Durée des certificats SSL/TLS réduite à 45 jours en 2027 : Apple fait le premier pas

Le 9 octobre, Apple a révélé au CA/B Forum avoir publié un projet de vote pour commentaires sur GitHub au sujet de deux évènements importants sur la durée de vie des certificats SSL/TLS :

  • réduire progressivement la durée maximale des certificats SSL/TLS publics à 45 jours d’ici 2027 ;
  • réduire progressivement la période de réutilisation des challenges DCV à 10 jours d’ici 2027.

En mars 2023, Google annonçait, dans sa roadmap « Moving Forward, Together », son intention de proposer au CA/B Forum la réduction de la durée de validité maximale possible des certificats TLS publics de 398 jours à 90 jours. Depuis cette annonce, le marché attendait fébrilement la confirmation de Google et surtout le calendrier d’applicabilité… sans succès. Mozilla annonçait quant à lui il y a quelques semaines, son intention d’emboîter le pas à Google pour son navigateur Firefox, mais sans plus de précisions.

C’est finalement Apple qui a fait le premier pas la semaine dernière en annonçant le 9 octobre, sa double volonté de réduire d’une part la durée de vie des certificats à  45 jours (alors que tout le marché s’attendait à 90 jours) et d’autre part la limitation de la durée du challenge DCV à 10 jours, le tout selon le calendrier ci-dessous. Une véritable petite bombe :   

15-sep-2025 => durées certificats et validation DCV réduites à 200 jours

15-sep-2026 => durées certificats et validation DCV réduites à 100 jours

15-avr-2027 => durées certificats et validation DCV réduites à 45 jours

15-sep-2027 => durée de validation DCV 10 jours

Quelques informations sur le contexte et l’analyse de cette annonce, les impacts attendus et comment s’y préparer seront sans doute utiles :

Contexte et Analyse :

A ce stade, il s’agit d’une publication susceptible d’être commentée par les acteurs du marché avant la rédaction formelle d’un ballot au sein du CA/B Forum, lui-même amené à être voté par ses membres : les éditeurs de navigateurs Internet d’un côté (Google, Mozilla, Apple et Microsoft…) et les Autorités de Certification de l’autre. Des modifications ne manqueront pas d’être apportées, mais l’idée générale est là et la machine se met en marche.

En effet, les éditeurs de navigateurs sont tous alignés sur le besoin de réduire la durée de vie des certificats et parmi les Autorités de Certification, Sectigo, un des acteurs majeurs de l’industrie des certificats, soutient d’ores et déjà l’initiative. Il y a fort à parier que les choses vont bouger rapidement dorénavant avec peu de commentaires et une rédaction du ballot dans les semaines ou mois qui viennent. Nous en saurons alors plus sur la confirmation des durées et du calendrier, nous vous tiendrons bien sûr informés.

Impacts attendus :

  • Durée des certificats : qu’elle soit in fine de 90 jours, 45 jours ou même moins, cette réduction n’est plus une surprise et son impact sera important pour les parcs de certificats publics. Ils ne pourront plus être gérés de manière manuelle. Le marché a commencé sa transition vers l’automatisation en s’appuyant notamment sur les CLM (Certificate Lifecycle Manager). La clé pour les entreprises et les organisations sera de s’appuyer sur des partenaires qui pourront offrir le plus d’interconnexions possibles entre les Organisations, les Autorités de Certification et les CLM.
  • Durée du challenge DCV : réduire à 10 jours la durée d’utilisation du challenge DCV, si c’était validé, aurait un impact considérable, peut-être plus encore que la réduction de la durée de vie des certificats. Jusqu’à présent, l’industrie pré-validait les noms de domaine pour une durée de 398 jours, en utilisant une seule fois le challenge DCV. L’annonce d’Apple forcerait à utiliser un challenge DCV pour quasiment toutes les commandes, ce qui serait un changement de paradigme majeur et impliquerait l’interconnexion avec une brique supplémentaire de l’écosystème : le DNS. En effet, le challenge DCV pour Domain Control Validation implique d’intervenir dans la zone du ou des noms de domaine listé(s) dans le certificat, idéalement de manière instantanée pour valider celui-ci.
  • Durée d’authentification des Organisations : Apple n’a rien annoncé au sujet de la durée de validité de l’authentification d’une organisation pour les certificats de type OV, actuellement de 825 jours. Pour autant, de nombreuses rumeurs courent sur une réduction à 398 jours voire 365 jours.

