DNS on Blockchain : la prochaine évolution des noms de domaine ?

DNS on Blockchain - Nameshield — *Source de l’image : TheDigitalArtist via Pixabay*

Résumé

Le DNS, système de noms de domaine, est un service au cœur du fonctionnement d’Internet. Il est fondamental pour le fonctionnement de nombreux services tels que les sites web, les serveurs mails, la téléphonie VoIP et bien d’autres.

Depuis plus de 30 ans, de nombreuses extensions et fonctionnalités ont été ajoutées au DNS, ce qui se traduit techniquement par une hausse de la complexité des infrastructures.

La technologie Blockchain pourrait être une évolution considérable pour le DNS, en apportant plusieurs avantages et nouvelles fonctionnalités.

_______________

Le DNS, un service fondamental

Le DNS, système de noms de domaine, est un service au cœur du fonctionnement d’Internet. Il fonctionne comme un annuaire public qui associe des noms de domaine à des ressources sur Internet, comme par exemple des adresses IP.

Lorsqu’un utilisateur saisit une adresse dans son navigateur, c’est donc un serveur DNS qui traduit cette adresse humainement compréhensible, en une adresse IP, compréhensible par les ordinateurs et les réseaux. C’est la résolution DNS.

DNS - DNS on Blockchain - Nameshield - Steve Despres

Ce système, créé en 1983, est fondamental pour le fonctionnement de nombreux services tels que les sites web, les serveurs mails, la téléphonie VoIP et bien d’autres. Il est en constante évolution pour répondre à des besoins toujours plus importants en termes de fonctionnalités et de sécurité. En effet, le DNS doit garantir :

Disponibilité : une indisponibilité du service DNS entraînerait une coupure de services.
Intégrité : les données présentes sur le DNS (associées à un nom de domaine) ne doivent pas être corrompues.
Confidentialité : pour protéger la vie privée des utilisateurs, le DNS implémente différentes solutions qui permettent d’accroître la confidentialité des requêtes DNS. Si les requêtes ne sont pas confidentielles, il est possible d’analyser les informations de navigation des utilisateurs.

Le système de noms de domaine est basé sur un modèle de confiance centralisé. Il est distribué dans le monde entier et géré par différents acteurs de manière hiérarchique, en plusieurs niveaux ; un niveau racine, un premier niveau où sont gérées les extensions par les registres, puis un second niveau géré par les bureaux d’enregistrement. Le tout est orchestré par l’ICANN, l’autorité de régulation de l’Internet.

Noms de domaine - DNS on Blockchain - Nameshield - Steve Despres

Depuis plus de 30 ans, de nombreuses extensions et fonctionnalités ont été ajoutées au DNS, ce qui se traduit techniquement par une hausse de la complexité des infrastructures.

La technologie Blockchain pourrait être une évolution considérable pour le DNS, en apportant plusieurs avantages et nouvelles fonctionnalités.

Blockchain et registre décentralisé

Une Blockchain est une structure de données accessible à tous et distribuée sur un réseau décentralisé ; les données sont répliquées sur chaque nœud du réseau, il n’y a pas d’autorité centrale. Tout le monde a la possibilité de lire son contenu, d’ajouter des données et même de rejoindre le réseau. Le concept a été implémenté la première fois en 2009 avec Bitcoin, mais il existe aujourd’hui de nombreuses technologies Blockchain, chacune avec des propriétés qui leur sont propres.

Les données sont inscrites sur une Blockchain via des transactions. Les transactions sont regroupées en blocs, chaque bloc est ensuite validé par le réseau puis mis bout à bout. Ainsi, une Blockchain contient l’historique de toutes les transactions effectuées depuis sa création.

Les règles de validation sont inscrites dans le protocole de la Blockchain, que chaque membre du réseau respecte. Pour garantir le respect de ses règles, les protocoles Blockchain s’appuient sur des algorithmes de consensus, le plus connu étant le Proof of Work. Ces algorithmes garantissent l’intégrité, l’immuabilité et la sécurité des données inscrites sur la Blockchain.

