Résumé

  • Toute alternative au modèle des cinq RIR aurait dû empêcher les attributions doubles, préserver l'agrégation, protéger l'état de sécurité du routage, financer les biens publics partagés et permettre la reprise après une défaillance du fournisseur. Ce test de défaillance est primordial.
  • Les premiers RFC ont identifié un problème de mise à l'échelle dans l'administration des adresses; l'ICP-2 a ensuite converti la coordination régionale en une règle explicite d'un RIR sous une direction unique et un emplacement unique pour chaque région à l'échelle continentale.
  • Le groupement institutionnel a réuni des fonctions différentes ayant des exigences techniques différentes: l'état faisant autorité des ressources de numérotation nécessite de la cohérence, tandis que la prestation de services, la formation, les opérations de certification, le traitement des litiges et certaines fonctions de responsabilisation peuvent être analysés séparément.
  • Les archives disponibles ne prouvent pas que la dissociation aurait été moins chère, plus sûre ou préférée par les opérateurs. Elles étayent une conclusion plus étroite: les cinq monopoles régionaux étaient des conceptions contingentes dont les alternatives nécessitent des tests mesurables de coordination, de sécurité, de financement et de reprise.

Le test de défaillance avant toute hypothèse institutionnelle

Le point de départ utile n'est pas l'indignation face au monopole. C'est le test de défaillance que toute conception rivale doit réussir. Un système de numérotation ne peut tolérer que deux autorités indépendantes attribuent le même bloc d'adresses à des détenteurs différents. Il ne peut considérer l'agrégation comme facultative lorsque la stabilité du routage dépend d'une hiérarchie cohérente. Il ne peut laisser les assertions de sécurité de routage à des rédacteurs non coordonnés sans moyen de décider laquelle fait autorité.

Il ne peut financer l'éducation, l'élaboration des politiques, la gestion des registres et la capacité de traitement des litiges uniquement lorsqu'elles sont rentables à la marge. Il ne peut pas non plus laisser un fournisseur défaillant bloquer les registres, les clés, les responsabilités de DNS inverse ou les obligations des membres sans une voie de reprise éprouvée.

Ce test fournit le meilleur argument en faveur du système actuel de registres Internet régionaux. Un registre reconnu unique pour une vaste région réduit les mises à jour conflictuelles, simplifie la responsabilité et crée un foyer stable pour l'expertise. Il offre aux opérateurs un forum connu pour les services aux membres et les discussions politiques. Il permet de subventionner les tâches d'intérêt public par les revenus d'enregistrement. Il réduit le nombre d'institutions avec lesquelles l'IANA, les autres registres et les opérateurs de réseau doivent se coordonner pour l'état mondial. Ce ne sont pas des avantages cosmétiques.

Ce sont les raisons pour lesquelles un monopole régional de registre peut être défendu en tant qu'infrastructure plutôt que simple statu quo.

Le même test empêche également la conclusion paresseuse selon laquelle le groupement actuel était techniquement inévitable. L'unicité mondiale exige un état faisant autorité coordonné. Elle n'impose pas automatiquement que chaque service autour de cet état soit assuré par un fournisseur permanent unique pour une région à l'échelle continentale.

La question difficile est spécifique à chaque fonction: quelles tâches nécessitent un rédacteur faisant autorité unique, quelles tâches nécessitent des règles communes, quelles tâches nécessitent un état certifié, quelles tâches nécessitent un service local, et quelles tâches auraient pu être fournies par des prestataires accrédités dans le cadre d'un registre partagé et d'un mécanisme de reprise. Si cette distinction n'est pas faite, le besoin de registres uniques devient discrètement un argument en faveur d'un monopole organisationnel permanent.

La thèse bornée est donc simple. La délégation hiérarchique était une réponse rationnelle à la croissance de l'Internet, à la mondialisation et à l'échelle administrative. Le modèle d'un registre par région a par la suite rendu cette réponse lisible et durable. Mais l'enregistrement, l'adhésion, la politique, la certification, le DNS inverse, la formation, le traitement des litiges et la reconnaissance n'étaient pas un objet naturel unique. Ils sont devenus un groupement par la pratique de l'ère des normes, la politique de reconnaissance et la coordination inter-registres.

Une hypothèse contrefactuelle sérieuse doit évaluer les risques de les séparer, mais l'exercice d'évaluation lui-même montre que le groupement était un choix de gouvernance, et non une loi de la physique.

Le choix d'échelle précoce était réel, mais incomplet

Les premiers documents de gestion des adresses doivent être lus comme la preuve d'un choix d'échelle, et non comme un plan institutionnel complet pour l'ordre RIR mature. Le RFC 1366 de 1992 a présenté la distribution régionale comme une réponse à la croissance et à la mondialisation. Le problème n'était pas abstrait. À mesure que l'Internet s'étendait au-delà d'un petit environnement de coordination, la centralisation administrative a créé des retards, des lacunes de connaissances locales et un décalage entre l'unicité mondiale et les besoins de service régionaux.

La délégation vers des organismes régionaux offrait un moyen pratique de maintenir la cohérence des registres tout en rapprochant le travail d'attribution de routine des communautés utilisant les ressources.

RFC 1466, publié en 1993, a donné plus de forme opérationnelle au choix. Il décrivait des registres régionaux distribués habilités par l'IANA et le registre Internet et fixait des critères de sélection des registres. Son importance réside dans la direction prise. La gestion des adresses pouvait rester coordonnée au niveau mondial tout en étant administrée par des structures régionales. C'était un mouvement conceptuel majeur s'éloignant d'un bureau purement central. Il reconnaissait que la croissance exigeait une distribution institutionnelle sans abandonner l'objectif d'unicité.

Les limites de ces textes de l'ère des RFC sont tout aussi importantes. C'étaient des instruments de l'ère de l'attribution, pas une réponse définitive à toutes les questions ultérieures de rareté, de transfert, de certification, de gouvernance des adhésions ou de portabilité des services. Ils montrent pourquoi l'administration régionale était attrayante avant que le système des cinq RIR n'arrive à maturité. Ils ne prouvent pas qu'un fournisseur corporate unique dans chaque région devait contrôler indéfiniment toutes les fonctions adjacentes.

Ils ne déterminent pas non plus si un marché ultérieur de prestataires de services de registre accrédités aurait pu servir les membres tout en écrivant dans un état commun faisant autorité.

Cet article ne réexamine pas une hypothèse contrefactuelle de portabilité dès le départ. La comparaison plus étroite est la suivante: au moment où l'ordre des cinq RIR s'était formé, le problème de conception était passé de « La gestion des adresses doit-elle être régionalisée? » à « Quelles parties du groupement de registres régionaux doivent rester exclusives, et lesquelles auraient pu être rendues portables ou fédérées sans briser l'unicité? » Les premiers RFC répondent à la première question plus clairement qu'à la seconde.

Ils identifient la raison de la distribution, et non les frontières permanentes de l'institution que cette distribution a finalement produite.

