Épisode 1 – Comprendre les impacts de la crise sanitaire sur les noms de domaine
Le COVID 19 bouleverse la marche du monde. Toutes les activités humaines sont touchées, en particulier celles sur Internet, son usage en étant démultiplié. Les impacts sur le web sont multiples. Certains sont déjà bien visibles pour le grand public : enjeux de bande passante ou nouveaux usages liés au télétravail par exemple. D’autres sont moins évidents, c’est notamment le cas dans l’univers des noms de domaine, l’expertise du groupe Nameshield depuis 26 ans.
Un nom de domaine est le nom suivi d’une extension (.xxx) qui s’affiche dans l’adresse de connexion d’un site Internet. Exemple : https://www.amazon.fr ou www.france.tv. Les noms de domaine sont des actifs immatériels d’une importance cruciale, et trop souvent méconnus. La pandémie en cours a lancé une vague très forte d’enregistrements de nouveaux noms de domaine, et même de quelques marques. Cet engouement laisse apparaître de fortes disparités géographiques, et une évolution dans le temps des termes choisis, « Covid19 » remplaçant « Coronavirus » au cours du mois de février.
Les motivations sous-jacentes sont nombreuses. Certaines sont déjà explicites, d’autres peuvent se deviner. Si certains motifs semblent louables, d‘autres le sont nettement moins, allant de la simple spéculation à la préparation de fraudes de natures très variées.
Le panorama dans ce domaine est large : Sites d’appels aux dons imitant des organismes publics, conseils de santé surprenants, ventes de tests et de masques (qui n’arriveront jamais chez vous…), et même remboursements d’impôts. Vous découvrirez un florilège de thèmes assez hétéroclites et ne manquant pas de créativité. Les e-books sont aussi largement plébiscités, surfant sur l’idée que le confinement verra les internautes se tourner vers ces produits. Des téléchargements sont ainsi offerts, mais pas forcément de la nature escomptée !
Nous étudions ici ce phénomène en profondeur, en partant de 10 thèmes principaux identifiés. C’est par ces angles que nous allons creuser « l’iceberg des menaces », et en explorer le contenu.
Nous anticipons aussi des attaques ciblées géographiquement, ou portant sur des noms de grandes marques qui ont déjà été réservés. Autant de menaces à surveiller de près pour les entités concernées.
Nous poursuivrons l’exploration de cet iceberg dans de futures parutions, que nous mettrons à votre disposition dans les semaines à venir. Nous aborderons les impacts décelés sur les applications mobiles et les réseaux sociaux. Nous vous ferons découvrir notre méthode de cartographie pour suivre, et anticiper autant que possible, ces différentes atteintes. Nous proposerons également des conseils d’experts pour se prémunir, ou se défendre, contre ces différentes attaques.
Le DNS, système de noms de domaine, est un service au cœur du fonctionnement d’Internet. Il est fondamental pour le fonctionnement de nombreux services tels que les sites web, les serveurs mails, la téléphonie VoIP et bien d’autres.
Depuis plus de 30 ans, de nombreuses extensions et fonctionnalités ont été ajoutées au DNS, ce qui se traduit techniquement par une hausse de la complexité des infrastructures.
La technologie Blockchain pourrait être une évolution considérable pour le DNS, en apportant plusieurs avantages et nouvelles fonctionnalités.
_______________
Le DNS, un service fondamental
Le DNS, système de noms de domaine, est un service au cœur du fonctionnement d’Internet. Il fonctionne comme un annuaire public qui associe des noms de domaine à des ressources sur Internet, comme par exemple des adresses IP.
Lorsqu’un utilisateur saisit une adresse dans son navigateur, c’est donc un serveur DNS qui traduit cette adresse humainement compréhensible, en une adresse IP, compréhensible par les ordinateurs et les réseaux. C’est la résolution DNS.
Ce système, créé en 1983, est fondamental pour le fonctionnement de nombreux services tels que les sites web, les serveurs mails, la téléphonie VoIP et bien d’autres. Il est en constante évolution pour répondre à des besoins toujours plus importants en termes de fonctionnalités et de sécurité. En effet, le DNS doit garantir :
Disponibilité : une indisponibilité du service DNS entraînerait une coupure de services.