Blockchain - DNS on Blockchain - Nameshield - Steve Despres

La technologie Blockchain répond à plusieurs besoins du DNS :

Disponibilité : un réseau décentralisé et pair à pair ne peut pas être arrêté. Cela pourrait remplacer ou compléter les infrastructures Anycast.
Intégrité : le protocole de consensus d’une Blockchain garantit, par nature, l’intégrité des données. De plus, les données ne peuvent pas être modifiées. Ces propriétés permettraient de se passer de DNSSEC, et de sa fameuse cérémonie de renouvellement des clés.
Confidentialité : Les requêtes effectuées pour lire les données de la Blockchain peuvent être encapsulées dans un canal HTTPS de la même manière que le protocole DNS over HTTPS (DoH). Les résolveurs DoH sont aujourd’hui peu nombreux, donc le trafic est centralisé autour d’un nombre limité d’acteurs. L’utilisation d’une Blockchain offrirait la possibilité d’interroger n’importe quel nœud du réseau, et limiterait donc ainsi la centralisation et les SPF (single point of failure).

Les données inclues dans les fichiers de zones DNS, c’est-à-dire les configurations des noms de domaine, pourraient donc être distribuées sur une Blockchain. Chaque acteur (registres, bureaux d’enregistrement) pourrait directement interagir avec cette Blockchain pour gérer les noms de domaine. C’est l’idée du DNS on Blockchain.

De nouveaux besoins

Ces dernières années, avec l’émergence des technologies Blockchain, de nouveaux moyens d’échange de valeurs se sont développés, notamment avec la tokenisation, les crypto-actifs et les applications décentralisées (dapps); on parle de Web 3.0, ou de l’Internet de la valeur.

Moyens échange de valeurs - DNS on Blockchain - Nameshield - Steve Despres

Les portefeuilles numériques et applications décentralisées fonctionnent avec des identifiants difficilement lisibles, comme par exemple 0x483add28edbd9f83fb5db0289c7ed48c83f55982 pour une adresse de portefeuille.

Pouvoir associer ce type d’adresse à des noms de domaine, au sein d’un système universel de nommage, pourrait avoir un réel intérêt pour les applications du Web de demain. Il serait possible d’avoir un portefeuille de cryptoactifs ou une application décentralisée configurée directement derrière un nom de domaine. Cela pourrait aussi se révéler utile pour l’identité numérique des entreprises et de leurs marques.

DNS on Blockchain, aujourd’hui

De nombreux projets de systèmes de nommage sur Blockchain sont actuellement en cours de développement, chacun avec sa propre implémentation.

Certaines applications proposent de nouvelles extensions de noms de domaine (TLD), comme le .bit, .zil, .crypto, .eth, etc. C’est notamment le cas de Namecoin et de UnstoppableDomains. Ces systèmes sont complètement indépendants du DNS traditionnel et de l’ICANN. L’enregistrement est directement géré par les utilisateurs, et la résolution des noms se fait en général à travers une extension de navigateur. Le navigateur Opera a récemment intégré nativement la résolution de ces noms de domaine.

Ces applications sont fonctionnelles et l’enregistrement des noms n’est pas contrôlé. Il y a donc beaucoup de cas de cybersquatting. Des utilisateurs enregistrent des noms dans l’espoir de les revendre et toucher une plus-value. Cela pose évidemment un problème pour les titulaires de marques, et empêchera certainement l’adoption de ces solutions par des entreprises.

DNS on Blockchain - Nameshield - Steve Despres

D’autres projets proposent des solutions complémentaires au DNS. Ethereum Name Service (ENS) propose notamment un système de noms sur Blockchain qui s’intègre avec le DNS traditionnel. Si vous êtes titulaire d’un nom de domaine et pouvez le prouver avec un enregistrement DNSSEC, vous pouvez alors enregistrer ce même nom sur le service Blockchain. Cela permet de cumuler les avantages du DNS traditionnel et du DNS on Blockchain.

Les extensions .kred, .xyz et le .luxe supportent déjà cette intégration sur Blockchain, et ENS prévoit de la proposer pour toutes les extensions compatibles DNSSEC. Ce projet est assez prometteur, Ethereum Name Service a récemment rejoint le DNS-OARC (DNS Operations, Analysis, and Research Center).

Le projet Handshake propose quant à lui un protocole de nommage pour gérer le niveau racine du DNS, et fournir une alternative aux autorités de certification. Il remet en cause le modèle de confiance et de gouvernance du DNS, pour expérimenter un système plus décentralisé, sécurisé et résilient basé sur de la validation des zones DNS par les participants du réseau.

Conclusion

Le DNS on Blockchain pourrait être une évolution considérable du DNS; cela apporterait plusieurs avantages et de nouvelles fonctionnalités grâce à la technologie Blockchain, ce qui profiterait au développement du web décentralisé.

