Lena FARY, Author at L'actualité cybersécurité, propriété intellectuelle et noms de domaine

Microsoft vient d’imposer de nouvelles exigences DMARC, SPF et DKIM : un impératif de conformité pour les entreprises

Le 5 mai 2025, Microsoft a annoncé renforcer son système de messagerie en mettant en œuvre de nouvelles exigences strictes en matière d’authentification des emails.

Cette initiative n’est pas une surprise, s’inscrivant dans la lignée de Gmail, Yahoo et Apple qui imposent, depuis 2024 le DMARC aux expéditeurs envoyant plus de 5000 courriels ou plus par jour. Les principaux services de messagerie se sont ainsi vu renforcer leurs exigences de sécurité d’emails afin de mieux lutter contre de nombreuses cybermenaces (spams, phishing d’usurpation d’identité).

On pourrait penser que seuls les grands groupes sont concernés par ces nouvelles règles, mais il suffit d’envoyer 5000 mails une seule fois en une journée, pour une campagne marketing par exemple, pour être concerné. Ainsi les petites entreprises et associations peuvent être exposées aux risques de voir leurs emails rejetés.

Quels sont les risques pour les entreprises non conformes ?

Les entreprises qui n’ont pas anticipé ces nouvelles exigences risquent en effet, depuis la date d’entrée en vigueur de ces règles le 5 mai dernier, de voir leurs emails atterrir, au mieux dans les spams, et au pire d’être rejetés. Microsoft a précisé que les courriels non authentifiés porteront le code « 550 ; 5.7.515 Access denied, le domaine d’envoi [SendingDomain] ne répond pas au niveau d’authentification requis ».

Les entreprises risquent ainsi :

De voir leurs emails ne pas arriver à destination (emails marketing, factures, réinitialisation de mots de passe, ou autres communications essentielles).
D’entacher leur réputation en tant qu’expéditeur non conforme compromettant la confiance de leurs clients.

Comment se conformer aux nouvelles règlementations Microsoft ?

Plusieurs protocoles, comme SPF, DKIM et DMARC peuvent être déployés de façon efficace, afin de sécuriser votre messagerie :

SPF (Sender Policy Framework) permet aux serveurs de messagerie de vérifier si un e-mail reçu provient réellement du serveur hôte déclaré. Cette vérification est automatique et transparente pour le destinataire.

DKIM (Domain Keys Identified Mail), est une signature cryptographique du corps du message DKIM, qui vérifie l’authenticité du domaine expéditeur et garantit l’intégrité du message.

Enfin, DMARC (Domain-based message authentication, reporting and conformance) est intégré dans le processus d’authentification des courriels entrants d’une organisation. Le DMARC permet d’aider les destinataires à déterminer si le message est conforme. Il nécessite que le message ait passé les validations SPF et/ou DKIM et que les noms de domaine correspondent.

DMARC est une obligation, plus une option : Nameshield vous accompagne dans votre mise en conformité

Face à ces changements, Nameshield propose des services adaptés pour aider les entreprises et organisations à se conformer au mieux aux exigences DMARC de Microsoft :

Paramétrage de votre plateforme.
Accompagnement dans la publication du DMARC à none sur tous les domaines.
Vérification des SPF (syntaxe, liste IP, valeur dépréciée ou vide, …).
Proposition d’adaptation des sous-domaines émetteurs, dans le but de limiter la surface d’attaque.
Analyse des RUA et préconisations pour les modifications SPF / DKIM nécessaires.
Recommandation des modifications à effectuer : DMARC quarantine, reject et mise en conformité des entrées SPF et DKIM.
Suivi des comportements anormaux, des tentatives de phishing et sensibilisation.

Pour bien comprendre le DMARC, vous pouvez télécharger notre infographie. N’hésitez pas à contacter nos équipes pour répondre à vos questions et sécuriser votre messagerie.

Amazon Registry annonce le lancement de trois nouvelles extensions de noms de domaine : .FREE, .HOT et .SPOT

Le marché des noms de domaine s’apprête à accueillir de nouveaux gTLDs, suite à l’annonce d’Amazon Registry du lancement des extensions .FREE, .HOT et .SPOT le 2 avril 2025.

Avec la sortie de ces trois nouvelles extensions, Amazon Registry décide aujourd’hui d’étoffer son portefeuille d’extensions, face à un univers de noms de domaine en mutation constante.

Le calendrier d’ouverture est divisé en 3 phases :

La première, la phase « sunrise » s’étend du 2 avril au 2 mai 2025. Pendant cette période, les marques enregistrées auprès de la Trademark Clearinghouse pourront se positionner avant l’ouverture à tous.