Intégrité : les données présentes sur le DNS (associées à un nom de domaine) ne doivent pas être corrompues.
Confidentialité : pour protéger la vie privée des utilisateurs, le DNS implémente différentes solutions qui permettent d’accroître la confidentialité des requêtes DNS. Si les requêtes ne sont pas confidentielles, il est possible d’analyser les informations de navigation des utilisateurs.
Le système de noms de domaine est basé sur un modèle de confiance centralisé. Il est distribué dans le monde entier et géré par différents acteurs de manière hiérarchique, en plusieurs niveaux ; un niveau racine, un premier niveau où sont gérées les extensions par les registres, puis un second niveau géré par les bureaux d’enregistrement. Le tout est orchestré par l’ICANN, l’autorité de régulation de l’Internet.
Depuis plus de 30 ans, de nombreuses extensions et fonctionnalités ont été ajoutées au DNS, ce qui se traduit techniquement par une hausse de la complexité des infrastructures.
La technologie Blockchain pourrait être une évolution considérable pour le DNS, en apportant plusieurs avantages et nouvelles fonctionnalités.
Blockchain et registre décentralisé
Une Blockchain est une structure de données accessible à tous et distribuée sur un réseau décentralisé ; les données sont répliquées sur chaque nœud du réseau, il n’y a pas d’autorité centrale. Tout le monde a la possibilité de lire son contenu, d’ajouter des données et même de rejoindre le réseau. Le concept a été implémenté la première fois en 2009 avec Bitcoin, mais il existe aujourd’hui de nombreuses technologies Blockchain, chacune avec des propriétés qui leur sont propres.
Les données sont inscrites sur une Blockchain via des transactions. Les transactions sont regroupées en blocs, chaque bloc est ensuite validé par le réseau puis mis bout à bout. Ainsi, une Blockchain contient l’historique de toutes les transactions effectuées depuis sa création.
Les règles de validation sont inscrites dans le protocole de la Blockchain, que chaque membre du réseau respecte. Pour garantir le respect de ses règles, les protocoles Blockchain s’appuient sur des algorithmes de consensus, le plus connu étant le Proof of Work. Ces algorithmes garantissent l’intégrité, l’immuabilité et la sécurité des données inscrites sur la Blockchain.
La technologie Blockchain répond à plusieurs besoins du DNS :
Disponibilité : un réseau décentralisé et pair à pair ne peut pas être arrêté. Cela pourrait remplacer ou compléter les infrastructures Anycast.
Intégrité : le protocole de consensus d’une Blockchain garantit, par nature, l’intégrité des données. De plus, les données ne peuvent pas être modifiées. Ces propriétés permettraient de se passer de DNSSEC, et de sa fameuse cérémonie de renouvellement des clés.
Confidentialité : Les requêtes effectuées pour lire les données de la Blockchain peuvent être encapsulées dans un canal HTTPS de la même manière que le protocole DNS over HTTPS (DoH). Les résolveurs DoH sont aujourd’hui peu nombreux, donc le trafic est centralisé autour d’un nombre limité d’acteurs. L’utilisation d’une Blockchain offrirait la possibilité d’interroger n’importe quel nœud du réseau, et limiterait donc ainsi la centralisation et les SPF (single point of failure).
Les données inclues dans les fichiers de zones DNS, c’est-à-dire les configurations des noms de domaine, pourraient donc être distribuées sur une Blockchain. Chaque acteur (registres, bureaux d’enregistrement) pourrait directement interagir avec cette Blockchain pour gérer les noms de domaine. C’est l’idée du DNS on Blockchain.
De nouveaux besoins
Ces dernières années, avec l’émergence des technologies Blockchain, de nouveaux moyens d’échange de valeurs se sont développés, notamment avec latokenisation, les crypto-actifs et les applications décentralisées (dapps); on parle deWeb 3.0, ou del’Internet de la valeur.
Les portefeuilles numériques et applications décentralisées fonctionnent avec des identifiants difficilement lisibles, comme par exemple 0x483add28edbd9f83fb5db0289c7ed48c83f55982 pour une adresse de portefeuille.