Comment se préparer :

La clé d’une bonne gestion à venir des certificats repose sur l’automatisation. 45 jours de durée des certificats représentent 9 interventions par an par certificat, la gestion manuelle deviendra utopique. Il faut donc s’appuyer sur :

  1. Fournisseur de certificats / Autorité de Certification (AC) : un partenaire de confiance qui vous accompagnera dans les problématiques d’authentification des organisations et domaine. Le niveau de service est la clé pour une bonne gestion. Un partenaire multi-AC est recommandé pour limiter la dépendance à une seule AC, cas des récents déboires d’Entrust.
  1. Registrar / DNS Primaire : maîtriser le DNS primaire des noms de domaine listés dans les certificats va devenir la clé de la livraison. Chaque émission de certificat entrainera l’installation d’un TXT ou d’un CNAME sur la ou les zones concernées. Avoir une interconnexion entre l’AC et le DNS est primordial.
  1. Editeur CLM : inventorier le parc de certificats, définir des règles de gestion du parc et assurer l’automatisation complète du processus de commande depuis la génération des CSR jusqu’au déploiement des certificats sur les serveurs, c’est le travail du CLM. Et celui-ci pour fonctionner, s’appuie sur des connecteurs avec les AC ou fournisseurs de Certificats.

Se préparer c’est donc identifier les solutions qui vous conviennent sur ces trois points et lancer cette réflexion pour comprendre les impacts en matière de processus, de technologie et de budget, dans un monde idéal, avant la fin du premier semestre 2025.

L’approche de Nameshield :

Nameshield occupe une place unique sur le marché en étant registrar et fournisseur de certificats multi-AC. Depuis plus de 10 ans, nous gérons au quotidien toutes les problématiques liées à l’authentification des organisations et des domaines liés aux certificats en ayant d’un côté, une relation privilégiée avec les plus grandes AC du marché (Digicert, Sectigo, GlobalSign), et en maitrisant de l’autre la brique DNS pour la validation DCV. De ce fait, nous émettons des certificats publics de manière quasi instantanée. Enfin, en ce qui concerne la brique CLM, Nameshield dispose de connecteurs avec les plus grands acteurs du marché pour vous permettre d’assurer une connexion complète entre les différentes briques liées à la gestion des certificats. Nous vous accompagnons ainsi dans l’anticipation de l’ensemble des problématiques mentionnées ci-dessus.

Durée des certificats SSL/TLS réduite à 45 jours en 2027 : Apple fait le premier pas

Pour plus d’informations, n’hésitez pas à contacter notre Equipe Commerciale ou notre Equipe Certificats.

Crédit image : Nameshield with storyset.com

[REPLAY WEBINAR] Phishing, faux sites de e-commerce : comment protéger sa marque en ligne ?

[WEBINAR NAMESHIELD] Phishing, faux sites de e-commerce : comment protéger sa marque en ligne ?

Retrouvez sur le site de Nameshield et sur Webikeo le replay du webinar « Phishing, faux sites de e-commerce : comment protéger sa marque en ligne ?», animé par Stéphanie BLANCHET, Data Scientist de Nameshield et Frédérique BAJAT, Product Owner Surveillances & Remédiations de Nameshield.

Face à la montée en puissance des cybermenaces telles que le phishing et l’apparition de nombreux faux sites de e-commerce, vos marques sont quotidiennement exposées sur Internet.

Comment protéger sa marque, portée par l’actif central qu’est le nom de domaine, dans un espace numérique sans frontière et fourmillant de menaces ?

Au cours de ce webinar, qui s’adresse à tout public en charge de la protection des actifs d’une entreprise, tant d’un point de vue technique que légal, nos expertes vous présenteront :

  • Les principaux ressorts des attaques reposant sur l’usurpation d’identité pour tromper leurs victimes ;
  • Les techniques permettant de les anticiper et de maîtriser leur impact.