Cependant aujourd’hui, il n’y a pas encore de technologies et d’applications qui font l’unanimité, même si de nombreux projets et PoC sont en cours de développement. Ils n’ont pas encore une maturité suffisante pour être utilisés à grande échelle. Des améliorations en termes de scalabilité, de sécurité et d’usage doivent être réalisées.

La collaboration des acteurs d’Internet (ICANN, DNS-OARC, registres) semble indispensable pour qu’une technologie fasse consensus et soit adoptée, notamment pour fixer des règles communes. C’est un sujet à suivre de près au cours des prochaines années.

Les sujets blockchains et crypto-actifs vous intéressent ? N’hésitez pas pour en savoir plus à consulter le site de notre collaborateur Steve Despres : https://cryptoms.fr/

Cybersécurité des entreprises – 5ème édition du baromètre annuel du CESIN

Chaque année, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) publie son baromètre de la cybersécurité des entreprises afin de mieux cerner la perception et la réalité concrète de la cybersécurité et ses enjeux au sein des entreprises membres du CESIN.

En janvier dernier, le CESIN a ainsi dévoilé les résultats de son enquête OpinionWay[1], réalisée du 2 décembre 2019 au 7 janvier 2020 auprès de ses 253 membres, Responsables Sécurité des Systèmes d’Information (RSSI) de grands groupes français.

Cyberattaques : Moins d’entreprises touchées mais encore fortement impactées

L’étude met tout d’abord en avant un chiffre positif : la baisse du nombre d’entreprises qui ont subi au moins une cyberattaque en 2019, soit 65% des entreprises interrogées contre 80% en 2018 (à noter toutefois qu’il s’agit d’un écart de résultat nuancé par l’ajout de la définition de cyberattaque pour l’enquête réalisée en janvier 2020).

En revanche, l’impact de ces cyberattaques reste important puisque 57% de ces attaques ont des conséquences sur le business telles que la perturbation de la production (27%), l’indisponibilité du site web (17%) et la perte de chiffre d’affaires (9%).

Les entreprises visées ont été les cibles de 4 types de cyberattaques en moyenne en 12 mois. Parmi les vecteurs d’attaques, le phishing reste l’attaque la plus fréquente avec 79% des entreprises qui ont été touchées en 2019, suivi par l’arnaque au Président (47%), l’exploitation d’une vulnérabilité (43%) et les tentatives frauduleuses de connexion (40%).

Les principales conséquences de ces attaques sont l’usurpation d’identité (35%), l’infection par un malware (34%), le vol de données personnelles (26%), l’infection par ransomware (25%) ou encore le déni de service (19%).

Cloud, IoT et IA, des sources de préoccupation

Avec la transformation numérique, le recours au Cloud est important au sein des entreprises : 89% des entreprises interrogées stockent leurs données dans un Cloud, dont 55% dans des Clouds publics.

Une utilisation massive du Cloud qui représente toujours un risque fort en raison d’une non-maîtrise de la chaîne de sous-traitance de l’hébergeur (pour 50% des RSSI), la difficulté de mener des audits (46%) et la non-maîtrise de l’utilisation du Cloud par les salariés (46%). Pour 91% des répondants, les outils mis en place par les hébergeurs Cloud ne suffisent pas pour sécuriser les données stockées, des outils ou dispositifs spécifiques complémentaires sont nécessaires.

Les objets connectés constituent également une préoccupation croissante, ils augmentent la surface d’attaque et font apparaître de nouvelles typologies de menaces. Les RSSI interrogés s’inquiètent des failles de sécurité présentes dans ces équipements (43%) et du flou dans l’appréciation des risques potentiels (28%).

L’étude montre de plus, que l’IA embarquée au cœur des solutions de cybersécurité doit encore faire ses preuves puisque 53% des RSSI ne lui font pas confiance.

Une prise de conscience des cyber-risques

Pour prévenir les risques d’attaques, les entreprises mettent en place une douzaine de solutions de protection en moyenne, outre les antivirus et firewalls. Parmi elles, la passerelle de sécurité mail (85%), la passerelle VPN/SSL (85%), le proxy et filtrage d’URL (83%), et l’authentification multi-facteurs. Cette dernière adoptée par 72% des entreprises, connaît une hausse de 13% par rapport à 2018.

Davantage sensibilisées aux risques cyber, 91% des entreprises interrogées mettent en place un programme de cyber-résilience en parallèle des solutions de protection ou envisagent de le faire, c’est 12 points de plus que l’an passé.

La prise de conscience des cyber-risques se traduit de plus par l’augmentation constante ces trois dernières années, du nombre d’entreprises ayant souscrit à une cyber-assurance (60%).

