Résumé

  • L'audit ultérieur d'AFRINIC a montré que le problème central de gouvernance était une chaîne brisée entre une demande valide, l'évaluation de la politique, l'approbation, le mouvement d'inventaire et l'enregistrement public WHOIS; le risque de corruption augmentait partout où un seul rôle pouvait modifier plusieurs maillons sans vérification indépendante.
  • WHOIS était une déclaration publique de garde, non une preuve auto-validante d'allocation légale. Un enregistrement modifié pouvait sembler autoritaire même lorsque le ticket, l'approbation ou la justification d'inventaire sous-jacent étaient absents ou contestés.
  • La distinction entre les adresses prélevées dans le pool disponible d'AFRINIC et les modifications apportées aux enregistrements historiques importe: la première concerne la création d'un droit apparent, tandis que la seconde concerne la substitution d'identité et de garde dans des enregistrements historiquement fragiles.
  • Les contrôles qu'AFRINIC a décrits après le scandale - révision finale par un supérieur, traçabilité des changements, réconciliation quotidienne, privilèges qualifiés et mécanisme d'audit permanent - doivent être lus comme une cartographie des surfaces de contrôle qui nécessitaient une protection renforcée avant 2019, et non comme la preuve que toutes les sauvegardes étaient auparavant absentes.
  • La responsabilité du conseil doit se mesurer à l'aune de l'exigence de rapports d'audit opérationnel, de rapports d'exception et de preuves de clôture pour l'actif principal du registre, plutôt qu'à la connaissance personnelle du nom attaché à un bloc suspect.

Le fichier aurait dû être l'institution

Un registre Internet ne fabrique pas d'espace d'adressage. Il administre un inventaire fini et enregistre qui est autorisé à utiliser des parties définies de celui-ci. Cette description modeste cache une concentration de pouvoir inhabituelle. Un hôte-maître peut évaluer un besoin, une équipe d'exploitation peut déplacer un bloc du statut disponible à délégué, et un enregistrement public peut faire paraître le résultat comme acquis pour les réseaux, les courtiers, les chercheurs en sécurité et le détenteur présumé.

Lorsque ces actes sont correctement séparés et documentés, le fichier d'allocation est l'institution: il conserve les raisons, approbations et historiques qui rendent une entrée légitime. Lorsqu'ils ne le sont pas, l'enregistrement public peut devenir une fiction attrayante.

Le scandale qui a émergé autour d'AFRINIC en 2019 est souvent réduit à une histoire de méchant. C'est émotionnellement commode et institutionnellement inutile. Un employé nommé peut être licencié. Une dénonciation pénale peut être faite. Aucune de ces actions n'explique pourquoi des changements non autorisés étaient possibles, pourquoi des anomalies persistaient, pourquoi les preuves internes n'ont pas déclenché de révision décisive, ou pourquoi des étrangers ont aidé à assembler un tableau que le registre lui-même n'avait pas produit publiquement.

Un registre qui traite l'épisode comme la biographie d'un coupable laisse le système facilitateur largement inexaminé.

La question plus exigeante est ce qu'un fichier d'allocation entre 2013 et 2019 devait prouver. Il devait montrer qu'un demandeur identifiable était éligible; qu'une demande de ressource existait; que le personnel avait évalué la demande par rapport à la politique en vigueur; que la quantité approuvée correspondait au besoin démontré; que les conditions contractuelles et de paiement étaient satisfaites le cas échéant; que l'inventaire avait été modifié par une personne autorisée; et que l'entrée WHOIS publique reproduisait, plutôt qu'inventait, le résultat autorisé.

Chaque amendement ultérieur devait avoir sa propre autorité, acteur, horodatage, preuve et approbation. Un réviseur devait pouvoir se déplacer en avant et en arrière dans cette chaîne.

Le rapport d'exactitude de la base de données WHOIS 2021 d'AFRINIC fournit le compte rendu institutionnel public le plus solide de ce que l'examen ultérieur a trouvé. Il indique que l'audit a vérifié les enregistrements de 2 824 préfixes IPv4 délégués à des membres de ressources de 2005 à 2019.

Neuf n'avaient pas de numéro de ticket et étaient associés à des allocations Fiber Grid réalisées en 2012-13; parmi les 2 815 enregistrements avec références de ticket, 2 800 contenaient une demande de ressource qui avait été évaluée, tandis que des incohérences dans 15 concernaient des préfixes importés d'autres registres via le projet antérieur de transfert d'enregistrement. Ces chiffres ne montrent pas que l'ensemble des allocations était chaotique.

Ils montrent quelque chose de plus précis: une archive majoritairement remplie contenait un petit ensemble de fichiers exceptionnels dont les conséquences étaient très importantes, et l'institution avait besoin d'un moyen de détecter les exceptions avant qu'une crise externe ne le fasse.

