English
1. Introduction
Following recent statements in the press and on various mailing lists, AFRINIC has prepared a short summary of the current situation regarding the misappropriation of IP addresses in the AFRINIC region. The purpose of this summary is to clarify what we know so far, what we have done, and what we are planning to do.
We take this matter extremely seriously and have been following due diligence processes to ensure that we have sufficient evidence for the ongoing cases described below. We welcome any additional information regarding these cases from members or the wider Internet community as long as this information is provided in a constructive manner and through the proper channels.
2. What has happened?
AFRINIC has reason to believe that about 4 million IPv4 addresses were misappropriated as follows:
- Around 2.3 million IP addresses in the AFRINIC IPv4 pool were incorrectly reclassified in the AFRINIC WHOIS database as legacy address space and misappropriated.
- Almost 1.7 million IP addresses which were correctly labelled as legacy address space were misappropriated.
2.1 What is the legacy address space?
Legacy IP address space refers to IPv4 addresses issued to certain organisations before the Regional Internet Registry (RIR) system was adopted. When AFRINIC began operations in 2005, the legacy resources for organisations based in the region were moved to AFRINIC. Historically, organisations holding only legacy space do not have a contractual agreement with AFRINIC but are still part of the whois Database and can use certain services. Further information can be found here.
3. What has AFRINIC done?
An internal AFRINIC investigation was conducted in consultation with APNIC, the Regional Internet Registry for the Asia Pacific Region. AFRINIC then initiated a police investigation which is ongoing and upon which we cannot comment at this time.
In addition, we undertook a comprehensive and stringent audit of the AFRINIC WHOIS database. The detailed results from this audit will be available at the end of the year. The audit covers all existing allocations in the AFRINIC WHOIS database. We are investigating all the IPv4 space that has ever been allocated to or by AFRINIC right back to the beginning of AFRINIC’s operations in 2005.
We can summarise the current findings and actions resulting from this audit as follows:
A pool of more than 2.3 million IP addresses appears to have been incorrectly reclassified in the AFRINIC WHOIS database as legacy address space and misappropriated. We have contacted all the organisations labelled as holders of this address space to ask for proof that they are the rightful holders. As a result of this process, we have reclaimed around 1 million IPv4 addresses. The reclaimed space is under quarantine until such time that it can be made available for allocation to AFRINIC Resource Members. Investigation of the remaining 1.3 million IP addresses is ongoing with the organisations labelled as holding these resources.
We have contacted all the legacy space holders concerned in order to ensure that the AFRINIC WHOIS database is updated with the information from the rightful holders of that address space.
Regarding the almost 1.7 million IPv4 addresses mentioned in 2(b) above, AFRINIC has reversed changes to about 330,000 IP addresses so far. The reversed space is present in the AFRINIC WHOIS database with the correct details for the rightful holders of the legacy space.
4. What has AFRINIC done to keep this from happening again?
In addition to our detailed audit, reclamation and reversal activities, we have reinforced internal and external processes adding multiple layers of verification to our IP allocation and database update processes. We will continue to improve the WHOIS database security procedures based on the feedback from subject matter experts and in close cooperation with the AFRINIC members and wider Internet community.
5. Ongoing criminal investigation and legal action
On 10/12/2019, AFRINIC reported the matter to the Mauritian Police Force and a criminal investigation was initiated against a former AFRINIC staff member. We cannot provide any more details at this stage as this investigation is ongoing.
AFRINIC has been made the respondent in a court case that is a direct consequence of our actions to reclaim IP address space that we believe was misappropriated and to reverse changes to legacy space in the AFRINIC WHOIS database. This is an ongoing matter (sub-judice), and so we cannot comment on the case at this stage.
In this regard, we are following our legal obligations in exactly the same way as the other Regional Internet Registries. We are also bound by the Data Protection Act and our Registry Services Agreement with members which limit the information we can provide publicly.