L'ICP-2 a converti un risque de coordination en règle du fournisseur unique

Le texte institutionnel décisif pour le modèle mature est l'ICP-2, accepté le 4 juin 2001. L'ICP-2 ne décrivait pas simplement une préférence pour la coordination régionale. Il stipulait que chaque région, à peu près à l'échelle continentale, devait être desservie par un registre Internet régional unique sous une direction unique et en un emplacement unique. La préoccupation déclarée était la fragmentation. La présence de plusieurs registres desservant la même région était présentée comme créant des difficultés de coordination, un service incohérent et de la confusion parmi les utilisateurs du système de registres.

Cette règle mérite le respect en tant que jugement de risque. Un registre de numérotation n'est pas une entreprise de service client ordinaire. Si deux fournisseurs peuvent apporter des modifications incompatibles au même état de ressource faisant autorité, le problème n'est pas un inconvénient; c'est la perte de la vérité. Si deux interprétations de politique génèrent des résultats de registre contradictoires, les opérateurs et les réseaux en amont doivent savoir quel résultat prévaut. Si un fournisseur de services disparaît, il doit y avoir un moyen de préserver les registres, les clés, le DNS inverse, les contacts et les obligations.

L'insistance de l'ICP-2 sur un registre reconnu unique par région peut donc être défendue comme une règle d'infrastructure conservatrice.

Mais un jugement de risque n'est pas la même chose qu'une preuve comparative. L'ICP-2 a affirmé le danger de registres régionaux multiples. Il n'a pas publié d'évaluation comparative des conceptions de registres partagés, des prestataires de services accrédités, des organes politiques séparés, des systèmes de litiges modulaires ou des dispositions contractuelles de succession. La politique a été formulée avec la participation des RIR existants, ce qui ne la rend pas illégitime, mais cela signifie que le texte ne doit pas être traité comme une étude de marché neutre. Il nous dit comment le système reconnu a choisi de gérer le risque.

Il ne nous dit pas ce qu'auraient coûté toutes les alternatives viables.

La formule une direction unique et un emplacement unique est particulièrement révélatrice. Elle traite la fragmentation comme un problème institutionnel résolu par la concentration. Le postulat est que la clarté s'améliore lorsque la région a un registre reconnu, une structure de direction et un emplacement. Cela peut être vrai pour l'état faisant autorité, la responsabilité publique et la coordination inter-registres. C'est moins évidemment vrai pour la formation, le service d'assistance, les opérations de certification, la communication avec les membres ou le soutien local aux litiges.

La même étiquette de risque a été appliquée à des fonctions dont les besoins techniques diffèrent.

La bonne lecture n'est ni hostile ni déférente. L'ICP-2 a fourni une règle qui a contribué à stabiliser l'ordre des registres régionaux. Elle a réduit la confusion et donné à l'IANA, aux RIR et aux opérateurs une carte simple de l'autorité. En même temps, elle a converti une exigence technique d'état de registre cohérent en une règle d'exclusivité organisationnelle plus large. Le texte justifie la conversion en invoquant la fragmentation et la confusion.

La preuve manquante est la comparaison: toutes les fonctions avaient-elles besoin de cette exclusivité, et des garde-fous modulaires auraient-ils pu contrôler les mêmes risques à un coût de verrouillage moindre.

Le groupement qui a paru naturel par la suite

Au moment où le système des cinq RIR est devenu la carte ordinaire de la gouvernance des ressources de numérotation, plusieurs tâches différentes avaient été intégrées dans un fournisseur institutionnel unique pour chaque région. Le RIR reconnu était la source du service de registre.

C'était aussi l'organisation des membres, l'arène politique locale, le gardien des registres d'enregistrement, un coordinateur pour le DNS inverse, un entité aux accords de certification, un fournisseur d'éducation et de réunions communautaires, et un forum où les litiges étaient d'abord formulés avant que le droit externe ou des mécanismes de coordination supérieurs n'interviennent. Le même nom couvrait l'état du grand livre, les règles, les services, les biens publics et la voix institutionnelle.

Ce groupement présentait des avantages pratiques. Un fournisseur unique pouvait maintenir l'expertise du personnel sur des tâches adjacentes. Il pouvait relier le service aux membres à l'interprétation des politiques. Il pouvait financer des activités qui ne produisaient pas de revenus de transaction directs. Il pouvait préserver la confidentialité parce que les données opérationnelles sensibles n'avaient pas besoin de circuler entre plusieurs prestataires de services.

Il pouvait réduire le coût de rapprochement parce que l'organisation qui recevait les demandes des membres maintenait également le système de registres et comprenait l'historique des politiques locales. Dans le domaine des infrastructures, un faible coût de rapprochement n'est pas un avantage mineur.

Le groupement a également créé une dépendance. Un opérateur de réseau qui avait besoin de services d'enregistrement, d'accès aux politiques, de gestion du DNS inverse, de soutien à la certification et d'attention aux litiges n'avait pas un problème normal de choix de fournisseur. Le registre régional reconnu n'était pas un fournisseur parmi d'autres. C'était le chemin institutionnel par lequel la relation de l'opérateur avec les ressources de numérotation était administrée. La reconnaissance, l'adhésion et les registres pointaient tous dans la même direction.

Avec le temps, cette concentration a fait paraître le groupement techniquement inévitable, même là où certaines fonctions avaient des exigences d'unicité plus faibles que le grand livre faisant autorité lui-même.

La matrice suivante sépare les fonctions. Il ne s'agit pas d'une proposition de conception d'approvisionnement. C'est un moyen de maintenir l'analyse honnête en demandant ce qui doit être unique, ce qui est actuellement concentré, ce qu'une alternative modulaire devrait protéger et quel plan de reprise serait nécessaire avant qu'un changement ne puisse être crédible.