VISIONNER LE REPLAY

Nameshield adopte son BIMI

Suite à la validation du dépôt du Logo Nameshield auprès du World Intellectual Property Organization – WIPO (Organisation mondiale de la propriété intellectuelle), Nameshield est ravie d’annoncer l’adoption officielle de son BIMI (Brand Indicators for Message Identification).

Ce protocole, dont le DMARC est un des prérequis, permet l’affichage du Logo d’une organisation dans le client de messagerie, l’application mobile ou le webmail de ses destinataires.

Ce standard de cybersécurité renforce la confiance dans nos communications et la délivrabilité de nos e-mails mais témoigne également de notre engagement constant pour la sécurité de nos clients.

Tous les clients de messagerie ne prennent pas en charge BIMI mais c’est le cas de Google, d’Apple, de Yahoo ainsi que de La Poste.

Nameshield sera présent à IP Service World – Les 25 et 26 novembre 2024 à Munich

Retrouvez l‘équipe de Nameshield GmbH à la 14ème édition d’IP Service World, les 25 et 26 novembre 2024 à Munich pour échanger sur les dernières stratégies de protection des marques en ligne.

Venez nous rencontrer à la table ronde, animée par Jochen Schönweiß, Head of Business Development Germany de Nameshield et Joëlle Samaké, Country Coordinator Germany de Nameshield, le 26 novembre ou sur notre stand T1-64 !

Pour plus d’informations, rendez-vous sur le site de l’événement : ipserviceworld.com

Nameshield sera présent à la 38e Conférence annuelle de Marques  – Du 24 au 27 septembre 2024 à Stockholm

Nameshield sera présent à la 38e Conférence annuelle de Marques

Retrouvez l’équipe Nameshield à la Conférence annuelle 2024 de Marques qui aura lieu du 24 au 27 septembre 2024 à l’hôtel Radisson Blu Waterfront de Stockholm.

Nameshield est un éditeur de logiciels certifié ISO27001 et un registrar souverain riche de 30 ans d’expérience, qui protège et défend les noms de domaine stratégiques de ses clients contre les cybermenaces.

Nous considérons que la protection des marques en ligne est plus que jamais cruciale face à un nombre croissant d’infractions, notamment :

  • Le cybersquatting, qui peut nuire à la réputation des marques et induire les clients en erreur,
  • Les fraudes et escroqueries, lorsque des noms de domaine similaires sont utilisés pour créer des sites web frauduleux, des contrefaçons ou de fausses boutiques en ligne,
  • Le détournement de clientèle, qui redirige les clients vers des concurrents ou des sites malveillants et entraîne la perte de confiance des clients dans la marque et, par conséquent, la perte de revenus.

Nameshield a donc développé une solution de Brand Safety Chain (BSC) afin de protéger la sécurité, l’intégrité, la réputation et les revenus des marques dans l’écosystème numérique avec :

  • Une surveillance continue des noms de domaine et la détection des noms de domaine frauduleux ,
  • Des services de remédiation en interne : notre service juridique propose des procédures de remédiation, en vous conseillant sur les procédures les plus appropriées à mettre en œuvre ,
  • Des solutions anti fake shop, incluant la détection, les rapports d’analyse et les takedowns.

Venez nous rencontrer, stand n°7.

Venez échanger avec notre équipe d’expertes en propriété intellectuelle qui seront là pour répondre à toutes vos questions.

Pour plus d’informations, rendez-vous sur le site de l’événement : Conférence annuelle 2024 de Marques.

[WEBINAR] Phishing, faux sites de e-commerce : comment protéger sa marque en ligne ? – Le 1er octobre à 14h15

[WEBINAR] Phishing, faux sites de e-commerce : comment protéger sa marque en ligne ? Le 1er octobre à 14h15

Rendez-vous le 1er octobre à 14h15 pour assister à notre webinar « Phishing, faux sites de e-commerce : comment protéger sa marque en ligne ? » animé par Stéphanie BLANCHET, Data Scientist de Nameshield et Frédérique BAJAT, Product Owner Surveillances & Remédiations de Nameshield.