Un taux d'exception peut sembler rassurant lorsqu'il est exprimé en pourcentage. C'est le mauvais dénominateur pour un registre. Un /14 non justifié représente 262 144 adresses. Un /16 non justifié représente 65 536. Le risque de contrôle suit la quantité, le statut et la réversibilité des ressources affectées, et non seulement le nombre de tickets déficients. Un audit qui rapporte une complétude documentaire de 99 % peut encore cacher une défaillance matérielle si le 1 % manquant comprend de grands blocs, des changements privilégiés ou des enregistrements susceptibles d'être monétisés.

La rareté a transformé un petit nombre de fichiers exceptionnels en tentations de taille de bilan sans faire des adresses une propriété privée.

Quatre actes qui ne doivent jamais se confondre

L'intégrité d'une allocation dépend de la séparation de quatre actes: l'évaluation, l'autorisation, l'exécution et la publication. L'évaluation demande si un demandeur et une demande satisfont à la politique. L'autorisation convertit cette évaluation en décision institutionnelle. L'exécution modifie l'inventaire et les enregistrements internes associés. La publication modifie ce que le monde extérieur voit dans WHOIS et les services connexes. Un employé peut contribuer à plusieurs étapes dans une petite organisation, mais aucune allocation conséquente ne devrait être achevée sur la seule action non corroborée de cet employé.

La première séparation est entre l'analyste qui élabore le dossier et la personne qui l'approuve. Les hôtes-maîtres exercent nécessairement un jugement. La politique ne peut pas anticiper chaque plan de réseau, modèle d'utilisation ou forme d'entreprise. C'est pourquoi une deuxième révision importe. Le réviseur ne doit pas seulement confirmer que les cases sont cochées. Le réviseur doit contester l'identité, l'éligibilité, la quantité, les organisations liées, les allocations antérieures, la rapidité inhabituelle, les indicateurs hors région et les conflits d'intérêts.

Une demande importante ou exceptionnelle doit passer à un niveau d'approbation supérieur. L'identité et la justification de l'approbateur doivent être fixées avant que la ressource ne puisse quitter le pool.

La deuxième séparation est entre l'approbation et l'exécution technique. Une interface d'exploitation ne doit accepter qu'une référence d'approbation immuable dont le préfixe approuvé et l'organisation correspondent au changement proposé. Si le personnel peut directement créer l'organisation de destination, classer un bloc, modifier l'inventaire et publier l'entrée WHOIS, l'institution a remplacé une chaîne d'autorité par un compte puissant. Journaliser un tel compte ne suffit pas. Les journaux consultés seulement après l'apparition d'un soupçon sont des résidus médico-légaux, non un contrôle préventif.

La troisième séparation est entre l'exécution et la réconciliation. Un fichier quotidien de statistiques déléguées, l'inventaire interne des ressources, le système d'adhésion et WHOIS sont des représentations différentes du même acte institutionnel. Des différences sont occasionnellement attendues car les systèmes se mettent à jour à des moments différents. Elles doivent également être visibles, datées et résolues. Une différence inexpliquée impliquant le statut de la ressource, le handle de l'organisation ou la taille du préfixe doit créer une exception appartenant à quelqu'un en dehors de l'équipe qui a effectué le changement.

L'exception doit rester ouverte jusqu'à ce que l'autorité justificative soit jointe ou que l'enregistrement soit inversé.

La quatrième séparation est entre la direction et l'assurance. L'équipe responsable de l'allocation ne peut pas être la seule équipe à décider que ses contrôles sont adéquats. L'audit interne a besoin d'un accès en lecture à la séquence complète, d'un mandat couvrant les services d'enregistrement et la technologie, et d'une ligne de rapport à un comité capable d'exiger des actions de la direction. L'audit externe financier peut tester les revenus, les passifs et les comptes sans reconstruire les changements de ressources numériques.

Un conseil d'administration qui reçoit une opinion financière saine n'a pas pour autant reçu l'assurance que le registre central est exact.

Ces séparations ne sont pas des ornements bureaucratiques. Elles créent un désaccord au moment où le désaccord est le moins coûteux. Un réviseur peut arrêter une demande non justifiée avant la publication. Un réconciliateur peut identifier un décalage avant que les adresses ne soient routées, louées ou vendues. Un auditeur peut détecter un motif avant que les contreparties n'accumulent des intérêts de confiance. Une fois que des années ont passé, chaque correction devient un concours entre détenteurs historiques, utilisateurs actuels, acheteurs, réseaux et le registre lui-même.

WHOIS pouvait publier une confiance qu'il n'avait pas gagnée

La RFC 7020, publiée en 2013, décrit l'exactitude de l'enregistrement comme une exigence fondamentale du système de registres de numéros Internet. Le registre doit garantir l'unicité et fournir des informations précises sur les allocations. L'exigence est opérationnelle, non décorative. Les réseaux, les répondants aux incidents et les détenteurs de ressources utilisent les données d'enregistrement pour comprendre qui a la responsabilité d'un bloc. Pourtant, une entrée WHOIS n'est que l'affirmation finale. Elle ne peut pas prouver l'autorité qui l'a produite.

Cette distinction est centrale dans l'affaire AFRINIC. Les reportages publics ont tracé des changements suspects à travers les enregistrements WHOIS historiques, les adresses de contact, les enregistrements de domaines et les observations de routage. Ces sources étaient utiles car elles exposaient des contradictions. Elles ne remplaçaient pas le fichier d'allocation. Un enregistrement public indiquant qu'une organisation détient un préfixe établit ce que le registre représentait à ce moment-là.