FonctionExigence d'unicitéPoint de contrôle actuelAlternative modulaire envisageableNouveau risque de coordinationExigence de basculement/reprise
Grand livre faisant autorité des ressources de numérotationTrès élevée: une seule vérité mondiale doit empêcher les attributions doubles et les changements d'état incompatiblesDélégation IANA-à-RIR et les registres de chaque registre régional reconnuGrand livre partagé faisant autorité avec des rédacteurs de service régionaux accrédités et des règles de consensus strictesÉcritures conflictuelles, fraude, rapprochement retardé, finalité incertaineTransfert éprouvé des registres, signatures, pistes d'audit et autorité décisionnelle à un successeur
Service d'enregistrement et gestion des comptes membresMoyenne à élevée: le service peut être distribué, mais les mises à jour d'état doivent être finales et cohérentesLe bureau de service aux membres du RIR reconnu et ses systèmes internesPrestataires de services accrédités soumettant des modifications validées à un état de registre communQualité de service inégale, fraude d'identité, interprétation incohérente des politiquesSéquestre obligatoire, assurance d'identité, règles de sortie des prestataires de services et plan de continuité des membres
Élaboration des politiquesMoyenne: les règles doivent être communes pour les ressources concernées, mais la délibération ne doit pas être fournie uniquement par un bureau de serviceProcessus communautaire du RIR autour du registre reconnuForum politique régional indépendant avec publication contraignante dans les règles du registreCapture par des entités séparés de la responsabilité opérationnelleSeuil clair d'adoption des règles, voie de recours et procédure de suspension d'urgence
Soutien RPKI et certificationÉlevée pour l'état des certificats et l'intégrité des clés; plus faible pour l'éducation et le soutienServices de certification gérés par le registre liés aux registres de ressourcesModèle d'autorité de certification commune avec des bureaux de soutien séparés et des contrôles d'auditCompromission de clés, certificats périmés, responsabilité confuse en cas d'échecs de validationProcédure de renouvellement de clés, manuels opérationnels sous séquestre, audit indépendant et reprise après sinistre
Coordination du DNS inverseÉlevée pour la délégation faisant autorité; moyenne pour le support clientCoordination du registre attachée aux registres de ressources de numérotationExploitation DNS partagée sous niveaux de service contractuels, avec plusieurs fournisseurs de supportDélégation incohérente, mises à jour retardées, commandement d'incident peu clairDonnées de zone sous séquestre, règles d'escalade des incidents et nomination d'un opérateur DNS successeur
Formation et éducationFaible pour l'unicité; élevée pour l'exactitude et la neutralitéRéunions, formations et documentation financées par les RIRFournisseurs d'éducation compétitifs ou fédérés utilisant des normes curriculaires communesConseils de faible qualité, accès régional inégal, capture marketingCertification des formateurs, matériel ouvert, financement pour les communautés mal desservies
Adhésion et perception des fraisMoyenne: le financement doit être stable et équitable; l'identité du fournisseur peut être séparable de la vérité du grand livreOrganisation d'adhésion au RIR et barème de fraisPool de financement central ou frais de service réglementés soutenant les fonctions communesResquillage, biens publics sous-financés, incitations fausséesExigences de réserve, filet de sécurité pour la perception et rapport public de l'allocation des coûts
Traitement des litiges et appelsMoyenne à élevée: les décisions finales doivent faire autorité, mais la révision peut être institutionnellement séparéeProcessus interne du registre, règles communautaires et voies juridiques externes le cas échéantOrgane de révision indépendant pour les décisions du registre avec effet contraignant sur les mises à jour du grand livreRésolution lente, forum shopping, normes incohérentesDélais, conservation d'urgence des registres et ordonnances de correction exécutoires
Coordination inter-registresTrès élevée pour la cohérence mondiale; plus faible pour la représentation publiqueCoordination collective des RIR par le biais du NRO et des accords connexesConseil contractuel d'opérateurs de grand livre avec des règles définies de vote, d'escalade et de successionBlocage, veto des opérateurs en place, autorité peu claire pour les nouveaux entrantsMécanisme de sortie de blocage, administrateur temporaire et conditions de continuité pour les entités défaillants

La matrice met en évidence deux réalités souvent confondues. Premièrement, le grand livre ne peut être traité comme un marché ouvert ordinaire. Des rédacteurs multiples sans consensus et sans reprise créeraient exactement les dangers que l'ICP-2 craignait. Deuxièmement, toutes les fonctions autour du grand livre n'ont pas la même exigence d'exclusivité.

L'éducation, le soutien aux membres, une partie de la révision des litiges et des segments de la prestation de services peuvent être imaginés comme des fonctions modulaires si, et seulement si, l'état faisant autorité reste protégé par des dispositions d'assurance d'identité, d'audit, de responsabilité, de financement et de succession.

Le grand livre faisant autorité est le noyau dur

La frontière la plus solide autour du modèle RIR est le grand livre faisant autorité des ressources de numérotation. Sans un état de confiance indiquant qui détient quelles ressources, le reste du système devient ambigu. Les registres d'attribution et de cession influencent la pratique du routage, le DNS inverse, la possibilité de contact, la certification et l'évaluation des transferts. Une conception qui permet des attributions doubles ou des changements d'état inconciliables échouerait avant que sa philosophie de gouvernance n'ait d'importance.

C'est pourquoi le mot « monopole » peut induire en erreur s'il est utilisé de façon vague. Le noyau dur n'est pas le monopole en tant que préférence commerciale. C'est l'exclusivité de la vérité faisant autorité. Un grand livre de numérotation a besoin de finalité. Il a besoin d'un moyen de savoir quel bloc est délégué, quel détenteur est enregistré, quelle condition de politique s'applique et quelle institution peut modifier le registre. Si un modèle modulaire ne peut préciser cette finalité, ce n'est pas un modèle. C'est une invitation au conflit.

Pourtant, la finalité peut être produite de différentes manières institutionnelles. Elle peut provenir d'un fournisseur régional unique contrôlant le registre. Elle peut provenir d'un grand livre partagé avec un processus de décision accepté unique. Elle peut provenir d'un opérateur contractuel dont les actions sont auditées et récupérables. Elle peut provenir d'une hiérarchie dans laquelle seules certaines institutions peuvent écrire certaines classes d'état. Le besoin technique est la cohérence, pas nécessairement que tous les services environnants restent indéfiniment au sein d'une seule organisation.

Le système RIR actuel a résolu la finalité par le biais d'autorités régionales reconnues. Cette solution avait un faible surcoût conceptuel. Les opérateurs savaient où s'adresser. L'IANA savait à qui déléguer. Les autres RIR savaient avec qui se coordonner. Le modèle évitait des protocoles d'écriture complexes multi-fournisseurs à l'intérieur d'une région. Pendant la période de croissance, du début des années 1990 jusqu'à l'établissement de l'ordre RIR mature, la simplicité avait de la valeur.

Le coût de cette simplicité est la dépendance institutionnelle. Une fois que le registre régional reconnu devient le seul endroit où l'état faisant autorité peut être modifié, chaque service adjacent tire parti de cette position. Les obligations d'adhésion, les procédures de service, les conflits de politique et les accords de certification fonctionnent tous à l'ombre du grand livre unique. Même lorsqu'une fonction pourrait théoriquement être fournie ailleurs, l'opérateur ne peut pas facilement sortir de la relation avec le registre reconnu sans quitter l'état du registre reconnu.

C'est le mécanisme de verrouillage qui doit être nommé sans prétendre que l'unicité elle-même est facultative.

La prestation de services n'est pas identique à l'autorité finale

Le service d'enregistrement consiste à recevoir des demandes, vérifier l'identité, contrôler l'éligibilité politique, communiquer avec les membres, mettre à jour les registres et conserver les preuves. Une partie de ce travail est indissociable de l'autorité finale. Un changement d'état ne peut être considéré comme valide tant qu'il n'est pas accepté dans le registre faisant autorité. Mais le travail en contact avec les clients avant cette mise à jour finale est plus modulaire que le grand livre lui-même.

La vérification, la documentation, la traduction, la sensibilisation régionale et le soutien technique peuvent être structurés de plusieurs façons si le chemin d'écriture final est contrôlé.