Face à la montée en puissance des cybermenaces telles que le phishing et l’apparition de nombreux faux sites de e-commerce, vos marques sont quotidiennement exposées sur Internet.

Comment protéger sa marque, portée par l’actif central qu’est le nom de domaine, dans un espace numérique sans frontière et fourmillant de menaces ?

Nos expertes vous présenteront lors de ce webinar :

  • Les principaux ressorts des attaques reposant sur l’usurpation d’identité pour tromper leurs victimes ;
  • Les techniques permettant de les anticiper et de maîtriser leur impact.

Ce webinar s’adresse à tout public en charge de la protection des actifs d’une entreprise, tant d’un point de vue technique que légal.

JE M’INSCRIS AU WEBINAR

Pour y assister, il faudra au préalable vous inscrire sur la plateforme Webikeo (inscription gratuite) puis réserver votre place pour ce webinar. Vous pourrez ainsi participer à cette web-conférence et poser vos questions en direct.

Vous ne serez pas disponible ? Pas d’inquiétude, ce webinar sera également disponible en replay.

La dépendance aux Autorités de Certification : un risque sous-estimé ?

Les Autorités de Certifications (AC) ou Certification Authority (CA) sont des entités en charge d’émettre des certificats numériques pour authentifier l’identité des sites web, serveurs ou utilisateurs, et garantir l’intégrité des données échangées lors des communications en ligne.

Lorsqu’un site web ne dispose pas de certificat, il ne peut pas établir de connexion sécurisée via HTTPS, ce qui expose ses données à des risques d’interceptions, de modifications et d’usurpations. C’est pourquoi les navigateurs Internet des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) imposent à ces AC des critères de conformité et de sécurité stricts et rigoureux, afin d’assurer une navigation sécurisée à leurs utilisateurs. Les GAFAM incarnent aussi de véritables empires, capables de façonner et de définir de manière quasi-arbitraire ou du moins unilatéralement, leurs propres règles dans le monde numérique.

Les Autorités de Certification, sont donc, d’une certaine façon, dépendantes des normes imposées par les GAFAM, ce qui devrait pousser les entreprises à ne pas s’inscrire dans un schéma de dépendance auprès d’une Autorité de Certification unique. D’autant plus que les AC peuvent faire face à des failles de sécurité, attaques, ou incidents, comme ce fut le cas pour l’Autorité de Certification hollandaise DigiNotar, forcée de mettre la clef sous la porte suite à un piratage massif en 2011.

La dernière AC en date à avoir fait face à des problèmes de sécurité est Entrust. Google Chrome a en effet annoncé mettre fin à la confiance accordée à ses certificats TLS (SSL) à partir du 31 octobre 2024, expliquant que cette décision fait suite à une évaluation approfondie des pratiques de sécurité de l’Autorité de Certification. Cela met donc en exergue certaines préoccupations concernant leur conformité à des normes strictes exigées : délais de révocations trop longs, failles répétées et risques pour les utilisateurs… Les versions 127 et ultérieures de Chrome désactiveront, à priori, en octobre, l’approbation automatique des certificats TLS/SSL délivrés par Entrust. Les sites web des entreprises utilisant leurs certificats risquent donc d’afficher des avertissements de sécurité dans Google Chrome, indiquant que le site n’est pas sécurisé, le rendant inaccessible ou dissuadant les visiteurs de poursuivre leur navigation.

Entrust, n’est évidemment pas un cas isolé. Symantec s’était retrouvée dans la tourmente en 2015 face à Google, suite notamment à l’émission de certificats TLS invalides. L’AC représentait à l’époque 30% des certificats sur le Web et affichait un revenu de 400 millions de dollars, comme le rapporte le média silicon.fr, mais Google avait progressivement banni ses certificats de Chrome et Android. L’entité a finalement été revendue à Digicert en 2021.

Les Autorités de Certification collaborent de manière étroite avec le CAB Forum et les GAFAM afin de renforcer les normes de cybersécurité, et d’améliorer leurs pratiques et protocoles de sécurité. Il est indéniable que d’immenses progrès ont été faits dans le domaine pour accroitre les standards de sécurité. L’incident récent impliquant Entrust, met néanmoins en évidence les risques qui persistent face à la souveraineté et l’influence inégalée des GAFAM : nul n’est à l’abri d’une décision arbitraire de la part de ces géants technologiques.

