Résumé
- La friction de vérification d'identité est le coût de décider qui peut engager un détenteur de ressources RIPE NCC pour un acte de registre spécifique, et non une charge administrative générale.
- Le mode de défaillance principal est la séparation entre le contrôle opérationnel et l'autorité légale: un utilisateur connecté au portail, un contact technique, un LIR parrain, une société mère ou un ancien directeur peut ne pas avoir le pouvoir actuel d'engager le détenteur.
- Les documents du RIPE NCC relatifs aux transferts, aux fusions, aux documents requis, à RIPE NCC Access et au RIPE-831 sont ici utilisés comme pièces factuelles montrant où les questions d'autorité surviennent lors des transferts, des changements de structure d'entreprise, de l'insolvabilité, du parrainage et de l'accès au compte.
- La rareté des IPv4 donne à la décision d'autorité des conséquences sur le marché: la reconnaissance par le registre peut libérer des fonds séquestrés, préserver la valeur de la restructuration, affecter la continuité de service des clients, influencer l'examen des sanctions et déterminer si une ressource rare peut circuler en toute sécurité.
- Trop peu de friction permet les faux transferts, les abus de contacts obsolètes, la capture de comptes, les abus internes et les successions fictives; trop de friction peut transformer la reconnaissance du registre en un veto privé sur une récupération ou un commerce légitimes.
- Une norme pratique devrait être spécifique à l'acte, au détenteur, au rôle, aux preuves et aux recours, avec des preuves calibrées en fonction du risque du changement demandé.
- Les petits opérateurs et les utilisateurs finaux ont besoin d'un chemin confidentiel qui respecte les formes juridiques non standard, les dépendances vis-à-vis du LIR parrain, les nominations en cas d'insolvabilité et la perte d'accès, sans diluer le contrôle de la fraude.
- Le compromis est une gouvernance de registre délimitée: vérifier qui peut engager le détenteur, protéger les preuves sensibles, donner des raisons, permettre une continuité partielle ou temporaire lorsque cela est approprié et éviter de devenir un tribunal d'entreprise général.
La connexion qui prouve trop peu
Commençons par le cas ordinaire. Un petit fournisseur d'accès, une société d'hébergement ou un réseau d'entreprise de la région de service du RIPE NCC a changé de propriétaire. Le personnel technique sait toujours comment router les préfixes. Les identifiants du portail n'ont pas été perdus. Les factures sont peut-être à jour. L'ancien directeur a peut-être démissionné, le nouveau directeur est peut-être inscrit dans un registre de commerce national et une société mère peut être en train d'intégrer des filiales dans plusieurs juridictions. Une demande de transfert ou de changement de nom est soumise parce que le registre doit refléter un fait d'entreprise qui existe déjà en dehors du registre.
À l'écran, la situation peut paraître ordonnée. La demande est dans la bonne forme. La liste des préfixes correspond au compte du détenteur. La page de signature comporte des noms. L'extrait du registre est suffisamment récent. En matière de routage, rien n'est cassé. En termes de clientèle, un retard peut tout de même être coûteux. Des contrats peuvent dépendre de la continuité des adresses; des migrations de centres de données peuvent être planifiées; un prêteur ou un acheteur peut attendre un titre de propriété net sur l'enregistrement; une banque effectuant un filtrage des sanctions peut refuser de traiter le règlement tant que le statut du registre n'est pas stable.
Pourtant, l'incertitude décisive est personnelle et institutionnelle plutôt que documentaire. Le soumissionnaire contrôle-t-il le portail parce que l'entreprise l'autorise toujours, ou parce qu'un ancien employé a conservé l'accès? Le signataire désigné a-t-il la capacité générale d'engager l'entreprise, ou seulement un rôle d'approvisionnement? Si l'entreprise est en redressement, l'ancien directeur a-t-il encore le pouvoir de disposer des actifs, ou ce pouvoir a-t-il été transféré à un administrateur judiciaire? Si une société mère agit, a-t-elle l'autorité d'engager la filiale qui détient effectivement les ressources? Si un LIR parrain est impliqué, transmet-il l'instruction de l'utilisateur final ou substitue-t-il sa propre préférence commerciale?
Le travail du registre ne consiste donc pas seulement à lire des documents. Il s'agit de relier un acte à une personne, la personne à un rôle, le rôle à une source d'autorité légale ou contractuelle, et cette autorité à la modification spécifique du registre demandée. Chaque maillon a un coût. Le soumissionnaire doit consacrer du temps à produire des preuves. Le registre doit consacrer du temps à les vérifier. La transaction attend. Le coût n'est pas une nuisance ajoutée à la transaction réelle. Il fait partie de la transaction parce que la reconnaissance du registre change qui peut ultérieurement vendre, verrouiller, parrainer, router, certifier ou récupérer des ressources.
C'est pourquoi la connexion au portail est une preuve incomplète. L'accès opérationnel est une preuve de contrôle, mais pas nécessairement une preuve de capacité juridique. Un contact technique légitime peut être en mesure de mettre à jour un enregistrement de mainteneur sans avoir le pouvoir de signer un transfert. Un directeur peut avoir la capacité juridique mais ne pas avoir accès au portail après un départ hostile du personnel. Un administrateur judiciaire peut détenir une autorité légale mais ne pas connaître les procédures du RIPE NCC. Un petit réseau peut n'avoir qu'une seule personne qui est propriétaire, ingénieur, contact de facturation et utilisateur du portail, jusqu'à ce que la maladie, le décès, le divorce, la faillite ou la vente sépare ces rôles. La vérification d'identité devient visible lorsque ces catégories nettes se séparent.
La friction est un coût d'information, pas une préférence morale
En économie institutionnelle, la friction n'est pas simplement du gaspillage. C'est le prix à payer pour en savoir assez pour prendre une décision en situation d'information imparfaite. Un registre pourrait éliminer une grande partie de la friction visible en acceptant toutes les demandes provenant d'un compte connecté. Cela réduirait les retards mais augmenterait les erreurs. Il pourrait éliminer la plupart des risques de faux transferts en exigeant des ordonnances judiciaires, des chaînes notariées et des examens humains répétés pour chaque demande importante. Cela réduirait certaines fraudes mais augmenterait la paralysie. Le véritable problème de conception est de placer le coût là où il crée le plus d'assurance pour le moins d'interférence.
La friction de vérification d'identité est un coût d'information particulier. Ce n'est pas le coût de la collecte de tous les documents possibles. C'est le coût de répondre à une question plus étroite: qui peut engager le détenteur pour cet acte? Cette question change avec l'acte. Une demande de correction d'une adresse postale ne devrait pas nécessiter les mêmes preuves qu'une demande de transfert d'un /16. Une récupération d'accès liée au RPKI ne devrait pas être traitée exactement comme une vente interentreprises. Une demande d'un administrateur en cas d'insolvabilité n'est pas une affaire de gestion courante d'entreprise. Un changement de LIR parrain peut avoir une valeur marchande inférieure à celle d'un transfert complet, mais peut tout de même déterminer si un utilisateur final peut maintenir un réseau en vie.
Cette distinction est facile à perdre car les documents et l'identité vont de pair. Un extrait d'entreprise peut prouver à la fois que l'entreprise existe et qui sont ses dirigeants. Une copie de passeport peut identifier une personne physique et étayer un lien avec un signataire désigné. Un accord de transfert peut décrire la transaction et révéler qui l'a signée. Mais la tâche analytique du registre doit rester distincte. Une couche demande si le fait allégué s'est produit. Une autre demande si la personne qui demande au registre de reconnaître ce fait peut amener le détenteur à agir.