Une alternative modulaire aurait nécessité des prestataires de services accrédités plutôt que des concurrents libres pour tous. Les prestataires auraient eu besoin de contrôles d'identité, de vérifications de conflits, d'obligations d'audit, de règles de confidentialité et de responsabilité pour les soumissions défectueuses. Ils auraient dû utiliser des interprétations communes des politiques ou faire remonter les cas douteux à une autorité centrale. Ils auraient dû mettre les registres sous séquestre afin qu'un prestataire défaillant puisse être remplacé sans perdre l'historique des membres.

Ils auraient également eu besoin d'un modèle de financement pour les biens publics que les frais de service ordinaires pourraient ne pas soutenir.

Ces exigences sont lourdes. Elles expliquent pourquoi le modèle RIR intégré était attrayant. Un registre unique peut combiner l'assurance d'identité, l'interprétation des politiques et les mises à jour des registres en une seule chaîne de traçabilité. Il peut former le personnel sous une culture opérationnelle unique. Il peut détecter des schémas suspects dans les interactions des membres. Il peut éviter un marché dans lequel les prestataires de services se font concurrence en repoussant les limites d'éligibilité ou en promettant des résultats plus rapides que ce que permettent les règles.

Mais « lourd » n'est pas la même chose qu'« impossible ». Les banques, les registres de domaines, les autorités de certification et d'autres systèmes proches des infrastructures ont utilisé l'accréditation, le séquestre, l'audit et des dispositions de succession pour séparer certaines fonctions de service de l'état faisant autorité. Cette analogie ne peut être importée sans ajustement, car les ressources de numérotation Internet ont leur propre histoire et structure politique. Elle montre néanmoins qu'un monopole institutionnel n'est qu'une façon de gérer la finalité.

La question pertinente est de savoir si les garde-fous coûteraient plus que le verrouillage qu'ils réduisent.

Les archives disponibles ne répondent pas à cette question. Il n'existe pas de série de coûts observés comparant le service RIR intégré à un modèle de service accrédité. Il n'y a pas d'enquête de préférence des opérateurs montrant si les membres auraient payé pour la portabilité ou préféré un bureau de registre unique. Il n'y a pas de plan de migration en production prouvant que le service modulaire aurait été sûr. La conclusion honnête n'est pas que la dissociation était supérieure. C'est que la prestation de services est analytiquement séparable de l'autorité finale, et que le système a choisi de ne pas les séparer.

Les politiques et l'adhésion créent de la légitimité, mais aussi un enracinement

L'élaboration des politiques des RIR est l'un des arguments d'intérêt public les plus solides en faveur du groupement. Les règles de gestion des adresses ont besoin de connaissances locales, de la participation des opérateurs et de continuité. Un registre régional peut convoquer des réunions, publier des propositions, conserver les traces des discussions et mettre en œuvre la politique acceptée. L'organisation des membres fournit une base électorale et de financement. Cette structure est plus légitime qu'un administrateur caché appliquant des règles sans processus communautaire.

Le fait de lier la politique à l'exploitation du registre crée également un retour d'information. Le personnel qui comprend les contraintes opérationnelles peut éclairer les discussions politiques. Les membres qui rencontrent des problèmes de service peuvent les soulever dans le même environnement institutionnel où les règles sont élaborées. Un registre qui doit mettre en œuvre la politique a intérêt à expliquer la faisabilité. Ce retour d'information peut réduire la distance entre l'élaboration des règles et la réalité opérationnelle.

Le risque est que la centralité du fournisseur devienne le cadre dans lequel la légitimité est mesurée. Si la seule voie reconnue vers la politique est le processus propre du RIR, alors le débat sur le rôle du fournisseur, les frais, la qualité du service ou les procédures de litige se déroule à l'intérieur de l'institution qui bénéficie de l'arrangement actuel. Cela ne rend pas le processus invalide. Cela signifie que le processus a un problème de position dominante. Le responsable des règles, le fournisseur de services et l'hôte des membres ne sont pas complètement séparés.

Un modèle modulaire aurait pu imaginer un forum politique régional indépendant dont les politiques adoptées lieraient l'opérateur du grand livre faisant autorité. Cela réduirait le contrôle du fournisseur sur l'élaboration des règles, mais introduirait d'autres risques. Le forum politique pourrait être capturé par un groupe restreint de entités. Il pourrait adopter des règles difficiles à mettre en œuvre pour les opérateurs. Il pourrait laisser l'opérateur du grand livre responsable de conséquences qu'il n'a pas aidé à concevoir.

Il aurait besoin d'un seuil d'adoption clair, d'une voie de recours et d'une règle d'urgence pour les situations où la mise en œuvre mettrait en danger l'intégrité du registre.

Là encore, l'exercice ne consiste pas à déclarer la politique modulaire meilleure. Il s'agit d'évaluer le choix. Le modèle intégré réduit le coût de coordination et lie l'élaboration des règles à la connaissance opérationnelle. Le modèle séparé pourrait réduire l'auto-protection institutionnelle mais nécessiterait des règles de responsabilité plus strictes et une interface contraignante avec les opérations du registre. La règle du fournisseur unique de l'ICP-2 a évité cette complexité en traitant le registre régional comme le foyer naturel à la fois pour le service et pour la politique.

Cette conception a fonctionné comme une simplification stabilisatrice, mais c'était tout de même une conception.

Certification, DNS inverse et la frontière de sécurité

La certification et le DNS inverse rendent le problème de séparation plus sensible. L'état de la sécurité du routage dépend de liens fiables entre les registres de ressources de numérotation et les assertions cryptographiques ou DNS. Si le registre du détenteur est erroné, la certification peut amplifier l'erreur. Si les clés sont mal gérées, périmées ou compromises, les réseaux peuvent être confrontés à des échecs de validation ou à des signaux de confiance trompeurs. Si les délégations de DNS inverse sont incohérentes, le dépannage opérationnel et le traitement des abus peuvent devenir plus difficiles.

Ces fonctions renforcent l'argument en faveur du maintien de certaines opérations à proximité du registre faisant autorité. Un fournisseur responsable du registre de ressources dispose du contexte pour l'émission, la révocation et le support des certificats. Il peut aligner les modifications du DNS inverse sur l'état du registre. Il peut coordonner la réponse aux incidents sans transmettre de données sensibles à plusieurs sous-traitants. Il peut définir des procédures opérationnelles sous une culture commune du risque.

Ils ne prouvent pas que toutes les fonctions de soutien doivent être monopolisées. Une conception séparée pourrait maintenir l'autorité de certification finale et la délégation de DNS inverse sous un point de contrôle commun et audité, tout en permettant à plusieurs prestataires de soutien d'aider les membres à préparer des demandes, à gérer la documentation ou à comprendre les procédures. Un tel modèle nécessiterait une vérification stricte de l'identité, des règles de gestion des clés, une escalade des incidents et un audit.

Il exigerait également que les membres sachent quand ils reçoivent des conseils d'un prestataire de soutien plutôt que l'autorité finale de l'état du registre.

Les risques de coordination sont sérieux. Un mauvais prestataire de services pourrait mal gérer le matériel de clé, soumettre des modifications inexactes, retarder les révocations ou semer la confusion chez les membres quant à l'état qui fait autorité. La responsabilité serait difficile à établir car les défaillances pourraient provenir du membre, du prestataire de soutien, du système de certification commun ou du processus décisionnel du registre. La reprise nécessiterait un renouvellement des clés, la conservation des journaux, une suspension d'urgence et une chaîne de commandement claire.