Face à ces failles, les entreprises ont la possibilité d’adopter une bonne pratique en optant pour une approche de multi-autorité de certification auprès d’un groupe spécialisé. En diversifiant les Autorités de Certification, les entreprises peuvent réduire le risque lié à la dépendance face à une panne, une révocation massive de certificats assurant ainsi leur continuité. Centraliser la gestion de certificats auprès d’un groupe de confiance permet aussi de standardiser les procédures, de simplifier la gestion de renouvellements ou de basculement de certificat d’une Autorité de Certification vers une autre, offrant ainsi davantage de flexibilité auprès d’un réseau compétent. Adopter une approche de gestion de ses certificats par une entité spécialisée représente ainsi un moyen d’assurer la continuité de ses services en ligne, une réduction des risques, et une optimisation de ses dépenses en cybersécurité face à une menace en constante évolution.

En somme, la dépendance aux Autorités de Certification est un risque qui pourrait se montrer coûteux, tant en termes financiers que de réputation. Voilà pourquoi, afin d’assurer la sécurité et la résilience de ses infrastructures numériques, une stratégie multi-AC peut s’imposer comme le rempart essentiel face aux imprévus des menaces cyber.

Source de l’image : Unsplash

Nameshield sera présent aux Assises – Du 9 au 12 octobre 2024 à Monaco

Nameshield sera présent aux Assises – Du 9 au 12 octobre 2024 à Monaco

Rendez-vous à Monaco du 9 au 12 octobre 2024 pour la 24ème édition des Assises de la cybersécurité !

Les Assises, c’est l’événement incontournable des experts de la cybersécurité, un lieu de rencontres unique pour s’interroger sur les problématiques actuelles et futures de notre secteur.

L’événement repose sur un format combinant conférences, ateliers, tables rondes et rendez-vous ultra qualifiés pré-organisés ainsi que des moments de networking entre pairs… Les Assises, c’est aussi de nombreuses rencontres formelles et informelles, favorisant les échanges privilégiés entre les décideurs porteurs de projets et les fournisseurs de solutions et services technologiques à la pointe du marché dans un cadre convivial.

Rencontrez-nous aux Assises : au Forum Diaghilev – Stand B18.

Venez échanger avec notre équipe cybersécurité pour découvrir nos solutions globales répondant aux impératifs de sécurité DNS, de sécurisation de la messagerie et à la nécessité de surveiller, protéger et défendre votre marque en ligne. Nameshield vous accompagne pour lutter contre les cybermenaces.

Pour plus d’informations, rendez-vous sur le site de l’événement :

https://www.lesassisesdelacybersecurite.com/

ICANN80 : Le Rwanda entre dans le petit cercle des états subsahariens à avoir accueilli l’ICANN

Après Paris qui a accueilli en mai dernier le Contracted Parties Summit (Ndlr : le Sommet des parties contractantes de l’ICANN), la capitale rwandaise vient d’accueillir son premier sommet de l’ICANN consacré aux sujets de politiques liées à la gouvernance d’Internet. Retour sur les enseignements notables de cet événement.

ICANN a trouvé son nouveau visage

L’ICANN80 a débuté avec l’officialisation de la nomination de M. Kurt Erik dit « Kurtis » Lindqvist comme futur Président directeur général de l’instance. Ce Finlandais de 49 ans va officiellement succéder à son prédécesseur Goran Marby d’origine suédoise, en poste jusqu’à sa démission fin 2022. L’intérim assuré par Sally Costerton va donc prendre fin le 4 décembre 2024, M. Lindqvist prenant officiellement ses fonctions le 5 décembre 2024. M. Lindqvist est directeur général du London Internet Exchange (LINX) depuis 2019. Sa nomination est l’aboutissement d’un long processus qui a débuté par la création d’un comité de recherche d’un directeur général. Au départ quelque 100 candidats, représentant plus de 20 pays d’Amérique du Nord et du Sud, d’Afrique, d’Europe, d’Asie et d’Australasie ont été identifiés. Après une évaluation plus poussée la liste a été réduite à sept personnes (trois femmes et quatre hommes) qui ont été interviewées par le comité de sélection du PDG. Le Conseil d’administration a approuvé à l’unanimité le choix de M. Lindqvist lors d’une session tenue juste avant l’ICANN80. Le nouveau PDG aura la particularité d’être basé à Genève.