Plus les IPv4 deviennent rares et échangeables, plus les erreurs deviennent coûteuses. Les adresses IPv4 ne sont pas possédées au sens simple de biens meubles, mais le statut d'enregistrement peut soutenir les transferts de marché, la continuité de service, les hypothèses de financement et la diligence raisonnable. Un faux transfert peut imposer des coûts de récupération élevés et peut être difficile à annuler une fois que le routage, les contrats et les attributions en aval ont changé. Un transfert bloqué à tort peut détruire une vente, laisser des clients sur le carreau ou réduire la valeur d'une entreprise en difficulté. La vérification d'identité est donc à la fois un instrument de contrôle de la fraude et un instrument de contrôle de la liquidité.
Le coût pèse de manière inégale. Les grands groupes de télécommunications et les entreprises de cloud peuvent produire des documents du conseil, des avis juridiques et des équipes de conformité. Un petit FAI dans un marché frontière, une société d'hébergement familiale ou un réseau universitaire avec des arrangements historiques peut avoir du mal à produire rapidement des preuves d'autorité claires, même lorsque sa demande est honnête. Cela ne signifie pas que la norme doit être diluée jusqu'à ce que la fraude devienne facile. Cela signifie que la norme doit être explicite, étroite et susceptible de révision, de sorte que la partie sache à quelle question il est répondu et quel maillon manquant empêche la reconnaissance.
Un registre bien géré est un grand livre, pas un poste de garde. Il enregistre les faits concernant les détenteurs de ressources avec suffisamment de confiance pour que la couche de coordination de l'Internet reste fiable. Il n'est pas un souverain qui décide des successions d'entreprises pour le monde entier. Mais un grand livre a tout de même besoin d'un comptable. Si n'importe qui peut écrire dans le grand livre, le grand livre n'est pas neutre; il est capturé par celui qui a le mot de passe le plus rapide, l'avocat le plus agressif ou le moins de scrupules. Le pouvoir du comptable n'est justifié que lorsqu'il est utilisé pour décider d'un acte de registre, et seulement proportionnellement aux risques que cet acte crée.
Pourquoi le RIPE NCC est un cas particulier
Tous les registres Internet régionaux sont confrontés à des problèmes d'autorité. Le RIPE NCC est confronté à une version distinctive en raison de la géographie, de la diversité juridique et de la structure du marché. Sarégion de servicecouvre plus de 75 pays à travers l'Europe, le Moyen-Orient et certaines parties de l'Asie centrale. Les formes juridiques dans cette région comprennent des sociétés publiques, des sociétés à responsabilité limitée, des fondations, des associations, des opérateurs liés à l'État, des universités, des ministères, des entreprises familiales, des entités de zone franche, des partenariats, des entrepreneurs individuels et des détenteurs de ressources personnes physiques. Les preuves d'entreprise peuvent provenir des autorités néerlandaises, allemandes, britanniques, françaises, turques, ukrainiennes, kazakhes, émiraties, géorgiennes, serbes, israéliennes ou de nombreuses autres. Le registre doit interpréter suffisamment de ces preuves pour agir, sans devenir un tribunal d'entreprise général.
Le RIPE NCC a également une réalité pratique Amsterdam-Dubaï. Il est constitué et gouverné dans un cadre institutionnel néerlandais, alors qu'il dessert une région dans laquelle les canaux commerciaux, bancaires et réglementaires passent souvent par le Golfe ainsi que par l'Europe. Un acquéreur européen peut acheter un réseau du Moyen-Orient. Une société holding de Dubaï peut contrôler une société d'exploitation ailleurs. Un FAI d'Asie centrale peut s'appuyer sur un LIR parrain dans une autre juridiction. Un écran de sanctions peut interagir avec la conformité bancaire, les contrôles des exportations, l'incertitude sur les bénéficiaires effectifs et les registres gouvernementaux qui diffèrent en termes de fiabilité et de langue.
L'autorité transfrontalière n'est pas une complication cosmétique. Elle modifie la probabilité qu'un document soit mal compris, que le rôle d'un directeur ait une signification juridique différente, que l'instruction d'une société mère soit exagérée ou qu'un ancien signataire reste visible dans les données de contact obsolètes du registre. Un registre qui accepte chaque document au pied de la lettre peut être exploité par ceux qui connaissent mieux la forme juridique locale que le registre. Un registre qui rejette trop rapidement les formes non familières peut pénaliser les réseaux légitimes en dehors de la zone de confort institutionnel des registres de commerce d'Europe occidentale.
Les documents du RIPE NCC reflètent cette tension. La page de transfert distingue les LIR et les utilisateurs finaux, les LIR parrains et les parties cédantes, les ressources nécessitant l'adhésion et les ressources parrainées. La page de fusion traite des changements de structure d'entreprise et du filtrage des sanctions. Le document de procédureRIPE-831couvre les transferts, les changements de dénomination sociale, la faillite, la liquidation, la suspension des paiements et les procédures d'insolvabilité, et il traite des accords de transfert signés par des personnes autorisées. Ce ne sont pas des subtilités juridiques abstraites. C'est le vocabulaire d'un registre opérant dans un paysage d'entreprise varié.
La variété affecte également les petits opérateurs. Dans certains marchés, la documentation des autorités nationales est numérique, standardisée et en anglais ou facilement traduisible. Dans d'autres, les registres peuvent être retardés, partiellement hors ligne, contraints politiquement ou dans des formats qui ne correspondent pas parfaitement aux formulaires du RIPE NCC. Un petit opérateur peut ne pas avoir de conseiller juridique interne. La même friction qui est mineure pour une multinationale peut devenir existentielle pour un réseau desservant une ville, une communauté de recherche, un groupe de centres de données ou un secteur d'entreprise de niche. Le registre ne peut pas ignorer le risque de fraude pour aider ces parties, mais il peut rendre le test d'autorité prévisible et proportionné à l'acte.
L'environnement RIPE a donc besoin d'une norme plus nuancée que « plus de vérification est plus sûr. » Plus de vérification peut être plus sûr lorsqu'elle cible le déficit d'autorité. Elle peut être nuisible lorsqu'elle multiplie les papiers sans resserrer la question. La question n'est pas de savoir si le RIPE NCC doit vérifier l'identité. Il le doit, dans les cas importants. La question est de savoir si la vérification est liée à l'autorité actuelle, au risque de marché, à la continuité opérationnelle et à des preuves réversibles, plutôt qu'à l'anxiété institutionnelle.
Le dossier de transfert n'est pas la décision
Les transferts exposent le plus clairement la séparation entre les documents et l'autorité. Le RIPE NCC indique qu'un transfert de ressources change le titulaire d'une partie cédante à une partie bénéficiaire. Ses pages de transfert exigent des documents pour chaque partie, des accords signés et la preuve que les signataires sont autorisés. C'est sensé. Un transfert a une valeur marchande, et une fois reconnu, la déclaration du registre peut affecter le routage, les contrats, la libération des fonds séquestrés, le financement et les transferts futurs.
Mais un dossier de transfert n'est pas auto-exécutoire. Supposons qu'un accord de transfert soit signé par une personne dont le nom figure dans un ancien extrait d'entreprise. L'extrait est authentique, mais la personne a depuis démissionné. Ou supposons que le signataire soit un directeur d'une société mère, alors que les ressources sont enregistrées au nom d'une filiale. Ou supposons que le transfert fasse partie d'une vente en cas de faillite, et que l'ancienne direction veuille coopérer, mais que l'administrateur soit la seule personne ayant le pouvoir de disposer des actifs. Dans chaque cas, les documents peuvent être réels alors que la revendication d'autorité est défectueuse.
