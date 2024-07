(Whois, d’accord, mais à part ça ?) Pour tout nom de domaine, il existe des information dites « sociales » qui lui sont associées. Ce sont par exemple le nom du titulaire, le BE (Bureau d’Enregistrement), les adresses de courrier électronique des contacts, la date de création, etc. Ces informations sociales se distinguent des informations plus techniques, qu’on trouve dans le DNS (Domain Name System)1. Elles sont en partie publiques et peuvent être récupérées par tout internaute curieux, que ce soit un juriste préparant une action contre le titulaire de ce domaine, un journaliste qui rédige un article, une personne qui veut avertir d’un problème technique ou un simple internaute intéressé.

Tout cela est bien connu et, tous les jours, de nombreuses personnes font de l’investigation numérique, cherchant ce genre d’informations. Mais, et c’est la raison de cet article, ces personnes font parfois des erreurs, que je voudrais expliquer. (J’ai d’abord demandé à ChatGPT de rédiger cet article. Le résultat n’était pas catastrophique, j’ai même repris deux ou trois idées, mais c’était vraiment trop léger et approximatif.)

« Je n’ai pas le temps de tout lire » Si vous êtes pressé·e, pas intéressé·e par les détails techniques et que vous n’avez qu’un usage occasionnel, mais que vous voulez des informations sur un nom de domaine, voici deux méthodes simples et recommandées, à tenter dans cet ordre : Avec un navigateur Web, allez en https://lookup.icann.org/ et entrez le nom de domaine, Si cela ne marche pas, avec un message plus ou moins clair du genre « TLD_NOT_SUPPORTED », allez en https://www.iana.org/domains/root/db, puis choisissez le domaine de premier niveau concerné, visitez le site Web de son registre et cherchez. Le reste de cet article va expliquer les détails.

« Qui est ? » Si on demande à des personnes qui ont déjà fait un peu d’investigation numérique, on entendra souvent la réponse « il faut utiliser whois ». Le terme a un sens technique précis mais, aujourd’hui, il est souvent utilisé de manière très abusive pour désigner des choses bien différentes. Si je tape « whois bortzmeyer.fr » dans un moteur de recherche, ce que font beaucoup de gens, outre les problèmes que pose le fait même d’utiliser un moteur de recherche2, on tombe en général sur une page Web gérée par on ne sait qui et qui annonce présenter le résultat d’une « recherche whois ». Je viens de faire cette expérience et la page Web en question est en effet chez un acteur qui ne fait pas autorité (ce n’est ni le registre de .fr, ni le bureau d’enregistrement de ce domaine3) et qui donne des informations dont on ne peut pas savoir si elles n’ont pas été modifiées4. Ce genre d’« investigation numérique » ne vaut donc rien, mais on trouve quand même parfois, par exemple dans les médias, une simple copie d’écran, sans indication d’origine5, et qui se prétend source fiable. L’état de l’investigation numérique est tel que ces copies d’écran sont parfois acceptées comme pertinentes, alors qu’elles devraient être rejetées.

Mais alors, comment faire ? Pour avoir une meilleure démarche, il faut se souvenir des critères importants : On veut une source qui fasse autorité, pas du on-dit 6 . Il s’agira donc de la base de données gérée par le registre pertinent (l’Afnic pour le .fr) ou par le Bureau d’Enregistrement auprès duquel le nom de domaine est enregistré ; ces sources font autorité car les noms de domaine et leurs informations sont gérés par les titulaires auprès de ces deux acteurs,

. Il s’agira donc de la base de données gérée par le registre pertinent (l’Afnic pour le .fr) ou par le Bureau d’Enregistrement auprès duquel le nom de domaine est enregistré ; ces sources font autorité car les noms de domaine et leurs informations sont gérés par les titulaires auprès de ces deux acteurs, On veut récupérer cette information par un processus qu’on peut reproduire et documenter, par exemple si on veut présenter ces résultats à un tiers ou au public,

Parfois, on préfère une démarche manuelle, mais parfois on a plusieurs recherches à faire, peut-être dans le cas d’un processus de travail complexe, et on veut alors automatiser. On va d’abord traiter le cas où la personne qui fait l’investigation n’est pas informaticienne et ne souhaite pas ou ne peut pas automatiser sa recherche. Les débutants dans l’investigation numérique posent souvent des questions comme « est-ce que faire une recherche whois est simple ? ». La réponse est que faire la recherche est relativement simple, mais interpréter les résultats peut être ardu, notamment en raison de la complexité du monde des noms de domaine. Ainsi, le titulaire des noms de domaine un.bortzmeyer.fr et deux.bortzmeyer.fr est le même mais ceux des noms un.gouv.fr et deux.gouv.fr sont différents (même chose pour un.ac.jp et deux.ac.jp). Autre piège fréquent, l’information sociale est parfois chez le registre et parfois chez le BE (Bureau d’Enregistrement). On aimerait que ce soit simple7 mais cela ne peut pas l’être. Si on veut faire de l’investigation numérique sérieuse, il faut apprendre un certain nombre de choses (présentées dans la section « Les choses à savoir » plus loin).