Coup de projecteur sur l’Internet en Afrique

Il faut remonter à juin 2017 pour trouver une ville d’Afrique subsaharienne qui qui ait reçu l’ICANN. Johannesburg, la ville la plus peuplée d’Afrique du Sud accueillait alors l’édition ICANN59. En juin 2024 ICANN est donc enfin revenu en Afrique, avec le Rwanda comme pays hôte. Une très bonne chose quand on sait que l’Afrique reste encore largement sous dotée en matière d’accès à Internet. L’Union Internationale des Télécommunications estimait que fin 2021, 14.3% des ménages africains avaient accès à Internet contre 57.4% au niveau mondial. La connexion Internet fixe y est également plus chère que dans d’autres régions du monde en proportion des revenus. Elle y représente 18,6% du Revenu national brut (RNB) par habitant contre une moyenne mondiale de 2,8%. L’instance représentant les gouvernements, le GAC, a profité de la tenue de l’événement à Kigali pour organiser une réunion gouvernementale dite de « Haut Niveau ». Celle-ci a permis de rassembler 50 pays autour de quatre sessions questionnant le modèle multipartite, la coopération et la gouvernance, l’inclusion numérique et le soutien à la connectivité. Des sujets également au cœur du pacte numérique mondial des Nations Unies qui plaide pour un Internet plus inclusif et équitable. L’Organisation régionale At-Large Afrique (AFRALO), l’une des cinq organisations régionales At-Large au sein de l’ICANN, At-large représentant les utilisateurs finaux, a d’ailleurs initié la semaine de l’ICANN80 par une table ronde autour de l’amélioration de l’infrastructure Internet en Afrique. Du côté d’ICANN Org on a rappelé qu’en 2022 et 2023 deux serveurs racines ont été rendus opérationnels à Nairobi, au Kenya et au Caire en Egypte. La plupart des requêtes DNS racine basées sur l’Afrique sont désormais résolues en Afrique. A titre d’exemple, le serveur racine de Nairobi, au Kenya, traite 40 % de toutes les requêtes DNS racine pour le continent. Avant son installation, 35 à 40 % du trafic de requêtes DNS voyageait en dehors de l’Afrique pour être résolu. Les deux installations augmentent aussi la résilience du système de serveurs racines mondial pour les utilisateurs d’Internet dans le continent et permettent de parer à l’augmentation exponentielle de trafic attendue sur ce continent au cours des prochaines années.

Les promesses du prochain round de nouvelles extensions génériques, une estimation des coûts de candidatures enfin communiquée

Pas moins de huit sessions tenues dès le premier jour du sommet ont abordé la future série de nouvelles extensions génériques. ICANN Org a rappelé que ce programme permet de rendre l’internet davantage inclusif en tablant notamment sur le succès d’extensions internet dans les langues des utilisateurs, les fameuses extensions internationalisées. Aujourd’hui on compte 91 extensions internalisées parmi les 1172 extensions génériques, une proportion relativement faible. Dans les extensions de pays, les ccTLDs, la part des extensions internationalisées est en effet presque trois fois plus importante et représente près de 20% de l’offre. ICANN Org promeut cette nouvelle série en pointant l’opportunité de créer de nouvelles extensions génériques dans des langues natives. Le GAC appuie surtout pour un soutien accru apporté aux zones géographiques moins favorisées. L’intention est de rendre ce nouveau programme plus accessible pour ces zones avec des aides financières et opérationnelles. ICANN Org a considéré un montant de 2 millions de dollars US pour ce poste quand le GAC estime que les besoins sont plutôt autour de 10-16 millions de dollars US. Le GAC a indiqué espérer pouvoir soutenir au moins 45 projets de candidatures.