Pouvoir associer ce type d’adresse à des noms de domaine, au sein d’un système universel de nommage, pourrait avoir un réel intérêt pour les applications du Web de demain. Il serait possible d’avoir un portefeuille de cryptoactifs ou une application décentralisée configurée directement derrière un nom de domaine. Cela pourrait aussi se révéler utile pour l’identité numérique des entreprises et de leurs marques.
DNS on Blockchain, aujourd’hui
De nombreux projets de systèmes de nommage sur Blockchain sont actuellement en cours de développement, chacun avec sa propre implémentation.
Certaines applications proposent de nouvelles extensions de noms de domaine (TLD), comme le .bit, .zil, .crypto, .eth, etc. C’est notamment le cas deNamecoin et deUnstoppableDomains. Ces systèmes sont complètement indépendants du DNS traditionnel et de l’ICANN. L’enregistrement est directement géré par les utilisateurs, et la résolution des noms se fait en général à travers une extension de navigateur. Le navigateur Opera a récemment intégré nativement la résolution de ces noms de domaine.
Ces applications sont fonctionnelles et l’enregistrement des noms n’est pas contrôlé. Il y a donc beaucoup de cas de cybersquatting. Des utilisateurs enregistrent des noms dans l’espoir de les revendre et toucher une plus-value. Cela pose évidemment un problème pour les titulaires de marques, et empêchera certainement l’adoption de ces solutions par des entreprises.
D’autres projets proposent des solutions complémentaires au DNS.Ethereum Name Service (ENS) propose notamment un système de noms sur Blockchain qui s’intègre avec le DNS traditionnel. Si vous êtes titulaire d’un nom de domaine et pouvez le prouver avec un enregistrement DNSSEC, vous pouvez alors enregistrer ce même nom sur le service Blockchain. Cela permet de cumuler les avantages du DNS traditionnel et du DNS on Blockchain.
Les extensions .kred, .xyz et le .luxe supportent déjà cette intégration sur Blockchain, et ENS prévoit de la proposer pour toutes les extensions compatibles DNSSEC. Ce projet est assez prometteur, Ethereum Name Service a récemment rejoint le DNS-OARC (DNS Operations, Analysis, and Research Center).
Le projetHandshake propose quant à lui un protocole de nommage pour gérer le niveau racine du DNS, et fournir une alternative aux autorités de certification. Il remet en cause le modèle de confiance et de gouvernance du DNS, pour expérimenter un système plus décentralisé, sécurisé et résilient basé sur de la validation des zones DNS par les participants du réseau.
Conclusion
Le DNS on Blockchain pourrait être une évolution considérable du DNS; cela apporterait plusieurs avantages et de nouvelles fonctionnalités grâce à la technologie Blockchain, ce qui profiterait au développement du web décentralisé.
Cependant aujourd’hui, il n’y a pas encore de technologies et d’applications qui font l’unanimité, même si de nombreux projets et PoC sont en cours de développement. Ils n’ont pas encore une maturitésuffisante pour être utilisés à grande échelle. Des améliorations en termes de scalabilité, de sécurité et d’usage doivent être réalisées.
La collaboration des acteurs d’Internet (ICANN, DNS-OARC, registres) semble indispensable pour qu’une technologie fasse consensus et soit adoptée, notamment pour fixer des règles communes. C’est un sujet à suivre de près au cours des prochaines années.
Les sujets blockchains et crypto-actifs vous intéressent ? N’hésitez pas pour en savoir plus à consulter le site de notre collaborateur Steve Despres : https://cryptoms.fr/
Chaque année, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) publie son baromètre de la cybersécurité des entreprises afin de mieux cerner la perception et la réalité concrète de la cybersécurité et ses enjeux au sein des entreprises membres du CESIN.
En janvier dernier, le CESIN a ainsi dévoilé les résultats de son enquête OpinionWay[1], réalisée du 2 décembre 2019 au 7 janvier 2020 auprès de ses 253 membres, Responsables Sécurité des Systèmes d’Information (RSSI) de grands groupes français.
Cyberattaques : Moins d’entreprises touchées mais encore fortement impactées
L’étude met tout d’abord en avant un chiffre positif : la baisse du nombre d’entreprises qui ont subi au moins une cyberattaque en 2019, soit 65% des entreprises interrogées contre 80% en 2018 (à noter toutefois qu’il s’agit d’un écart de résultat nuancé par l’ajout de la définition de cyberattaque pour l’enquête réalisée en janvier 2020).
