Cybersquatting, Spam, Phishing… les différents types d’abus sur noms de domaine

06 septembre 2018 - Par Stéphane Bortzmeyer

 

Le terme d’« abus » est difficile à définir. Par exemple, le titulaire d’une marque déposée va tendre à appeler « abus » toute utilisation du terme qu’il n’apprécie pas, définition qui ne fera pas consensus chez les autres parties prenantes. Certains termes très utilisés dans le milieu des noms de domaine, comme « cybersquatting », n’ont pas de définition juridique précise. Ce qui indigne un internaute peut laisser un autre indifférent, et la justice perplexe. D’autre part, la confusion fréquente entre le Web et les autres services existant sur l’internet complique encore les choses : par exemple, on voit parfois un contenu Web illégal être signalé au registre de noms de domaine, comme si cela était de son ressort.

Cet article explique les différentes choses qu’on regroupe sous le nom d’« abus » en matière de gestion de noms de domaine, en essayant d’être complet et rigoureux. Retrouvez la semaine prochaine un examen des différentes actions que le registre peut envisager face à ces abus.

Les abus

Cybersquatting

Le terme n’a pas de définition précise. (On a pu voir une entreprise condamnée pour ses pratiques en matière de noms de domaine se féliciter que « la qualification de cybersquatting n’a pas été retenue », ce qui est normal puisqu’elle n’existe pas en France.) Disons que le terme regroupe les cas où une entité, individu ou entreprise, achète des noms de domaine proches ou identiques du nom d’un tiers, non pas pour les utiliser pour son compte, mais pour les revendre au tiers ainsi lésé. Par exemple, s’il existe une entreprise nommée Fgxx6d et qu’elle n’a pas réservé le nom de domaine fgxx6d.fr, quelqu’un qui achète ce nom et propose ensuite

à l’entreprise de lui racheter pour 10 000 € peut sans doute être qualifié de cybersquatteur. (C’est en raison de ce risque qu’il est très recommandé de réserver les noms de domaine avant que le nouveau nom d’une entreprise, d’une marque, d’un parti politique ou d’un produit ne fuite à l’extérieur.)

Notez bien que l’achat et la vente de noms de domaine est une activité légale (on parle en franglais de « domaining ») et que celui qui la pratique (le « domaineur ») n’est pas forcément un cybersquatteur. Par exemple, les noms achetés et vendus peuvent être des termes génériques, ne portant préjudice à aucune organisation en particulier (regardez café.fr par exemple).

Le cybersquatting ne vise pas à tromper l’internaute (contrairement au hameçon- nage), uniquement à priver la victime d’un nom qu’elle aurait pu prendre, afin de lui demander de l’argent.

Le cybersquatting n’est pas toujours évident. Ainsi, le titulaire d’une marque déposée va souvent parler de cybersquatting si quelqu’un enregistre un nom identique à sa marque. Mais la loi est plus nuancée (principe de spécialité, qui fait qu’une marque est limitée à certaines classes de biens et services, et diverses exceptions), et cet enregistrement n’est pas forcément illégal. Un exemple fameux est celui de « Mont Blanc » qui peut correspondre à deux marques (les crèmes dessert et les stylos), ainsi qu’à une montagne célèbre et à une commune moins connue.

Parfois, le nom déposé ne correspond pas exactement au nom visé, et on parle alors de « typosquatting », si le déposant était de mauvaise foi. Si quelqu’un dépose labanquepostalee.fr, il peut s’agir d’un typosquatting (le e final redoublé) Cela rend évidemment l’analyse encore plus complexe : à partir de quel degré de différence considère-t-on qu’il s’agit de typosquatting ?

Spam

Lorsqu’un domaine identique ou proche au nom d’un tiers est utilisé dans du spam (envoi en masse de courrier non sollicité, une des plaies du courrier électronique), cela peut être pour tromper l’internaute sur le vrai émetteur, ou bien simplement pour faire retomber le blâme sur quelqu’un d’autre.  Par exemple, un spam pour une pilule bleue qui remédie à des faiblesses érectiles va prétendre être envoyé depuis le domaine pfizer-livraisons.com pour essayer de faire croire au destinataire qu’il s’agit bien de l’authentique pilule de l’entreprise Pfizer.

Le spammeur peut déposer un domaine pour ses envois de spam, ou il peut tout simplement utiliser le domaine de quelqu’un d’autre. En effet, le courrier électronique n’est pas authentifié par défaut. Si je reçois un message prétendant  venir de president@whitehouse.gov, cela ne prouve absolument pas que Donald Trump m’écrive, ni non plus que sa boîte de courrier électronique ait été piratée. Contrairement à ce qu’on lit parfois dans les médias, il n’est nullement nécessaire de pirater quoi que ce soit pour envoyer du courrier au nom d’une organisation quelconque, il suffit de profiter de cette absence d’authentification.

