Vous êtes ici :
-
Consultations
-
Commandes publiques de l'Afnic
-
Documents de référence
-
Statistiques
-
Publications
-
Blog
- Les marques répondent présentes au 2nd rendez-vous du Cercle des .marque
- Radioscopie du .RE
- À propos de l’attaque sur les résolveurs DNS de FAI français
- Utiliser l'open data de l'Afnic : exemple avec le terme COVID
- Héberger un nom de domaine avec caractères composés
- L’éligibilité d’un titulaire situé sur le territoire du Royaume-Uni post BREXIT
- Peut-on avoir des caractères composés dans un nom de domaine ?
- Le fonctionnement de l'Afnic pendant le confinement
- Quels domaines de premier niveau ont une adresse IP ?
- Lala Andriamampianina nous a quittés
- 6 conseils pour éviter les piratages de son site web
- Résolutions 2020: l'Afnic se met à l'elliptique
- À la recherche des nTLD low cost
- Balade au cœur du .paris - à la découverte de sa communauté
- Le .ORG – une autre perspective
- Retour sur le succès de la première rencontre du Cercle des .marque
- Facteurs clés de succès des extensions internet : une grille d’analyse
- [Vidéo] Retour sur le Forum de la Gouvernance Internet (FGI) France 2019
- Un petit exemple d'utilisation des données ouvertes de l'Afnic
- Réflexions sur les modèles économiques des « nouveaux TLD »
- 30 ans, des succès, et des risques ; le Web, l'URL et le futur
- [Success stories] Renforcer son infrastructure pour l’adapter à ses ambitions
- 1er février 2019 : le DNS va-t-il trembler ?
- [Success stories] Ils ont fait le choix d’une extension internet personnalisée
- [Success stories] Le .museum, une extension internet historique redynamisée
- Les grandes étapes pour lancer efficacement votre .marque
- 6 secrets pour améliorer le renouvellement des noms de domaine
- [Vidéo] Retour en images sur l'IGF 2018 Paris
- Le .MARQUE pour optimiser l'expérience client
- L’Afnic s’implique dans la sécurité du DNS au niveau international
- Remplacement de la clé KSK de la zone racine : Êtes-vous prêts ?
- Comment la SNCF a mis en oeuvre sa nouvelle stratégie digitale avec oui.sncf ?
- Projet de R&D: classification automatique des abus en matière de noms de domaine
- Mémorisation auditive des noms de domaine
- Quelles actions mener face aux abus sur les noms de domaine ?
- Usurpation d’identité par nom de domaine : ce que fait l’Afnic
- Cybersquatting, Spam, Phishing… les différents types d’abus sur noms de domaine
- [Vidéo] Retour sur le Forum de la Gouvernance de l'Internet France 2018
- Les extensions internet personnalisées : quelles opportunités pour les marques ?
- Comment éviter l'irrecevabilité dans la procédure SYRELI
- Quels sont les termes anglophones les plus utilisés dans les domaines en .FR ?
- Sécurité des noms de domaine, l'exemple des cryptomonnaies
- Test de personnalité : êtes-vous prêts pour le RGPD ?
- Les extensions comme le .alsace ont-elles un effet sur le SEO local ?
- Quels sont les termes les plus utilisés dans les noms de domaine en .fr ?
- Les 11 endroits incontournables où votre adresse internet doit apparaitre !
- Quels moyens d'actions pour les ayants-droits non éligibles à la charte du .fr ?
- Litige sur un nom de domaine: la reconnaissance des droits d'une AOC dans SYRELI
- Pourquoi utiliser un nom de domaine sous une nouvelle extension ?
- L'Afnic, une communauté avant tout !
- La défense des droits de la personnalité dans la procédure SYRELI
- Le prochain round des nouveaux gTLD, c’est pour quand ?
- Pourquoi venir à l’Afnic Forum ?
- Résolveur public de DNS-sur-TLS Yeti
- 2016, début d’un nouveau cycle pour l’Afnic
- Le .fr vient de franchir le cap des 3 millions de noms de domaine
- Mon expérience au sein du service Juridique de l'Afnic
- [Vidéo] 4 conseils pour réussir le lancement de votre entreprise sur Internet
- Futur de l’ICANN: Ni privatisation, ni internationalisation, ni supervision
- Excellence à l’Afnic – le coming out
- Offre exclusive : votre nom de domaine 100% Remboursé* !