En revanche, l’impact de ces cyberattaques reste important puisque 57% de ces attaques ont des conséquences sur le business telles que la perturbation de la production (27%), l’indisponibilité du site web (17%) et la perte de chiffre d’affaires (9%).
Les entreprises visées ont été les cibles de 4 types de cyberattaques en moyenne en 12 mois. Parmi les vecteurs d’attaques, le phishing reste l’attaque la plus fréquente avec 79% des entreprises qui ont été touchées en 2019, suivi par l’arnaque au Président (47%), l’exploitation d’une vulnérabilité (43%) et les tentatives frauduleuses de connexion (40%).
Les principales conséquences de ces attaques sont l’usurpation d’identité (35%), l’infection par un malware (34%), le vol de données personnelles (26%), l’infection par ransomware (25%) ou encore le déni de service (19%).
Cloud, IoT et IA, des sources de préoccupation
Avec la transformation numérique, le recours au Cloud est important au sein des entreprises : 89% des entreprises interrogées stockent leurs données dans un Cloud, dont 55% dans des Clouds publics.
Une utilisation massive du Cloud qui représente toujours un risque fort en raison d’une non-maîtrise de la chaîne de sous-traitance de l’hébergeur (pour 50% des RSSI), la difficulté de mener des audits (46%) et la non-maîtrise de l’utilisation du Cloud par les salariés (46%). Pour 91% des répondants, les outils mis en place par les hébergeurs Cloud ne suffisent pas pour sécuriser les données stockées, des outils ou dispositifs spécifiques complémentaires sont nécessaires.
Les objets connectés constituent également une préoccupation croissante, ils augmentent la surface d’attaque et font apparaître de nouvelles typologies de menaces. Les RSSI interrogés s’inquiètent des failles de sécurité présentes dans ces équipements (43%) et du flou dans l’appréciation des risques potentiels (28%).
L’étude montre de plus, que l’IA embarquée au cœur des solutions de cybersécurité doit encore faire ses preuves puisque 53% des RSSI ne lui font pas confiance.
Une prise de conscience des cyber-risques
Pour prévenir les risques d’attaques, les entreprises mettent en place une douzaine de solutions de protection en moyenne, outre les antivirus et firewalls. Parmi elles, la passerelle de sécurité mail (85%), la passerelle VPN/SSL (85%), le proxy et filtrage d’URL (83%), et l’authentification multi-facteurs. Cette dernière adoptée par 72% des entreprises, connaît une hausse de 13% par rapport à 2018.
Davantage sensibilisées aux risques cyber, 91% des entreprises interrogées mettent en place un programme de cyber-résilience en parallèle des solutions de protection ou envisagent de le faire, c’est 12 points de plus que l’an passé.
La prise de conscience des cyber-risques se traduit de plus par l’augmentation constante ces trois dernières années, du nombre d’entreprises ayant souscrit à une cyber-assurance (60%).
Malgré cela, seules 4 entreprises sur 10 se disent préparées en cas de cyberattaque de grande ampleur.
Sensibilisation des salariés
Outre la menace externe, pour 43% des entreprises, la négligence des employés constitue le risque cyber le plus répandu.
Le shadow IT, à savoir le déploiement et l’usage d’applications et services hors du contrôle des équipes informatiques, est mentionné par 98% des RSSI interrogés et reste une menace importante à traiter.
Pourtant sensibilisés aux cyber-risques (selon 74% des répondants), seulement la moitié des salariés respecte les recommandations, estiment les RSSI.
Les enjeux pour l’avenir de la cybersécurité
La gouvernance est le premier enjeu cité par les RSSI (70%) pour l’avenir de la cybersécurité suivie par la formation et la sensibilisation des usagers aux questions de cybersécurité (57%).
L’augmentation du budget est un autre enjeu majeur pour 50% des répondants. La part du budget IT consacré à la cybersécurité a augmenté dans les entreprises par rapport à l’année dernière. 62% d’entre elles prévoient de l’augmenter davantage au cours des 12 prochains mois et 83% souhaitent acquérir de nouvelles solutions techniques.