L'inverse peut également se produire. Un successeur légitime peut avoir l'autorité avant que tous les documents ne soient parfaits. Dans une vente urgente en cas d'insolvabilité, un praticien nommé par le tribunal peut avoir besoin de la reconnaissance du registre pour préserver le service client et la valeur de la vente. Un registre de commerce peut se mettre à jour lentement. Une traduction peut être en attente. Un compte de portail peut rester sous le contrôle de l'ancienne équipe. Si le registre traite des documents conventionnels incomplets comme une preuve que l'autorité n'existe pas, il peut contribuer à détruire la valeur que la procédure judiciaire tente de préserver.
La meilleure approche consiste à traiter le dossier comme une preuve, et non comme la décision. La décision est de savoir si le registre a suffisamment confiance que la personne qui demande la reconnaissance peut engager le détenteur pour l'acte spécifique. Cette confiance peut provenir d'une combinaison de canal, de rôle, de document, de confirmation, de calendrier, de type de transaction, de risque et de révision. Une demande d'un contact enregistré via un portail avec une authentification à deux facteurs et un extrait d'entreprise actuel peut suffire pour une correction de nom à faible risque. Un transfert important d'IPv4 impliquant une structure d'entreprise récemment modifiée peut nécessiter une confirmation supplémentaire des directeurs, des administrateurs, des successeurs légaux ou des documents nationaux.
Cette distinction réduit également les incitations perverses. Si les parties apprennent que le registre vérifie simplement si un dossier contient certains documents, les acteurs malveillants sophistiqués construiront de meilleurs dossiers. Ils obtiendront des extraits obsolètes, contrôleront des courriels historiques, feront pression sur le personnel technique ou présenteront un accord partiel comme une succession achevée. Si les parties apprennent que le registre pose une question d'autorité plus étroite mais plus profonde, le jeu change. La charge passe du volume de papier à la chaîne d'autorité. Qui signe? En quelle qualité? Pour quel détenteur? En vertu de quelle source juridique ou contractuelle? Pour quel acte de registre? C'est la question qu'un fraudeur trouve plus difficile à simuler et à laquelle un détenteur légitime devrait pouvoir répondre.
Le registre doit toujours éviter de transformer cela en une décision judiciaire. Il ne doit pas trancher un litige d'entreprise qui relève du tribunal. Il doit décider s'il peut reconnaître en toute sécurité un changement de registre. Lorsque des revendications plausibles rivales existent, le registre peut devoir préserver le statu quo, demander un mandat plus clair ou attendre une résolution externe compétente. Il ne s'agit pas d'une abdication. Il s'agit de reconnaître que la compétence du registre est limitée au grand livre de coordination et que son refus de réécrire le grand livre peut être l'acte le moins intrusif lorsque l'autorité est véritablement contestée.
L'autorité légale et le contrôle opérationnel sont des actifs différents
RIPE NCC Access, le portail LIR, les mainteneurs, les enregistrements d'organisation et les contacts autorisés créent une surface de contrôle pratique. Ils permettent aux gens de demander des ressources, de consulter des tickets, de mettre à jour des enregistrements, de gérer les entrées de ressources, de demander des transferts, de travailler avec le RPKI et d'administrer des comptes. Cette surface est indispensable. Un registre ne peut pas traiter chaque mise à jour de routine par des lettres notariées. L'Internet fonctionne parce que les personnes opérationnelles peuvent apporter des modifications en temps opportun.
Pourtant, le contrôle opérationnel et l'autorité légale sont des actifs différents. Une personne peut avoir le mot de passe et ne pas avoir l'autorité. Une personne peut avoir l'autorité et ne pas avoir le mot de passe. Une personne peut avoir l'autorité pour les mises à jour techniques mais pas pour les transferts. Un LIR parrain peut avoir un chemin de portail mais pas un mandat ouvert pour substituer sa volonté commerciale à l'instruction de l'utilisateur final. Un consultant peut être autorisé à maintenir les données de routage mais pas à vendre l'espace d'adressage du détenteur.
Cette séparation est courante dans la vie des entreprises. Les signataires bancaires, les administrateurs système, les directeurs, les responsables des achats, les avocats externes et les ingénieurs réseau agissent tous pour une entreprise, mais pas pour les mêmes décisions. Le problème dans la gouvernance des registres est que les anciennes institutions de l'Internet se sont souvent développées à partir de réseaux de confiance dans lesquels un ou deux contacts techniques incarnaient le détenteur. Ce modèle fonctionne toujours pour de nombreux changements de routine. Il échoue lorsque la rareté des IPv4 donne aux changements de registre une valeur marchande et lorsque les structures d'entreprise deviennent stratifiées, transfrontalières et contestées.
La récupération de compte est le test de résistance le plus clair. Si un détenteur légitime perd l'accès parce que le personnel est parti, qu'un consultant a disparu, qu'un fondateur est décédé ou qu'un ancien fournisseur refuse de coopérer, le registre doit aider à rétablir le contrôle. S'il rétablit le contrôle de manière trop désinvolte, il permet une prise de contrôle. S'il refuse jusqu'à ce que l'ancien titulaire du compte coopère, il laisse un contrôle opérationnel obsolète l'emporter sur l'autorité juridique actuelle. Le registre doit identifier la chaîne d'autorité actuelle du détenteur, puis reconstruire l'accès autour d'elle.
Le même problème apparaît dans le RPKI et la sécurité du routage. Un utilisateur du portail peut être en mesure de gérer les ROA pour les ressources. C'est un acte opérationnel avec des conséquences immédiates sur le réseau. Ce n'est pas identique à un transfert, mais cela peut affecter la joignabilité et le service client. Un utilisateur hostile ou obsolète peut ne pas vendre les ressources, mais peut tout de même nuire aux opérations. Inversement, un nouvel opérateur légitime peut avoir besoin d'un accès RPKI en temps opportun pour prévenir les pannes après une fusion. La vérification d'identité ne peut donc pas être réservée aux seuls transferts de marché. Elle est pertinente partout où le contrôle du compte peut modifier la valeur pratique de la ressource.
Cela ne signifie pas que chaque ticket d'assistance devient une procédure judiciaire. Cela signifie que les niveaux d'autorité doivent être explicites. Les mises à jour opérationnelles de routine peuvent s'appuyer sur des comptes authentifiés et des relations de mainteneur existantes. Les actes importants - transfert, reconnaissance de fusion, changement de dénomination sociale, changement de parrainage, verrouillage volontaire du transfert, récupération de compte après un conflit ou récupération RPKI à fort impact - nécessitent un test d'autorité. Le test devrait être plus fort lorsque l'action est irréversible, sensible au marché, contestée, liée aux sanctions ou susceptible d'affecter de nombreux utilisateurs en aval.
L'erreur institutionnelle est de confondre les deux actifs. Faire confiance à la connexion réduit l'autorité légale au contrôle opérationnel. Exiger une preuve formelle pour tout réduit la continuité opérationnelle à la paperasserie juridique. Un registre au service de réseaux réels a besoin des deux distinctions. Il doit laisser les ingénieurs opérer, tout en réservant une reconnaissance plus profonde aux actes qui changent qui peut engager le détenteur ou contrôler le statut des ressources de grande valeur.
La rareté des IPv4 change le calcul
La rareté des IPv4 transforme la vérification d'identité, passant de l'hygiène administrative à l'infrastructure de marché. La région du RIPE NCC dispose d'un marché de transfert mature parce que l'offre de nouvelles IPv4 est épuisée et que la demande persiste. Un transfert de registre n'est pas une vente de propriété au sens ordinaire, mais la reconnaissance d'un transfert peut être l'événement pratique qui libère de l'argent, achève la diligence raisonnable ou permet à un réseau de consolider ses actifs. Lorsqu'un acte de registre affecte une ressource rare et valorisée, la question de l'identité acquiert un poids financier.