Any resource holder directly linked to the court case has been contacted and given details of how to obtain the relevant court documents should they wish to intervene. Other parties that believe they have an interest in the case can contact the Supreme Court of Mauritius quoting Cause Number SC/COM/WRT/000295/2020 to request access to the relevant court documents.
6. Next steps
We will continue the audit of all IPv4 address space in the AFRINIC region. The results from this audit will be available at the end of the year. We will provide AFRINIC members and the community with updates on our progress where appropriate and legally permissible.
As the Regional Internet Registry (RIR) for Africa and the Indian Ocean region, AFRINIC will continue to follow and uphold the RIR principles to ensure a strong, reliable and well-functioning Internet for all. We are committed to protecting the Internet number resources entrusted to us and to ensure the accuracy and security of the AFRINIC WHOIS database.
Eddy Kayihura
Chief Executive Officer
AFRINIC
en Français
Manipulation non autorisée des adresses IP dans la région AFRINIC
1. Introduction
Suite aux récentes déclarations dans la presse et sur les diverses listes de diffusion, AFRINIC a préparé un bref résumé de la situation actuelle concernant la manipulation non autorisée des adresses IP dans la région AFRINIC. L'objectif de cette mise à jour est de clarifier ce que nous savons jusqu'à présent, ce que nous avons fait et ce que nous prévoyons de faire.
Nous prenons cette affaire très au sérieux et avons suivi des procédures de diligence raisonnable pour nous assurer que nous disposons de preuves suffisantes pour les cas en cours décrits ci-dessous. Toute information supplémentaire concernant ces cas est la bienvenue, qu'elle provienne de membres ou de la communauté Internet au sens large, pour autant qu'elle soit fournie par les voies appropriées et de manière constructive.
2. Que s'est-il passé ?
L'AFRINIC a des raisons de croire qu’environ 4 millions d'adresses IPv4 ont été manipulées sans autorisation comme suit:
- Environ 2,3 millions d'adresses IP dans le pool IPv4 d'AFRINIC ont été incorrectement reclassées dans la base de données whois d'AFRINIC comme étant des espaces d'adressage ‘legacy’ et ont été manipulées sans autorisation.
- Près de 1,7 million d'adresses IP qui étaient correctement classées comme espace d'adressage ’legacy’ ont été manipulées sans autorisation.
2.1 Qu'est-ce que l'espace d'adressage ‘legacy’ ?
L'espace d'adressage IP ‘legacy’ fait référence aux adresses IPv4 délivrées à certaines organisations avant l'adoption du système de registre Internet régional (RIR). Lorsque l'AFRINIC a commencé ses activités en 2005, les ressources ‘legacy’ des organisations basées dans la région ont été transférées à l'AFRINIC. Historiquement, les organisations ne disposant que d'un espace ‘legacy’ n'ont pas d'accord contractuel avec l'AFRINIC mais font toujours partie de la base de données whois et peuvent utiliser certains services. De plus amples informations sont disponibles ici.
3. Qu'a fait AFRINIC ?
Une enquête interne de l'AFRINIC menée en consultation avec l'APNIC, le registre Internet régional pour la région Asie-Pacifique, a révélé que les adresses IP du pool IPv4 de l'AFRINIC avaient été reclassées à tort comme espace d'adressage ‘legacy’ et a été manipulé. L'AFRINIC a alors lancé une enquête policière qui est en cours et sur laquelle nous ne pouvons pas nous prononcer pour le moment.
En outre, nous avons entrepris un audit complet et rigoureux de la base de données whois d'AFRINIC. Les résultats détaillés de cet audit seront disponibles à la fin de l'année. L'audit couvre toutes les allocations existantes dans la base de données whois d’AFRINIC. Nous examinons tout l'espace IPv4 qui a été alloué à ou par l'AFRINIC depuis le début des opérations de l'AFRINIC en 2005.
