Category Archives: Privacy

This web site now supports HTTP/2 – SPDY

http2I am happy to report that this web site now supports the new HTTP/2 protocol. HTTP/2 was standardised in RFC 7540. For the most tech savvy, they can turn to the Wikipedia entry that describes the protocol with more detail. Suffice to say that it aims at making web sites load faster.

However, there is one requirement that is still difficult to honour for individual, non-commercial sites like this one. HTTP/2 requires the connection between the web server and the browser to be encrypted. For this, one needs a SSL/TLS certificate, which can cost quite some money. Starting 16 November 2015, the Let’s Encrypt project will issue free SSL/TLS certificates, trusted by all browsers. This will be a serious boost for HTTP/2. This web site is part of the Let’s Encrypt Limited Beta, meaning it can already support HTTP/2.

http/2 screenshot

Where are the individuals, domain name holders, within ICANN ?

icann-thumbThe just published Whois Registrant Identification Study, Draft Report, is an interesting read. This study, conducted by NORC at the University of Chicago, uses Whois to classify entities that register domain names, including natural persons, legal persons, and Privacy/Proxy service providers.

One major finding in this study is that one third of domain name registrations are done by natural persons, i.e. individuals. As the study points out, these domains are more likely to be used for non-commercial purposes. Up to now, the common wisdom among the ICANN community was that the number of domain names registered for private use was, at best, marginal. Hence, the belief that they were not worth spending any resources on them on the policy side. Read more »

SNCBGate: Comment le faux amateurisme se rèvèle payant

sncb-leak-checkOn a beaucoup critiqué la communication de la SNCB dans l’affaire de la fuite de données privées ces dernières semaines. Effectivement, la communication de l’entreprise a souvent été factuellement inexacte, voire mensongère. Il faut cependant se rendre compte que la communication n’est pas un rapport de police, et ne doit donc pas chercher la vérité, mais plutôt protéger l’entreprise attaquée. En ce sens la stratégie de la SNCB a été payante.

Rétroactes. Le 22 décembre 2012, après que la fuite de données ait été annoncée, la SNCB réagit par le biais d’un premier porte-parole, qui raconte des conneries reprises sans esprit critique par la majorité de la presse. C’est bien connaître les médias belges. Le besoin d’annoncer l’info avant la concurrence implique l’absence de recherche, et se limite donc au copier/coller du communiqué de presse, ou de la dépêche Belga. Les rédacs-chefs n’ont pas non plus l’envie d’investir du temps, des ressources et des compétences sur un sujet très spécialisé qui peut s’avérer non-fondé ou inintéressant en termes d’audience, voire avoir des répercussions sur le budget publicitaire. La SNCB est un grand annonceur. SNCB/citoyens 30-0.

Le 29 décembre, après que la première version eut été discréditée par différentes initiatives citoyennes, telles celles de Xavier Damman, Frédéric Jacobs, Nurpa ou votre serviteur, la SNCB envoie au front une deuxième porte-parole. Son apparition laisse passer le message subliminal que son collègue s’est lourdement fourvoyé et qu’on envoie donc quelqu’un de mieux renseigné. Stratégie payante à nouveau.  Ses propos très légèrement corrigés sont accueillis comme une rectification de la communication précédente, et donc à nouveau répercutés tels quels. SNCB/citoyens 40-15.

4 janvier 2013. Nouvelle version de la part de la SNCB. Nouveau porte-parole. C’est fois, c’est le directeur de la communication. Un homme d’autorité, donc. Lui, au moins, il doit savoir de quoi il parle. On peut donc le croire quand il affirme qu’il y a seulement 700.000 victimes et non 1.460.000 comme démontré d’autre part. Il reconnaît une “erreur humaine”, mais fait l’impasse sur la responsabilité de l’entreprise. Il n’est donc pas nécessaire de présenter des excuses. Sur l’origine de la fuite, un audit externe confirme que le fichier n’aurait pas du se trouver là où il était, chose que l’on savait depuis le 22 décembre. Dernier message: le fichier était en ligne depuis le mois de mai 2012.  Encore une fois, l’important est ce qui n’est pas dit. Le fichier étant en ligne depuis 7 mois sans occasionner de dégâts apparents, il en découle donc que les personnes y figurant ne pourront invoquer un quelconque préjudice. Ce sera très utile quand le parquet devra établir s’il y a lieu de lancer des poursuites à l’encontre de la SNCB.