Ces exigences sont précisément ce qui donne à l'exploitation intégrée du RIR un solide argument de sécurité.

La leçon institutionnelle est plus étroite qu'une défense de chaque fonction monopolistique. L'état sensible à la sécurité doit rester étroitement contrôlé. Le soutien, l'éducation et la révision autour de cet état ne peuvent être modulaires que là où la frontière de contrôle est explicite. Le groupement existant résout le problème de frontière en réduisant la plupart des fonctions à un seul fournisseur. Une hypothèse contrefactuelle doit le résoudre par des règles, des audits et des dispositions de reprise à la place.

Le fait que l'hypothèse contrefactuelle soit difficile ne rend pas le groupement inévitable; cela rend visible la commodité du groupement.

Les biens publics sont la meilleure défense économique du groupement

La formation, les réunions, la documentation, les archives des politiques et la sensibilisation régionale ne sont pas des décorations secondaires. Ce sont des biens publics autour du système de registre. De nombreux opérateurs bénéficient de matériel de formation précis même s'ils ne paient pas directement pour un cours. Les archives des politiques aident les futurs entités à comprendre pourquoi les règles existent. Les réunions régionales instaurent la confiance et amènent les petits réseaux dans des discussions qui seraient autrement dominées par les plus grands détenteurs. Ces fonctions sont coûteuses et inégalement monétisables.

Un organisme régional sans but lucratif financièrement durable peut les subventionner de manière croisée. Les revenus d'enregistrement et d'adhésion peuvent soutenir l'éducation, la sensibilisation, la traduction, la facilitation et l'assistance technique. La position de monopole du fournisseur rend cette subvention croisée plus stable parce que l'institution n'est pas obligée de rivaliser uniquement sur des frais de transaction étroits. Dans les régions où les capacités des opérateurs sont inégales, cette stabilité peut plus que le choix théorique d'un fournisseur.

C'est un argument solide contre la rhétorique simpliste de la concurrence. Si des prestataires de services modulaires captaient le travail de compte rentable tout en laissant l'éducation et la facilitation communautaire non financées, le système pourrait devenir moins équitable. Les grands opérateurs pourraient recevoir un soutien sophistiqué, tandis que les petits réseaux perdraient les biens publics subventionnés qui les aident à participer. Une couche de services concurrentielle sans fonds pour les biens publics pourrait vider la base communautaire même qui donne sa légitimité à la gouvernance du registre.

La réponse devrait être un mécanisme de financement. Une conception modulaire pourrait exiger que tous les prestataires accrédités contribuent à un pot commun pour les biens publics. Elle pourrait réserver une partie des frais pour la formation et le soutien politique. Elle pourrait publier les allocations de coûts et exiger un service dans les zones mal desservies. Mais ces règles elles-mêmes nécessiteraient une administration et une application. Le monopole régional simplifie cela en combinant la collecte des revenus et les dépenses pour les biens publics au sein d'une seule institution.

Les preuves disponibles ici ne montrent pas quel modèle aurait mieux financé les biens publics. Elles montrent que toute alternative doit considérer le financement comme une contrainte de conception de premier ordre. Une hypothèse contrefactuelle qui promet le choix du fournisseur tout en supposant que la formation, les archives politiques et la sensibilisation se financeront d'elles-mêmes doit être rejetée. L'argument économique le plus solide en faveur du groupement n'est pas que le monopole est vertueux. C'est que l'infrastructure partagée nécessite des revenus stables pour un travail que les marchés pourraient sous-fournir.

Les litiges, la responsabilité et la reprise définissent le véritable coût de basculement

Le test le plus révélateur pour une conception de registre modulaire n'est pas le service ordinaire. Ce sont les litiges et les défaillances. Lorsqu'un membre conteste un refus, lorsque des registres sont présumés erronés, lorsqu'un fournisseur traite mal des données confidentielles, lorsqu'un état de certificat doit être corrigé rapidement, ou lorsqu'une organisation de services échoue financièrement, le système a besoin de plus que des instructions d'exploitation normales. Il a besoin de l'autorité pour préserver l'état, décider qui peut agir, rétablir le service et attribuer les responsabilités.

Le modèle RIR intégré réduit ce problème de basculement en ayant une seule institution reconnue au centre. Si un litige survient, les registres, procédures, personnel et responsabilité institutionnelle pertinents sont concentrés. Les processus juridiques externes peuvent encore compter, mais le point de contact opérationnel est clair. Si le registre lui-même échoue, le problème devient grave, mais il y a au moins une entité connue dont les responsabilités doivent être transférées.

Une conception modulaire multiplie les limites. Une mauvaise mise à jour de compte pourrait impliquer un membre, un prestataire de services accrédité, un organe d'interprétation des politiques et un opérateur de grand livre central. Une défaillance de certification pourrait impliquer la gestion des clés par une entité, des conseils de soutien par une autre et l'état du registre maintenu par une troisième. Un organe de règlement des litiges pourrait ordonner une correction, mais l'opérateur du grand livre devrait la mettre en œuvre.

Chaque interface nécessite des délais, des règles de preuve, des obligations de confidentialité et une répartition des responsabilités.

Cela ne rend pas la modularité impossible. Cela fait de la reprise le prix de la modularité. Avant qu'une alternative ne puisse être crédible, elle aurait besoin d'un séquestre obligatoire des registres des membres, des journaux d'audit, des manuels opérationnels, des procédures de signature et des litiges en cours. Elle aurait besoin d'un processus de nomination d'un successeur qui fonctionne lorsqu'un opérateur est insolvable ou hostile. Elle aurait besoin de pouvoirs d'urgence qui préservent l'état actuel sans permettre à un administrateur d'apporter des modifications arbitraires.

Elle aurait besoin d'obligations exécutoires pour que les membres ne soient pas laissés entre les institutions.

C'est là qu'une grande partie des critiques théoriques du monopole deviennent trop faciles. Elles comptent le verrouillage mais pas la reprise. Le système actuel crée une dépendance envers les fournisseurs régionaux. Un système modulaire crée une dépendance envers les interfaces, les contrats, les auditeurs, les règles de succession et les organes de litige. La comparaison pertinente n'est pas le monopole contre la liberté. C'est une dépendance concentrée contre un ensemble de dépendances distribuées qui doivent encore converger vers l'état faisant autorité.

Le NRO montre une coordination entre opérateurs en place, et non un test de marché

Leprotocole d'accord du NRO, daté du 24 octobre 2003, est utile parce qu'il montre comment les registres régionaux se sont coordonnés une fois que le modèle en place était déjà établi. L'accord a créé un mécanisme collectif entre les RIR, et les obligations exigeaient un engagement écrit unanime. Quatre RIR ont créé l'arrangement, AFRINIC s'y joignant après sa reconnaissance ultérieure. Le document n'est pas une étude de concurrence. C'est un instrument de coordination inter-registres.