Ces considérations sont évidemment à mettre en perspective avec les coûts d’un futur dépôt de candidature pour un projet de nouvelle extension. Sur ce point très attendu, ICANN Org a présenté des projections selon le nombre de candidatures reçues. Si en 2012 il y a eu 1930 candidatures qui ont conduit à quelques 1240 extensions déléguées, quelques-unes ayant été abandonnées depuis, on ne sait pas quel sera le succès de la prochaine série qui va s’ouvrir en avril 2026.

Pour pouvoir amortir ses coûts, ICANN Org estime que les frais de candidature doivent s’établir à  293 000 dollars US si 500 candidatures sont soumises, 242 000 USD si elles sont au nombre de 1000, 208 000 USD pour 2000 candidatures. On rappellera qu’en 2012 les frais de candidature s’établissaient à 185 000 dollars US. On retiendra aussi que la valeur médiane des frais de candidature présentée s’établit à 259 000 dollars US.

Un remboursement partiel des frais est considéré si les frais retenus s’avèrent avoir été surévalués au regard d’un volume de candidatures plus élevé qu’estimé. On aura pu noter que dans les postes de dépenses, ICANN Org a indiqué que 13 millions de dollars US sont par exemple alloués sur 2025 à ce programme au titre de coûts de personnel. Un sujet qui a fait l’objet de questionnements, ICANN ayant déjà un budget opérationnel qui couvre les coûts de sa masse salariale.

Abus du DNS : Premiers enseignements suite aux amendements contractuels

ICANN80 a aussi été l’occasion d’un premier bilan après l’implémentation d’amendements contractuels des registres et des bureaux d’enregistrement pour inclure dans les contrats des mesures d’obligations de remédiation sur des abus DNS manifestes tels que des cas de phishing, des malwares ou encore des pratiques de pharming. Ces mesures sont entrées en application le 5 avril dernier. Le département de conformité d’ICANN a indiqué avoir reçu 1558 plaintes liées à des abus. 1382 n’étaient pas valides soit car elles n’étaient pas étayées ou renseignées suffisamment ou car elles étaient en dehors du périmètre d’action de l’organisation. Une partie a par exemple, concerné des ccTLDs (extensions internet de pays) où ICANN n’est pas compétente. ICANN a aussi rappelé que les abus manifestes doivent d’abord être signalés aux opérateurs de registres et aux bureaux d’enregistrement qui gèrent les noms de domaine.

ICANN80 est resté avant tout un sommet de travail avec peu d’annonces.  Tout juste le nouveau visage de l’organisation « Kurtis » Lindqvist a-t-il été officialisé, même si l’information avait déjà fuité quelques jours plus tôt. Cette désignation ne doit pas éclipser le fait que Sally Costerton assure depuis bientôt une année et demi l’intérim de présidence de l’organisation et que durant ce temps son volontarisme a permis de faire avancer plusieurs sujets dont la prochaine série de nouvelles extensions génériques qui est désormais bien sur orbite. Les travaux d’implémentation des politiques et du futur guide de candidature avancent et la fenêtre de candidature envisagée pour avril – juin 2026 semble désormais atteignable. Pour les frais de candidature on retiendra une fourchette allant de 208 000 à 293 000 USD selon le volume de candidatures escomptées. S’il a beaucoup été question d’extensions internationalisées, ce sont surtout les extensions géographiques et les extensions de marques, les fameux dot brand qui sont les plus pertinentes. Elles vont constituer un allié au service de la sécurité, de la performance, de la notoriété de leurs détenteurs dans un contexte de menaces mais aussi règlementaire, législatif et technologique de plus en plus complexe.  Pour réussir votre futur projet d’extension et bénéficier de solutions optimisées pour vos actifs en ligne, le tout est d’être bien accompagné.

Source de l’image : Site de l’ICANN

Été et Cybermenaces : la sécurité numérique ne prend pas de vacances

Été et Cybermenaces : la sécurité numérique ne prend pas de vacances - Phishing slamming

L’été est enfin là, et annonce l’arrivée très prochaine des Jeux Olympiques et Paralympiques à Paris (JOP). Si la saison estivale marque généralement une recrudescence d’attaques cybers, la perspective des JOP augmente d’autant plus l’état de la menace cyber.