Il n'établit pas que l'organisation a fait une demande valide, que la demande a été approuvée, ou que la personne qui a modifié l'entrée était autorisée à le faire.

La nature publique de WHOIS peut produire un faux confort à l'intérieur de l'institution aussi. Si le personnel voit un bloc enregistré sous une organisation apparemment cohérente, et que l'interface traite l'entrée actuelle comme la vérité de départ, l'enregistrement commence à se valider lui-même. Une demande de support ultérieure peut être acceptée parce qu'elle vient du contact qu'un changement non autorisé antérieur avait inséré. Un identifiant de mainteneur peut alors permettre d'autres modifications. À chaque transaction, la prémisse falsifiée acquiert un historique administratif plus long.

L'antidote n'est pas simplement une authentification plus forte pour le contact actuel. Une revendication compromise peut être authentifiée parfaitement. Le registre doit préserver la racine de l'autorité: la demande originale, l'identité légale vérifiée, l'évaluation de la politique, l'approbation, le contrat le cas échéant, le paiement, la décision sur le préfixe et chaque transfert ou mise à jour ultérieur. Les modifications apportées à un contact ou à un mainteneur méritent une attention particulière car elles modifient qui peut autoriser le changement suivant.

Une demande de remplacement à la fois de l'identité de l'organisation et de ses identifiants d'accès n'est pas une maintenance de routine; c'est un potentiel changement de contrôle.

Le rapport ultérieur d'AFRINIC indique que chaque objet WHOIS était protégé par un mainteneur depuis août 2017 et décrit l'authentification PGP pour les changements de personnel et les mainteneurs puissants. Ce sont des garanties utiles contre l'édition non authentifiée. Elles ne répondent pas à la question de savoir si un employé authentifié était substantiellement autorisé à effectuer un changement particulier. Le contrôle d'accès prouve quel identifiant a agi. La gouvernance doit prouver pourquoi l'acte était permis.

Cette différence explique pourquoi la surveillance ne peut pas être réduite à la sécurité des comptes. Les alertes pertinentes sont à la fois sémantiques et techniques. Un grand bloc passé de disponible à délégué sans demande approuvée liée; une ressource reclassée comme historique; une organisation historique dormante avec un domaine de courriel nouvellement enregistré; plusieurs détenteurs sans lien attribués à des coordonnées communes; un handle d'organisation changé peu avant un transfert; ou un préfixe apparaissant dans WHOIS mais pas dans le système d'adhésion nécessitent tous une enquête même si chaque connexion a réussi.

Le pool libre et le domaine historique étaient des problèmes de contrôle différents

L'audit ultérieur a séparé deux grandes classes de ressources affectées. La première comprenait les adresses qu'AFRINIC a déclarées avoir été détournées de son pool disponible et attribuées à des organisations sans justification. Le rapport les a quantifiées à 2 371 584 adresses IPv4. La seconde comprenait les ressources historiques: des allocations faites avant le système mature de registres régionaux, migrées sous la garde d'AFRINIC, souvent sans contrat en cours et parfois attachées à des organisations qui avaient changé de nom, fusionné, disparu ou perdu des contacts compétents.

La distinction importe car les tests de contrôle diffèrent. Déplacer un bloc du pool disponible nécessite une demande et une décision contemporaines. L'inventaire commence avec AFRINIC comme administrateur de l'espace non alloué. Une délégation non justifiée est donc visible par l'absence d'un événement d'allocation valide. L'audit peut demander: où est la demande, qui l'a évaluée, qui l'a approuvée, quelle politique l'a justifiée, et comment le fichier de ressources interne a-t-il changé?

Un changement historique présente un problème de titre plus difficile. Le bloc a déjà un détenteur historique. Le registre peut être invité à mettre à jour un nom, un contact, un successeur corporatif ou un mainteneur. Une adresse de courriel défunte n'est pas une preuve que la ressource est abandonnée. Un nouveau réclamant actif n'est pas une preuve de succession. Le fichier décisif peut inclure des données d'enregistrement anciennes, des documents corporatifs, des documents de fusion, de la correspondance et des preuves d'un autre registre.

Un employé qui peut remplacer des coordonnées obsolètes sans vérification indépendante peut effectivement sélectionner la personne qui parlera pour un détenteur absent.

Le rapport d'AFRINIC a décrit les caractéristiques qui rendaient le domaine historique vulnérable: certains détenteurs n'avaient pas d'accord contractuel avec le registre; les contacts pouvaient être retraités ou partis; les organisations pouvaient être disparues ou restructurées; et certaines transactions présumées incluaient le transfert de mots de passe de mainteneur.

Le rapport a également enregistré que les contacts historiques entre 2012 et 2015 étaient parfois mis à jour vers des domaines de courriel qui semblaient correspondre au nom du détenteur mais avaient été enregistrés trop récemment pour correspondre à l'histoire présumée de l'organisation. C'est exactement le type d'anomalie qu'un registre peut tester automatiquement.