Concernant les ressources humaines, une entreprise sur deux (51%) souhaite augmenter ses effectifsdédiés à la cybersécurité, mais 90% se heurtent à une pénurie de profils en SSI, entraînant des difficultés de recrutement.
Les « domainers » ont toujours un coup d’avance quand il s’agit de profiter d’une situation bonne ou mauvaise. Certains par exemple vont anticiper sur des élections en enregistrant des noms de personnalités politiques, d’autres en profitant d’une manifestation sportive ou culturelle. En conséquence, dans les noms de domaine, il y aura des opportunités pour des enregistrements spéculatifs.
Dans le cas de « COVID19.com », il semble clair qu’au moment de l’enregistrement de ce nom de domaine le 11 février 2020, le titulaire veut évidemment spéculer sur le virus « COVID 19 », terme pouvant générer de multiples requêtes quelle qu’en soit la langue. Le nom est disponible à la vente pour un montant de $10,000 USD.
Cependant, au lieu de simplement rediriger le nom de domaine vers des liens commerciaux, le titulaire a choisi de renvoyer ce nom stratégique vers le site de l’Organisation mondiale de la santé (OMS). Est-ce une démarche citoyenne ? Peu probable, car compte-tenu du contexte actuel, utiliser un tel nom pour tirer un profit direct via des liens commerciaux pourrait entraîner une violation des conditions d’enregistrement du Registrar.
A défaut de tirer un profit immédiat de ce nom de domaine, le titulaire aura au moins le mérite d’attirer notre attention sur lui le temps d’un article.
Depuis jeudi dernier, le gouvernement sud-africain a imposé à tous les sites utilisant un nom de domaine en .ZA de proposer un lien renvoyant au site officiel d’informations relatif au Covid-19 mis en place par ledit gouvernement : www.sacoronavirus.co.za
Cette nouvelle règle s’applique à tous les sites en .ZA, quel que soit leur contenu.
Les deux autres extensions gérées par le registre ZADNA, .JOBURG et .CAPETOWN, sont également concernées par cette règle.
Dans la même logique, le registre invite également les fournisseurs d’accès Internet à bloquer les diffuseurs de fake news.
Il est enfin intéressant de noter que le site gouvernemental d’informations COVID n’est pas www.coronavirus.co.za mais www.sacoronavirus.co.za. C’est que le nom de domaine www.coronavirus.co.za a été enregistré par un domainer proposant sur sa page de revendre le nom en question.
Comme toutes les crises ou actualités, le COVID-19 a entraîné un dépôt massif de noms de domaine reprenant les termes associés, certains acteurs peu scrupuleux cherchant à tirer parti de la situation.
Sans surprise, en cette période inédite et complexe, on note le nombre en forte croissance des attaques cybercriminelles en tout genre.
De par notre expérience acquise
auprès de Clients de renommée mondiale aux exigences de sécurité toujours plus
fortes, nous sommes devenus également experts techniques en sécurité de
l’information. C’est pourquoi nous avons mis en place un système de management
de la sécurité de l’information (SMSI).
En 2017, nous avons obtenu la certification ISO 27001 de ce SMSI pour nos activités de gestion de portefeuilles de noms de domaine, DNS et certificats TLS/SSL. Nameshield Group est donc devenu l’unique registrar français garantissant à ses clients un tel niveau de sécurité.
Depuis, nos collaborateurs
impliqués dans le SMSI contribuent sans cesse à l’amélioration continue de nos
dispositions en termes de sécurité.
Une analyse des risques et leur
traitement, selon la méthode Ebios, répondent à nos objectifs de sécurité et à
ceux de nos clients.
Nous nous adaptons en permanence
aux besoins de sécurité, performance et pérennité. Il en résulte le déploiement
de produits et services plus sécurisés, à plus fortes valeurs ajoutées,
répondant davantage et mieux aux attentes de nos clients.
Nous savons nous mobiliser en cas
d’incidents et apprenons à toujours faire mieux en analysant le traitement de
chaque alerte.
Nous disposons et maîtrisons d’un
plan de continuité de nos activités. Nous sommes donc en capacité, quelques
soient les menaces, d’assurer nos activités à distance (site de repli, télétravail,
serveurs redondés…).
