Noms de domaine Archives - Page 6 sur 19 - L'actualité cybersécurité, propriété intellectuelle et noms de domaine

BIMI et VMC : affichez votre logo avec les e-mails

BIMI (Brand Indicators for Message Identification) permet d’authentifier vos emails et de renforcer la confiance de vos clients en affichant votre logo dans leur boîte de réception. VMC (Verified Mark Certificate) est un certificat associé à BIMI, garantissant l’authenticité du logo affiché.

**Qu’est-ce que BIMI?**

BIMI est une initiative de l’industrie visant à normaliser l’utilisation et l’affichage des logos des marques dans les clients de messagerie. En plaçant le logo d’une marque ou d’une entreprise à côté d’un e-mail, celui-ci est plus facilement identifiable par les clients et les utilisateurs, installe un sentiment de légitimité et de confiance, impacte significativement les taux d’ouverture et augmente la protection des consommateurs contre les e-mails frauduleux.

Techniquement parlant, BIMI est une technologie de sécurité émergente qui fonctionne en complément des protocoles DKIM, SPF et DMARC pour protéger votre nom de domaine contre l’utilisation par des acteurs malveillants pour envoyer des e-mails frauduleux.

Avant BIMI, les étapes pour faire apparaître votre logo à côté d’un e-mail étaient spécifiques à chaque service de messagerie auquel votre message était envoyé. Parfois, le processus était entièrement manuel ou s’appuyait sur d’autres applications pour agréger les informations de votre marque et les partager sur les plateformes participantes.

Le groupe AuthIndicators, qui comprend des fournisseurs de services de messagerie tels que Google, Verizon Media, IONOS by 1&1 et Fastmail, travaille à la mise en œuvre de BIMI dans les clients de messagerie les plus courants. De nombreux acteurs ont déjà adopté BIMI, d’autres sont en cours, les positions de Microsoft et d’Apple sont attendues pour faire définitivement adopter ce standard.

**Pourquoi BIMI est important ?**

Pour compléter l’arsenal de protection d’une marque sur Internet, plus particulièrement contre les tentatives de détournement via des e-mails frauduleux de type spoofing dont le but est de tromper l’utilisateur et de l’amener vers des sites de phishing.

306 Milliards d’e-mails ont circulé en 2020 dans le monde, avec une proportion toujours croissante de mails frauduleux détournant des marques.

Pour augmenter la désidérabilité des e-mails, notamment dans les campagnes marketing. L’implémentation de BIMI et plus largement des protocoles et certificats de sécurité sur le nom de domaine associé à une marque est indispensable aujourd’hui et a un impact majeur sur la réputation en ligne.

Parce que c’est en train de devenir un standard du marché, simple à mettre en place contrairement au nombre de solutions de lutte contre les e-mails frauduleux existantes, souvent difficiles à tester et à mettre en œuvre.

**Comment BIMI fonctionne ?**

BIMI utilise un processus en plusieurs étapes pour valider les e-mails en s’assurant qu’ils sont réellement associés au nom de domaine de l’expéditeur. Les expéditeurs doivent ajouter un enregistrement DNS de type TXT dédié à BIMI.

Pour que BIMI fonctionne, les noms de domaine doivent également disposer de plusieurs autres protections contre la fraude, notamment :

SPF (Sender Policy Framework) : authentifie les e-mails en identifiant les serveurs de messagerie autorisés à envoyer à partir de noms de domaine spécifiques ;
DKIM (DomainKeys Identified Mail) : ajoute une signature numérique à chaque e-mail pour vérifier qu’il a été envoyé depuis un nom de domaine autorisé ;
DMARC (Domain-Based Message Authentication, Reporting, and Conformance) : confirme les enregistrements SPF et DKIM et spécifie comment les e-mails non conformes doivent être traités.

Lorsque des e-mails sont envoyés en utilisant BIMI, le serveur de messagerie de réception effectuera d’abord l’authentification DMARC/DKIM standard et la validation SPF. Si l’e-mail passe ces vérifications, le serveur de messagerie vérifiera s’il a un enregistrement BIMI valide et affichera le logo de la marque.

Comment BIMI interagit-il avec DMARC, DKIM et SPF ?

La première étape vers l’utilisation de BIMI pour afficher un logo consiste à mettre en œuvre DMARC. Ceci est stocké en tant qu’enregistrement DNS de type TXT sur le nom de domaine. Pour que DMARC fonctionne avec BIMI, la politique de rejet dans cet enregistrement doit être p=quarantine ou p=reject pour tous les e-mails envoyés depuis votre domaine.

BIMI nécessite DMARC… et DMARC nécessite que votre nom de domaine ait des enregistrements DKIM pour fonctionner. Si DMARC ne nécessite que SPF ou DKIM pour fonctionner, il est cependant préférable d’inclure des enregistrements SPF pour plus de sécurité lors de l’utilisation de BIMI. Ces 2 outils de sécurité sont également stockés sous forme d’enregistrements DNS TXT dans la zone du nom de domaine.

VMC, le dernier maillon de la chaîne

Un Verified Mark Certificate (ou « certificat de marque vérifié ») est un certificat numérique qui authentifie la propriété d’un logo, et qui vient compléter l’utilisation de BIMI dans les clients de messagerie tels que Gmail.