- Intervention à l'occasion de la remise du plan de transition IANA
- Afnic Football Club
- 8 astuces pour bien choisir son nom de domaine
- IPv6 et DNSSEC ont 20 et 19 ans. Même combat et mêmes défis !?
- Le projet Yeti d'expérimentation d'une racine DNS
- L.45-2 1° du CPCE : Quand le nom de domaine porte atteinte à la loi
- Comment éviter de se faire voler son nom de domaine par email ?
- Responsabilité et transition IANA : les coulisses
- République numérique : Ceci n’est pas une consultation publique
- Faut-il une approche globale pour les marques territoriales françaises ?
- Ne vendez plus de noms de domaine !
- abc.xyz : erratum.xyz
- abc.xyz : et pendant ce temps en France ?
- abc.xyz : pourquoi pas alphabet.com ? (Version théorie du complot)
- abc.xyz : le succès controversé du .xyz
- Communication institutionnelle : une tension permanente ?
- abc.xyz : pourquoi pas alphabet.com ?
- alphabet.xyz : comment Alphabet a acheté son nom de domaine ?
- abc.xyz : pas d’inquiétude, nous sommes aussi en train de nous habituer à ce nom
- La transition IANA franchit une étape majeure à Buenos Aires
- Une journée dans la vie de la communauté habilitée ICANN
- Transition IANA : la machine est lancée, mais l'échéance approche
- La Chine, une mutation à pas de géant
- Vers un DNS moins indiscret
- Les Parl : mettez toutes les chances de votre côté
- Icann : la gouvernance pour quoi faire ?
- ICANN Singapour. Un débat au bout du monde
- Synthèse de la table-ronde Afnic sur la solidarité numérique
- Mesurer la « qualité » de l'accès à l'Internet, mission difficile
- Réforme de l'Icann, la boite de Pandore est ouverte
- Comment se porte l'Internet en France ?
- Forum sur la Gouvernance de I’Internet : Que faire ?
- Spam suffit !
- Icann : ne bougez plus !
- Escroqueries et usurpations d’identité, expérience d’un rapporteur SYRELI
- La reforme des régions ne sonnera pas la fin des geoTLD français
- Que retenir de NETmundial ?
- Avis de changement à l'Afnic !
- Suggestions pour une transition IANA réussie
- Sur la gouvernance de l'Internet, les Etats Unis jouent la carte Icann
- Retour vers le futur du service juridique de l’Afnic
- Pourquoi les territoires veulent-ils leur place sur Internet ?
- Vers une nécessaire rationalisation du « panier gTLDs » des registrars ?
- L'éléphant IANA est dans la salle
- Syreli fête ses deux ans
- 2014 : changement de jalons pour le système de nommage
- Le système de nommage de GNUnet
- Gouvernance de l’Internet : Au travail !
- La responsabilité sociétale et l'ADN des ccTLDs
- Mais que fait l'Afnic ?
- Conseil d'Etat, Léon Blum, Lawrence Lessig et l'Afnic
- Qui est derrière le Whois ?
- Registrars Atlas 2013, ce qu'il faut retenir
-
FAQ
-
Lexique
-
Certificats
Cybersquatting, Spam, Phishing… les différents types d’abus sur noms de domaine
06 septembre 2018 - Par Stéphane Bortzmeyer
Le terme d’« abus » est difficile à définir. Par exemple, le titulaire d’une marque déposée va tendre à appeler « abus » toute utilisation du terme qu’il n’apprécie pas, définition qui ne fera pas consensus chez les autres parties prenantes. Certains termes très utilisés dans le milieu des noms de domaine, comme « cybersquatting », n’ont pas de définition juridique précise. Ce qui indigne un internaute peut laisser un autre indifférent, et la justice perplexe. D’autre part, la confusion fréquente entre le Web et les autres services existant sur l’internet complique encore les choses : par exemple, on voit parfois un contenu Web illégal être signalé au registre de noms de domaine, comme si cela était de son ressort.
Cet article explique les différentes choses qu’on regroupe sous le nom d’« abus » en matière de gestion de noms de domaine, en essayant d’être complet et rigoureux. Retrouvez la semaine prochaine un examen des différentes actions que le registre peut envisager face à ces abus.