La sécurité de l’information est
l’ADN de Nameshield Group et de l’ensemble de nos collaborateurs.
Logiquement, notre certificat ISO 27001 a été renouvelé en
février dernier pour 3 ans, aucune non-conformité ni remarque n’ayant été
notifiée.
Cette reconnaissance internationale
vous assure :
Un taux de disponibilité (Interface de gestion
des noms de domaine et DNS Premium)
La mise en place de tests permettant de nous
remettre en question de manière permanente et d’anticiper les incidents
La sensibilisation de l’ensemble des
collaborateurs Nameshield à tous les aspects de la sécurité de l’information
La robustesse et la performance de notre système
L’étude de nos retours d’expérience afin
d’améliorer en continue notre sécurité et donc la vôtre
Let’s Encrypt a récemment
fait parler dans le petit monde des certificats TLS, en révoquant soudainement 3 048 289
certificats qui n’auraient pas dû être délivrés. Un bug dans leur logiciel de
validation empêchait les contrôles des enregistrements CAA, et les certificats
en question n’auraient pas dû être initialement délivrés. Des perturbations
importantes ont résulté de cette révocation massive, mais il est difficile de
se plaindre d’un service gratuit.
On me demande souvent ce que je
pense de Let’s Encrypt, et j’ai toujours cette même réponse : Let’s
Encrypt a fait énormément pour chiffrer le web, mais met à mal la sécurité du
web. Le chiffrement permet d’assurer la confidentialité (personne ne peut
espionner) et l’intégrité (personne ne peut modifier) des échanges. Mais le
chiffrement seul ne peut suffire si je n’ai aucune garantie de
l’identité de celle ou celui avec qui j’échange (légitime ou frauduleux ?)…
Et c’est bien là tout le problème.
En 2015, l’initiative Let’s
Encrypt, supportée par les grands noms de l’Internet (EFF, Mozilla,
Cisco, Akamaï…) voyait le jour avec pour objectif de diffuser en masse et
gratuitement des certificats SSL au monde entier. Plus de cinq ans après sa
création, l’organisation sécurise 190 millions de sites web et vient d’annoncer
avoir distribué un milliard de certificats. Le cap a été franchi le 27 février
2020. C’est indiscutablement une belle performance.
96% du web chiffré en janvier 2020
En 2015, moins de la moitié du
trafic web était chiffrée, pour grimper à 96% en janvier 2020. Bien sûr Let’s
Encrypt n’est pas le seul acteur responsable de cet essor. Edward Snowden a
lancé la première alerte, Google s’est largement engouffré dans la brèche,
entre politique de référencement et modification des indicateurs de sécurité
web. Mais en mettant à la disposition de tous, des certificats gratuits et
basés sur un système largement automatisé, Let’s Encrypt a démocratisé le
chiffrement… et mis aux oubliettes la notion d’identité.
Pas d’identité, pas de sécurité
Le credo de Let’s Encrypt est la
simplicité, pour « simplifier à
l’extrême le déploiement du HTTPS et en finir avec sa bureaucratie horriblement
complexe » (dixit l’EFF dans la campagne de lancement). La bureaucratie
horriblement complexe a pourtant une raison d’être : l’authentification
forte, garante de l’identité du titulaire du certificat. Peut-être pas une
garantie absolue de légitimité, pas une garantie de contenu non plus, mais la
garantie d’une société enregistrée, légitimement propriétaire du nom de domaine
concerné et avec un certificat validé selon une procédure drastique.
Let’s Encrypt, se contente de
vérifier le contrôle du nom de domaine (DV, Domain Validation). Il suffit de
cliquer sur un lien dans un email ou de renseigner un record TXT sur la zone
DNS du nom de domaine. Or l’enregistrement de noms de domaine dans la plupart
des TLD est purement déclaratif. Il est assez facile d’enregistrer un nom de
domaine, de demander un certificat à Let’s Encrypt et de publier un site web en
HTTPS://.
Résultat des courses ?
En cinq ans, l’ensemble des sites de phishing et sites frauduleux sont passés en HTTPS://. Dès 2016, Vincent Lynch alertait sur ce problème, 15 270 certificats contenant le terme « Paypal » avaient été émis par Let’s Encrypt, dont 14 766 frauduleux.