Les JO de Tokyo de 2021 avaient déjà recensé plus de 450 millions de tentatives de cyberattaques, avant et pendant la compétition – comme l’indique Le Monde Informatique – démontrant qu’un événement d’une telle ampleur désigne une cible de prédilection pour les hackers et cybercriminels, qui convoitent une telle surface d’exposition. Les motifs des attaques, quant à eux, peuvent être multiples, motivés dans un cas par des objectifs financiers et dans l’autre par des raisons plus politiques, dans le but de perturber le bon déroulement de l’événement, la crédibilité ou la réputation du pays et de ses infrastructures numériques.

Le Gouvernement alerte d’ailleurs, au sujet d’une vague de fraudes en cours. Il souligne notamment, une campagne d’emails usurpant l’identité de la plateforme d’assistance de sécurité informatique cybermalveillance.gouv.fr elle même. Ces emails prétendent prévenir les destinataires de fraude ou de pertes de données mais cherchent en réalité à subtiliser et à faire usage de ces informations personnelles.

Les emails frauduleux peuvent, en outre, se distinguer par leur capacité à contenir des pièces jointes infectées. Un seul clic peut donc suffire à infiltrer tout un réseau. Les fichiers prennent généralement l’apparence de documents légitimes (PDF, Word, JPG ou autre), et cachent en fait des codes malveillants, des « malwares », ou des « ransomwares ». On les appelle communément Chevaux de Troie ou bien Trojans. L’objectif est de passer inaperçu pour mieux compromettre la sécurité des systèmes informatiques de leur victime.

La  saison estivale doit donc, plus que jamais, inviter entreprises et collectivités, mais aussi, le public et les particuliers à être particulièrement vigilants vis-à-vis de leurs actifs numériques. Il est essentiel de comprendre, que lorsque l’on parle de cyberattaques, le facteur humain est en cause : en effet, les erreurs humaines, le manque d’informations et de sensibilisations face aux diverses cybermenaces, sont exploitées par les cybercriminels. Il est donc crucial de comprendre les différents types de menaces qui existent, notamment le phishing (hameçonnage) ou le slamming.

Le phishing, aussi appelé hameçonnage ou filoutage est une technique couramment employée par les cybercriminels pour obtenir des renseignements personnels et perpétrer des usurpations d’identité.

Parmi les nombreuses variantes de cette méthode frauduleuse, le slamming se différencie quant à lui par sa « ruse » visant les titulaires de noms de domaine. Les victimes reçoivent ainsi des e-mails, souvent pressants ou alarmistes, bien construits et crédibles, incitant à renouveler leur annuité chez un autre registrar, et menaçant de la perte imminente du nom de domaine. Ces messages peuvent prendre la forme de factures de renouvellements frauduleux, accompagnées de termes anxiogènes tels que « expiration notice », poussant les destinataires à commettre des erreurs dans la précipitation, et à effectuer des paiements non sollicités. Le slamming peut également se manifester par des alertes indiquant qu’un « client » de l’expéditeur – en réalité, un faux registrar – prévoit de déposer des noms de domaine similaires à celui de la victime. Le fraudeur incite donc cette dernière à un paiement urgent pour déposer ces noms afin de la protéger de ces dépôts ennuyeux.

Face à la montée en puissance des cybermenaces cet été, la vigilance citoyenne est plus que jamais essentielle. Afin de se prémunir au mieux contre les attaques cybers, plusieurs règles simples peuvent faire toute la différence :

  • Ne divulguez pas de données personnelles sans vérification ;
  • Evitez d’ouvrir les pièces jointes provenant d’expéditeurs inconnus ou peu fiables ;
  • Vérifiez les liens avant de cliquer en passant le curseur de la souris dessus afin de vérifier qu’ils renvoient vers le bon site ;
  • Ne cédez jamais à la pression de sollicitations suspectes,
  • En cas de doute, contactez l’expéditeur par un autre canal pour confirmer la légitimé du message.

Face à ces cybermenaces insidieuses, prudence et vigilance collectives représentent nos meilleures alliées. Et vous n’abuserez jamais en en faisant le meilleur usage.

Crédit image : Nameshield with storyset.com