déclaration technique dit qu'un préfixe peut être annoncé par un système autonome particulier. La conclusion institutionnelle est que la reconnaissance, les registres, les comptes, les clés, les systèmes de publication et la gouvernance du registre sont suffisamment fiables pour que le reste de l'internet agisse sur cette déclaration. Si cette conclusion est faible, la déclaration d'origine de route peut toujours être cryptographiquement valide, mais le marché la traitera avec prudence.

La voie à suivre n'est pas de rejeter RPKI, ni de prétendre que les registres peuvent éviter les questions difficiles d'application. Un registre qui ne peut pas corriger les faux enregistrements, empêcher une publication compromise ou agir sur des ordonnances légales ne protège pas l'internet. Mais un registre qui peut transformer les services de certification en levier discrétionnaire sur des ressources rares ne protège pas non plus l'internet. Il importe le risque institutionnel dans la couche de routage. La bonne conception est un grand livre étroit avec un service de confiance protégé: fort contre la fraude, précis quant à l'autorité, neutre envers l'utilisation commerciale ordinaire, continu pendant les stress de gouvernance et responsable lorsqu'une action sévère est nécessaire.

Pour AFRINIC, cela signifie que la reprise devrait être mesurée par la fiabilité des fonctions, et non simplement par l'existence d'un conseil. Les membres peuvent-ils maintenir les ROA lors de changements de réseau normaux? Les cas contestés peuvent-ils être contenus sans contaminer des ressources non liées? Les transferts et les locations peuvent-ils obtenir une autorisation opérationnelle claire sans examen idéologique caché? La mise sous séquestre ou la supervision judiciaire peut-elle préserver les services techniques sans geler les mises à jour nécessaires? Les révocations sévères peuvent-elles être expliquées, examinées et limitées? Le registre peut-il montrer que RPKI est un service de sécurité, et non une arme politique?

Le marché au sens large devra également s'adapter. Les acheteurs devraient traiter la livraison RPKI comme faisant partie du règlement IPv4. Les bailleurs devraient spécifier la maintenance des ROA et les procédures de changement. Les clients devraient demander non seulement si un fournisseur a des ROA, mais qui les contrôle et ce qui se passe en cas de litige. Les prêteurs et les assureurs devraient évaluer l'exposition à la gouvernance du registre dans le cadre des revenus adossés aux adresses. Les opérateurs devraient surveiller les états de validation et maintenir des plans d'urgence. Ces mesures ne remplacent pas la réforme du registre, mais elles reflètent la réalité selon laquelle RPKI a fait de l'autorité d'origine de route un intrant économique.

La crise d'AFRINIC n'est donc pas une curiosité locale sur les problèmes d'un registre régional. C'est un avertissement sur ce qui se passe lorsqu'une architecture de sécurité dépend d'une institution dont la légitimité, les registres, les tribunaux, les administrateurs judiciaires, les élections et les frontières commerciales sont sous stress. Plus RPKI réussit, plus cet avertissement devient important. Une route peut être filtrée par des machines, mais l'autorité derrière la route est toujours régie par des personnes, des contrats, des entreprises et des tribunaux.

Le test final est simple. Un détenteur de ressources devrait pouvoir adopter RPKI parce que cela réduit le risque de routage, et non parce qu'il accepte une nouvelle forme de dépendance au registre. Un client devrait pouvoir faire confiance à une route valide parce que la chaîne de certificats reflète une autorité étroite, légale et précise, et non parce qu'il a foi en une mythologie institutionnelle. Un registre devrait pouvoir appliquer des règles réelles sans menacer la publication de sécurité en direct. Un tribunal devrait pouvoir superviser un registre en difficulté sans devenir l'opérateur caché de la confiance d'origine de route.

AFRINIC montre que la certification d'origine de route n'est pas simplement un justificatif technique. C'est une revendication institutionnelle. À l'ère de la rareté d'IPv4, cette revendication comporte un risque de prix, de continuité et de gouvernance. Le registre qui veut que les routeurs fassent confiance à ses certificats doit d'abord prouver que sa propre autorité est suffisamment contrainte pour être digne de confiance.