Les abus
Cybersquatting
Le terme n’a pas de définition précise. (On a pu voir une entreprise condamnée pour ses pratiques en matière de noms de domaine se féliciter que « la qualification de cybersquatting n’a pas été retenue », ce qui est normal puisqu’elle n’existe pas en France.) Disons que le terme regroupe les cas où une entité, individu ou entreprise, achète des noms de domaine proches ou identiques du nom d’un tiers, non pas pour les utiliser pour son compte, mais pour les revendre au tiers ainsi lésé. Par exemple, s’il existe une entreprise nommée Fgxx6d et qu’elle n’a pas réservé le nom de domaine fgxx6d.fr, quelqu’un qui achète ce nom et propose ensuite
à l’entreprise de lui racheter pour 10 000 € peut sans doute être qualifié de cybersquatteur. (C’est en raison de ce risque qu’il est très recommandé de réserver les noms de domaine avant que le nouveau nom d’une entreprise, d’une marque, d’un parti politique ou d’un produit ne fuite à l’extérieur.)
Notez bien que l’achat et la vente de noms de domaine est une activité légale (on parle en franglais de « domaining ») et que celui qui la pratique (le « domaineur ») n’est pas forcément un cybersquatteur. Par exemple, les noms achetés et vendus peuvent être des termes génériques, ne portant préjudice à aucune organisation en particulier (regardez café.fr par exemple).
Le cybersquatting ne vise pas à tromper l’internaute (contrairement au hameçon- nage), uniquement à priver la victime d’un nom qu’elle aurait pu prendre, afin de lui demander de l’argent.
Le cybersquatting n’est pas toujours évident. Ainsi, le titulaire d’une marque déposée va souvent parler de cybersquatting si quelqu’un enregistre un nom identique à sa marque. Mais la loi est plus nuancée (principe de spécialité, qui fait qu’une marque est limitée à certaines classes de biens et services, et diverses exceptions), et cet enregistrement n’est pas forcément illégal. Un exemple fameux est celui de « Mont Blanc » qui peut correspondre à deux marques (les crèmes dessert et les stylos), ainsi qu’à une montagne célèbre et à une commune moins connue.
Parfois, le nom déposé ne correspond pas exactement au nom visé, et on parle alors de « typosquatting », si le déposant était de mauvaise foi. Si quelqu’un dépose labanquepostalee.fr, il peut s’agir d’un typosquatting (le e final redoublé) Cela rend évidemment l’analyse encore plus complexe : à partir de quel degré de différence considère-t-on qu’il s’agit de typosquatting ?
Spam
Lorsqu’un domaine identique ou proche au nom d’un tiers est utilisé dans du spam (envoi en masse de courrier non sollicité, une des plaies du courrier électronique), cela peut être pour tromper l’internaute sur le vrai émetteur, ou bien simplement pour faire retomber le blâme sur quelqu’un d’autre. Par exemple, un spam pour une pilule bleue qui remédie à des faiblesses érectiles va prétendre être envoyé depuis le domaine pfizer-livraisons.com pour essayer de faire croire au destinataire qu’il s’agit bien de l’authentique pilule de l’entreprise Pfizer.
Le spammeur peut déposer un domaine pour ses envois de spam, ou il peut tout simplement utiliser le domaine de quelqu’un d’autre. En effet, le courrier électronique n’est pas authentifié par défaut. Si je reçois un message prétendant venir de president@whitehouse.gov, cela ne prouve absolument pas que Donald Trump m’écrive, ni non plus que sa boîte de courrier électronique ait été piratée. Contrairement à ce qu’on lit parfois dans les médias, il n’est nullement nécessaire de pirater quoi que ce soit pour envoyer du courrier au nom d’une organisation quelconque, il suffit de profiter de cette absence d’authentification.
Il existe bien sûr des techniques qui ajoutent au courrier électronique une certaine dose d’authentification. Le problème est difficile, en partie parce que la définition même de « émetteur d’un courrier » n’est pas évidente (il y a plusieurs identités utilisées dans un message, par exemple s’il a été redirigé, ou bien s’il est arrivé via une liste de diffusion). Les techniques de protection vont des plus évidentes (refuser le courrier entrant prétendant venir d’un domaine qui n’existe pas) aux plus perfectionnées comme SPF et DKIM, qui reposent toutes les deux sur le DNS. Ces techniques sont efficaces et il est regrettable qu’elles ne soient pas davantage déployées mais elles ne font pas de miracle. Elles n’arrêtent pas toutes les usurpations, et elles supposent que les destinataires vérifient les informations authentifiées, ce que beaucoup ne font pas.