Une démarche possible Revenons à un nom, mettons doq.bortzmeyer.fr (un nom qui existe réellement). Qui est le titulaire ? Qui est le BE ? Comment parler au contact technique ? C’est un .fr donc le registre du .fr doit le savoir et faire autorité. Visitons sa page Web de recherche (Figure 1). On trouve le BE, des informations comme la date de création du domaine bortzmeyer.fr, domaine parent du doq.bortzmeyer.fr qu’on cherchait. Par contre, on ne trouvera pas le nom du titulaire : c’est parce que, en application de la loi Informatique & Libertés, l’Afnic, depuis de nombreuses années, ne diffuse pas8 les noms et coordonnées des personnes physiques9 (ce qu’on nomme la diffusion restreinte). D’une manière générale, c’est le registre (ou parfois le BE) qui choisit ce qui sera diffusé et ce qui ne le sera pas10. Ainsi, le registre du .de distribue très peu d’informations sur les titulaires et contacts des noms de domaine. Mais attention, j’ai utilisé le site Web de l’Afnic car cette organisation est le registre de .fr et fait autorité pour les noms sous .fr mais comment est-ce que je le trouve ? Le plus simple est d’aller sur le site Web de l’IANA11, qui liste tous ces sites Web pour tous les domaines de premier niveau. Une autre solution, davantage automatisée, est d’utiliser la page Web https://lookup.icann.org/ (Figure 2), qui dirige votre navigateur automatiquement vers le bon service et qui va donc marcher pour tous les suffixes.

Les choses à savoir On l’a dit, le monde des noms de domaine est complexe. Il faut donc apprendre quelques concepts et termes. Un nom de domaine est une suite de composants qu’on écrit séparés par des points. Ainsi, www.forcesarmees.gouv.sn est un nom de domaine de quatre composants. Le composant le plus général est appelé le domaine de premier niveau12. forcesarmees.gouv.sn est un sous-domaine de gouv.sn, lui-même un sous-domaine de .sn. Les noms sont créés par le registre qui gère ce nom. Tous les registres ne sont pas accessibles au public (vous, lecteur ou lectrice de cet article, n’avez probablement pas le droit de créer un nom sous gouv.sn…). Il existe un certain nombre de suffixes publics, qui sont les noms sous lesquels l’enregistrement est possible13. Souvent, l’enregistrement ne se fait pas en direct mais en passant par un BE (Bureau d’Enregistrement). Dans la plupart des cas, les données sociales (nom du titulaire et des contacts, coordonnées de ce titulaire et de ces contacts) sont stockées par le registre dans sa base de données, ce que l’on nomme un registre épais. Mais il existe aussi des registres minces (le plus connu étant celui de .com) où les données sociales sont stockées par le BE. Certaines des informations, comme la date de dernière modification, sont dans les deux bases de données (registre et BE). On peut voir des cas, par exemple lors d’une action juridique auprès du registre, où les informations des deux bases sont différentes. On a vu aussi des intermédiaires peu scrupuleux avoir une base de données délibérément différente de celle du registre, par exemple pour dissimuler que l’enregistrement était fait à leur nom. Les bases de données des registres et des BE sont ensuite rendues accessibles par divers moyens. Le Web, que nous avons utilisé dans les exemples ci-dessus, étant la plus classique. Une petite explication technique en passant : l’Internet repose sur un certain nombre de protocoles, qui sont des règles que doivent suivre les machines pour communiquer entre elles. Le plus connu de ces protocoles est HTTP, qui est utilisé par le Web. Mais il en existe d’autres, dont deux sont pertinents pour cet article : whois14 et RDAP15. Les deux protocoles (trois, avec le Web) sont techniquement différents et le choix va dépendre de l’utilisatrice : Le Web est sans doute la solution la plus simple, mais nécessite de connaitre le registre responsable.

Whois a de sérieuses limites techniques mais les outils existants les cachent en partie et il a l’avantage d’être ancien et connu.

RDAP est le plus adapté à l’automatisation, et c’est celui que choisiront les programmeuses. Tous donnent évidemment la même information, issue de la même base de données16. Notez qu’il existe d’autres critères de choix entre les trois techniques présentées ci-dessus. Par exemple, whois est jusqu’à présent obligatoire dans les domaines de premier niveau sous contrat avec l’ICANN, mais cela ne sera plus le cas à partir du 28 janvier 2025. RDAP est, lui, obligatoire en cas de contrat avec l’ICANN, mais n’est pas déployé dans certains domaines de premier niveau nationaux, comme .de. Ces trois techniques permettant d’obtenir les informations sociales associées à un nom de domaine sont parfois regroupées sous le sigle RDDS, Registration Data Directory Services, mais ce terme semble peu utilisé en pratique. On l’a dit plus haut, le nombre de composants d’un nom de domaine est quelconque. Le fait d’avoir deux composants ou trois ou plus n’a pas de signification, a priori. Ainsi, u-paris.fr et pasteur.fr sont deux domaines gérés par des organisations différentes. Mais, au Japon, les noms de domaine des universités auront trois composantes, comme hiroshima-u.ac.jp et osaka-u.ac.jp. Comment sait-on où commence le domaine réservé auprès d’un registre ? Rien ne l’indique dans le nom. La méthode la plus sûre à l’heure actuelle est de regarder la Public Suffix List qui, quoique officieuse, est assez bien maintenue à jour17.