Le marché a été tiré vers le bas
en termes de niveau d’authentification. Let’s Encrypt est loin d’être le seul
responsable, Google et Mozilla, du haut de leurs 70% de parts de marché, ayant
largement soutenu l’initiative, les gros hébergeurs du Cloud ont suivi, de même
que les Autorités de Certification, challengées sur les prix. Nous avons
aujourd’hui un web sécurisé avec 77% (novembre 2019) de certificats dont la
légitimité du propriétaire n’est pas vérifiée.
L’authentification forte change la donne
Le web est devenu chiffré par
défaut. Est-il plus sûr pour autant ? Rien n’est moins sûr. L’internaute,
éduqué depuis 20 ans à vérifier la présence du cadenas dans sa barre d’adresse,
fait confiance à un web dont tous les sites frauduleux affichent le cadenas de
sécurité. L’Internet est aujourd’hui
confidentiel, mais il n’est pas sûr pour autant.
Il est urgent de revenir à l’authentification forte. L’authentification forte garantit un ensemble d’étapes obligatoires, drastiques et contrôlées pour l’obtention des certificats. Les procédures sont édictées par le CA/B Forum, renforcées régulièrement et suivies d’audit des Autorités de Certification.
23% des certificats sont encore
délivrés sur la base de l’authentification forte, la plupart dans le monde de
l’entreprise où les RSSI poussent pour la préserver. Nous devons tous nous
appuyer sur eux, et soutenir les initiatives supportant les certificats OV
(Organization Validation) et EV (Extended Validation), en particulier EV pour
garantir l’identité des sites visités par les internautes.
Si l’identité sur Internet semble avoir été quelque
peu oubliée depuis quelques temps au profit de la confidentialité, elle risque
de revenir rapidement sur le devant de la scène, poussée notamment par les
internautes et le besoin de protection des données personnelles.
Fin 2019, l’annonce de la vente du registre du .ORG, Public Interest Registry (PIR) par l’Internet Society à Ethos Capital, un fond d’investissement, a créé un véritable débat, ce qui a été par ailleurs le sujet d’un précédent article de ce blog.
Pour rappel, cette annonce a engendré plusieurs craintes des ONG telles que de voir les prix du .ORG augmenter et la mise en place de principes de protection des droits pouvant entraîner une forme de censure des ONG, comme la pratiquent déjà certains pays. Ces peurs ont poussé l’EFF (Electronic Frontier Foundation) à lancer une campagne de sensibilisation sur l’impact potentiel de cette vente : SaveDotOrg. A ce jour, 846 organisations et 25 119 personnes ont signé cette pétition demandant à l’Internet Society de cesser la vente.
A la suite de ces nombreuses
plaintes, l’ICANN a retardé l’approbation de la vente du registre du .ORG à
Ethos Capital et a demandé des informations supplémentaires à l’Internet
Society.
« Public Interest Commitments » : Les mesures proposées pour apaiser les préoccupations de la communauté du .org
En réponse à ces critiques, Ethos
Capital et le Public Interest Registry tentent de rassurer en proposant la mise
en place du « Public Interest Commitments » (PIC), des engagements assurant que l’augmentation tarifaire du .ORG
serait limitée.
Parmi ces engagements, ils
proposent également la création d’un « Stewardship
Council » (un conseil pour la bonne gestion du .org) pouvant influencer les prises de décision du PIR et ainsi
garantir le maintien de la liberté d’expression.
Ces engagements du PIC seraient
ajoutés dans l’Accord du registre (Registry
Agreement), contrat établi entre le registre et l’ICANN, relatif au
fonctionnement du registre.
Un registre à but lucratif pour défendre des organisations à but non lucratif ?
Lors du dernier sommet de l’ICANN organisé à distance du 7 au 12 mars derniers en raison de la pandémie du Covid-19, plusieurs ONG dont l’EFF ont abordé ce sujet du rachat du registre du .ORG par Ethos Capital et ont interrogé l’ICANN sur leurs projets d’examiner ce changement de propriétaire.