Malware
Le terme de logiciel malveillant (malware, en anglais) désigne tout logiciel que l’utilisateur ne souhaitait pas installer, et qui joue un rôle néfaste. Par exemple, certains logiciels malveillants affichent régulièrement des publicités sur l’écran, d’autres capturent les données personnelles, ou bien les clés Bitcoin, et les envoient au responsable du logiciel malveillant. Certains servent à effectuer des attaques par déni de service, en envoyant d’innombrables requêtes, et d’autres chiffrent les fichiers de l’utilisateur, avant de demander une rançon.
Comment ces logiciels malveillants arrivent-ils à s’installer sur la machine de l’utilisateur ? Il existe plusieurs mécanismes de propagation. Certains sont distribués par un vendeur peu scrupuleux, qui infecte délibérément les machines de ses clients (ce qu’avait fait Sony en 2005), d’autres se font passer pour bienveillants et sont installés volontairement par un utilisateur trompé (c’est la technique du cheval de Troie, décrite par Homère), d’autres enfin exploitent une faille de sécurité dans le navigateur Web, s’installant automatiquement quand on visite une page Web infectée (on parle d’infection « drive by »).
Du point de vue du monde des noms de domaine, les deux dernières catégories sont les plus intéressantes. Le cheval de Troie cherche à inspirer confiance. Il se présente comme utile à l’utilisateur (« cette application vous permettra de télécharger des MILLIONS de photographies de célébrités nues »), ce qui permettra de lui faire contourner les mécanismes de sécurité (« voulez-vous vraiment installer ce programme ? »). Un nom de domaine qui inspire confiance est donc utile au cheval de Troie. (Notons toutefois que seule une infime minorité d’utilisateurs analyse le nom de domaine avant de télécharger.)
Et la troisième catégorie est également importante. Le responsable du logiciel malveillant va chercher à le déposer sur des sites Web très fréquentés, pour infecter un maximum d’utilisateurs. Il va chercher des noms ayant une bonne réputation. Parfois, l’attaquant cible une population réduite mais cruciale pour lui : réussir à déposer le logiciel malveillant sur le site Web d’un organisme officiel permettra de toucher de manière privilégiée les gens qui sont en rapport avec cet organisme. C’est la technique dite du « point d’eau » (le prédateur ne se fatigue pas à traquer sa proie : il l’attend au point d’eau).
Il faut bien noter que, dans ce cas, le site Web où le logiciel malveillant attend sa victime est souvent innocent : il a juste été piraté, victime de son logiciel de gestion de contenu mal écrit et non mis à jour. L’attribution d’une distribution de logiciel malveillant est donc souvent injuste : si la mairie de Champignac-en-Cambrousse n’a pas mis à jour son Wordpress depuis cinq ans, que le site http://mairie-champignac.fr/ est piraté, est-ce qu’il faut accuser la mairie ?
Et donner des « mauvais points » de réputation au TLD .fr ?
Mensonges
Un autre cas d’abus des noms de domaine est celui des mensonges. Si on veut répandre des fausses informations, il peut être utile de disposer d’un nom de domaine « crédible », même si peu d’utilisateurs vérifient ce nom de domaine.
Ainsi, en novembre 2016, un faux message prétendant venir du groupe Vinci a été envoyé à l’agence Bloomberg qui l’a publié. Ce message prétendait que Vinci avait licencié un cadre important pour malversations. L’action Vinci a donc plongé de 20 %. Contrairement à ce qu’ont affirmé la plupart des médias, il n’y a eu aucun « piratage » ou « hack ». C’était juste un message mensonger. Le rapport avec les noms de domaine ? Le menteur avait enregistré le nom vinci.group, « proche » du vrai nom du groupe (vinci.com) et avait envoyé les messages en utilisant ce nom. (Rappelons encore une fois qu’en l’absence d’authentification, le menteur aurait aussi bien pu utiliser le « vrai » nom. À moins qu’il ne tenait à recevoir les réponses.)
Hameçonnage
L’hameçonnage consiste à attirer les victimes vers un site Web qui ressemble à un site Web qu’elles connaissent, où elles ont un compte, pour leur faire entrer leurs informations d’authentification. Le hameçonneur peut ainsi se constituer une liste de comptes, avec leurs mots de passe, qu’il utilisera ensuite pour accéder à des services en empruntant l’identité de ses victimes. Par exemple, s’il s’agit d’un compte bancaire, le hameçonneur pourra sortir l’argent à son profit.
