Qu’est-ce que RDAP ?

Le RDAP actualise ce processus d’accès à la data en introduisant de nouvelles caractéristiques techniques et des options de contrôle d’accès spécifiques, qui protègent mieux les données personnelles des utilisatrices et utilisateurs et assurent une meilleure interopérabilité.

Historiquement, le protocole Whois a été l’outil principal pour accéder aux données d’enregistrement des domaines, des adresses IP du serveur et d’autres ressources numériques. Bien que très répandu, ce protocole est ancien et n’a pas été conçu pour faire face aux besoins modernes de sécurité des données.
Il fonctionne en renvoyant toutes les données d’enregistrement sans distinction, sans chiffrement et souvent sans tenir compte de la confidentialité de certains éléments.
Ce fonctionnement engendre des problèmes, car les informations affichées peuvent inclure des données personnelles sensibles.
Le RDAP se positionne quant à lui comme le successeur du Whois en tant que protocole d’accès aux informations d’enregistrement. Il permet une meilleure gestion des données d’enregistrement en fonction de la personne qui effectue la demande et assure un contrôle d’accès plus sélectif à toute info sensible. Ce protocole introduit plusieurs avantages majeurs : 

• sécurisation accrue : le RDAP utilise le protocole HTTPS pour chiffrer les informations transmises, contrairement au Whois qui repose sur des connexions non sécurisées ;
• standardisation et structure : les réponses de RDAP sont fournies en JSON, un format lisible et facilement intégrable pour les systèmes modernes ;
• contrôle d’accès et conformité : le RDAP permet aux registres de noms de domaine ou à des structures comme l’ICANN d’adapter les éléments affichés selon les droits du client ou de la cliente, répondant ainsi aux obligations légales en matière de protection de la vie privée.

En tant que tel, le RDAP répond aux défis modernes dans le domaine de la sécurité en apportant une structure d’accès contrôlée aux informations d’enregistrement, le tout de façon unifiée et compréhensible par les machines.

Plusieurs causes ont motivé la création du RDAP pour remplacer le Whois, en raison notamment des nombreux enjeux de sécurité et de conformité.

— Respect de la confidentialité : avec la mise en œuvre de réglementations comme le RGPD, il est devenu essentiel de protéger les informations personnelles et de restreindre leur accès.
— Uniformité des données : le Whois souffre de l’absence d’uniformité. Chaque registre et bureau d’enregistrement de noms de domaine utilise en effet des formats et des champs différents pour les informations. Le RDAP, au contraire, impose un format standardisé (JSON), facilitant son intégration dans des systèmes externes.
— Sécurité des connexions : le RDAP requiert l’utilisation du HTTPS pour assurer la sécurité des connexions, ce qui protège les éléments transmis contre les interceptions et les modifications. Ce chiffrement est essentiel pour garantir la sécurité des échanges entre les serveurs RDAP et les internautes.
En réponse aux limitations du Whois et aux exigences de sécurisation des données, l’IETF a mis au point le RDAP pour offrir une solution plus sécurisée et adaptable aux besoins des différentes parties prenantes, tout en respectant les lois en vigueur.

Comment le RDAP fonctionne-t-il ?

Le RDAP fonctionne par l’intermédiaire de requêtes HTTP(S), qui retournent des informations sous format JSON (JavaScript Object Notation). Il est à la fois lisible pour les humains et facilement exploitable par des serveurs, ce qui facilite l’intégration des données dans des systèmes automatisés.

Le processus d’accès via RDAP implique plusieurs étapes clés :

— requête HTTP(S) : un utilisateur, tel qu’un navigateur ou une application, envoie une requête HTTP ou HTTPS au serveur RDAP qui détient les informations d’enregistrement ;
— retour des données en JSON : ces dernières sont renvoyées dans un format JSON standardisé, permettant aux systèmes de les intégrer facilement. En fonction de l’authentification et de l’autorisation du client ou de la cliente, certaines informations sensibles peuvent être masquées ;
— filtrage des données : les serveurs RDAP peuvent appliquer des filtres pour limiter l’affichage de certains éléments au client ou à la cliente sans droits spécifiques, ce qui représente une avancée par rapport au Whois. Il est en effet possible de choisir les informations affichées.

Grâce à ce processus, le service RDAP assure une meilleure sécurité des données en proposant un accès flexible et sécurisé pour les différentes catégories d’utilisateurs, tout en facilitant la transmission de l’info. Ces derniers bénéficient également d’une expérience de recherche améliorée, puisque le RDAP offre une navigation plus structurée, avec des champs et des données ordonnées en fonction du contexte.

L’accès aux informations est encore à définir

Malgré ses avancées, le RDAP n’a pas encore atteint une uniformité totale en ce qui concerne l’accès aux données et la mise en place de standards globaux. Cette situation est en partie due aux différences entre les lois concernant la sécurité d’un pays à l’autre. L’IETF et l’ICANN travaillent encore à harmoniser les pratiques d’accès afin de mieux s’adapter aux diverses législations.