Les deux problèmes peuvent converger. L'audit a indiqué que certaines ressources qui auraient dû rester dans le pool d'AFRINIC avaient été étiquetées comme espace historique présumé avant de faire l'objet de transactions de vente. Si cela est exact, cette séquence montre pourquoi les champs de statut sont des variables de contrôle, non des descriptions. Reclasser un bloc peut le faire passer d'un processus nécessitant une nouvelle décision d'allocation à un processus plus ambigu présenté comme la maintenance d'un ancien droit.

Un système qui protège l'allocation mais permet une reclassification peu contrôlée laisse une porte dérobée autour de sa barrière la plus forte.

Une conception robuste traiterait donc les changements de statut comme des transactions privilégiées. Aucun analyste ne devrait pouvoir déclarer seul qu'un bloc du pool est historique. Le changement nécessiterait des preuves issues des enregistrements historiques délégués, au moins deux approbations, une comparaison automatisée avec l'historique des pools reçus du registre, et une notification à une fonction d'assurance. Le statut précédent doit rester immuable.

Si un réviseur ultérieur ne peut pas voir à la fois les anciennes et les nouvelles classifications et l'autorité pour la transition, le registre n'a pas préservé l'histoire; il l'a réécrite.

La rareté a changé la menace, pas le mandat

Entre 2013 et 2019, la rareté de l'IPv4 a rendu les faiblesses de contrôle de plus en plus précieuses. AFRINIC est entré dans la première phase de sa politique finale-/8 en 2017. Les marchés publics et les transactions privées ont attaché des prix significatifs aux adresses, tandis que de nombreuses anciennes allocations restaient sous-utilisées, mal documentées ou associées à des organisations dormantes. L'écart entre le traitement administratif et la valeur commerciale créait un risque de corruption évident.

Le prix du marché ne devrait pas, cependant, définir le tort institutionnel. Les adresses IPv4 ne sont pas des lingots dans un coffre. Le registre administre des identifiants uniques sous la politique de la communauté. Le préjudice immédiat d'une allocation non justifiée est que l'institution fait des affirmations contradictoires ou fausses sur la garde, prive les demandeurs éligibles d'espace rare dans le pool, et expose les réseaux à une annulation ultérieure. Un marché secondaire amplifie l'incitation et multiplie la confiance, mais la défaillance commence dans l'enregistrement d'autorité.

Cela importe parce que des estimations de valeur spectaculaires peuvent fausser les remèdes. Un titre peut multiplier le nombre d'adresses par un prix observé et annoncer une perte de plusieurs dizaines de millions de dollars. Une telle estimation peut exprimer une échelle, mais elle n'établit pas le titre légal, les produits réalisés ou les dommages récupérables. Elle ne dit pas non plus au conseil quel contrôle a échoué.

L'unité pertinente pour la gouvernance est la décision non autorisée: comment le bloc a changé de statut, quelle preuve manquait, quel compte a agi, quelle révision aurait dû l'arrêter, et combien de temps l'exception est restée visible.

La rareté aurait dû amener AFRINIC à accroître la surveillance avant le scandale. Les grandes allocations, les mises à jour historiques et les modifications des enregistrements dormants sont devenues des transactions économiquement sensibles. Une institution n'a pas besoin de supposer que chaque employé est corrompu. Elle doit supposer qu'un privilège précieux attirera éventuellement l'erreur, la pression, la collusion ou l'abus.

L'approbation par deux personnes (maker-checker), les congés obligatoires, la rotation sur les files à haut risque, les déclarations de conflit, l'échantillonnage indépendant des exceptions et la détection automatisée des anomalies sont des réponses ordinaires à cette hypothèse.

La menace s'étendait également au-delà du premier acte. Un bloc avec un enregistrement douteux pouvait être routé via un réseau non lié, loué à des clients, utilisé comme collatéral dans un arrangement commercial ou vendu à un acheteur qui croyait à l'enregistrement public. Chaque partie supplémentaire augmente le coût de la correction. Cela signifie que la rapidité fait partie de l'efficacité du contrôle. Une alerte enquêtée trois ans plus tard peut aider à expliquer le passé tout en faisant peu pour prévenir l'enchevêtrement juridique et opérationnel.

Ce que l'audit rétrospectif prouve réellement

Le rapport 2021 d'AFRINIC est indispensable et limité. Il est indispensable car il identifie les propres catégories, méthodes, décomptes et contrôles correctifs de l'institution. Il indique que l'examen ultérieur a utilisé les fichiers de ressources internes, les journaux et l'historique WHOIS, les statistiques déléguées, les enregistrements de tickets, les demandes d'adhésion et de ressources, le DNS inverse, le registre de routage Internet, les enregistrements historiques externes, les rapports publics et les informations des lanceurs d'alerte.

C'est proche de l'ensemble de preuves qu'un système de contrôle continu efficace devrait réconcilier.