Selon l’EFF, la création de ce
conseil « Stewardship Council »
ne répondra pas aux inquiétudes des ONG. En effet, les premiers membres de ce
conseil seront directement ou indirectement sélectionnés par le PIR, et ce
dernier disposera d’un pouvoir de veto pour s’opposer aux nouveaux membres, ce
qui garantirait donc que ce conseil resterait en phase avec le PIR.
Concernant les prix du .ORG, selon
les ONG, la mise en place du PIC n’assure pas
une limitation de la hausse de prix. Une modification de l’accord du registre
pourra être négociée à tout moment entre le propriétaire du registre et
l’ICANN, malgré une opposition de l’opinion publique. C’est ce qui est arrivé en
juin 2019, quand l’accord du registre du .ORG a été révisé pour réduire les
droits des détenteurs du .org et supprimer le plafonnement des prix. L’ICANN a
de plus indiqué en 2019, sa volonté de ne plus tenir le rôle de régulateur de
prix, pourtant cette mise en place du PIC replacerait à nouveau l’ICANN dans
cette position.
Par conséquent selon les ONG, ces
« Public Interest Commitments »
ne protégeraient donc pas suffisamment la communauté du .ORG.
Les questions des ONG sont
restées sans réponse lors du dernier sommet ICANN, cette acquisition faisant
encore actuellement l’objet d’un examen de la part de l’ICANN.
« Nous reconnaissons les questions et les préoccupations qui sont soulevées », déclare l’ICANN. « Pour apaiser ces préoccupations et maintenir la confiance dans la communauté « .org », nous exhortons PIR, ISOC et Ethos Capital à agir de manière ouverte et transparente tout au long de ce processus. […] Nous évaluerons de façon réfléchie et approfondie l’acquisition proposée afin d’assurer que le domaine demeure sûr, fiable et stable».
Le registre des .IN lance de nouvelles extensions dans sa langue locale.
A partir du 16 Mars, il
sera donc possible de prétendre à ces extensions lors de la phase prioritaire
de Sunrise :
Internationalized Domain Name (IDN)
.ಭಾರತ
.ଭାରତ
.ভাৰত
.भारतम्
.भारोत
.بارت
. ڀارت
.ഭാരതം
Langue
Kannada
Oriya
Assamese
Sanskrit
Santali
Kashmiri
Sindhi
Malayalam
Les phases se
décomposeront de la manière suivante :
Sunrise A (phase dédiée aux indiens, titulaires de marques indiennes) : du 16/03/2020 au 15/05/2020
Sunrise B (phase dédiée aux étrangers, titulaires de marques indiennes) : du 16/04/2020 au 15/05/2020
Sunrise C (phase dédiée aux titulaires de noms de domaine en .IN en caractères standards (ASCII)) : du 01/06/2020 au 30/06/2020
Ouverture générale : 15/07/2020
A noter que la possibilité d’enregistrement lors de la phase prioritaire de SUNRISE pour les titulaires étrangers de marques indiennes débute un peu plus tard le 16/04/2020.
Pendant cette période de confinement, Nameshield vous propose un accès continu à de nombreuses ressources téléchargeables : livres blancs, infographies, vidéos, webinars, etc.
Si des webinars sur des sujets spécifiques vous intéressent particulièrement, n’hésitez pas à nous en faire part. Nous mettrons en place des sessions dédiées.
Nameshield utilise des cookies
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience🍪.
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience. Plus d'informations dans notre politique de cookies 🍪.
Ces cookies sont essentiels au bon fonctionnement du site web. Ils assurent les fonctionnalités de base et les fonctions de sécurité du site web, de manière anonyme.
Cookie
Durée
Description
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional
1 year
The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
Ces cookies aident à réaliser certaines fonctionnalités comme le partage du contenu du site web sur les plateformes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités de tiers.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Ces cookies sont utilisés pour comprendre comment vous arrivez sur notre Site et pour mesurer le nombre de visiteurs.
Cookie
Durée
Description
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14
1 minute
Set by Google to distinguish users.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT
2 years
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
Ces cookies sont utilisés pour vous proposer des offres et services personnalisés, plus adaptés à vos centres d’intérêts.
Cookie
Durée
Description
NID
6 months
NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE
5 months 27 days
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
session
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