Nous pouvons résumer comme suit les conclusions et les actions actuelles résultant de cet audit :
- Un ensemble de plus de 2,3 millions d'adresses IP semblent avoir été incorrectement reclassé dans la base de données whois de l'AFRINIC en tant qu'espace d'adressage ‘legacy’ et a été manipulé sans autorisation. Nous avons contacté toutes les organisations identifiées comme détentrices de cet espace d'adressage pour leur demander de prouver qu'elles en sont les détenteurs légitimes. Grâce à ce processus, nous avons récupéré environ 1 million d'adresses IPv4. L'espace récupéré est en quarantaine jusqu'à ce qu'il puisse être mis à la disposition des membres de l'AFRINIC. L'enquête sur les 1,3 million d'adresses IP restantes est en cours avec les organisations désignées comme détentrices de ces ressources.
- Nous avons contacté tous les détenteurs d'espaces d'adresses ‘legacy’ concernés afin de nous assurer que la base de données whois d’AFRINIC est mise à jour avec les informations des détenteurs légitimes de ces espaces d'adresses.
- En ce qui concerne près de 1,7 million d'adresses IPv4 mentionnées au point 2(b) ci-dessus, AFRINIC a inversé les changements apportés à environ 330 000 adresses IP, à ce jour. L'espace inversé est présent dans la base de données whois d'AFRINIC avec les détails corrects pour les détenteurs légitimes de l'espace d'adresses.
4. Qu'a fait AFRINIC pour éviter que cela ne se reproduise ?
En sus de nos activités de vérification approfondie, de récupération et d'inversion, nous avons renforcé les processus internes et externes en ajoutant plusieurs couches de vérification à nos processus d'attribution d’adresses IP et de mise à jour de la base de données. Nous continuerons à améliorer les procédures de sécurité de la base de données whois sur la base des commentaires des experts en la matière et en étroite coopération avec les membres de l'AFRINIC et la communauté Internet au sens large.
5. Enquêtes criminelles et actions en justice en cours
Le 10/12/2019, l'AFRINIC a signalé cette affaire à la police mauricienne, qui a ouvert une enquête criminelle à l'encontre d'un ancien membre du personnel de l'AFRINIC. Nous ne pouvons pas fournir plus de détails à ce stade car cette enquête est en cours.
AFRINIC a été mis en cause dans une affaire judiciaire qui est la conséquence directe de nos actions visant à récupérer l'espace d'adresses IP que nous pensons ont été manipulées et à inverser les changements apportés à l'espace existant dans la base de données whois d'AFRINIC. Il s'agit d'une affaire en cours (en instance), et nous ne pouvons donc pas commenter l'affaire à ce stade.
À cet égard, nous respectons nos obligations légales exactement de la même manière que les autres registres Internet régionaux. Nous sommes également liés par la loi sur la protection des données et par notre accord de services de registre avec les membres, qui limitent les informations que nous pouvons fournir publiquement.
Tout détenteur de ressources directement lié à l'affaire a été contacté et a reçu des informations sur la manière d'obtenir les documents judiciaires pertinents au cas où il souhaiterait intervenir. Les autres parties qui estiment avoir un intérêt dans l'affaire peuvent contacter la Cour suprême de Maurice en citant le numéro de dossier SC/COM/WRT/000295/2020 pour demander l'accès aux documents judiciaires pertinents.
6. Prochaines étapes
Nous poursuivrons l'audit de tout l'espace d'adressage IPv4 dans la région AFRINIC. Les résultats de cet audit seront disponibles à la fin de l'année. Nous fournirons aux membres de l'AFRINIC et à la communauté des mises à jour sur nos progrès lorsque cela sera approprié et légalement autorisé.
En tant que registre Internet régional (RIR) pour la région Afrique et l'océan Indien, l'AFRINIC continuera à suivre et à défendre les principes communs à tous les RIR pour que chacun puisse bénéficier d'un Internet robuste, fiable et fonctionnel. Nous nous engageons à protéger les ressources qui nous sont confiées et à assurer l'exactitude et la sécurité de la base de données whois d'AFRINIC.
Eddy Kayihura
Directeur Général
AFRINIC