Il existe bien sûr des techniques qui ajoutent au courrier électronique une certaine dose d’authentification. Le problème est difficile, en partie parce que la définition même de « émetteur d’un courrier » n’est pas évidente (il y a plusieurs identités utilisées dans un message, par exemple s’il a été redirigé, ou bien s’il est arrivé via une liste de diffusion). Les techniques de protection vont des plus évidentes (refuser le courrier entrant prétendant venir d’un domaine qui n’existe pas) aux plus perfectionnées comme SPF et DKIM, qui reposent toutes les deux sur le DNS. Ces techniques sont efficaces et il est regrettable qu’elles ne soient pas davantage déployées mais elles ne font pas de miracle. Elles n’arrêtent pas toutes les usurpations, et elles supposent que les destinataires vérifient les informations authentifiées, ce que beaucoup ne font pas.

Malware

Le terme de logiciel malveillant (malware, en anglais) désigne tout logiciel que l’utilisateur ne souhaitait pas installer, et qui joue un rôle néfaste. Par exemple, certains logiciels malveillants affichent régulièrement des publicités sur l’écran, d’autres capturent les données personnelles, ou bien les clés Bitcoin, et les envoient au responsable du logiciel malveillant. Certains servent à effectuer des attaques par déni de service, en envoyant d’innombrables requêtes, et d’autres chiffrent les fichiers de l’utilisateur, avant de demander une rançon.

Comment ces logiciels malveillants arrivent-ils à s’installer sur la machine de l’utilisateur ? Il existe plusieurs mécanismes de propagation. Certains sont distribués par un vendeur peu scrupuleux, qui infecte délibérément les machines de ses clients (ce qu’avait fait Sony en 2005), d’autres se font passer pour bienveillants et sont installés volontairement par un utilisateur trompé (c’est la technique du cheval de Troie, décrite par Homère), d’autres enfin exploitent une faille de sécurité dans le navigateur Web, s’installant automatiquement quand on visite une page Web infectée (on parle d’infection « drive by »).

Du point de vue du monde des noms de domaine, les deux dernières catégories sont les plus intéressantes. Le cheval de Troie cherche à inspirer confiance. Il se présente comme utile à l’utilisateur (« cette application vous permettra de télécharger des MILLIONS de photographies de célébrités nues »), ce qui permettra de lui faire contourner les mécanismes de sécurité (« voulez-vous vraiment installer ce programme ? »). Un nom de domaine qui inspire confiance est donc utile au cheval de Troie. (Notons toutefois que seule une infime minorité d’utilisateurs analyse le nom de domaine avant de télécharger.)

Et la troisième catégorie est également importante. Le responsable du logiciel malveillant va chercher à le déposer sur des sites Web très fréquentés, pour infecter un maximum d’utilisateurs. Il va chercher des noms ayant une bonne réputation. Parfois, l’attaquant cible une population réduite mais cruciale pour lui : réussir à déposer le logiciel malveillant sur le site Web d’un organisme officiel permettra de toucher de manière privilégiée les gens qui sont en rapport avec cet organisme. C’est la technique dite du « point d’eau » (le prédateur ne se fatigue pas à traquer sa proie : il l’attend au point d’eau).

Il faut bien noter que, dans ce cas, le site Web où le logiciel malveillant attend sa victime est souvent innocent : il a juste été piraté, victime de son logiciel de gestion de contenu mal écrit et non mis à jour. L’attribution d’une distribution de logiciel malveillant est donc souvent injuste : si la mairie de Champignac-en-Cambrousse n’a pas mis à jour son Wordpress depuis cinq ans, que le site http://mairie-champignac.fr/ est piraté, est-ce qu’il faut accuser la mairie ?

Et donner des « mauvais points » de réputation au TLD .fr ?

Mensonges

Un autre cas d’abus des noms de domaine est celui des mensonges. Si on veut répandre des fausses informations, il peut être utile de disposer d’un nom de domaine « crédible », même si peu d’utilisateurs vérifient ce nom de domaine.

Ainsi, en novembre 2016, un faux message prétendant venir du groupe Vinci a été envoyé à l’agence Bloomberg qui l’a publié. Ce message prétendait que Vinci avait licencié un cadre important pour malversations. L’action Vinci a donc plongé de 20 %. Contrairement à ce qu’ont affirmé la plupart des médias, il n’y a eu aucun « piratage » ou « hack ». C’était juste un message mensonger. Le rapport avec les noms de domaine ?  Le menteur avait enregistré le nom vinci.group, « proche » du vrai nom du groupe (vinci.com) et avait envoyé les messages en utilisant ce nom. (Rappelons encore une fois qu’en l’absence d’authentification, le menteur aurait aussi bien pu utiliser le « vrai » nom. À moins qu’il ne tenait à recevoir les réponses.)