Cela change les incitations. Un contact obsolète sur une allocation dormante n'est plus simplement un désordre. Cela peut être une cible. Un compte de portail attaché à un LIR riche en ressources n'est pas seulement une commodité administrative. Cela peut être la clé d'une transaction de valeur. Un ancien directeur avec d'anciens identifiants peut être tenté d'agir avant qu'un nouveau conseil d'administration ne puisse sécuriser le compte. Un acheteur pressé par le temps peut préférer un dossier d'autorité rapide mais faible. Un vendeur en difficulté financière peut subir la pression des créanciers, des initiés, des clients et des acquéreurs concurrents.
Les arrangements de séquestre amplifient le problème. Dans de nombreuses transactions privées, le paiement dépend de la reconnaissance du registre. L'acheteur ne veut pas libérer les fonds tant que le registre n'a pas modifié l'enregistrement; le vendeur ne veut pas perdre le contrôle sans paiement. Si la vérification d'identité est lente ou opaque, le capital du séquestre reste inactif et les contreparties s'inquiètent. Si elle est trop laxiste, le séquestre peut être libéré contre un transfert défectueux. La friction du registre devient une partie du coût du capital.
Les fusions et les restructurations ajoutent une autre couche. Une transaction d'entreprise peut être conclue en vertu du droit des sociétés avant que les mises à jour du registre ne soient terminées. L'acheteur peut avoir la responsabilité opérationnelle mais ne pas encore avoir le contrôle du portail. Le vendeur peut avoir des obligations résiduelles mais plus aucun intérêt économique continu. Le registre peut être invité à concilier des documents des autorités nationales, des contrats d'achat, des décisions du conseil d'administration et les rôles actuels du portail. Le retard peut être inoffensif pour une société holding passive. Il peut être coûteux pour un réseau dont les contrats clients, les accords de peering, le RPKI, le traitement des abus et la facturation dépendent d'une reconnaissance stable.
Le contexte des actifs rares augmente également les enjeux des faux négatifs. Un registre trop craintif peut geler la valeur. Des entreprises en difficulté peuvent avoir besoin de vendre de l'espace d'adressage pour préserver le service, payer les créanciers ou achever une restructuration. De petits fournisseurs peuvent avoir besoin de consolider les ressources après une fusion pour survivre. Un acquéreur légitime peut avoir besoin d'intégrer le routage et la certification. Si le test d'autorité n'est pas clair, ces parties dépensent de l'argent à deviner quelle preuve satisfera le registre. Certaines transactions échouent non pas parce que l'autorité est absente, mais parce que la voie vers la reconnaissance est incertaine.
Il n'y a pas de solution sans friction. Toute norme peut être contournée à la marge. Le but est de choisir une friction qui corresponde au risque économique. Une demande de transfert d'un grand bloc d'IPv4 entre des entités non liées devrait supporter une charge d'autorité élevée. Une demande de correction d'une faute d'orthographe après un changement de nom vérifié devrait en supporter moins. Une demande d'un administrateur d'insolvabilité devrait être traitée comme inhabituelle mais pas suspecte simplement parce qu'elle ne ressemble pas à une signature de directeur normale. Une demande de LIR parrain devrait être vérifiée pour l'autorité de l'utilisateur final lorsque l'action modifie la position de l'utilisateur final. La rareté rend la proportionnalité plus importante, et non moins.
Fusions, insolvabilité et le problème de la succession
Les fusions et l'insolvabilité sont les cas où la vérification de l'autorité devient la plus difficile. La vie normale d'une entreprise suppose la continuité: une entreprise existe, ses dirigeants sont connus et ses registres sont à jour. La restructuration brise cette hypothèse. Le détenteur peut fusionner avec une autre entité. Une unité commerciale peut être vendue sans que l'ancienne entreprise disparaisse. Une entreprise peut changer de dénomination sociale sans changer d'identité. Un réseau peut être acquis auprès d'une entreprise dont la coquille juridique demeure. Un tribunal peut nommer un administrateur. Une liquidation peut mettre fin au pouvoir de l'ancienne direction. Chaque cas présente un chemin différent de l'ancien détenteur à la nouvelle autorité.
Le RIPE-831 est utile comme pièce technique car il reconnaît les transferts causés par des fusions, des acquisitions, la faillite, la liquidation, la suspension des paiements et les procédures d'insolvabilité lorsqu'ils sont appuyés par une documentation officielle des autorités nationales. Il reconnaît également les successeurs légaux et les personnes autorisées comme demandeurs possibles. Ce langage pointe le problème central: la succession n'est pas toujours une signature nette du directeur d'hier et du directeur de demain. Parfois, le directeur d'hier n'a plus de pouvoir. Parfois, le directeur de demain contrôle une personne morale différente. Parfois, la seule personne qui peut agir est nommée par un tribunal ou une procédure de créanciers.
L'insolvabilité crée des incitations particulièrement aiguës. Les enregistrements d'adresses peuvent faire partie des rares actifs de valeur associés à un réseau défaillant. Les créanciers veulent que la valeur soit préservée. Les clients veulent la continuité du service. L'ancienne direction peut vouloir une vente, résister à une vente ou tenter de favoriser un acheteur. Les employés peuvent contrôler les systèmes. Un acheteur peut avoir besoin d'une reconnaissance rapide du registre pour maintenir les services en vie. Le praticien de l'insolvabilité peut comprendre le droit des sociétés mais pas la procédure du RIPE NCC. Un registre qui ne peut pas distinguer l'ancien contrôle opérationnel de la nouvelle autorité légale peut soit faciliter un transfert d'initié, soit bloquer une restructuration légitime.
Il y a aussi un problème de calendrier. Les événements d'entreprise peuvent se produire plus rapidement que la mise à jour des registres. Une fusion peut prendre effet en vertu du droit local avant que le dossier du registre ne soit mis à jour. Une nomination judiciaire peut immédiatement remplacer les directeurs. Un registre national peut publier des enregistrements avec retard. Un acheteur peut avoir besoin de planifier la migration des clients avant que tous les documents ne soient traduits. Le registre a besoin de suffisamment d'assurance pour agir, mais il ne doit pas traiter chaque écart de calendrier comme une preuve de fraude. La question pertinente est de savoir si l'autorité revendiquée est légalement et factuellement liée au détenteur et à l'acte demandé.
La succession transfrontalière multiplie l'incertitude. Une approche procédurale néerlandaise peut ne pas correspondre parfaitement à une restructuration turque, une entité de zone franche émiratie, un registre d'entreprise ukrainien en temps de guerre, une entreprise publique kazakhe ou une administration britannique. Le registre n'a pas besoin de devenir expert dans chaque système. Il a besoin d'un moyen de demander des preuves pertinentes pour la décision sans transformer son incertitude en une demande illimitée de papiers supplémentaires. Il peut exiger des traductions, des extraits récents, une preuve de nomination, une autorité du conseil, des documents judiciaires ou des confirmations lorsque le risque le justifie. Il devrait expliquer quel maillon est manquant.
Les cas les plus dangereux sont ceux où l'autorité est partielle. Une société mère peut contrôler le groupe sans être directement propriétaire du détenteur de ressources. Un fournisseur de services peut gérer le réseau sans détenir les ressources. Un ancien directeur peut avoir signé les documents de service originaux du RIPE NCC mais avoir perdu sa capacité. Un LIR parrain peut être la seule partie ayant accès au portail, mais ne pas être le bénéficiaire économique. Dans de tels cas, la friction du registre devrait se concentrer sur le maillon manquant: du demandeur au détenteur, du détenteur à la ressource, de l'événement juridique à l'acte de registre.