La seconde, la phase « Early Access Period » aura lieu du 12 au 17 mai 2025.

Et la disponibilité générale devrait avoir lieu à partir du 19 mai 2025.

Vous souhaitez être accompagné pour acquérir un nom de domaine en .FREE, .HOT ou .SPOT pour votre marque ? L’équipe Nameshield se tient à votre disposition pour répondre à vos questions ou besoins. N’hésitez pas à nous contacter !

Google Registry lance sa nouvelle extension .CHANNEL

Google Registry a annoncé le 7 janvier, l’ouverture de la nouvelle extension .channel, une opportunité particulièrement intéressante pour les créateurs et éditeurs de contenu.

L’univers des noms de domaine s’enrichit d’une nouvelle extension : le .channel. Ce TLD unique a été conçu pour offrir un espace dédié et identifiable aux créateurs de contenu, médias et marques pour optimiser leur présence en ligne. Le .channel offre ainsi une vitrine numérique, permettant de monétiser du contenu, de vendre des produits physiques ou numériques, et d’interagir plus facilement avec son audience de façon fiable et sécurisée.

Le planning d’ouverture de l’extension a été partagé en début d’année, divisé en 3 phases :

La première, la Limited Registration Period, est aujourd’hui achevée et permettait à une audience restreinte, en l’occurrence, les créateurs de contenu (Youtubers, Podcasters, Blogueurs…) de se positionner sur les noms de domaine qu’ils souhaitaient enregistrer et ce, jusqu’au 3 février 2025.

La seconde période, la Phase EAP (Early Access Period) a eu lieu du 4 au 11 février 2025 afin d’enregistrer, à des prix décroissants, les noms de domaine en forte demande.

La troisième phase vient d’être amorcée avec l’Ouverture Générale de l’extension: le .channel est donc disponible et accessible à tous. Cela signifie aujourd’hui que toute marque ou entreprise souhaitant, elle aussi, affirmer sa présence en ligne à travers un espace dédié et identifiable, pour mieux engager son audience, peut adopter un .channel.

Vous souhaitez être accompagné pour acquérir un nom de domaine en .channel ou vous êtes simplement curieux des bénéfices de l’extension pour votre marque ? Alors contactez l’équipe Nameshield sans attendre, et nous répondrons à toutes vos questions.

[WEBINAR BEST OF DAYS TECH 2025] Attaques sur le DNS : quels risques et comment se protéger ?

Bonne nouvelle : notre webinar sur les risques auxquels est confronté le DNS a rassemblé près de 400 participants, et va être rediffusé à l’occasion du BEST OF DAYS TECH 2025 organisé par Webikeo pour récompenser les meilleurs webinars de l’année 2024.

À tous ceux qui n’ont pas eu la chance d’y assister : rendez-vous le 29 Janvier 2025 à 10h15 !

En suivant ce webinar, vous comprendrez en quoi le DNS est la pierre angulaire de l’accès aux services en ligne des entreprises.

Découvrez à quel point le DNS et les noms de domaine stratégiques sont vitaux pour l’entreprise et ses applications clés (web, mail, applications, DMARC, VPN, IoT…), comment ils sont exposés à des menaces de plus en plus nombreuses et sophistiquées et comment se protéger pour garantir leur disponibilité 100% du temps.

Lors de cette rediffusion, notre expert sera présent pour répondre à toutes vos questions.

Webinar animé par :

Christophe GÉRARD, Directeur Produits de Nameshield

Date : Mercredi 29 janvier 2025 à 10h15

Durée : 45 minutes

JE M’INSCRIS AU WEBINAR

Pour y assister, il faudra au préalable vous inscrire sur la plateforme Webikeo (inscription gratuite) puis réserver votre place pour ce webinar. Vous pourrez ainsi participer à cette web-conférence et poser vos questions en direct.

Noël 2024 : Ne laissez pas les cybercriminels gâcher vos fêtes

L’année 2024 touche à sa fin et les fêtes de Noël approchent à grand pas. Si ces événements sont synonymes d’échanges, de convivialité et de cadeaux, ces fêtes sont également devenues un terrain de chasse privilégié pour nombre de cybercriminels qui capitalisent sur cette période pour intensifier leurs attaques.

En effet, chaque année, les périodes de vacances de fin d’année sont marquées par une recrudescence des campagnes d’e-mails frauduleux : phishing et slamming sont de mises pour les cybercriminels, qui profitent d’une vigilance en baisse de la part des employés.