Malgré cela, seules 4 entreprises sur 10 se disent préparées en cas de cyberattaque de grande ampleur.

Sensibilisation des salariés

Outre la menace externe, pour 43% des entreprises, la négligence des employés constitue le risque cyber le plus répandu.

Le shadow IT, à savoir le déploiement et l’usage d’applications et services hors du contrôle des équipes informatiques, est mentionné par 98% des RSSI interrogés et reste une menace importante à traiter.

Pourtant sensibilisés aux cyber-risques (selon 74% des répondants), seulement la moitié des salariés respecte les recommandations, estiment les RSSI.

Les enjeux pour l’avenir de la cybersécurité

La gouvernance est le premier enjeu cité par les RSSI (70%) pour l’avenir de la cybersécurité suivie par la formation et la sensibilisation des usagers aux questions de cybersécurité (57%).

L’augmentation du budget est un autre enjeu majeur pour 50% des répondants. La part du budget IT consacré à la cybersécurité a augmenté dans les entreprises par rapport à l’année dernière. 62% d’entre elles prévoient de l’augmenter davantage au cours des 12 prochains mois et 83% souhaitent acquérir de nouvelles solutions techniques.

Concernant les ressources humaines, une entreprise sur deux (51%) souhaite augmenter ses effectifs dédiés à la cybersécurité, mais 90% se heurtent à une pénurie de profils en SSI, entraînant des difficultés de recrutement.

[1] Sondage OpinionWay pour le CESIN

COVID19.com – Le nom de domaine enregistré par un tiers redirige vers le site internet de l’Organisation mondiale de la santé (OMS)

COVID19 - Blog Nameshield — *Source de l’image : geralt via Pixabay*

Les « domainers » ont toujours un coup d’avance quand il s’agit de profiter d’une situation bonne ou mauvaise. Certains par exemple vont anticiper sur des élections en enregistrant des noms de personnalités politiques, d’autres en profitant d’une manifestation sportive ou culturelle. En conséquence, dans les noms de domaine, il y aura des opportunités pour des enregistrements spéculatifs.

Dans le cas de « COVID19.com », il semble clair qu’au moment de l’enregistrement de ce nom de domaine le 11 février 2020, le titulaire veut évidemment spéculer sur le virus « COVID 19 », terme pouvant générer de multiples requêtes quelle qu’en soit la langue. Le nom est disponible à la vente pour un montant de $10,000 USD.

Cependant, au lieu de simplement rediriger le nom de domaine vers des liens commerciaux, le titulaire a choisi de renvoyer ce nom stratégique vers le site de l’Organisation mondiale de la santé (OMS). Est-ce une démarche citoyenne ? Peu probable, car compte-tenu du contexte actuel, utiliser un tel nom pour tirer un profit direct via des liens commerciaux pourrait entraîner une violation des conditions d’enregistrement du Registrar.

A défaut de tirer un profit immédiat de ce nom de domaine, le titulaire aura au moins le mérite d’attirer notre attention sur lui le temps d’un article.

Les sites en .ZA devront proposer un lien vers le site officiel relatif au Covid-19 mis en place par le gouvernement

Afrique du Sud - Noms de domaine en .ZA - dot ZA — *Source de l’image : 12019 via Pixabay*

Depuis jeudi dernier, le gouvernement sud-africain a imposé à tous les sites utilisant un nom de domaine en .ZA de proposer un lien renvoyant au site officiel d’informations relatif au Covid-19 mis en place par ledit gouvernement : www.sacoronavirus.co.za

Cette nouvelle règle s’applique à tous les sites en .ZA, quel que soit leur contenu.

Les deux autres extensions gérées par le registre ZADNA, .JOBURG et .CAPETOWN, sont également concernées par cette règle.

Dans la même logique, le registre invite également les fournisseurs d’accès Internet à bloquer les diffuseurs de fake news.

Il est enfin intéressant de noter que le site gouvernemental d’informations COVID n’est pas www.coronavirus.co.za mais www.sacoronavirus.co.za. C’est que le nom de domaine www.coronavirus.co.za a été enregistré par un domainer proposant sur sa page de revendre le nom en question.

Comme toutes les crises ou actualités, le COVID-19 a entraîné un dépôt massif de noms de domaine reprenant les termes associés, certains acteurs peu scrupuleux cherchant à tirer parti de la situation.

Sans surprise, en cette période inédite et complexe, on note le nombre en forte croissance des attaques cybercriminelles en tout genre.

