"AFRINIC a pris des mesures et tenu ses parties prenantes informées de la situation. Des améliorations infrastructurelles de sa base de données ont été mises en œuvre et les règles et procédures opérationnelles ont été examinées, y compris, mais sans s'y limiter, un examen de l'accès des utilisateurs à l'infrastructure ."
Introduction
AFRINIC a entrepris un audit de tous les adresses IPv4 qui consistait à vérifier la bonne garde de ces ressources. L'audit a vérifié les processus adoptés pour l'attribution des ressources numériques IPv4 qui couvraient à la fois les ressources legacy et non legacy qui relèvent de la région de service d'AFRINIC.
AFRINIC a pris des mesures et tenu ses parties prenantes informées de la situation, apporté des améliorations infrastructurelles à sa base de données, revu ses règles et procédures opérationnelles, y compris, mais sans s'y limiter, un examen de l'accès des utilisateurs aux infrastructures.
Enfin, le rapport a fourni quelques recommandations qui aideront AFRINIC à maintenir une Base de données WHOIS à jour. .
Qu'est-il arrivé
La manipulation non autorisée des ressources de numéros IP dans la Base de données WHOIS d'AFRINIC a été mis en lumière vers la mi-2019. Suite à une enquête interne, un ancien employé s'est avéré avoir manipulé des ressources IP faisant partie du pool de ressources d'AFRINIC. Cette affaire a été signalée à la Division centrale mauricienne des enquêtes criminelles et une enquête est actuellement en cours.
Ce que nous avons trouvé
L'audit révèle que 2,371,584 adresses IPv4 ont été manipulées du pool de ressources d'AFRINIC et attribuées à des organisations sans justification.
Un total de 1,060,864 ressources d'IPv4 ont été récupérées, c'est-à-dire radiées de laBase de données WHOIS 'AFRINIC et sont actuellement en «quarantaine» pour une période de 12 mois. Après la période de «quarantaine», les ressources peuvent être ajoutées au pool de ressources d'AFRINIC disponibles pour de nouvelles allocations.
Un total de 1,310,720 de ressources IPv4 , liées à deux organisations distinctes, doivent encore être récupérées en raison de la diligence raisonnable continue.
Concernant l'appropriation illicite de l'espace legacy IPv4 , 1,799,168 IPv4 les adresses, considérées comme un espace d'adressage hérité, semblent avoir été compromises, et des mesures ont été prises pour contacter les détenteurs de la source:
- 394,496 adresses legacy IPv4 ont ensuite été consolidées à la demande de la société holding des organisations auprès desquelles les ressources étaient enregistrées;
- Modifications non fondées de 467,968 adresses legacy IPv4 ont été inversées;
- 936,704 adresses legacy IPv4 sont actuellement en litige et en attente de détermination de la garde légitime.
Que fait-on pour empêcher que cela ne se reproduise?
À la suite des conclusions de l'audit, AFRINIC a pris plusieurs mesures correctives telles que le renforcement des processus internes et externes et l'ajout de plusieurs niveaux de vérification à nos processus d'attribution de propriété intellectuelle et de mise à jour de la base de données. Voici ce qui a été fait jusqu'à présent par AFRINIC.
- Nous communiquons régulièrement par e-mail et articles de blog pour tenir nos parties prenantes informées de la situation. Toutes les organisations concernées ont été informées de prendre les mesures appropriées pour protéger la garde des ressources qu’elles détiennent.
- AFRINIC a entrepris une revue de ses processus actuels relatifs à sa fonction principale et a apporté diverses améliorations aux mécanismes de contrôle de la gestion des ressources de numéros Internet. Celles-ci couvraient l'adoption d'une politique de fraude et de corruption, l'introduction d'un mécanisme d'alerte et bien d'autres.
- Nos règles de gestion actuelles fournissent désormais un meilleur support aux détenteurs de ressources héritées de sorte qu'une vérification appropriée des détenteurs de ressources héritées sera effectuée avant toute mise à jour des enregistrements sur l'AFRINIC. WHOIS base de données.
- Les membres ressources doivent répondre à de nouvelles vérifications pour se conformer au processus et aux politiques commerciales internes d'AFRINIC: seuls les contacts enregistrés sont autorisés à demander un service d'assistance, à vérifier les informations d'enregistrement des noms de domaine et à recouper les informations d'enregistrement de l'entreprise là où ces services sont disponibles.
- AFRINIC a renforcé ses capacités internes et s'est engagé dans un programme de formation pour les membres du personnel des services d'enregistrement. Ceci est continu pour s'assurer que tous les membres de l'équipe sont capables d'évaluer avec diligence les demandes et également capables d'identifier les risques encourus.
- La base de données a été mise à niveau avec des mécanismes d'authentification avec des fonctions de sécurité supplémentaires. Le personnel autorisé à modifier les enregistrements sur MyAfrinic et la base de données WHOIS authentifient ces modifications à l'aide de leur clé PGP. Les responsables de la maintenance utilisent uniquement l'authentification PGP. Tous les détenteurs de ressources ont également été invités à adopter des mécanismes de mot de passe sécurisés.
- Des niveaux supplémentaires de contrôle des privilèges système pour le personnel du département des services d'enregistrement ont été mis en place.
- AFRINIC dispose d'un mécanisme en place qui garantit que tous les objets WHOIS La base de données est protégée par un responsable (généré automatiquement pour les objets de personne et de rôle).
- AFRINIC surveille également régulièrement les incohérences dans ses bases de données à travers des rapports qui sont générés quotidiennement. L'équipe des services d'inscription est informée lorsque des incohérences sont détectées entre les entrées du fichier de ressources et la base de données du registre.
Comment pouvons-nous contribuer à améliorer les choses
À la suite de l'audit qui a été réalisé sur l'exactitude de la Base de données, les recommandations suivantes ont été formulées:
- Le rapport recommande à tous les membres ressources de mettre à jour leurs coordonnées.
- Le rapport recommande que les organisations veillent à ce que leurs coordonnées apparaissent sur l'AFRINIC WHOIS La base de données est constamment mise à jour.
- Le rapport recommande qu'AFRINIC consacre des ressources pour s'assurer que les demandes des détenteurs de ressources héritées sont traitées dans les délais de service.
- Le rapport recommande que la communauté AFRINIC évalue de manière critique la meilleure façon d'améliorer la précision des informations relatives aux détenteurs de ressources héritées et examine si les ressources héritées inutilisées doivent rester inutilisées pendant qu'AFRINIC épuise son pool restant de ressources. IPv4 Adresses.
- Le rapport recommande également que les politiques susceptibles d'aider AFRINIC à garantir à tout moment une WHOIS La base de données est développée.
A venir
AFRINIC s'engage à exécuter efficacement les recommandations mises en évidence dans le rapport. En tant que registre Internet régional (RIR) pour l'Afrique et la région de l'océan Indien, AFRINIC s'appuie sur les contributions de sa communauté pour mettre en œuvre ces recommandations et améliorer l'exactitude et la sécurité de la Base de données.
Au fur et à mesure que nous avançons, AFRINIC tiendra sa communauté informée de toute amélioration apportée sur la Base de données WHOIS.