Il est limité car AFRINIC l'a rédigé après la crise, alors que des litiges juridiques et une enquête policière étaient actifs. Il énonce des conclusions sur le détournement et la garde légitime qui peuvent avoir été contestées par les parties concernées. Les lecteurs doivent distinguer une conclusion administrative d'un registre d'une détermination judiciaire finale. Le rapport peut établir ce qu'AFRINIC a trouvé et quelles actions il a déclaré avoir prises. Il ne peut pas, à lui seul, résoudre chaque bloc contesté ou établir la responsabilité pénale d'un individu.

Les chiffres du rapport révèlent la complexité de la réparation. En novembre 2020, il listait 1 060 864 adresses récupérées du pool et mises en quarantaine, 1 310 720 adresses du pool encore en examen, 467 968 adresses historiques dont les modifications non justifiées avaient été annulées, 394 496 adresses historiques consolidées à la demande des sociétés holding, et 936 704 adresses historiques en litige en attendant la détermination de la garde. Ces catégories montrent que la correction n'était pas une simple opération de suppression.

Certains enregistrements pouvaient être restaurés, d'autres nécessitaient une consolidation corporative, et beaucoup impliquaient des revendications concurrentes.

AFRINIC a reconnu que les annulations étaient lentes. Lorsque plusieurs organisations revendiquaient la garde, il verrouillait les adresses contre toute modification supplémentaire de WHOIS en attendant un accord ou une détermination compétente. Lorsque les détenteurs ne répondaient pas aux demandes de mise à jour et qu'aucune objection n'était reçue, il indiquait que les mises à jour suspectées étaient annulées et les adresses verrouillées jusqu'à ce qu'un détenteur légitime effectue une diligence raisonnable.

Ces actions peuvent préserver le statu quo, mais elles démontrent aussi pourquoi la prévention était importante: un fichier d'allocation qui aurait pu régler l'autorité avant que le changement ne devienne un litige n'était plus suffisant pour le faire proprement après.

Le rapport a également décrit les contrôles adoptés ou renforcés après la découverte.

Il a fait référence à l'automatisation, à une politique de contrôle des changements planifiée pour des vérifications et une traçabilité supplémentaires, à la révision finale par un supérieur des demandes de ressources et d'adhésion, à une politique de fraude et de corruption adoptée en juin 2019, à une plateforme indépendante de signalement lancée en 2020, à une vérification renforcée pour les mises à jour historiques, à des rapports quotidiens d'incohérence entre MyAFRINIC et WHOIS, à une comparaison avec les statistiques déléguées, à l'authentification PGP, à des accès qualifiés par rôle et à l'escalade des changements hors des privilèges

ordinaires du personnel.

Ces mesures ne doivent pas être lues comme des aveux qu'aucune n'existait auparavant. Les institutions décrivent souvent des améliorations sans publier une matrice de contrôle avant-après précise. Mais la liste est analytiquement révélatrice. Chaque mesure répond à un mode de défaillance reconnaissable: l'automatisation limite les raccourcis discrétionnaires; la révision finale interrompt l'auto-approbation; la traçabilité préserve qui a changé quoi; la réconciliation détecte des enregistrements divergents; les privilèges qualifiés réduisent l'accès excessif; le signalement indépendant contourne la suppression managériale.

La liste des réformes pointe directement vers les surfaces sur lesquelles l'assurance antérieure était inadéquate.

Les journaux que personne ne conteste ne sont que des archives

Il est tentant d'imaginer que des journaux techniques complets auraient résolu le problème. Ils auraient aidé, mais un journal n'est un contrôle que si une institution définit quoi détecter, qui révise, à quelle vitesse, et ce qui se passe ensuite. Un enregistrement montrant qu'un identifiant de personnel autorisé a changé un handle d'organisation est neutre. Une alerte montrant que la même personne a évalué la demande, approuvé le changement et modifié un grand bloc est une information de gouvernance.

La journalisation efficace d'un registre nécessite au moins trois couches. La couche événement enregistre l'authentification, l'acteur, l'heure, l'interface, l'objet, l'ancienne valeur et la nouvelle valeur. La couche d'autorité lie l'événement au ticket, à la version de la politique, à l'approbation et à la preuve. La couche d'assurance enregistre si les vérifications automatisées ont réussi, si un réviseur a inspecté le changement, quelles exceptions sont apparues et comment elles ont été closes. Sans la couche d'autorité, un réviseur sait ce qui s'est passé mais pas si cela aurait dû se produire.

Sans la couche d'assurance, l'institution ne peut pas prouver que quelqu'un a regardé.

Les journaux doivent également être résistants à la falsification et conservés pendant la durée de vie de la revendication pertinente. La garde d'IPv4 peut survivre au personnel, aux systèmes et aux entreprises. Une courte période de conservation opérationnelle peut être sensée pour les traces d'application de routine mais désastreuse pour l'historique faisant autorité d'un /16. Le registre doit préserver un historique signé, en ajout seulement, du statut, de l'organisation, des contacts, des mainteneurs, des tickets et des approbations.

Les documents sensibles des demandeurs peuvent être protégés séparément tandis que les hachages et les références préservent l'intégrité.