Nameshield renouvelle sa certification ISO 27001

Nameshield Group est expert en gestion des noms de domaine, DNS, certificats TLS/SSL.

De par notre expérience acquise auprès de Clients de renommée mondiale aux exigences de sécurité toujours plus fortes, nous sommes devenus également experts techniques en sécurité de l’information. C’est pourquoi nous avons mis en place un système de management de la sécurité de l’information (SMSI).

En 2017, nous avons obtenu la certification ISO 27001 de ce SMSI pour nos activités de gestion de portefeuilles de noms de domaine, DNS et certificats TLS/SSL. Nameshield Group est donc devenu l’unique registrar français garantissant à ses clients un tel niveau de sécurité.

Depuis, nos collaborateurs impliqués dans le SMSI contribuent sans cesse à l’amélioration continue de nos dispositions en termes de sécurité.

Une analyse des risques et leur traitement, selon la méthode Ebios, répondent à nos objectifs de sécurité et à ceux de nos clients.

Nous nous adaptons en permanence aux besoins de sécurité, performance et pérennité. Il en résulte le déploiement de produits et services plus sécurisés, à plus fortes valeurs ajoutées, répondant davantage et mieux aux attentes de nos clients.

Nous savons nous mobiliser en cas d’incidents et apprenons à toujours faire mieux en analysant le traitement de chaque alerte.

Nous disposons et maîtrisons d’un plan de continuité de nos activités. Nous sommes donc en capacité, quelques soient les menaces, d’assurer nos activités à distance (site de repli, télétravail, serveurs redondés…).

La sécurité de l’information est l’ADN de Nameshield Group et de l’ensemble de nos collaborateurs.

Logiquement, notre certificat ISO 27001 a été renouvelé en février dernier pour 3 ans, aucune non-conformité ni remarque n’ayant été notifiée.

Cette reconnaissance internationale vous assure :

Un taux de disponibilité (Interface de gestion des noms de domaine et DNS Premium)
La mise en place de tests permettant de nous remettre en question de manière permanente et d’anticiper les incidents
La sensibilisation de l’ensemble des collaborateurs Nameshield à tous les aspects de la sécurité de l’information
La robustesse et la performance de notre système
L’étude de nos retours d’expérience afin d’améliorer en continue notre sécurité et donc la vôtre

Let’s Encrypt, ne pas confondre confidentialité et sécurité

Let’s Encrypt a récemment fait parler dans le petit monde des certificats TLS, en révoquant soudainement 3 048 289 certificats qui n’auraient pas dû être délivrés. Un bug dans leur logiciel de validation empêchait les contrôles des enregistrements CAA, et les certificats en question n’auraient pas dû être initialement délivrés. Des perturbations importantes ont résulté de cette révocation massive, mais il est difficile de se plaindre d’un service gratuit.

On me demande souvent ce que je pense de Let’s Encrypt, et j’ai toujours cette même réponse : Let’s Encrypt a fait énormément pour chiffrer le web, mais met à mal la sécurité du web. Le chiffrement permet d’assurer la confidentialité (personne ne peut espionner) et l’intégrité (personne ne peut modifier) des échanges. Mais le chiffrement seul ne peut suffire si je n’ai aucune garantie de l’identité de celle ou celui avec qui j’échange (légitime ou frauduleux ?)… Et c’est bien là tout le problème.

Let's Encrypt - Certificats SSL TLS - Nameshield

En 2015, l’initiative Let’s Encrypt, supportée par les grands noms de l’Internet (EFF, Mozilla, Cisco, Akamaï…) voyait le jour avec pour objectif de diffuser en masse et gratuitement des certificats SSL au monde entier. Plus de cinq ans après sa création, l’organisation sécurise 190 millions de sites web et vient d’annoncer avoir distribué un milliard de certificats. Le cap a été franchi le 27 février 2020. C’est indiscutablement une belle performance.

96% du web chiffré en janvier 2020

En 2015, moins de la moitié du trafic web était chiffrée, pour grimper à 96% en janvier 2020. Bien sûr Let’s Encrypt n’est pas le seul acteur responsable de cet essor. Edward Snowden a lancé la première alerte, Google s’est largement engouffré dans la brèche, entre politique de référencement et modification des indicateurs de sécurité web. Mais en mettant à la disposition de tous, des certificats gratuits et basés sur un système largement automatisé, Let’s Encrypt a démocratisé le chiffrement… et mis aux oubliettes la notion d’identité.