Les outils Pour le Web, c’est facile, on peut supposer que tout le monde a déjà un navigateur Web et sait s’en servir. Notez que le protocole RDAP a été conçu pour bien s’intégrer aux technologies Web et qu’un service comme https://lookup.icann.org/ fonctionne en fait avec RDAP18. La principale difficulté lorsqu’on utilise le Web est de trouver le site Web pertinent et faisant autorité. Pour les TLD (Top-Level Domain), on peut utiliser la page de l’IANA citée plus haut19. Dans le cas d’un registre mince, comme .com, où il faut trouver le site du BE, passer par https://lookup.icann.org/ est sans doute la solution la plus simple. Arrivé ici, un point important : si vous n’avez qu’un usage occasionnel, vous pouvez stopper ici. Nous allons en effet maintenant plonger dans des détails plus complexes. Whois pose un problème : comme pour le Web, il faut indiquer le serveur faisant autorité, le protocole ne permet pas de le découvrir de manière standard. Ceci dit, en pratique, la grande majorité des clients whois ont un mécanisme pour trouver ce serveur20, et pour suivre les éventuelles redirections, par exemple d’un registre mince vers le BE. RDAP n’a pas ce problème, le mécanisme de découverte automatique du serveur est normalisé et l’utilisateur n’a donc pas à s’en soucier. Pour utiliser whois et RDAP, cela va évidemment dépendre de la plate-forme sur laquelle vous travaillez. On peut installer des extensions RDAP sur son navigateur Web, évitant le recours à des sites comme lookup.icann.org. Commençons avec Android sur un ordiphone. Il existe plusieurs logiciels, parmi lesquels on peut citer, pour whois, « Whois & DNS Lookup – Domain/IP », qui a l’avantage de permettre également des requêtes DNS (même si on ne les utilisera pas ici). La copie d’écran (Figure 3) vous donne une idée de ses capacités. Et dans le cas de RDAP ? Il existe un logiciel développé par la société canadienne Viagénie, société qui contribue beaucoup à l’Internet, l’application RDAP Browser (Figure 4). En revanche, je n’ai pas d’information sur les clients whois ou RDAP du système iOS d’Apple. Si quelqu’un a des idées, merci de les transmettre. Et Microsoft Windows ? Il existe plusieurs solutions : Le logiciel graphique WhoisThisDomain.

Microsoft distribue un whois en ligne de commande 21 .

. Mais une meilleure solution est peut-être d’installer sur Windows un environnement évoquant Unix par exemple Ubuntu.

Et pour RDAP ? On peut s’en sortir grâce à PowerShell avec Invoke-RestMethod https://rdap.nic.fr/domain/service-public.fr . Le document résultant, au format JSON, est automatiquement décodé et transformé en objet PowerShell, ce qui permet par exemple de lister toutes les entités associées au domaine avec Invoke-RestMethod https://rdap.nic.fr/domain/service-public.fr | Select-Object -ExpandProperty entities. Sur Unix, il est courant d’utiliser le logiciel whois en ligne de commande. Voici un exemple : % whois chateaunantes.fr … domain: chateaunantes.fr status: ACTIVE … holder-c: LVAN20-FRNIC … registrar: GANDI Expiry Date: 2025-03-29T08:27:31Z created: 2005-09-02T12:04:17Z … nic-hdl: LVAN20-FRNIC type: ORGANIZATION contact: LE VOYAGE A NANTES address: 1-3 rue Crucy address: 44000 NANTES country: FR Le client whois est capable de suivre les redirections éventuelles. Pour RDAP, on peut utiliser le logiciel nicinfo : % nicinfo chateaunantes.fr … 1= chateaunantes.fr ( DOM000000600543-FRNIC ) |--- 1= LE VOYAGE A NANTES ( LVAN20-FRNIC ) … Domain Name: chateaunantes.fr Status: Client Transfer Prohibited Registration: Fri, 02 Sep 2005 12:04:17 -0000 Expiration: Sat, 29 Mar 2025 08:27:31 -0000 Last Changed: Sat, 16 Mar 2024 09:15:26 -0000 Transfer: Thu, 29 Mar 2018 08:27:31 -0000 [ ENTITY ] Handle: LVAN20-FRNIC Common Name: LE VOYAGE A NANTES Organization: LE VOYAGE A NANTES Email: informatique@lvan.fr … Mais comme RDAP repose sur des technologies venues du Web come HTTPS et JSON, on peut aussi utiliser des outils généralistes comme curl et jq : % curl -s https://rdap.nic.fr/domain/chateaunantes.fr | jq .events [ { "eventAction": "registration", "eventDate": "2005-09-02T12:04:17Z" }, { "eventAction": "expiration", "eventDate": "2025-03-29T08:27:31Z" }, { "eventAction": "last changed", "eventDate": "2024-03-16T09:15:26.096146Z" }, …