La conception des alertes doit suivre la valeur et le motif. Les grands préfixes, les changements répétés par le même acteur, les mises à jour en dehors des heures normales, les organisations nouvellement créées recevant de l'espace substantiel, les domaines de contact récemment enregistrés, la réutilisation d'adresses entre des détenteurs autrement sans lien, les changements de statut impliquant une classification historique et les divergences entre les magasins faisant autorité sont des signaux de grande valeur. Aucun signal seul ne prouve une faute. Leur but est d'exiger une deuxième paire d'yeux alors que les preuves sont fraîches.

La clôture est aussi importante que la détection. Chaque alerte doit se terminer par l'un des quatre résultats enregistrés: autorisé et justifié, corrigé comme erreur, escaladé pour enquête, ou accepté comme exception documentée par un cadre supérieur nommé. Les explications bénignes répétées devraient améliorer la règle. Les exceptions répétées impliquant le même acteur, la même organisation ou le même courtier devraient élargir l'examen. Une file d'alertes qui grandit sans propriétaire crée l'apparence d'une surveillance tout en permettant au risque de vieillir.

Le conseil n'avait pas besoin d'être un hôte-maître

Les administrateurs ne peuvent pas inspecter chaque allocation. Ils ne devraient pas essayer. Leur responsabilité est d'exiger que la direction démontre que le registre central reste exact et que les exceptions sont contenues. Dans un registre de numéros, ce devoir ne peut pas être satisfait par les seuls états financiers. L'inventaire rare et l'enregistrement d'autorité sont des actifs opérationnels dont la corruption peut produire des passifs, des litiges et une perte de légitimité sans d'abord apparaître comme un écart comptable.

Le conseil aurait dû exiger un rapport de contrôle concis à chaque réunion. Il pourrait inclure le nombre et le volume d'adresses des nouvelles allocations; les changements historiques à haut risque; les changements effectués en dehors des interfaces standard; les enregistrements non appariés entre l'inventaire, l'adhésion et WHOIS; les alertes ouvertes par ancienneté; les dérogations; les comptes privilégiés; les déclarations de conflit non résolues; et les résultats d'audit par gravité. Le rapport n'exposerait pas les secrets des demandeurs. Il dirait aux administrateurs si le contrôle fonctionnait.

Les mandats des comités d'audit publiés autour de la période faisaient référence aux rapports financiers, au contrôle financier interne, à la gestion des risques, à l'audit interne, aux systèmes d'information et à la gouvernance technologique. Ce champ était assez large pour poser des questions sur les services d'enregistrement.

Pourtant, les procès-verbaux publics de 2018 montrent que le comité discutait du recrutement d'un auditeur interne, tandis que les procès-verbaux d'avril 2019 décrivent un plan d'audit interne couvrant la conformité corporative, les finances et la comptabilité, les services d'enregistrement et la continuité des activités. L'existence d'un plan n'est pas une preuve que les tests pertinents ont été achevés avant que le problème ne devienne public.

Cette distinction - mandat, plan, exécution, constat, remédiation - est la chaîne de responsabilité appropriée. Les conseils annoncent souvent une charte et supposent que l'assurance suit. Ce n'est pas le cas. Le comité doit approuver un plan basé sur les risques, s'assurer que l'auditeur a accès et indépendance, recevoir les constats, assigner des propriétaires et des dates, et vérifier la clôture.

Si les services d'enregistrement sont entrés dans le plan d'audit 2019 seulement après des années de rareté croissante, les administrateurs devraient demander pourquoi l'actif principal n'avait pas été soumis à des tests opérationnels comparables plus tôt. S'il avait été testé, ils devraient demander quels tests n'ont pas détecté les changements non justifiés de statut et d'identité.

La connaissance individuelle reste pertinente mais n'est pas le seul test. Un administrateur qui a reçu un avertissement spécifique et n'a rien fait porte une responsabilité différente de celui qui n'a jamais été informé. L'institution ne peut toujours pas se défendre en disant que le conseil manquait de connaissances détaillées si sa conception de rapport maintenait les exceptions matérielles hors de la vue du conseil. La gouvernance est en partie la construction de cette ligne de vue.

Les reportages publics étaient un contrôle externe de dernier recours

Les rapports publiés par MyBroadband, KrebsOnSecurity et d'autres médias ont assemblé des enregistrements publics et obtenus commercialement en un compte troublant. Ils ont tracé des entrées historiques, des entreprises, des domaines, des contacts et du routage. Leur travail a été précieux car il a forcé des incohérences dans une forme que les institutions et les détenteurs affectés ne pouvaient plus facilement ignorer. Il n'aurait pas dû être le mécanisme de détection principal du registre.

Le journalisme d'investigation a des normes probatoires différentes d'une décision d'allocation. Les journalistes peuvent identifier des anomalies, demander des commentaires et publier une inférence étayée. Un registre qui annule un enregistrement doit déterminer l'autorité bloc par bloc et offrir une procédure régulière aux réclamants concurrents. Cette différence n'est pas une raison pour rejeter les reportages. C'est une raison pour que le registre ingère des signaux externes crédibles comme pistes tout en menant son propre examen documenté.