LIR parrains et le bord délégué
Le modèle de LIR parrain est un dispositif de coordination utile et une source récurrente de friction d'autorité. Les utilisateurs finaux qui ne sont pas membres du RIPE NCC peuvent détenir des ressources indépendantes par le biais d'une relation contractuelle avec un LIR parrain. Cet arrangement permet aux réseaux plus petits ou spécialisés d'obtenir des services de registre sans être membres à part entière. Cela crée également un bord délégué où le registre peut voir le LIR parrain plus clairement qu'il ne voit l'autorité interne actuelle de l'utilisateur final.
Pour le support ordinaire, cela peut bien fonctionner. Le LIR parrain comprend le portail, les processus du RIPE NCC et les normes techniques. Il peut aider un utilisateur final à demander un changement, à maintenir des enregistrements ou à gérer les relations de ressources. Mais la visibilité du parrain n'est pas la même chose que la propriété de la décision de l'utilisateur final. Un changement de parrainage, un transfert impliquant des ressources indépendantes ou une demande de récupération peut placer le LIR parrain dans une position où son intérêt commercial diffère de l'intérêt de l'utilisateur final. La question de l'autorité devient alors délicate: le LIR parrain transmet-il l'instruction de l'utilisateur final, ou parle-t-il pour lui-même?
Cela est important pour la survie des petits opérateurs. Un utilisateur final peut être un fournisseur local, un réseau d'entreprise, une organisation à but non lucratif, un organisme de recherche ou une institution publique. Il peut s'appuyer sur un LIR parrain parce qu'il manque d'expertise en matière de registre. Si le parrain fait faillite, est acquis, devient hostile, perd du personnel ou refuse de coopérer lors d'un litige, l'utilisateur final a besoin d'un moyen de rétablir ou de changer de parrainage. Si le registre insiste sur la coopération du parrain dans tous les cas, la relation déléguée devient une prison. S'il accepte toute réclamation de l'utilisateur final sans vérifier l'autorité actuelle, il invite au détournement et à l'opportunisme commercial.
Le registre a besoin d'une norme à deux faces. Il doit respecter le rôle opérationnel du LIR parrain, car le LIR est souvent la seule partie capable de soumettre via les canaux établis. Il doit également préserver l'autorité sous-jacente de l'utilisateur final, car les ressources sont associées à la relation contractuelle et à l'utilisation du réseau de cet utilisateur final. Lorsqu'un changement important affecte les droits de l'utilisateur final, le registre devrait pouvoir demander si le représentant autorisé actuel de l'utilisateur final soutient la demande. Lorsque le parrain ne répond pas ou est en conflit, le registre devrait avoir une voie confidentielle pour que l'utilisateur final prouve son autorité directement.
La même logique s'applique aux fournisseurs de services et aux consultants. De nombreux réseaux externalisent leurs opérations. Un consultant peut maintenir les enregistrements, détenir les identifiants et gérer le routage. Cette dépendance pratique ne devrait pas devenir une autorité illimitée de registre. Inversement, une entreprise ne devrait pas être pénalisée pour avoir externalisé si elle peut démontrer l'autorité actuelle et un besoin légitime de reprendre le contrôle. La vérification d'identité doit distinguer l'aide technique de confiance de la capacité à engager le détenteur.
Le bord délégué est également là où une vérification trop large peut faire du mal. Un petit utilisateur final peut ne pas avoir les documents d'entreprise soignés d'un grand LIR. Son signataire peut être un fonctionnaire municipal, un administrateur d'université, un fondateur, un fiduciaire ou un directeur de petite entreprise. Une norme conçue uniquement pour les grands transferts d'entreprise peut rendre la récupération trop lente. La question doit rester spécifique. Qui peut engager cet utilisateur final pour ce parrainage ou ce changement de registre? Quelles preuves sont disponibles auprès de l'institution concernée? Quel risque le changement crée-t-il? Le registre peut-il accorder une reconnaissance limitée, exiger une confirmation ultérieure ou préserver la continuité tout en résolvant l'autorité?
Sanctions, banques et le coût de se tromper
Les sanctions ajoutent une dimension de droit public à la vérification d'autorité. Les pages de fusion et de transfert du RIPE NCC indiquent que les demandes sont vérifiées par rapport à la liste des sanctions de l'UE et qu'un transfert ne sera pas approuvé si une partie est sous sanctions. C'est une pièce technique d'une réalité plus large: la reconnaissance du registre, le règlement bancaire et l'examen de conformité interagissent de plus en plus. Le registre n'est pas une banque, mais sa décision peut influencer le fait qu'une banque, un fournisseur de séquestre, un acheteur ou une contrepartie considère une transaction de ressources comme propre.
La question de l'autorité est importante parce que le risque de sanctions ne se limite pas au nom figurant sur le devant du dossier. Un groupe d'entreprises peut contenir des propriétaires sanctionnés, des filiales non sanctionnées, des directeurs bloqués, des structures de prête-nom ou un contrôle en évolution rapide. Une demande peut être présentée par une personne qui n'est pas elle-même sanctionnée, mais qui agit pour une partie qui l'est. Un ancien directeur peut tenter de déplacer de la valeur avant qu'un gel ne prenne effet. Un acheteur peut demander la confirmation qu'un transfert de ressources en difficulté n'est pas entaché. La vérification d'identité ne peut pas résoudre le droit des bénéficiaires effectifs. Elle peut réduire le risque que le registre reconnaisse une demande de quelqu'un qui n'a pas l'autorité ou qui cache la véritable partie aux commandes.
Il y a un danger des deux côtés. Si le registre traite l'anxiété des sanctions comme une raison d'exiger des informations illimitées, il risque de devenir une autorité de conformité parallèle avec des normes peu claires. S'il traite le filtrage des sanctions comme une case à cocher détachée de l'autorité, il risque d'approuver des demandes formelles qui masquent une succession fictive ou un contournement par des initiés. La meilleure norme est encore une fois proportionnelle. Lorsque l'exposition aux sanctions est plausible, le registre devrait demander qui engage le détenteur, qui contrôle la partie bénéficiaire aux fins pertinentes pour l'acte de registre, et si la succession ou le transfert déclaré est étayé par des preuves officielles et transactionnelles.
Les banques et les fournisseurs de séquestre créent une autre couche de friction. Ils peuvent exiger la preuve que le registre reconnaîtra un transfert avant que les fonds ne soient déplacés; le registre peut exiger des accords signés avant la reconnaissance; les parties peuvent ne pas vouloir signer certains documents définitifs avant que le financement ne soit assuré. Le résultat peut être un problème de coordination. Des normes d'autorité claires réduisent ce problème en indiquant aux parties ce qui doit être vrai avant que le registre n'agisse. Des normes peu claires font du registre une source d'incertitude transactionnelle.
Le registre doit également faire attention à la confidentialité. Les preuves d'autorité peuvent inclure des passeports, des documents de contrôle d'entreprise, des documents d'insolvabilité, des informations sensibles aux sanctions, des conditions de vente privées et des données personnelles. L'exactitude du registre public n'exige pas l'exposition publique de tous les documents de vérification. En fait, une publication excessive peut augmenter la fraude en apprenant aux acteurs malveillants ce qu'il faut imiter. Un canal de vérification confidentiel et étroit peut protéger le registre tout en limitant la divulgation à ce qui est nécessaire pour la coordination publique.
Les sanctions renforcent également la raison pour laquelle un comptable ne devrait pas devenir souverain. Le registre peut avoir des obligations en vertu de la loi applicable et ne doit pas reconnaître les transferts que ces obligations interdisent. Mais il doit résister à la tentation de convertir chaque préoccupation géopolitique en un pouvoir de reconnaissance discrétionnaire. La question pour le registre n'est pas de savoir s'il approuve une entreprise, un pays ou une transaction au sens large. La question est de savoir si les contraintes juridiques applicables et la politique du registre permettent la reconnaissance, et si la personne qui le demande a le pouvoir d'engager le détenteur.