Le hameçonneur doit construire un site Web ressemblant au vrai, ce qui est facile, mais aussi attirer les victimes. Il existe plusieurs méthodes. La plus simple et la plus courante est d’envoyer des spams, non plus pour vendre un produit, mais pour convaincre les victimes d’aller sur le site Web du hameçonneur. Les méthodes sont parfois bien plus techniques, comme lors du hameçonnage de MyEtherWallet en avril 2018, où le voleur avait effectué un détournement de trafic IP via le protocole de routage BGP, pour que les requêtes DNS pour myetherwallet.com aillent à ses serveurs DNS et non plus aux serveurs légitimes. Lorsque ces méthodes « techniques » (DNS ou BGP) sont utilisées, on parle alors de « pharming » terme qui n’apporte pas grand’chose à la classification. Dans ce cas, le nom de domaine est le vrai et l’utilisateur, même attentif, n’y voit que du feu. Mais, la plupart du temps, le hameçonneur fait bien plus simple : il compte sur l’absence de vérification par l’utilisateur qui, lorsqu’il reçoit un message « vous êtes éligible pour un remboursement d’impôts, connectez-vous sur le site de votre banque http://www.example.com/wp/remb.php » clique sans réfléchir, sans se demander quelle est cette société example.com. (Les émetteurs commerciaux facilitent la tâche des hameçonneurs, en envoyant des messages en HTML, habituant les utilisateurs à une présentation qui permet facilement de dissimuler le vrai lien. Certains logiciels de messagerie ne permettent même pas de voir la partie texte du message, qui aurait révélé la supercherie.)
Botnet
Un autre cas plus technique d’abus lié aux noms de domaine est celui des DGA (Domain Generation Algorithms) par les botnets. Un botnet est un réseau d’ordinateurs piratés, les zombies, qui obéissent désormais à un maître extérieur et non plus à l’utilisateur légitime. Le maître loue le botnet à des délinquants pour envoyer du spam, effectuer des attaques par déni de service, etc. L’un des principaux problèmes d’un maître de botnet est de commander à son armada. Cela se fait via un ou plusieurs C&C (centres de contrôle), des serveurs que les zombies (les membres du botnet) vont interroger régulièrement. Quelle adresse les zombies vont-ils utiliser pour contacter le C&C ? Une adresse IP ? Elles ne sont pas stables : si le C&C est repéré et fermé, l’adresse ne marchera plus. Un nom de domaine ? Ils sont plus stables, c’est bien pour cela qu’on les utilise, mais ils ne sont pas invulnérables : un nom de domaine peut également être supprimé. Si le zombie a pour consigne d’aller chercher des instructions en https://botnet.example/, que fera-t-il le jour où botnet.example ne sera plus publié par le registre de .example ?
C’est là qu’interviennent les DGA. Au lieu d’avoir un seul nom de domaine en mémoire pour contacter le C&C (ou même une liste), le zombie a un algorithme qui génère régulièrement des nouveaux noms. Par exemple, le zombie essaie de se connecter à zcwb.example le premier jour, à zzfw.example le deuxième et à rtdz.example le troisième. Le maître du botnet, s’il veut que ses machines le contactent le troisième jour n’a qu’à enregistrer rtdz.example et à y mettre les informations nécessaires. Bien sûr, cela peut coûter cher en enregistrement de noms, mais c’est bien plus sûr : ne connaissant pas l’algorithme, on ne peut pas prévoir les futurs noms, et on ne peut donc pas en empêcher l’enregistrement.
Systèmes de résolution alternatifs ?
Il a parfois été dit que des zombies n’utilisent pas le DNS pour trouver leur C&C mais des « systèmes de résolution alternatifs ». Dans ce cas, on n’est plus vraiment dans le cas des abus concernant les noms de domaines.
La semaine prochaine découvrez les actions possibles face à ces abus !
Ce nom de domaine
est-il disponible ?
Actualités
- 15 décembre 2020 Présence en ligne des TPE/PME : résultats 2019/2020 de l'étude Afnic « ...
- 10 décembre 2020 Trois projets d’ampleur sur la feuille de route du Collège international de l...
- 23 novembre 2020 Lucien Castex est renouvelé comme membre du "Multistakeholder Advisory Gro...
- 17 novembre 2020 Marianne Georgelin intègre le Comité de direction de l’Afnic, en tant que Di...
- 16 novembre 2020 « Je passe au numérique », l’initiative de l’Afnic pour les TPE/PME