Les reportages comportent aussi des limites. Les estimations de prix varient selon la date, la réputation du bloc, les conditions de transaction et la liquidité du marché. Les services WHOIS historiques peuvent contenir des instantanés incomplets. Les liens corporatifs peuvent montrer un contrôle ou une association sans prouver qu'une transaction de ressource particulière était autorisée. Le routage à partir d'un bloc n'identifie pas par lui-même la partie qui a modifié l'enregistrement.

Une analyse institutionnelle responsable attribue donc les allégations, sépare l'observation de la conclusion et évite de traiter la répétition comme une corroboration.

Les constats ultérieurs d'AFRINIC ont fourni un soutien institutionnel à la préoccupation centrale: son rapport indique que le personnel interne peut avoir agi avec des tiers, que l'enquête de l'APNIC a conduit à des procédures disciplinaires, et qu'un ancien hôte-maître avait abusé de ses droits et privilèges. Il a également quantifié les ressources du pool qu'il a conclu avoir été attribuées sans justification. Ce sont des constats sérieux. Ils n'éliminent toujours pas la nécessité d'examiner les contrôles.

Au contraire, plus le constat contre un initié est fort, plus la preuve est claire que la résistance aux initiés devait faire partie de la conception du registre.

La question publique la plus utile n'est pas de savoir pourquoi un employé aurait voulu profiter. Les ressources rares créent des incitations évidentes. C'est pourquoi une institution détenant l'inventaire quotidien, les tickets, l'historique des modifications et les données des comptes n'a pas converti les anomalies en un défi indépendant et rapide. Les étrangers pouvaient voir des fragments; le registre possédait les jointures. Un système de contrôle aurait dû rendre ces jointures routinières.

La réparation nécessite un enregistrement prouvable, pas un aspect plus propre

Après un scandale, il y a une pression pour rendre WHOIS correct rapidement. Cette pression peut reproduire l'erreur originale en traitant la publication comme la vérité. Un registre ne doit pas remplacer un détenteur non justifié par un autre parce que la seconde revendication semble plus plausible. Il a besoin d'une norme de rétablissement qui préserve les preuves, protège la continuité et rend l'incertitude visible.

Premièrement, l'état original et l'historique complet des changements doivent être figés. Les enquêteurs ont besoin de copies des tickets, messages, approbations, documents d'identité, journaux, statistiques déléguées, observations de routage et enregistrements corporatifs pertinents. Deuxièmement, l'accès associé à un risque de manipulation crédible doit être restreint sans effacer les preuves. Troisièmement, chaque bloc doit recevoir un dossier séparant l'origine du pool, l'historique, l'enregistrement actuel, l'utilisation actuelle, les preuves du réclamant et le statut juridique.

Quatrièmement, le remède doit correspondre à la confiance. Un bloc du pool sans demande valide et avec un chemin non autorisé clair peut être récupéré, sous réserve de préavis et d'examen. Un bloc historique avec des successeurs concurrents peut nécessiter un verrouillage en attendant qu'un tribunal ou un processus convenu détermine la garde. Un utilisateur actuel qui a acheté apparemment de bonne foi peut n'avoir aucune revendication supérieure contre le détenteur légitime, mais une perturbation technique abrupte peut encore nuire aux clients.

La correction d'enregistrement, la réalité du routage et le remède commercial sont des questions liées mais distinctes.

Cinquièmement, le registre devrait publier des progrès agrégés sans préjuger des cas. Les décomptes par statut, volume d'adresses, ancienneté et remède permettent aux membres d'évaluer si l'institution travaille sur le problème. Le public n'a pas besoin de preuves privées ou de détails accusatoires sur les réclamants non résolus. Il a besoin de connaître la portée, les règles de décision, la voie de révision et si les corrections deviennent plus rapides.

Enfin, le fichier rétabli doit être plus solide que le fichier d'avant le scandale. Il doit contenir les preuves soutenant la position finale, chaque avis, objection, décision, réviseur et changement opérationnel. Le rétablissement n'est pas complet lorsque l'entrée WHOIS actuelle semble soignée. Il est complet lorsqu'une personne indépendante peut expliquer pourquoi cette entrée est désormais faisant autorité.

Une architecture de contrôle pour un registre public rare

Les réformes pratiques ne sont ni exotiques ni punitives. La vérification d'identité doit être indépendante de l'analyste qui défend la demande. Les grandes allocations et les changements de contrôle historique doivent nécessiter deux approbations. Le système doit lier le préfixe, l'organisation et le statut approuvés à la commande d'exécution. Les enregistrements courants et historiques doivent être en ajout seulement au niveau faisant autorité. Les privilèges doivent être limités par rôle, révisés trimestriellement et retirés immédiatement lorsque les fonctions changent. Nul ne doit administrer son propre accès.

La réconciliation doit être exécutée quotidiennement entre l'inventaire des ressources, les enregistrements d'adhésion, le système de tickets, les statistiques déléguées et WHOIS. Les différences à haut risque doivent bloquer d'autres changements jusqu'à résolution. L'auditeur interne doit échantillonner les fichiers ordinaires et inspecter chaque exception matérielle, non seulement confirmer qu'une procédure existe. Le comité d'audit doit recevoir les constats directement et suivre la remédiation.