Prévention de la fraude sans souveraineté du registre
La prévention de la fraude est l'argument le plus fort en faveur de la vérification d'identité. Les faux transferts, la capture de comptes, les abus de contacts obsolètes, les abus internes et les successions fictives sont des risques réels. La valeur des IPv4 leur donne un motif. La complexité des entreprises transfrontalières leur donne une couverture. La dépendance opérationnelle aux comptes leur donne une opportunité. Un registre qui ne vérifie pas l'autorité peut contribuer à convertir un identifiant compromis ou un rôle obsolète en un contrôle reconnu.
Mais la prévention de la fraude peut devenir un mandat sans limites. Un registre peut commencer par demander si un signataire est autorisé et finir par décider si une fusion est commercialement judicieuse, si un litige familial est crédible, si un acheteur est souhaitable ou si un opérateur en difficulté mérite d'être sauvé. Ce serait un blanchiment de mandat: utiliser une fonction étroite de sécurité du registre pour exercer un pouvoir de reconnaissance plus large. Le remède contre la fraude n'est pas un pouvoir discrétionnaire illimité. C'est un test pertinent pour la décision.
Le test devrait commencer par l'acte. Que demande le requérant au registre de faire? Transférer la titularité? Changer une dénomination sociale? Changer de parrainage? Récupérer l'accès au compte? Verrouiller des ressources? Mettre à jour un contact? Créer ou gérer des fonctions RPKI? L'acte détermine le préjudice potentiel. Le préjudice potentiel détermine la force de la preuve. Un transfert irréversible de grande valeur nécessite plus d'assurance qu'une correction de contact de routine. Une récupération de compte contestée nécessite plus d'assurance qu'une réinitialisation de mot de passe pour un administrateur connu. Un verrouillage volontaire de transfert nécessite la preuve que le demandeur peut engager le détenteur, car le verrouillage peut limiter la liquidité future.
Le test devrait ensuite identifier le détenteur et la chaîne d'autorité actuelle. Pour une entreprise, cela peut inclure les directeurs, les signataires autorisés, les administrateurs, les liquidateurs, les successeurs légaux ou les personnes habilitées par des documents du conseil ou du tribunal. Pour une personne physique, cela peut inclure une preuve d'identité et la preuve que la personne est le détenteur actuel ou le successeur légal. Pour un utilisateur final, cela peut inclure l'accord d'utilisateur final, la relation avec le LIR parrain et la preuve que le représentant de l'utilisateur final soutient l'action. Pour une société de groupe, cela peut nécessiter la preuve que l'entité agissante peut engager le détenteur enregistré plutôt que de simplement affirmer le contrôle du groupe.
Le test devrait également respecter les signaux opérationnels sans les surévaluer. L'accès au portail, l'authentification unique (SSO), l'authentification à deux facteurs, les relations de mainteneur existantes, l'historique des tickets, les contacts de facturation et les schémas de communication antérieurs sont des preuves. Elles ne sont pas concluantes. Elles peuvent accroître la confiance lorsqu'elles sont alignées sur l'autorité légale. Elles peuvent déclencher des alarmes lorsqu'elles divergent. Une demande d'un compte nouvellement ajouté pour transférer un espace de valeur peu après un litige d'entreprise mérite un examen plus approfondi qu'une demande de routine d'un contact de longue date qui correspond aux registres actuels de l'entreprise.
Enfin, le test devrait produire des raisons. Un refus n'a pas besoin de publier des preuves privées. Mais le demandeur devrait comprendre le maillon manquant: aucune preuve que le signataire peut engager le détenteur; aucune preuve que la société mère peut agir pour la filiale; aucune confirmation de l'administrateur de l'insolvabilité; aucune autorité de l'utilisateur final derrière une demande de LIR parrain; des revendications contradictoires nécessitant une résolution externe; des sanctions ou des contraintes juridiques empêchant la reconnaissance. Les raisons disciplinent le registre et aident les parties légitimes à remédier aux défauts sans deviner.
Confidentialité, révision et réversibilité
La vérification d'identité exige des preuves sensibles. Le registre peut voir des documents d'identité, des extraits d'entreprise, des résolutions du conseil, des nominations judiciaires, des contrats de vente, des dossiers d'insolvabilité, des informations sur les bénéficiaires effectifs, des traductions et des coordonnées privées. L'Internet public a besoin d'un enregistrement fiable des ressources; il n'a pas besoin de chaque artefact de vérification. La confidentialité n'est donc pas une indulgence. Elle fait partie de la conception.
La confidentialité réduit trois risques. Premièrement, elle protège les données personnelles et les informations commerciales. Deuxièmement, elle réduit le risque que des acteurs malveillants puissent étudier des dossiers antérieurs pour imiter les chaînes d'autorité réussies. Troisièmement, elle encourage les parties légitimes à fournir des preuves complètes plutôt que de retenir des informations par crainte qu'elles ne soient exposées. Un registre qui ne peut pas protéger les preuves d'autorité sensibles recevra moins de preuves ou créera de nouvelles surfaces d'attaque.
La révision est tout aussi importante. La partie confrontée à la friction ne devrait pas percevoir le registre comme une boîte noire. Une demande motivée de preuves supplémentaires est différente d'une pause indéfinie. Un refus explicite est différent du silence. Une voie d'escalade documentée est différente du pouvoir discrétionnaire du personnel sans mémoire institutionnelle. La révision n'exige pas de transformer chaque cas en litige. Cela signifie que les décisions importantes peuvent être reconsidérées par quelqu'un qui n'est pas investi dans la première réponse, avec la question d'autorité clairement formulée.
La réversibilité est plus difficile. Certains actes de registre sont plus faciles à annuler que d'autres. Une correction de contact peut être annulée. Un transfert peut être réversible en termes de registre, mais coûteux en termes de marché et opérationnels une fois que l'argent, le routage et les contrats ont bougé. Le RIPE-831 note que le RIPE NCC se réserve le droit d'annuler un transfert si une autre partie le conteste et prouve que les ressources auraient dû lui être transférées. C'est une soupape de sécurité nécessaire, pas un substitut à une vérification minutieuse. L'annulation après un faux transfert est coûteuse, incertaine et perturbatrice.
Le concept de reconnaissance réversible peut tout de même aider. Lorsque l'incertitude existe mais que la continuité opérationnelle est urgente, le registre pourrait accorder un accès limité, préserver les fonctions de routage du statu quo ou autoriser certaines mises à jour tout en bloquant le transfert ou la cession. Il pourrait reconnaître un praticien de l'insolvabilité pour la récupération et la continuité, tout en exigeant des preuves plus solides pour la vente. Il pourrait permettre à un utilisateur final vérifié de changer de parrain défaillant tout en examinant tout transfert simultané à un acheteur. L'objectif est de séparer les actes plutôt que de traiter la reconnaissance comme un tout ou rien.
Cette séparation réduit les préjudices. Un détenteur légitime privé d'outils RPKI peut avoir besoin d'une récupération urgente pour prévenir les pannes. Cela ne signifie pas que la même personne devrait immédiatement pouvoir transférer les ressources. Un acheteur peut avoir suffisamment de preuves pour préparer une transaction, mais pas assez pour une reconnaissance finale. Un ancien contact peut être utile pour la continuité technique, mais pas pour le consentement légal. Une autorité granulaire permet au registre de répondre à la réalité sans reconnaître excessivement les revendications incertaines.