Pas d’identité, pas de sécurité

Le credo de Let’s Encrypt est la simplicité, pour « simplifier à l’extrême le déploiement du HTTPS et en finir avec sa bureaucratie horriblement complexe » (dixit l’EFF dans la campagne de lancement). La bureaucratie horriblement complexe a pourtant une raison d’être : l’authentification forte, garante de l’identité du titulaire du certificat. Peut-être pas une garantie absolue de légitimité, pas une garantie de contenu non plus, mais la garantie d’une société enregistrée, légitimement propriétaire du nom de domaine concerné et avec un certificat validé selon une procédure drastique.

Let’s Encrypt, se contente de vérifier le contrôle du nom de domaine (DV, Domain Validation). Il suffit de cliquer sur un lien dans un email ou de renseigner un record TXT sur la zone DNS du nom de domaine. Or l’enregistrement de noms de domaine dans la plupart des TLD est purement déclaratif. Il est assez facile d’enregistrer un nom de domaine, de demander un certificat à Let’s Encrypt et de publier un site web en HTTPS://.

Résultat des courses ?

En cinq ans, l’ensemble des sites de phishing et sites frauduleux sont passés en HTTPS://. Dès 2016, Vincent Lynch alertait sur ce problème, 15 270 certificats contenant le terme « Paypal » avaient été émis par Let’s Encrypt, dont 14 766 frauduleux.

Le marché a été tiré vers le bas en termes de niveau d’authentification. Let’s Encrypt est loin d’être le seul responsable, Google et Mozilla, du haut de leurs 70% de parts de marché, ayant largement soutenu l’initiative, les gros hébergeurs du Cloud ont suivi, de même que les Autorités de Certification, challengées sur les prix. Nous avons aujourd’hui un web sécurisé avec 77% (novembre 2019) de certificats dont la légitimité du propriétaire n’est pas vérifiée.

L’authentification forte change la donne

Le web est devenu chiffré par défaut. Est-il plus sûr pour autant ? Rien n’est moins sûr. L’internaute, éduqué depuis 20 ans à vérifier la présence du cadenas dans sa barre d’adresse, fait confiance à un web dont tous les sites frauduleux affichent le cadenas de sécurité. L’Internet est aujourd’hui confidentiel, mais il n’est pas sûr pour autant.

Il est urgent de revenir à l’authentification forte. L’authentification forte garantit un ensemble d’étapes obligatoires, drastiques et contrôlées pour l’obtention des certificats. Les procédures sont édictées par le CA/B Forum, renforcées régulièrement et suivies d’audit des Autorités de Certification.

23% des certificats sont encore délivrés sur la base de l’authentification forte, la plupart dans le monde de l’entreprise où les RSSI poussent pour la préserver. Nous devons tous nous appuyer sur eux, et soutenir les initiatives supportant les certificats OV (Organization Validation) et EV (Extended Validation), en particulier EV pour garantir l’identité des sites visités par les internautes. Si l’identité sur Internet semble avoir été quelque peu oubliée depuis quelques temps au profit de la confidentialité, elle risque de revenir rapidement sur le devant de la scène, poussée notamment par les internautes et le besoin de protection des données personnelles.

Actualités du .ORG – Les ONG face à la vente du registre du .ORG à Ethos Capital

Extension .ORG - dot org - registre du .org PIR - Blog Nameshield

Fin 2019, l’annonce de la vente du registre du .ORG, Public Interest Registry (PIR) par l’Internet Society à Ethos Capital, un fond d’investissement, a créé un véritable débat, ce qui a été par ailleurs le sujet d’un précédent article de ce blog.

Pour rappel, cette annonce a engendré plusieurs craintes des ONG telles que de voir les prix du .ORG augmenter et la mise en place de principes de protection des droits pouvant entraîner une forme de censure des ONG, comme la pratiquent déjà certains pays. Ces peurs ont poussé l’EFF (Electronic Frontier Foundation) à lancer une campagne de sensibilisation sur l’impact potentiel de cette vente : SaveDotOrg. A ce jour, 846 organisations et 25 119 personnes ont signé cette pétition demandant à l’Internet Society de cesser la vente.

A la suite de ces nombreuses plaintes, l’ICANN a retardé l’approbation de la vente du registre du .ORG à Ethos Capital et a demandé des informations supplémentaires à l’Internet Society.

« Public Interest Commitments » : Les mesures proposées pour apaiser les préoccupations de la communauté du .org

En réponse à ces critiques, Ethos Capital et le Public Interest Registry tentent de rassurer en proposant la mise en place du « Public Interest Commitments » (PIC), des engagements assurant que l’augmentation tarifaire du .ORG serait limitée.