Un canal de signalement indépendant doit permettre au personnel, aux membres et aux étrangers de soumettre des préoccupations avec une protection contre les représailles.

Les contrôles de conflit méritent une attention égale. Les employés impliqués dans l'évaluation des ressources doivent déclarer les entreprises extérieures, les intérêts financiers étroits et les relations avec les courtiers ou les demandeurs. Les déclarations doivent être mises à jour, testées par rapport aux contreparties connues et examinées par quelqu'un en dehors de la ligne hiérarchique de l'employé. Une déclaration n'est pas une forme rituelle; elle doit modifier l'assignation des dossiers et l'accès lorsqu'un conflit apparaît.

Les indicateurs doivent résister aux moyennes qui cachent l'exposition. Le conseil a besoin de décomptes d'exceptions pondérés par adresse, non seulement de pourcentages de complétude des tickets. Il doit voir les plus grands blocs non justifiés ou non résolus, les exceptions les plus anciennes, la fréquence des dérogations, la concentration par acteur et le temps entre la première alerte et le confinement. Une anomalie unique de /12 mérite plus d'attention que des centaines de corrections de contact inoffensives.

Un examen indépendant devrait périodiquement tenter une reconstruction à froid. Sélectionner un bloc dans WHOIS et prouver son chemin de retour vers l'inventaire reçu ou la délégation historique. Puis sélectionner un ticket d'approbation et prouver son chemin vers l'avant jusqu'au bloc publié exact. Les deux directions capturent des défaillances différentes. Les tests vers l'avant trouvent des actions approuvées qui ont été mal exécutées. Les tests vers l'arrière trouvent des entrées publiques pour lesquelles aucune autorité suffisante n'existe.

Les membres devraient avoir un rôle de vérification sans porter le fardeau du registre. Des relevés périodiques peuvent demander à un détenteur de confirmer les ressources, les contacts et les mainteneurs. L'absence de réponse devrait déclencher un suivi et un examen renforcé, non une forclusion automatique. Un détenteur devrait pouvoir obtenir un historique des modifications pour ses ressources et contester rapidement un amendement non autorisé. Cela distribue la détection tout en préservant la responsabilité du registre pour ses propres actes.

Le verdict institutionnel

Entre 2013 et 2019, AFRINIC a administré une ressource dont la rareté et l'utilité commerciale ont fortement augmenté. Son enregistrement public portait une autorité bien au-delà du bureau qui le maintenait. Les preuves ultérieures montrent que certains fichiers et changements ne pouvaient pas soutenir les affirmations que le registre avait publiées, et que la réparation a nécessité un large examen rétrospectif, une assistance externe, des mesures disciplinaires, des verrouillages, des annulations et des décisions sensibles aux litiges.

Qualifier ce résultat de travail d'une seule mauvaise personne est une esquive. Un initié peut initier un abus, mais seule une institution donne à cet abus une autorité durable. Le fichier d'allocation aurait dû forcer chaque demande à travers une évaluation, une approbation, une exécution, une réconciliation et un audit indépendants. L'historique des modifications aurait dû rendre les actes exceptionnels visibles rapidement. Le conseil aurait dû connaître l'état de l'environnement de contrôle sans avoir besoin de connaître chaque préfixe.

La leçon dépasse AFRINIC. La gouvernance distribuée de l'Internet célèbre souvent la confiance, la communauté et la compétence technique. Ces vertus ne remplacent pas les contrôles. La légitimité d'un registre repose sur la capacité de prouver que la personne indiquée dans son enregistrement a reçu l'autorité par un processus équitable, documenté et révisable. Lorsqu'il ne peut pas le faire, la perte n'est pas seulement une quantité d'adresses. L'institution a perdu le contrôle de sa propre parole.

Sources et limites analytiques

La preuve institutionnelle principale est leRapport d'exactitude de la base de données WHOISd'AFRINIC, lu comme un compte rendu rétrospectif par une institution intéressée plutôt que comme un jugement final sur chaque litige de ressource. LaRFC 7020fournit les exigences du système de registres en matière d'unicité et d'exactitude des enregistrements. LeManuel de politique consolidé version 1.0archivé d'AFRINIC montre l'environnement politique public dans lequel le personnel exerçait la responsabilité d'allocation. Lerapport annuel 2018et les documents publiés du conseil décrivent le mandat d'audit formel et le développement de la capacité d'audit interne. L'enquête de décembre 2019de MyBroadband fournit des constats attribués de registre public et n'est pas traitée comme une décision judiciaire.

Cette analyse ne détermine pas la responsabilité pénale, la propriété effective, les dommages ou le gardien légitime de tout préfixe contesté. Elle ne suppose pas que chaque contrôle décrit après 2019 était totalement absent auparavant. Elle évalue la chaîne d'autorité publiquement visible et les implications institutionnelles des propres constats ultérieurs d'AFRINIC. Lorsque les preuves ne soutiennent qu'une allégation, une conclusion administrative ou une inférence, elle est traitée comme telle.