Mais comment prévenir l’erreur humaine ? Un rappel essentiel s’impose concernant les attaques les plus fréquentes, mais aussi les bonnes pratiques à adopter pour s’en prémunir au mieux. Face à des menaces de plus en plus sophistiquées, la sensibilisation et la formation des équipes reste la clef principale pour renforcer vigilance et sécurité.

Le Phishing ou l’appât des faux e-mails

Le phishing aussi appelé hameçonnage ou filoutage consiste à envoyer des courriels frauduleux qui imitent des communications légitimes pour tromper les destinataires. En période de Noël, les cybercriminels redoublent d’ingéniosité pour exploiter des thématiques saisonnières : faux e-mails qui annoncent des factures de fin d’année impayées, des abonnements qui arrivent à termes, ou des souscriptions à renouveler.

Les contenus sont conçus pour pousser à cliquer rapidement, sans prendre le temps de réfléchir, et à divulguer des renseignements et informations personnelles. Les conséquences peuvent être terribles, entre le vol de données personnelles et l’usurpation d’identité : l’impact est durable.

Le Slamming : une variante pernicieuse et redoutable

Tout aussi dangereux, le slamming est une variante connue dans le monde des noms de domaine et des entreprises. Cette technique consiste à inciter les titulaires de noms de domaine à renouveler leur annuité chez un autre registrar, en arguant l’urgence et la criticité de la perte du nom concerné. Ce type d’e-mail pousse le service à procéder à un paiement sans vérification préalable, dans des délais très courts, sans quoi le nom de domaine sera perdu.

En période de fin d’année, le rythme de travail tend à s’accélérer, les effectifs sont parfois également réduits : les cybercriminels exploitent cette vulnérabilité pour envoyer des factures falsifiées ou renouvellements fictifs. Les e-mails de slamming sont très bien conçus, imitent à la perfection les communications légitimes, rendant leur détection difficile, d’autant plus qu’ils utilisent des termes anxiogènes comme « expiration notice », « urgent », « dernier rappel ». Le destinataire cède, sous la pression, et procède au paiement. Il se retrouve ainsi débité d’une somme importante pour le soi-disant renouvellement, amenant des pertes financières importantes pour l’entreprise.

Dans la même logique, l’e-mail de slamming peut également indiquer qu’un « client » de l’expéditeur, se faisant passer pour un faux registrar, compte déposer des noms de domaine identiques ou similaires à votre marque. Magnanime, le fraudeur se propose alors de les déposer pour vous afin de vous protéger de ces dépôts ennuyeux, évidemment contre règlement urgent.

Faux cadeau, vrai danger : la pièce jointe piégée

Dernière attaque courante en cette période de fin d’année : les e-mails frauduleux qui s’accompagnent de pièces jointes infectieuses. Les pièces jointes piégées sont l’une des techniques les plus courantes et permettent aux cybercriminels de dissimuler des logiciels malveillants dans des fichiers, à première vue anodins (factures, documents officiels en formats PDF, Word ou JPG).

Un seul point d’entrée suffit pour détruire le réseau d’une entreprise. La pièce jointe peut comporter un ransomware ou rançonlogiciel capable de voler ou crypter des données sensibles. Appelées Chevaux de Troie ou Trojans, ces pièces jointes piégées peuvent être dévastatrices pour une entreprise. La plus grande prudence est encore une fois nécessaire, et les expéditeurs et le contenu doivent être examinés avant ouverture.

Face à ces attaques sophistiquées, la vigilance s’impose.

Si les périodes de fêtes, l’augmentation des transactions de fin d’année, et l’urgence des dernières factures présentent une période de vulnérabilité accrue pour les entreprises, les employés doivent être particulièrement attentifs en ouvrant leurs emails face aux risques de slamming et de phishing. Quelques règles simples doivent donc s’imposer :

La vigilance est le mot d’ordre lorsque l’on vous demande des données personnelles,
Les pièces jointes d’un expéditeur inconnu ne doivent pas être ouvertes,
Les liens URL peuvent être vérifiés en passant le curseur de la souris au-dessus (sans cliquer) pour s’assurer qu’ils renvoient vers des sites de confiance,
Un retard face à une sollicitation urgente vaut mieux que des pertes financières : il ne faut pas céder à la pression et risquer d’engager un paiement frauduleux,
S’il y a un doute sur un expéditeur, vous pouvez le contacter par un autre biais pour vérifier s’il s’agit d’une tentative de fraude ou non.

Cette année encore, soyez attentifs, et ne laissez pas un clic imprudent gâcher vos fêtes !