Parmi ces engagements, ils proposent également la création d’un « Stewardship Council » (un conseil pour la bonne gestion du .org) pouvant influencer les prises de décision du PIR et ainsi garantir le maintien de la liberté d’expression.

Ces engagements du PIC seraient ajoutés dans l’Accord du registre (Registry Agreement), contrat établi entre le registre et l’ICANN, relatif au fonctionnement du registre.

Un registre à but lucratif pour défendre des organisations à but non lucratif ?

Lors du dernier sommet de l’I C ANN organisé à distance du 7 au 12 mars derniers en raison de la pandémie du Covid-19, plusieurs ONG dont l’EFF ont abordé ce sujet du rachat du registre du .ORG par Ethos Capital et ont interrogé l’ICANN sur leurs projets d’examiner ce changement de propriétaire.

Selon l’EFF, la création de ce conseil « Stewardship Council » ne répondra pas aux inquiétudes des ONG. En effet, les premiers membres de ce conseil seront directement ou indirectement sélectionnés par le PIR, et ce dernier disposera d’un pouvoir de veto pour s’opposer aux nouveaux membres, ce qui garantirait donc que ce conseil resterait en phase avec le PIR.

Concernant les prix du .ORG, selon les ONG, la mise en place du PIC n’assure pas une limitation de la hausse de prix. Une modification de l’accord du registre pourra être négociée à tout moment entre le propriétaire du registre et l’ICANN, malgré une opposition de l’opinion publique. C’est ce qui est arrivé en juin 2019, quand l’accord du registre du .ORG a été révisé pour réduire les droits des détenteurs du .org et supprimer le plafonnement des prix. L’ICANN a de plus indiqué en 2019, sa volonté de ne plus tenir le rôle de régulateur de prix, pourtant cette mise en place du PIC replacerait à nouveau l’ICANN dans cette position.

Par conséquent selon les ONG, ces « Public Interest Commitments » ne protégeraient donc pas suffisamment la communauté du .ORG.

Les questions des ONG sont restées sans réponse lors du dernier sommet ICANN, cette acquisition faisant encore actuellement l’objet d’un examen de la part de l’ICANN.

« Nous reconnaissons les questions et les préoccupations qui sont soulevées », déclare l’ICANN. « Pour apaiser ces préoccupations et maintenir la confiance dans la communauté « .org », nous exhortons PIR, ISOC et Ethos Capital à agir de manière ouverte et transparente tout au long de ce processus. […] Nous évaluerons de façon réfléchie et approfondie l’acquisition proposée afin d’assurer que le domaine demeure sûr, fiable et stable».

Affaire à suivre.

Lancement de 8 nouvelles extensions pour l’Inde

Noms de domaine - Extensions Inde - Nameshield — *Source de l’image : 0426xgds via Pixabay*

Le registre des .IN lance de nouvelles extensions dans sa langue locale.

A partir du 16 Mars, il sera donc possible de prétendre à ces extensions lors de la phase prioritaire de Sunrise :

Internationalized Domain Name (IDN)

.ಭಾರತ

.ଭାରତ

.ভাৰত

.भारतम्

.भारोत

.بارت

. ڀارت

.ഭാരതം

Langue

Kannada

Oriya

Assamese

Sanskrit

Santali

Kashmiri

Sindhi

Malayalam

Les phases se décomposeront de la manière suivante :

Sunrise A (phase dédiée aux indiens, titulaires de marques indiennes) : du 16/03/2020 au 15/05/2020

Sunrise B (phase dédiée aux étrangers, titulaires de marques indiennes) : du 16/04/2020 au 15/05/2020

Sunrise C (phase dédiée aux titulaires de noms de domaine en .IN en caractères standards (ASCII)) : du 01/06/2020 au 30/06/2020

Ouverture générale : 15/07/2020

A noter que la possibilité d’enregistrement lors de la phase prioritaire de SUNRISE pour les titulaires étrangers de marques indiennes débute un peu plus tard le 16/04/2020.

Pour plus de renseignements sur les conditions d’enregistrement, n’hésitez pas à contacter vos chargés de clientèle dédiés ou votre consultant Nameshield.

Nos ressources téléchargeables

Ressources à télécharger : livres blancs, guides, webinars - Nameshield

Pendant cette période de confinement, Nameshield vous propose un accès continu à de nombreuses ressources téléchargeables : livres blancs, infographies, vidéos, webinars, etc.