Son importance est institutionnelle. En 2003, les acteurs concernés n'étaient pas simplement des bureaux régionaux indépendants. Ils créaient une forme collective pour parler et se coordonner entre les régions. Cela a renforcé l'ordre des cinq RIR en lui donnant une couche inter-registres organisée. Cela a également rendu la reconnaissance et la participation plus conséquentes, car rejoindre la famille des registres régionaux signifiait entrer dans un système coordonné plutôt que de simplement gérer un bureau d'attribution local.

La caractéristique de l'engagement unanime est à double tranchant. Elle peut protéger les registres régionaux contre des engagements sans consentement, ce qui soutient la stabilité institutionnelle. Elle peut également enraciner les acteurs en place en rendant les changements coordonnés difficiles. Si chaque entité doit s'engager par écrit, le système gagne en prévisibilité mais perd une partie de sa capacité de refonte expérimentale. Ce compromis est familier dans la gouvernance des infrastructures: la même règle qui empêche les changements imprudents peut aussi ralentir les adaptations nécessaires.

Le document du NRO aide donc à expliquer pourquoi le groupement est devenu plus difficile à remettre en question. Plus les RIR se coordonnaient entre eux, plus la carte des cinq fournisseurs ressemblait à la constitution opérationnelle de la gouvernance des ressources de numérotation. Un registre régional unique n'était pas seulement le fournisseur de services pour sa région. C'était aussi un nœud dans un collectif inter-registres reconnu. Cette relation a augmenté le coût institutionnel de l'imagination de prestataires de services portables ou d'arrangements régionaux alternatifs.

Le document ne montre pas que les alternatives étaient impossibles. Il ne compare pas un grand livre partagé avec des prestataires de services accrédités. Il ne mesure pas la demande des opérateurs pour la portabilité. Il ne quantifie pas le coût de la coordination des acteurs en place par rapport à une concurrence modulaire. Sa preuve est plus étroite et néanmoins importante: une fois que les RIR étaient coordonnés par leurs propres arrangements collectifs, le modèle d'un fournisseur par région était renforcé au niveau mondial.

L'accord ultérieur de numérotation de l'IANA n'est qu'une analogie bornée

L'accord de services de numérotation de l'IANA entré en vigueur le 1er octobre 2016 se situe en dehors de la période centrale de formation 1992-2010, mais il fournit une analogie utile si l'on reste dans les limites. Il montre que les attentes de performance, l'escalade, la résolution des litiges, le renouvellement et les dispositions de fonctionnement du successeur peuvent être inscrits dans un accord opérationnel formel à un niveau du système de numérotation. En d'autres termes, une coordination unique peut être exprimée par des conditions contractuelles modulaires plutôt que uniquement par la tradition institutionnelle.

L'analogie ne doit pas être exagérée. Cet accord régit la relation pour les services de numérotation de l'IANA. Il ne prouve pas que la concurrence entre les fournisseurs d'enregistrement au sein d'une région fonctionne déjà. Il ne prouve pas que les membres préféreraient un service portable. Il ne teste pas la sécurité de plusieurs rédacteurs accrédités pour l'état des ressources régionales. Il est postérieur à la période de formation du modèle des cinq RIR et ne doit pas être interprété rétrospectivement comme la preuve de ce qui aurait été réalisable au début des années 1990 ou en 2001.

Sa valeur est conceptuelle. Si un niveau peut spécifier les attentes de service, l'escalade, le traitement des litiges et les dispositions de succession, alors le vocabulaire conceptuel existe pour séparer la fonction de l'institution. Un modèle régional modulaire aurait besoin d'un vocabulaire similaire, mais plus strict à certains égards car il affecterait les comptes des membres, la certification, le DNS inverse et la mise en œuvre des politiques locales. L'accord ultérieur ne répond pas à la question du coût. Il montre le type de clauses dont une alternative sérieuse aurait besoin.

Ce point est important parce que les débats sur le monopole des RIR deviennent souvent binaires. Soit le fournisseur régional est traité comme le seul foyer possible pour toutes les fonctions, soit la concurrence est traitée comme un remède générique. L'accord ultérieur indique un troisième style de raisonnement: définir le service, définir la performance, définir l'escalade, définir le traitement des litiges, définir le renouvellement et définir le fonctionnement du successeur. Une hypothèse contrefactuelle crédible doit être aussi concrète. Elle doit être de l'ingénierie institutionnelle, pas un slogan.

Un contre-modèle distribué est une preuve d'imagination, pas une preuve de production

L'expérience de 2018 sur la gestion distribuée des adresses Internet utilisant des blockchains est pertinente en tant que contre-modèle technique car elle montre que les chercheurs pouvaient séparer l'état de gestion distribuée des adresses des cinq organisations privées existantes, du moins dans un cadre prototype. C'est une preuve utile contre l'affirmation selon laquelle personne ne peut même imaginer un état de registre non traditionnel. Ce n'est pas la preuve qu'un tel système est prêt à régir les ressources de numérotation Internet en production.

Les limites sont décisives. Un prototype ne prouve pas la sécurité sous des incitations hostiles. Il ne résout pas la légitimité de la gouvernance, l'applicabilité juridique, la migration depuis les registres actuels, la confidentialité, le financement des frais, le traitement des litiges ou le fonctionnement du successeur. Il ne montre pas que les opérateurs accepteraient le système ou que les régulateurs et les tribunaux comprendraient ses résultats. Il ne prouve pas que la technologie de consensus réduit les coûts une fois que les audits, l'assurance d'identité, la récupération des clés et la responsabilité sont inclus.

Le contre-modèle doit donc être utilisé avec précaution. Il élargit l'espace de conception en nous rappelant que l'état faisant autorité peut être représenté et validé dans plus d'une architecture technique. Il renforce également le test de défaillance. Tout système distribué a encore besoin d'un moyen d'empêcher la double attribution, d'identifier les modifications autorisées, de récupérer d'une compromission de clé, d'inverser les mauvaises mises à jour, de financer le soutien et d'attribuer les responsabilités. Un consensus sans gouvernance responsable ne ferait que remplacer une dépendance par une autre.

C'est pourquoi la question posée dans cet article n'est pas « Les ressources de numérotation doivent-elles être placées sur une blockchain? » La réponse n'est pas fournie par les preuves et ne doit pas être inventée. La question est de savoir si le groupement des cinq RIR doit être compris comme la seule forme possible de cohérence. L'expérience aide à répondre à cette question plus étroite en montrant que des modèles techniques alternatifs d'état peuvent être proposés. Elle ne montre pas qu'ils sont légitimes, moins chers, plus sûrs ou déployables.

Une grille de coûts et de risques réfutable

Parce que les archives disponibles n'incluent pas de données comparatives de coûts, de taux d'échec, d'enquêtes de préférence des opérateurs ou d'essais en production d'alternatives modulaires, la méthode honnête est une grille plutôt qu'un verdict numérique. La grille devrait poser cinq questions. Premièrement, la conception préserve-t-elle un état unique faisant autorité pour chaque ressource à tout moment, y compris en cas de litige ou de défaillance? Deuxièmement, maintient-elle l'agrégation et évite-t-elle les politiques qui fragmentent les incitations au routage?