Les raisons, la confidentialité et la reconnaissance partielle rendent également la proportionnalité crédible. Sans elles, la « proportionnalité » est un slogan. Avec elles, le registre peut dire: cet acte crée ce risque; cette preuve est manquante; cette preuve y remédiera; cet accès temporaire est autorisé; ce transfert ne l'est pas; cette décision peut être révisée. C'est ainsi que la friction devient gouvernance plutôt que retard.
Le problème des petits opérateurs
La friction de vérification d'identité est régressive à moins d'être délibérément conçue autrement. Le coût fixe de la preuve d'autorité est plus facile à absorber pour les grandes institutions. Un opérateur multinational peut produire des documents du conseil notariés, des lettres d'avocats, des traductions et du personnel de conformité dédié. Un petit FAI, une société d'hébergement ou un réseau d'entreprise peut n'avoir qu'un administrateur, un comptable et un directeur qui est aussi l'ingénieur. Le préjudice du retard peut être plus important par rapport aux revenus.
Les petits opérateurs ne sont pas automatiquement moins risqués. Certaines fraudes ciblent précisément les petits détenteurs ou les détenteurs dormants parce que les registres sont obsolètes et la surveillance est faible. Mais les petits opérateurs sont souvent confrontés à des perturbations d'autorité pour des raisons banales: décès du fondateur, divorce, maladie, rotation du personnel, consultants impayés, retards des registres locaux, migration d'un parrain historique ou acquisition par un fournisseur voisin. Une norme construite autour de grandes hypothèses d'entreprise peut transformer une perturbation honnête en paralysie.
La diversité de la région de service du RIPE NCC rend cela aigu. Dans certains pays, les registres des sociétés sont rapides et transparents. Dans d'autres, les registres officiels peuvent être lents, coûteux, hors ligne, interrompus par des conflits ou difficiles à traduire. Certaines entités sont des organismes du secteur public ou des organisations à but non lucratif avec des structures de signature qui ne ressemblent pas aux sociétés privées. Certaines sont des sociétés de zone franche avec une documentation familière dans le Golfe mais moins familière à Amsterdam. Certains sont des détenteurs personnes physiques dont la succession peut être régie par des documents familiaux ou testamentaires plutôt que par des extraits d'entreprise.
Un registre ne devrait pas résoudre cela en renonçant à l'autorité. Cela rendrait les petits détenteurs plus faciles à voler. Il devrait le résoudre en publiant un chemin compréhensible. Ce chemin devrait indiquer quels types de preuves peuvent prouver l'autorité actuelle pour les types d'entités courants; que faire lorsque l'accès au portail est perdu; comment un LIR parrain peut et ne peut pas agir; comment gérer le décès, l'insolvabilité et le changement de dénomination sociale; comment demander un examen confidentiel; et quelles mesures temporaires peuvent préserver les opérations pendant que la chaîne d'autorité est clarifiée.
Pour les petits opérateurs, le temps est un coût matériel. Un retard de deux semaines peut être supportable pour un grand opérateur et fatal pour un fournisseur local en difficulté. Il peut perturber une vente, déclencher une perte de clients ou amener une banque à se retirer. Des attentes de service claires sont importantes. Si un cas est complexe, le registre devrait identifier la complexité rapidement. Si un document est manquant, il devrait dire quel maillon il affecte. Si une résolution juridique externe est nécessaire, il devrait dire pourquoi les preuves du registre ne peuvent pas résoudre le conflit.
Le registre devrait également éviter les préjugés linguistiques et de forme documentaire. Une traduction peut être nécessaire, mais une forme non familière ne devrait pas être confondue avec une autorité faible. La chaîne d'autorité d'une université publique, les règles de signature d'un réseau municipal, la licence d'une société de zone franche ou une nomination en cas d'insolvabilité peuvent sembler différentes d'un extrait de société d'Europe occidentale. La norme devrait demander si les preuves identifient de manière crédible le détenteur, le demandeur et l'autorité pour l'acte, et non si elles ressemblent au dossier le plus courant du registre.
Une bonne friction protège les petits détenteurs du vol et de l'abandon. Une mauvaise friction fait le contraire. Elle protège le confort du registre tout en laissant le détenteur incapable de récupérer des comptes, de changer de parrain, de terminer des restructurations ou de maintenir les clients en ligne. La différence réside dans le fait que le registre vérifie l'autorité avec précision ou accumule du papier comme assurance contre le blâme.
Une norme de vérification étroite
Une norme d'autorité pratique pour le RIPE NCC devrait comporter cinq parties. Premièrement, elle devrait être spécifique à l'acte. Le registre devrait définir l'acte demandé et le classer dans un niveau de risque. Le transfert, la reconnaissance de fusion, le changement de dénomination sociale, le changement de parrainage, le verrouillage volontaire de transfert et la récupération de compte contestée ne devraient pas tous recevoir le même traitement que la maintenance de routine des données. L'acte détermine à la fois le niveau de preuve et les mesures provisoires possibles.
Deuxièmement, elle devrait être spécifique au détenteur. Le registre devrait identifier le détenteur enregistré actuel et la structure juridique ou contractuelle qui relie le demandeur à ce détenteur. C'est là que la confusion société mère-filiale, la confusion parrain-utilisateur final et la confusion consultant-détenteur doivent être résolues. L'autorité d'agir pour une filiale n'est pas automatiquement l'autorité d'engager le détenteur enregistré. Le service opérationnel pour un détenteur n'est pas automatiquement l'autorité de disposer des droits d'enregistrement du détenteur. Le rôle de portail d'un LIR parrain n'est pas automatiquement l'instruction de l'utilisateur final.
Troisièmement, elle devrait être spécifique au rôle. Le registre devrait demander quel rôle la personne occupe: directeur, dirigeant, administrateur, liquidateur, successeur légal, signataire autorisé, contact enregistré, représentant du LIR parrain, contact technique, contact de facturation ou administrateur du portail. Il devrait ensuite demander ce que ce rôle peut faire. Un rôle suffisant pour recevoir des factures peut ne pas être suffisant pour un transfert. Un rôle technique peut être suffisant pour une mise à jour liée au routage mais pas pour une vente. Un rôle d'insolvabilité peut prévaloir sur les anciens directeurs pour certains actes.
Quatrièmement, elle devrait être spécifique aux preuves. Le registre devrait identifier quelles preuves soutiennent quel maillon. Les extraits d'entreprise soutiennent l'existence et les dirigeants. Les documents judiciaires soutiennent l'administration ou la liquidation. Les résolutions du conseil soutiennent l'autorité déléguée. Les accords de transfert soutiennent le consentement à la transaction. L'historique du portail soutient la continuité opérationnelle. Les accords de parrainage soutiennent le service délégué. Les documents d'identité relient une personne à un nom. Aucun document unique ne doit être traité comme magique; aucun document manquant ne doit être fatal si une autre source fiable prouve le même maillon, à moins que la loi ou la politique n'exige cette forme.
Cinquièmement, elle devrait être spécifique au recours. Si la preuve est insuffisante, le registre devrait dire comment y remédier ou pourquoi cela ne peut pas être résolu dans le cadre du processus du registre. Si des demandeurs rivaux présentent une autorité plausible, le recours peut être une résolution externe. Si un compte de portail est obsolète mais que l'autorité légale est claire, le recours peut être la récupération du compte avec un accès contrôlé. Si un transfert est trop risqué mais que les opérations sont en danger, le recours peut être des mesures de continuité limitées. Si la loi sur les sanctions bloque la reconnaissance, le recours peut être en dehors du pouvoir discrétionnaire du registre.
Cette norme n'éliminerait pas le jugement. Elle rendrait le jugement responsable. Elle réduirait également la tentation de collecter excessivement. Demander tous les documents possibles peut sembler plus sûr, mais cela obscurcit souvent le problème manquant. Demander le bon document ou la bonne confirmation est préférable. La question devrait être: quelle preuve changerait la confiance du registre que ce demandeur peut engager ce détenteur pour cet acte?