DECOUVRIR

Si des webinars sur des sujets spécifiques vous intéressent particulièrement, n’hésitez pas à nous en faire part. Nous mettrons en place des sessions dédiées.

Apple annonce la limitation de la durée des certificats SSL à 1 an dans Safari

Apple Safari SSL - Blog Nameshield — *Source de l’image : kropekk_pl via Pixabay*

Apple a annoncé cette semaine que la durée de vie maximale des certificats SSL/TLS sur ses appareils et son navigateur Safari serait limitée à 398 jours (1 an, et 1 mois pour couvrir la période de renouvellement). Le changement, annoncé par Apple lors de la réunion CA / Browser Forum à Bratislava, en Slovaquie, entrera en vigueur pour les certificats émis après le 31 août 2020.

L’annonce d’Apple fait suite à un échec du vote du CA/B Forum sur les certificats d’un an (bulletin SC22), qui s’est tenu en août 2019, et reflète une tendance continue à raccourcir la durée de vie des certificats. A la suite de ce vote, Google avait d’ailleurs exprimé son intention de réduire la durée de vie des certificats en dehors du cadre du CA/B forum si celui-ci ne se positionnait pas rapidement. Cette annonce est une demi-surprise, nous aurions plutôt pensé que Google ou Mozilla ferait le premier pas.

**Quelles conséquences pour les sociétés et leurs certificats SSL/TLS?**

La validité plus courte est-elle une bonne chose?

Plus la période de validité d’un certificat est courte, plus le certificat est sûr. En exigeant le remplacement des certificats sur une période plus courte, les mises à jour de sécurité sont apportées aux certificats, elles se déploient plus rapidement. La durée de vie de la clé privée d’un certificat, plus courte, est aussi une forte recommandation des acteurs de la sécurité en ligne afin de limiter la durée potentielle d’une fraude suite à une compromission.

D’un point de vue sécurité, tout le monde s’accorde à dire qu’une réduction de la durée de vie des certificats est une bonne chose. Le problème se situe du côté opérationnel avec les conséquences annoncées de cette réduction : plus d’interventions sur les certificats, donc une plus grande complexité dans le maintien d’un inventaire à jour et le besoin d’une organisation optimale avec les partenaires pour l’émission des certificats.

Faut-il tenir compte de l’annonce d’Apple ?

Safari est l’un des deux principaux navigateurs web, avec 17,7% en janvier 2020, derrière Google Chrome (58,2%) et devant Microsoft Internet Explorer et Edge (7,1%). Il parait difficile de faire fi de cette annonce qui touchera 1/5 des internautes, qui plus est si Google suit, il vaut mieux anticiper et se préparer. C’est d’ores et déjà le conseil de Nameshield.

Ce qu’il faut garder à l’esprit

Les certificats émis avant le 1er septembre 2020 ne sont pas affectés par cette modification. Ils resteront valides pendant toute la période de deux ans et n’auront pas besoin d’être modifiés ou remplacés. Tous les certificats émis le 1er septembre ou après devront être renouvelés chaque année pour rester fiables par Safari.

Il faut donc se préparer à passer à des certificats d’une durée d’un an maximum contre deux actuellement. S’appuyer sur un partenaire et des outils efficaces est plus que jamais indispensable.

Vers la fin de la corrélation entre l’authentification et la gestion technique des certificats

Ce qui semble se dessiner au sein du CA/B Forum est le fait de permettre une durée d’authentification identique à celle que l’on connait aujourd’hui (deux ans) tout en forçant les certificats à être remplacés plusieurs fois durant cette même période.

Les principales Autorités de Certification, les organismes qui délivrent les certificats, anticipent ces changements et travaillent sur plusieurs systèmes d’automatisation du cycle de vie des certificats. Elles limiteraient ainsi le besoin de passer par une procédure de réauthentification potentiellement lourde à chaque remplacement. Les entreprises pourraient remplacer leurs certificats autant de fois qu’elles le souhaiteraient durant cette période. Cela permettrait notamment d’anticiper d’éventuelles nouvelles réductions de la durée de vie maximale des certificats.

La tendance est également à la mise en place d’outils d’automatisation pour le maintien d’un inventaire précis des certificats d’une part et la réinstallation technique de l’autre. Nameshield suit de près ces différentes évolutions et vous permettra de continuer à travailler en toute confiance.

Notre équipe se tient également à votre disposition pour anticiper ces changements et répondre à vos éventuelles questions.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description