Troisièmement, protège-t-elle l'état de la certification et du DNS inverse contre les modifications incohérentes ou frauduleuses? Quatrièmement, finance-t-elle les biens publics qui n'ont pas de revenus de transaction directs? Cinquièmement, peut-elle transférer le service, les registres et l'autorité lorsqu'un fournisseur défaille?

Un registre régional intégré obtient de bons résultats sur la simplicité, l'autorité claire, la continuité du personnel et le financement des biens publics. Il obtient de moins bons résultats sur la sortie des membres, la pression concurrentielle, l'examen indépendant de la performance du fournisseur et la résilience face à une défaillance du fournisseur. Une conception modulaire de service accrédité pourrait obtenir de meilleurs résultats sur le choix et l'examen, mais de moins bons sur la complexité de l'interface, le coût de rapprochement, la responsabilité et les incitations pour les fournisseurs à rechercher les comptes rentables.

Une conception de registre distribué pourrait obtenir de meilleurs résultats sur l'état répliqué, mais de moins bons sur la légitimité de la gouvernance, la confidentialité, la récupération des clés et la responsabilité juridique.

La grille a également besoin de mesures. Pour le coût, les preuves nécessiteraient des données complètes fonction par fonction: opérations du grand livre, service aux membres, soutien politique, certification, DNS inverse, formation, traitement des litiges, audits et exigences de réserve. Pour le risque, il faudrait des données historiques d'incidents et des scénarios de défaillance modélisés. Pour la demande, il faudrait des enquêtes auprès des opérateurs ou des preuves de préférences révélées montrant si les membres changeraient de fournisseur, paieraient pour la portabilité ou préféreraient le bureau unique existant.

Pour la reprise, il faudrait des exercices de migration testés, et non des déclarations de confiance.

Cette approche évite deux affirmations non étayées. Elle n'affirme pas que le groupement des cinq RIR est optimal parce qu'il a duré. La longévité est une preuve de continuité, pas une preuve de la meilleure conception. Elle n'affirme pas non plus que la concurrence serait moins chère parce que la concurrence fait souvent baisser les prix sur les marchés ordinaires. La gouvernance des registres n'est pas un marché ordinaire, et les coûts du consensus, de l'audit, de la responsabilité et de la reprise peuvent être substantiels.

La seule affirmation défendable est que le groupement actuel devrait être évalué par rapport aux alternatives par fonction, et non protégé par l'hypothèse selon laquelle l'unicité technique règle toutes les questions institutionnelles.

L'argument le plus solide en faveur des cinq monopoles régionaux

La meilleure défense de la conception des cinq monopoles régionaux est la continuité opérationnelle dans le cadre d'un modèle sans but lucratif d'intérêt public. Pendant des décennies, le système RIR a fourni une structure reconnaissable pour l'administration des ressources de numérotation. Les opérateurs savaient où obtenir le service. L'IANA connaissait l'interlocuteur régional pour la délégation. Les communautés RIR ont développé des processus politiques. La coordination inter-registres était gérée entre un petit nombre d'institutions.

L'éducation, les réunions et le travail sur les registres pouvaient être financés par la même organisation qui administrait les ressources. Le modèle a assuré la continuité, et la continuité est importante.

Le modèle réduisait également le rapprochement. Lorsque la même institution gère le compte du membre, l'interprétation des politiques, la mise à jour des registres, la coordination du DNS inverse et le soutien connexe, moins d'interfaces peuvent échouer. Les informations confidentielles restent au sein d'une seule organisation. Le personnel peut développer une expertise approfondie de la politique régionale et de l'historique des membres. Les décisions peuvent être documentées dans un seul registre institutionnel.

Ces avantages sont particulièrement importants lorsque les erreurs affectent non seulement une relation client, mais aussi la fiabilité de l'infrastructure partagée.

La structure sans but lucratif ajoute une défense supplémentaire. Un registre régional n'est pas censé maximiser les revenus de transaction en vendant des interprétations favorables. Sa légitimité dépend du service, de la neutralité, du processus communautaire et de la gestion. Une couche concurrentielle pourrait introduire des incitations difficiles à contrôler: les fournisseurs pourraient rivaliser sur la vitesse, la clémence, le lobbying ou le conseil groupé. Le modèle RIR intégré limite ces incitations en maintenant le service final au sein d'une institution dont l'objectif d'intérêt public fait partie de son identité.

Il y a aussi un argument de confidentialité. L'administration des ressources de numérotation peut impliquer des plans d'affaires, l'expansion du réseau, des données de contact et des informations opérationnelles sensibles. Un registre unique peut être tenu à des obligations de confidentialité par le biais d'une seule structure de gouvernance. Plusieurs fournisseurs augmentent le nombre d'endroits où des données sensibles peuvent fuir ou être utilisées de manière abusive. Les audits et les contrats peuvent réduire ce risque, mais ils ne peuvent pas l'éliminer.

Ces arguments sont suffisamment solides pour rejeter toute hypothèse contrefactuelle qui considère le monopole comme manifestement mauvais. Le modèle actuel n'était pas un cartel accidentel collé à un problème technique neutre. C'était un arrangement d'infrastructure conservateur conçu pour préserver la cohérence, le service et la coordination pendant que l'Internet se mondialisait. Son économie de biens publics et son faible coût de rapprochement méritent une attention sérieuse.

L'argument le plus solide contre le fait de considérer le groupement comme inévitable

L'argument contre l'inévitabilité commence par le verrouillage. Un membre ne peut pas transférer sa relation de registre faisant autorité à un fournisseur concurrent de la même manière qu'il pourrait changer un fournisseur ordinaire. Le point de contrôle du RIR reconnu est intégré dans la hiérarchie mondiale de numérotation. Cela donne au fournisseur un effet de levier même lorsque le litige porte sur la qualité du service, les frais, la procédure ou la responsabilité institutionnelle plutôt que sur l'unicité technique du registre de ressources.

La défaillance du fournisseur est la deuxième préoccupation. Un registre régional unique simplifie l'autorité en temps ordinaire, mais il concentre les risques opérationnels et de gouvernance. Si le fournisseur fait face à des difficultés financières, juridiques ou institutionnelles, les membres de la région ne peuvent pas simplement choisir un autre service de registre entièrement équivalent du jour au lendemain. La défaillance d'un fournisseur monopolistique n'est pas seulement la défaillance d'un vendeur.

Elle devient un problème de continuité pour les registres, les politiques, la certification, le DNS inverse et la coordination inter-registres.

La troisième préoccupation est que le groupement peut masquer les différences de performance entre les fonctions. Un registre peut être excellent dans la maintenance du grand livre mais faible dans le traitement des litiges. Il peut être fort dans les opérations techniques mais pauvre dans la sensibilisation. Il peut assurer une éducation efficace mais manquer d'un examen indépendant des décisions sensibles. Si toutes les fonctions sont justifiées par référence à l'unicité du grand livre, une mauvaise performance dans une fonction séparable devient plus difficile à contester.