Crédit image : Nameshield with storyset.com

Nameshield est référencée dans le catalogue multi-éditeurs de l’UGAP

Nameshield est ravie de vous informer que notre entreprise est désormais référencée, via SCC, par l’UGAP (Union des Groupements d’Achats Publics).

Ce référencement est une nouvelle preuve de la volonté de Nameshield de s’engager auprès du secteur public notamment des collectivités territoriales, administrations, secteur sanitaire et médico-social, tout en simplifiant les démarches pour cette partie du marché en réduisant les contraintes administratives liées aux appels d’offres.

Nous souhaitons en effet tout mettre en œuvre pour faciliter l’accès à nos solutions et permettre la sécurisation des noms de domaine et actifs numériques de nos clients en étant en conformité avec les procédures des marchés publics.

Quels sont les avantages de l’UGAP pour les clients publics ?

Tous les produits et services proposés par la centrale d’achat public sont déjà le résultat d’appels d’offres. Les acheteurs publics sont donc dispensés d’appel d’offres lorsqu’ils recourent à l’UGAP.

Lorsque les clients publics commandent à l’UGAP, le respect des règles de la commande publique est garanti. Leurs achats sont juridiquement sécurisés, l’UGAP assumant la responsabilité de l’appel d’offres.

Enfin, en recourant à l’UGAP, les clients publics sécurisent et simplifient leurs achats tout en gagnant du temps.

Nameshield est aujourd’hui impatiente de pouvoir contribuer aux projets du secteur public, et se tient à votre disposition pour répondre à toute question ou recueillir vos demandes.

Découvrez notre livre « Poulpi est cyberprédaté », une aventure passionnante pour toute la famille !

Nameshield est fière de vous dévoiler la mise en ligne gratuite du Tome 1 de son livre pour enfants : « Poulpi est Cyberprédaté ». Cet ouvrage a pu voir le jour grâce à la collaboration de sa rédactrice, Natacha de Laporte et de son illustrateur Bruno Darras, que nous remercions pour l’écriture de ce récit riche en apprentissage. Ce livre captivant propose une histoire éducative pour initier et sensibiliser, dès le plus jeune âge à l’univers de la cybersécurité, mais aussi aux risques qui existent sur Internet.

Poulpi a des ennuis : une série pleine de rebondissements

Dans cette histoire palpitante, Poulpi, un petit poulpe curieux, se fait piéger par un cyberprédateur. Sa sœur s’en veut, pensant qu’elle aurait pu éviter l’incident. Comment Poulpi et sa famille vont-ils réagir face à cette situation ? Une aventure pleine de leçons sur la sécurité numérique et la responsabilité collective !

Un allié pour sensibiliser les enfants à l’usage d’Internet

Nameshield, éditeur de logiciel depuis 30 ans, protège les noms de domaine stratégiques de ses clients contre les cybermenaces. La mission de notre entreprise ne s’arrête pas là. Bâtir un Internet plus sûr nécessite aussi de créer des outils ludiques et accessibles au plus grand nombre pour diffuser les bonnes pratiques cyber. Poulpi permet donc, dès l’âge de 7 ans de comprendre que le cyberspace touche tout le monde, qu’il ne faut pas croire tout ce que l’on voit sur Internet, et qu’il faut utiliser les réseaux sociaux avec précaution.

Nameshield est convaincue que l’éducation et la sensibilisation de la jeunesse est un enjeu essentiel pour préparer les futures générations à naviguer dans un monde numérique en toute sécurité. Poulpi est donc une première étape pour initier les familles à la cybersécurité et aux bonnes pratiques numériques de manière simple et accessible.

Pourquoi faut-il lire Poulpi ?

Dans un monde de plus en plus connecté, les sujets cyber peuvent paraître complexes. Poulpi permet donc à la fois d’éduquer les plus jeunes de manière ludique sur les risques d’Internet, mais aussi d’ouvrir le dialogue en famille sur les comportements responsables à adopter lorsqu’on est en ligne.

Le Tome 1 de Poulpi a été reconnu pour son engagement en étant référencé sous le pilier « Cybercitizenship » du catalogue de Cyber4Tomorrow, collectif lancé par numeum et Campus Cyber dont la mission est d’allier enjeux cyber et RSE dans la transformation numérique, en soutenant un Internet plus sûr, éthique et durable.

Poulpi est disponible gratuitement en ligne

Retrouvez « Poulpi est cyberprédaté » gratuitement en ligne sur le site Calaméo et rejoignez Poulpi dans son aventure pour en faire profiter toute la famille :

Découvrir le tome 1 « Poulpi est cyberprédaté »

Offrez à vos enfants l’occasion de devenir des explorateurs avisés du monde numérique en suivant toutes les aventures de Poulpi !