La norme étroite respecte également le rôle institutionnel du registre. Le RIPE NCC ne devrait pas décider qui mérite la valeur des IPv4, qui devrait gagner un litige d'entreprise ou si une restructuration d'entreprise est sage. Il devrait décider si le registre peut reconnaître un changement demandé sans nuire à l'exactitude, à la sécurité et au fonctionnement légal du registre des ressources. C'est un rôle puissant, mais limité.
Ce que les détenteurs de ressources devraient internaliser
Les détenteurs de ressources ne remarquent souvent la vérification d'autorité que lorsqu'une crise est déjà arrivée. C'est trop tard. La stratégie la moins coûteuse est de réduire l'ambiguïté à l'avance. Un détenteur devrait maintenir à jour les rôles du portail, supprimer le personnel parti, activer une authentification forte, documenter qui peut approuver les transferts ou les modifications majeures du registre, aligner les registres de l'entreprise sur les registres du registre et s'assurer que les relations avec le LIR parrain ne dépendent pas d'une seule personne injoignable.
Ce n'est pas une simple netteté administrative. C'est une assurance. Une entreprise qui traite l'accès au registre comme un mot de passe d'ingénierie partagé peut découvrir, lors d'une vente ou d'un litige, que personne ne peut prouver qui est autorisé. Une société mère qui n'aligne jamais les registres des filiales peut découvrir que l'autorité au niveau du groupe n'est pas suffisante. Un petit opérateur qui dépend entièrement d'un consultant peut se retrouver incapable de récupérer des ressources si le consultant disparaît. Un utilisateur final qui ne revoit jamais son arrangement de parrainage peut trouver un changement lent précisément lorsque la continuité opérationnelle est la plus importante.
Les conseils d'administration et les équipes financières devraient également comprendre que le statut de registre lié aux IPv4 peut affecter la valeur de la transaction. Un contrat d'achat d'un réseau devrait identifier les ressources de numéros Internet, les noms des détenteurs du registre, les relations de parrainage, l'accès au portail, le contrôle RPKI, les restrictions de transfert et l'autorité du signataire. Les conditions du séquestre devraient tenir compte du calendrier du registre. La planification de l'insolvabilité devrait traiter les enregistrements de ressources comme des actifs opérationnels nécessitant une continuité, et non comme un détail administratif.
Pour les petits détenteurs, le conseil pratique est encore plus simple: rendez l'autorité lisible avant qu'elle ne soit contestée. Conservez un extrait d'entreprise à jour ou son équivalent. Enregistrez qui peut parler au registre. Assurez-vous que plus d'une personne appropriée comprend l'accès au portail. Évitez de laisser les identifiants à un seul sous-traitant. Si le parrainage est utilisé, assurez-vous que l'accord et les chemins de contact sont clairs. Lorsqu'un fondateur ou un détenteur individuel est impliqué, la planification de la succession est importante. L'ambiguïté du registre après un décès ou une incapacité est coûteuse et évitable.
Pour les LIR parrains, la leçon est de documenter l'instruction. Lorsqu'ils agissent pour un utilisateur final, en particulier pour des changements importants, le LIR devrait pouvoir montrer qu'il suit la direction autorisée actuelle de l'utilisateur final. Cela protège l'utilisateur final, le LIR et le registre. Cela réduit également le risque qu'un litige commercial sur des frais impayés, la résiliation du service ou la migration soit déguisé en litige d'autorité.
Pour les acheteurs et les vendeurs, la leçon est de traiter la vérification d'identité comme faisant partie de l'exécution de la transaction. Ne présumez pas qu'un accord commercial signé est suffisant si l'autorité du signataire en matière de registre n'est pas claire. Ne présumez pas que l'accès au portail est suffisant si la capacité juridique fait défaut. Établissez une liste de contrôle de clôture qui relie l'autorité légale, le nom du détenteur du registre, les restrictions de transfert, le filtrage des sanctions, les factures, le parrainage et le contrôle opérationnel. Le coût de le faire tôt est inférieur au coût de la découverte de la lacune à la clôture.
Ces préparatifs privés ne peuvent pas remplacer les normes du registre. Ils réduisent la probabilité que le registre doive exercer un pouvoir discrétionnaire difficile sous pression. La meilleure vérification d'autorité est souvent celle qui est rendue banale par une hygiène préalable.
Le compromis du comptable
Le meilleur compromis est modeste. Le RIPE NCC devrait vérifier l'identité et l'autorité lorsqu'un acte de registre l'exige. Il devrait le faire parce qu'une fausse reconnaissance peut nuire aux détenteurs, aux clients, aux marchés et au registre lui-même. Mais la vérification devrait rester liée à l'acte de registre. Le grand livre a besoin d'un comptable, pas d'un souverain.
Ce compromis a des conséquences pratiques. Pour les mises à jour de routine, les canaux opérationnels authentifiés devraient généralement suffire. Pour les actes importants, le registre devrait identifier le détenteur actuel, le demandeur, le rôle, la source d'autorité et l'acte demandé. Pour les transferts de grande valeur, les restructurations, les cas d'insolvabilité, les changements de parrainage, les verrouillages volontaires de transfert et les récupérations de compte contestées, il devrait exiger des preuves plus solides. Pour les cas opérationnels peu clairs mais urgents, il devrait envisager des mesures de continuité limitées. Pour les revendications plausibles rivales, il devrait préserver le registre de la capture et exiger une clarté externe. Pour les contraintes de sanctions, il devrait indiquer le problème juridique ou procédural aussi clairement que la confidentialité le permet.
Cette approche change également la façon dont la friction est jugée. La question n'est pas de savoir si un utilisateur trouve la vérification ennuyeuse. Bien sûr que oui. La question est de savoir si la friction apporte une réduction du risque pertinente pour la décision. Si une demande de document n'améliore pas la confiance quant à qui peut engager le détenteur, c'est une taxe sur la liquidité et la continuité. Si une vérification d'identité empêche un contact obsolète de transférer des ressources rares, c'est une garantie de registre public. Même friction, valeur différente.
L'économie n'est donc pas anti-vérification. Elle est anti-vérification indiscriminée. Les vérifications d'identité sont justifiées lorsque l'acte du registre reconnaîtrait l'autorité, modifierait le contrôle, permettrait un transfert, affecterait l'exposition aux sanctions, rétablirait des comptes ou altérerait la continuité opérationnelle. Elles sont moins justifiées lorsqu'elles ne font que rassurer le registre sans changer la décision. La proportionnalité n'est pas de la mollesse. C'est de la précision.
Pour le RIPE NCC, il s'agit d'un défi de gouvernance susceptible de s'amplifier. La rareté des IPv4 ne disparaît pas. Les structures d'entreprise ne deviennent pas plus simples. Les sanctions et les écrans de conformité ne reculent pas. Les petits opérateurs continueront de changer de mains, de faire faillite, de se rétablir, de fusionner et de dépendre de parrains. Le contrôle des comptes restera à la fois une nécessité opérationnelle et une surface d'attaque. Le registre continuera de recevoir des cas où le réseau fonctionne, le dossier est presque complet et la personne qui appuie sur « soumettre » est le risque non résolu.
La réponse durable est une discipline d'autorité étroite: expliquer quel acte est reconnu; vérifier qui peut engager le détenteur pour cet acte; protéger les preuves confidentielles; préserver la continuité opérationnelle lorsque cela est possible; donner des raisons; et éviter de convertir la reconnaissance du registre en souveraineté d'entreprise générale. C'est l'économie de la friction de vérification d'identité. C'est le coût pour garder le grand livre utile sans laisser le comptable posséder le marché.