Au final donc, une communication parfaitement maîtrisée, y compris dans son amateurisme de facade. SNCB: jeu, set et match.

Post-mortem: LA SNCB met en ligne les coordonnées de 1.400.000 clients

Update: 29 Dec 2012

Ce samedi 22 décembre, un internaute lambda utilisait Google pour confirmer l’adresse d’expédition de ses cartes de voeux. A sa grande surprise, Google lui retourne dans les résultats de recherche un fichier contenant 1.460.734 clients de la  SNCB-Europe, avec leurs noms, adresse e-mail, adresse postale, téléphone(s), date de naissance et identifiant de connexion (mais pas le mot de passe). Pas de hacking, juste une ENORME bévue de la SNCB, qui a placé sur son site public un document qui aurait dû être traité selon la législation en vigueur.

Le plus étonnant est la réaction de la SNCB qui, au lieu de présenter ses excuses et de jouer la transparence, se retranche dans une attitude du type “c’est pas moi, M’sieur”, digne d’une cour de récréation. Débusquons donc les allégations fantaisistes de la SNCB. Une superficielle analyse technique démontre que la SNCB veut volontairement noyer le poisson. Read more »

Intellectual Property rights in new Top Level Domains: Implementation Recommendation Team draft report

The IRT has released a draft report.  The composition of the  team is strongly biased towards North American intellectual property interests. Unfortunately, individuals were not represented.  Neither were potential new gTLD operators.  There was only one US-based registrar present and only one incumbent US-based registry.  In summary, this report is partial, both because it does not cover the whole picture and because it is strongly biased towards the interests of a specific group.

Quite confusingly, it was published on 24th April, with a 30 day comment period. However, one needs to comment before 6 May if it wants the IRT to consider the comments. Strange tactics.

As others have pointed out, the effective 7 day comment period over this draft report is way too short. It may be wise that the ICANN board does not consider this report before the community has had a real opportunity to comment.

I totally support Michele Neylon’s comments on the whois model  contemplated by this report. It would be in breach with many privacy regulations throughout the world. Further, if the ability to comply with the whois recommendations, as set forth in this report, would become one of the evaluation criteria for the new gTLD applications, this would favour registry operators located in countries with little or no privacy laws. This would put at a competitive disadvantage those businesses which need to comply with local laws. Questions to the IRT:

  • Did the IRT consider if their recommendations regarding the whois were actually compliant with relevant legislation throughout the world ?
  • Will the ability to comply with the whois recommendations, as set forth in this report, be a part of the evaluation process of new gTLD applications ?

Regarding the IP clearinghouse, it is stated that “The recommendation should not result in unnecessary or undue costs, either to trademark owners or to legitimate users and consumers”. Does this mean that the registry operators will have to bear all the increase of their operating costs for protecting third parties interests? The net effect of this is that operators will need to shift the increasing cost among all their customers, including those who have no IP rights to protect. This will mean raising the unit price of domain names for every customer, making the TLD less attractive and potentially be a cause of registry failure. In the case of community-based TLDs that focus on a limited market through a not-for-profit model, this may simply mean that the potential costs  and legal risks may be disporportionate for them to bear.

There is a major concern that different levels of protection for marks may put the registry operator in a position to have to arbitrate between second level domain name  applications and become legally involved in disputes between third parties. Unlike trade marks, which can be multiple according to industrial sectors and geography, domain names are by nature globally unique. As technical operators, registries should have no business in deciding who is the legitimate intellectual right owner.

If such IP clearinghouse system is put in place, it should, at a minimum:

  1. Be automated and implementable at a marginal cost by registries and registrars
  2. Exempt the registry operators from further legal consequences if it has demonstrated that it queried the database at registration time.

In addition to the above, I think it would be only fair that whatever policies are decided as a consequence of this process are also made mandatory for the existing gTLDs. The new entrants should not be the only ones having to bear the weight and costs of these policies.