Été et Cybermenaces : la sécurité numérique ne prend pas de vacances

L’été est enfin là, et annonce l’arrivée très prochaine des Jeux Olympiques et Paralympiques à Paris (JOP). Si la saison estivale marque généralement une recrudescence d’attaques cybers, la perspective des JOP augmente d’autant plus l’état de la menace cyber.

Les JO de Tokyo de 2021 avaient déjà recensé plus de 450 millions de tentatives de cyberattaques, avant et pendant la compétition – comme l’indique Le Monde Informatique – démontrant qu’un événement d’une telle ampleur désigne une cible de prédilection pour les hackers et cybercriminels, qui convoitent une telle surface d’exposition. Les motifs des attaques, quant à eux, peuvent être multiples, motivés dans un cas par des objectifs financiers et dans l’autre par des raisons plus politiques, dans le but de perturber le bon déroulement de l’événement, la crédibilité ou la réputation du pays et de ses infrastructures numériques.

Le Gouvernement alerte d’ailleurs, au sujet d’une vague de fraudes en cours. Il souligne notamment, une campagne d’emails usurpant l’identité de la plateforme d’assistance de sécurité informatique cybermalveillance.gouv.fr elle même. Ces emails prétendent prévenir les destinataires de fraude ou de pertes de données mais cherchent en réalité à subtiliser et à faire usage de ces informations personnelles.

Les emails frauduleux peuvent, en outre, se distinguer par leur capacité à contenir des pièces jointes infectées. Un seul clic peut donc suffire à infiltrer tout un réseau. Les fichiers prennent généralement l’apparence de documents légitimes (PDF, Word, JPG ou autre), et cachent en fait des codes malveillants, des « malwares », ou des « ransomwares ». On les appelle communément Chevaux de Troie ou bien Trojans. L’objectif est de passer inaperçu pour mieux compromettre la sécurité des systèmes informatiques de leur victime.

La saison estivale doit donc, plus que jamais, inviter entreprises et collectivités, mais aussi, le public et les particuliers à être particulièrement vigilants vis-à-vis de leurs actifs numériques. Il est essentiel de comprendre, que lorsque l’on parle de cyberattaques, le facteur humain est en cause : en effet, les erreurs humaines, le manque d’informations et de sensibilisations face aux diverses cybermenaces, sont exploitées par les cybercriminels. Il est donc crucial de comprendre les différents types de menaces qui existent, notamment le phishing (hameçonnage) ou le slamming.

Le phishing, aussi appelé hameçonnage ou filoutage est une technique couramment employée par les cybercriminels pour obtenir des renseignements personnels et perpétrer des usurpations d’identité.

Parmi les nombreuses variantes de cette méthode frauduleuse, le slamming se différencie quant à lui par sa « ruse » visant les titulaires de noms de domaine. Les victimes reçoivent ainsi des e-mails, souvent pressants ou alarmistes, bien construits et crédibles, incitant à renouveler leur annuité chez un autre registrar, et menaçant de la perte imminente du nom de domaine. Ces messages peuvent prendre la forme de factures de renouvellements frauduleux, accompagnées de termes anxiogènes tels que « expiration notice », poussant les destinataires à commettre des erreurs dans la précipitation, et à effectuer des paiements non sollicités. Le slamming peut également se manifester par des alertes indiquant qu’un « client » de l’expéditeur – en réalité, un faux registrar – prévoit de déposer des noms de domaine similaires à celui de la victime. Le fraudeur incite donc cette dernière à un paiement urgent pour déposer ces noms afin de la protéger de ces dépôts ennuyeux.

Face à la montée en puissance des cybermenaces cet été, la vigilance citoyenne est plus que jamais essentielle. Afin de se prémunir au mieux contre les attaques cybers, plusieurs règles simples peuvent faire toute la différence :

Ne divulguez pas de données personnelles sans vérification ;
Evitez d’ouvrir les pièces jointes provenant d’expéditeurs inconnus ou peu fiables ;
Vérifiez les liens avant de cliquer en passant le curseur de la souris dessus afin de vérifier qu’ils renvoient vers le bon site ;
Ne cédez jamais à la pression de sollicitations suspectes,
En cas de doute, contactez l’expéditeur par un autre canal pour confirmer la légitimé du message.

Face à ces cybermenaces insidieuses, prudence et vigilance collectives représentent nos meilleures alliées. Et vous n’abuserez jamais en en faisant le meilleur usage.