L'institution peut emprunter de la légitimité à sa tâche technique la plus difficile.

La quatrième préoccupation est le manque de preuves comparatives. L'ICP-2 n'a pas publié d'évaluation solide des alternatives modulaires. L'arrangement du NRO a coordonné les acteurs en place plutôt que de tester la portabilité des services. L'accord ultérieur de l'IANA montre des conditions modulaires à un niveau, mais ne mesure pas la concurrence intra-régionale. Le contre-modèle distribué montre de l'imagination, mais pas de préparation à la production. Le dossier soutient donc la conclusion que les alternatives n'ont pas été prouvées, et non qu'elles ont été réfutées.

La cinquième préoccupation est l'adaptation. Un système conçu pour l'attribution à l'ère de la croissance peut être confronté à des tensions différentes en situation de rareté, de transferts, de dépendance à la certification et de contestation juridique. Les groupements qui étaient efficaces à une période peuvent devenir plus difficiles à justifier lorsque les fonctions évoluent. Cela ne signifie pas que le modèle des cinq RIR a échoué. Cela signifie que les conceptions institutionnelles ne devraient pas être protégées contre une nouvelle évaluation par le fait qu'elles ont bien résolu un problème antérieur.

L'hypothèse contrefactuelle minimale viable

Une hypothèse contrefactuelle minimale viable maintiendrait l'unicité du grand livre faisant autorité des ressources de numérotation tout en séparant certaines fonctions de service et de responsabilité sous une accréditation stricte. Elle ne permettrait pas à des fournisseurs arbitraires d'écrire l'état des ressources. Elle ne créerait pas de registres régionaux rivaux avec une autorité incompatible. Elle préserverait la hiérarchie IANA-registre et la coordination inter-registres.

Son objectif serait plus étroit: vérifier si le service en contact avec les membres, la formation, certaines fonctions de soutien et l'examen indépendant pourraient être portables alors que l'état final reste contrôlé.

Dans cette conception, l'opérateur du grand livre maintiendrait l'état final des ressources, les limites de l'autorité de certification et l'autorité de délégation du DNS inverse. Les prestataires de services accrédités pourraient aider les membres à soumettre des demandes, à gérer la documentation, à recevoir une formation et à naviguer dans les politiques. Un forum politique indépendant pourrait définir les règles, avec un examen opérationnel avant adoption. Un organe d'examen distinct pourrait traiter les litiges dans des délais et émettre des instructions de correction contraignantes.

Un fonds pour les biens publics financerait l'éducation, les réunions, les archives et le soutien aux communautés mal desservies. Tous les fournisseurs seraient audités et tenus de mettre les registres sous séquestre.

L'hypothèse contrefactuelle nécessiterait des dispositions de reprise solides. Si un fournisseur accrédité défaillait, les dossiers des membres seraient transférés à un autre fournisseur ou à l'opérateur du grand livre. Si l'opérateur du grand livre défaillait, un opérateur successeur serait nommé par un mécanisme prédéfini, avec les registres, les clés, les journaux et les manuels opérationnels disponibles. Si un litige affectait la certification ou le DNS inverse, des règles de conservation d'urgence empêcheraient les modifications nuisibles pendant l'examen.

Si un fournisseur soumettait des modifications frauduleuses, les règles de responsabilité et de suspension s'appliqueraient sans laisser les membres bloqués.

Cette conception est volontairement modeste. Elle ne prétend pas que les cinq registres régionaux doivent être remplacés. Elle ne recommande pas une blockchain ou une technologie nommée. Elle ne suppose pas que le choix du fournisseur crée de la légitimité. Elle ne traite pas les biens publics comme gratuits. Elle sépare simplement l'autorité finale de certaines fonctions de service et demande si la séparation peut être rendue plus sûre, moins chère ou plus responsable que le groupement actuel.

Les preuves nécessaires pour la rejeter sont également concrètes. Montrer que les fournisseurs accrédités augmentent la fraude, les coûts ou les délais au-delà des niveaux acceptables. Montrer que les opérateurs ne veulent pas de portabilité lorsqu'ils comprennent les frais et les risques. Montrer que le financement des biens publics s'effondre lorsque le service est séparé. Montrer que l'examen indépendant ralentit les corrections d'urgence ou crée des interprétations incohérentes. Montrer que les dispositions de succession ne peuvent pas préserver la certification, le DNS inverse et les registres sans risque inacceptable.

De telles preuves ne défendraient pas le monopole par hypothèse. Elles le défendraient par la mesure.

Ce que l'on peut conclure maintenant

Les sources étayent une conclusion disciplinée. Les premiers RFC montrent pourquoi l'administration régionale est apparue comme une réponse à la mise à l'échelle. L'ICP-2 montre comment cette réponse s'est durcie en une règle d'un RIR sous une direction unique et un emplacement unique pour chaque grande région. Le protocole d'accord du NRO montre les acteurs en place coordonnant leurs obligations collectives une fois le modèle régional établi. L'accord de numérotation ultérieur de l'IANA montre, uniquement par analogie bornée, que les attentes de service et les règles de succession peuvent être spécifiées à un niveau.

L'expérience de gestion distribuée des adresses montre que des modèles techniques alternatifs d'état peuvent être imaginés, tout en ne prouvant aucune des exigences de production.

Ils n'étayent pas l'affirmation selon laquelle la dissociation aurait été moins chère. Ils n'étayent pas l'affirmation selon laquelle les opérateurs voulaient des fournisseurs portables. Ils ne montrent pas une voie de migration sûre de l'ordre RIR existant vers une conception modulaire. Ils ne prouvent pas que plusieurs rédacteurs peuvent toucher l'état faisant autorité sans consensus et reprise. Ils ne prouvent pas non plus que chaque fonction du groupement de registres régionaux devait rester monopolisée de façon permanente par un seul fournisseur.

L'histoire institutionnelle est donc plus intéressante que ce que la défense ou la critique admettent généralement. Les cinq monopoles régionaux étaient un moyen rationnel de résoudre la coordination dans un contexte de croissance, de mondialisation et d'échelle administrative. Ils protégeaient l'unicité en rendant l'autorité simple. Ils finançaient les biens publics et réduisaient les coûts de rapprochement. Ils ont également fusionné des fonctions séparables dans des institutions dont il est devenu difficile de sortir, difficiles à comparer et difficiles à remplacer.

La conception testable minimale n'est pas une idéologie rivale. C'est une expérience contrôlée sur la séparabilité: garder l'état du registre faisant autorité unique, définir des règles de sécurité et de reprise non négociables, financer explicitement les biens publics et ne permettre qu'aux fonctions de service qui peuvent survivre aux tests d'audit, de responsabilité et de succession de devenir portables. Si cette expérience échoue, le groupement monopolistique gagne une défense plus solide fondée sur des preuves. Si elle réussit, la leçon ne serait pas que les RIR étaient inutiles.

Ce serait que l'unicité mondiale exigeait un grand livre protégé, tandis que le groupement permanent de toutes les fonctions adjacentes n'était qu'une conception possible.