Hameçonnage

L’hameçonnage consiste à attirer les victimes vers un site Web qui ressemble à un site Web qu’elles connaissent, où elles ont un compte, pour leur faire entrer leurs informations d’authentification. Le hameçonneur peut ainsi se constituer une liste de comptes, avec leurs mots de passe, qu’il utilisera ensuite pour accéder à des services en empruntant l’identité de ses victimes. Par exemple, s’il s’agit d’un compte bancaire, le hameçonneur pourra sortir l’argent à son profit.

Le hameçonneur doit construire un site Web ressemblant au vrai, ce qui est facile, mais aussi attirer les victimes. Il existe plusieurs méthodes. La plus simple et la plus courante est d’envoyer des spams, non plus pour vendre un produit, mais pour convaincre les victimes d’aller sur le site Web du hameçonneur. Les méthodes sont parfois bien plus techniques, comme lors du hameçonnage de MyEtherWallet en avril 2018, où le voleur avait effectué un détournement de trafic IP via le protocole de routage BGP, pour que les requêtes DNS pour myetherwallet.com aillent à ses serveurs DNS et non plus aux serveurs légitimes. Lorsque ces méthodes « techniques » (DNS ou BGP) sont utilisées, on parle alors de « pharming » terme qui n’apporte pas grand’chose à la classification. Dans ce cas, le nom de domaine est le vrai et l’utilisateur, même attentif, n’y voit que du feu. Mais, la plupart du temps, le hameçonneur fait bien plus simple : il compte sur l’absence de vérification par l’utilisateur qui, lorsqu’il reçoit un message « vous êtes éligible pour un remboursement d’impôts, connectez-vous sur le site de votre banque http://www.example.com/wp/remb.php » clique sans réfléchir, sans se demander quelle est cette société example.com. (Les émetteurs commerciaux facilitent la tâche des hameçonneurs, en envoyant des messages en HTML, habituant les utilisateurs à une présentation qui permet facilement de dissimuler le vrai lien. Certains logiciels de messagerie ne permettent même pas de voir la partie texte du message, qui aurait révélé la supercherie.)

Botnet

Un autre cas plus technique d’abus lié aux noms de domaine est celui des DGA (Domain Generation Algorithms) par les botnets. Un botnet est un réseau d’ordinateurs piratés, les zombies, qui obéissent désormais à un maître extérieur et non plus à l’utilisateur légitime. Le maître loue le botnet à des délinquants pour envoyer du spam, effectuer des attaques par déni de service, etc. L’un des principaux problèmes d’un maître de botnet est de commander à son armada. Cela se fait via un ou plusieurs C&C (centres de contrôle), des serveurs que les zombies (les membres du botnet) vont interroger régulièrement. Quelle adresse les zombies vont-ils utiliser pour contacter le C&C ? Une adresse IP ? Elles ne sont pas stables : si le C&C est repéré et fermé, l’adresse ne marchera plus. Un nom de domaine ? Ils sont plus stables, c’est bien pour cela qu’on les utilise, mais ils ne sont pas invulnérables : un nom de domaine peut également être supprimé.  Si le zombie a pour consigne d’aller chercher des instructions en https://botnet.example/, que fera-t-il le jour où botnet.example ne sera plus publié par le registre de .example ?

C’est là qu’interviennent les DGA. Au lieu d’avoir un seul nom de domaine en mémoire pour contacter le C&C (ou même une liste), le zombie a un algorithme qui génère régulièrement des nouveaux noms. Par exemple, le zombie essaie de se connecter à zcwb.example le premier jour, à zzfw.example le deuxième et à rtdz.example le troisième. Le maître du botnet, s’il veut que ses machines le contactent le troisième jour n’a qu’à enregistrer rtdz.example et à y mettre les informations nécessaires. Bien sûr, cela peut coûter cher en enregistrement de noms, mais c’est bien plus sûr : ne connaissant pas l’algorithme, on ne peut pas prévoir les futurs noms, et on ne peut donc pas en empêcher l’enregistrement.

Systèmes de résolution alternatifs ?

Il a parfois été dit que des zombies n’utilisent pas le DNS pour trouver leur C&C mais des « systèmes de résolution alternatifs ». Dans ce cas, on n’est plus vraiment dans le cas des abus concernant les noms de domaines.

 

La semaine prochaine découvrez les actions possibles face à ces abus !

 

 

Read this page in English Haut de page