De plus, les bureaux d’enregistrement et registres de noms de domaine doivent encore adapter leurs systèmes pour intégrer pleinement la dernière version du RDAP (la version 2024 contre la version 2019 actuelle) et ses fonctionnalités de contrôle d’accès. Pour garantir un accès adéquat tout en protégeant les informations personnelles, des discussions sont en cours afin d’établir des directives précises pour l’implémentation de ce protocole.

Le déploiement mondial du RDAP a également nécessité des efforts de coordination entre les autorités de régulation, les bureaux d’enregistrement et les utilisateurs finaux pour établir des règles claires sur l’accès aux données d’enregistrement. La nouvelle version du RDAP est entrée en vigueur le 28 janvier 2025. La définition de ces règles devrait permettre de trouver un équilibre entre les besoins en sécurité, la transparence et les contraintes légales. Il serait alors possible de proposer une solution confidentielle, tout en assurant l’accès aux informations nécessaires pour certaines entités autorisées.

Le RDAP suit des règles spécifiques (RFC) qui assurent une continuité dans la lisibilité des données :

•  RFC 7480 : utilisation du HTTP dans le protocole d'accès aux données d'enregistrement (RDAP) ;

•  RFC 7481 : services de sécurité pour le protocole d'accès aux données d'enregistrement (RDAP) ;

•  RFC 7482 : format de requête du protocole d'accès aux données d'enregistrement (RDAP) ;

•  RFC 7483 : réponses JSON pour le protocole d'accès aux données d'enregistrement (RDAP) ;

•  RFC 7484 : recherche du service d'accès aux données d'enregistrement (RDAP) autorisé ;

•  RFC 7485 : inventaire et analyse des objets d'enregistrement Whois.

Le RDAP constitue une avancée majeure pour le domaine de la gestion des ressources web, offrant une alternative sécurisée et conforme au Whois. Sa mise en œuvre s’inscrit dans une dynamique de protection de la vie privée, d’optimisation de l’interopérabilité des données et de modernisation des systèmes d’accès aux informations d’enregistrement.

Qui peut accéder aux informations via le RDAP ?

Le RDAP est accessible à toutes et tous, mais il dispose d’un contrôle d’accès qui permet aux entités autorisées (Law Enforcement Authorities ou LEA, autorités légales, organisations du secteur de la sécurité) d’accéder à des données plus détaillées, tout en limitant l’accès des utilisatrices et utilisateurs standards aux seules informations nécessaires.

Le RDAP offre des avantages significatifs par rapport à la forme initiale du Whois, en particulier en matière de sécurité, de conformité légale et de facilité d’intégration pour différents acteurs du secteur des noms de domaine.
Pour les bureaux d’enregistrement et les registres de noms de domaine, le RDAP simplifie la gestion des informations d’enregistrement. Ce contrôle contribue à éviter les violations de confidentialité et facilite la conformité, réduisant ainsi les risques juridiques.
Les autorités et organisations de cybersécurité bénéficient également d’un accès plus ciblé et sécurisé aux informations essentielles pour leurs enquêtes. Grâce au protocole de filtrage et de sécurité du RDAP, elles peuvent accéder à des données pertinentes sans exposition d’informations non nécessaires. La possibilité d’obtenir des informations structurées en JSON facilite par ailleurs l’analyse automatisée et l’intégration avec leur propre système et serveurs, optimisant ainsi l’efficacité des opérations de recherche et de veille.
Les utilisateurs et utilisatrices finaux profitent d’une interface plus sécurisée et structurée, qui limite l’accès à des informations non essentielles et protège la vie privée des propriétaires de domaines. Il est en effet possible de consulter des données de base sans avoir accès aux détails personnels sensibles, rendant le processus plus respectueux de la vie privée.
En somme, le RDAP permet à chaque acteur d’accéder aux données pertinentes en fonction de son profil et de ses besoins, tout en garantissant la sécurité et la confidentialité des informations d’enregistrement.

Pourquoi le RDAP remplace-t-il le Whois ?

Le RDAP a été créé pour répondre aux limites du Whois en matière de sécurité, de confidentialité et de format de données. Il apporte notamment une meilleure gestion des accès, une structure en JSON et une compatibilité accrue avec les réglementations, comme le RGPD.

Comment le RDAP améliore-t-il la sécurité ?

Le RDAP utilise le protocole HTTPS pour chiffrer les éléments transmis, contrairement au Whois qui fonctionne sans sécurisation.

Quelles sont les principales différences entre le RDAP et le Whois ?

Le RDAP offre des connexions sécurisées (HTTPS), des réponses structurées en JSON et une meilleure conformité aux lois. Le Whois, en revanche, est plus vulnérable aux failles de sécurité et ne propose pas de restrictions d’accès.

Comment fonctionne le contrôle d’accès dans le RDAP ?

Le contrôle d’accès dans le RDAP est basé sur les droits utilisateur. Les utilisateurs non authentifiés ont accès à des informations limitées, tandis que les utilisateurs authentifiés, tels que les autorités, peuvent accéder à des données plus complètes en fonction de leurs autorisations.