Le certificat VMC garantit l’authenticité du logo affiché, nécessairement propriété du titulaire du nom de domaine envoyant l’e-mail. C’est le dernier maillon de la chaîne pour garantir l’authenticité du mail reçu.

Lorsque vous envoyez un e-mail à un contact, le serveur de messagerie destinataire qui gère sa boîte de réception prendra l’URL de la balise qui indique où le logo doit être affiché. Il vérifiera ensuite le certificat VMC pour s’assurer que le bon logo est utilisé. Une fois le logo vérifié par le VMC, BIMI l’affichera à côté de l’e-mail dans la boîte de réception.

Pour obtenir un certificat VMC, l’implémentation de DMARC sur le nom de domaine est un prérequis. S’ensuit alors un processus d’authentification renforcé auprès d’une Autorité de Certification qui validera l’identité de l’Organisation, l’enregistrement du logo auprès d’un organisme certifié et délivrera le certificat à la suite d’un one to one devant un notaire.

Selon les pays, les offices d’enregistrement des logos peuvent varier ainsi que les règles d’acceptation pour émettre le certificat. Les notions à garder en tête, les marques déposées autorisées peuvent être :

Marques de dessins : composées uniquement d’un dessin ;
Marques verbales : contiennent des mots, des lettres et/ou des chiffres, sans police, taille, couleur ou style particulier ;
Marques combinées : inclure une combinaison de mots avec un dessin, des lettres stylisées ou des chiffres.

Bien que ce ne soit pas une exigence pour la mise en œuvre de BIMI sur votre nom de domaine pour le moment, VMC devrait faire partie de la norme à l’avenir.

Entrust Datacard et DigiCert sont les 2 premières sociétés à délivrer des certificats VMC pour la norme BIMI. Nameshield est partenaire des deux sociétés et vous accompagne pour l’obtention de certificats VMC. Vous pouvez contacter directement notre service certificats pour toute question sur le sujet.

BIMI + VMC = Garantie d’authenticité

BIMI, VMC… et Nameshield

Nameshield accompagne désormais ses clients sur tous les aspects de la mise en place des protocoles DMARC, SPF, DKIM, mais aussi BIMI et l’obtention des certificats VMC associés. Le nom de domaine est au cœur de la mise en place de ces différents protocoles. Notre métier historique de registrar et de gestionnaire de zones DNS nous permet aujourd’hui d’accompagner nos clients sur ces sujets majeurs de la lutte contre la fraude en ligne et d’augmentation de la désidérabilité des e-mails.

Nouvelle fiche : 5 minutes pour comprendre les solutions de surveillance

Fiche 5 minutes pour comprendre - Noms de domaine - Solutions de surveillance - Nameshield

Un nom de domaine n’est pas statique, il évolue. Il peut être inactif, associé à un site web ou à un service de messagerie. Le site peut être exploité, désactivé ou son contenu peut changer. Autant de modifications constantes qui nécessitent de mettre en place un suivi particulier sous forme de surveillances sur les noms de domaine pouvant porter atteinte à votre marque.

Découvrez dans cette fiche, disponible en téléchargement sur le site de Nameshield, les différentes solutions de surveillance vous permettant de disposer d’informations afin de protéger vos noms de domaine et vos marques d’éventuelles atteintes.

Télécharger la fiche

Tout comprendre du Metaverse et des noms de domaine alternatifs

Le mot « Metaverse » englobe tout ce qui est en rapport avec les mondes virtuels (3D, réalité augmentée, réalité virtuelle), et désigne une vision « future » d’Internet, avec des espaces fictifs comme des boutiques, des salons ou encore des jeux. C’est un peu le « buzzword » du moment, qui a été mis en avant par Facebook en octobre 2021, lors de l’annonce de la création d’un metaverse (Meta). Il y a bien sûr un effet de mode, toutefois plusieurs grandes marques semblent travailler sur le sujet.

De nombreux de projets ont repris le terme de « Metaverse » autour de leurs services et produits. On y retrouve des projets liés aux actifs numériques, comme les cryptomonnaies et les NFT, qui permettent de représenter et d’échanger de la valeur sur Internet. Mais également des noms de domaine alternatifs, comme le .eth, le .crypto, le .metaverse, etc. C’est également lié au concept de « web3 », qui est une vision d’un web plus décentralisé.

Concernant les noms de domaine alternatifs, il faut savoir que ce sont des extensions qui ne sont pas régulées par l’ICANN, donc non officielles. Cela explique pourquoi il n’est pas possible d’avoir les informations WHOIS. De plus, la plupart des systèmes de noms de domaine alternatifs ne fonctionnent pas avec le protocole DNS, mais sont construits sur une infrastructure Blockchain.

Voici quelques exemples :

ENS (Ethereum Name Service) : .ETH

ENS est l’un des systèmes de noms de domaine alternatifs les plus utilisés avec le .ETH. Il est construit sur la Blockchain Ethereum, via des smarts contracts, et permet d’enregistrer des noms afin d’y lier des adresses de portefeuilles crypto, de sites web ou tout autre type d’enregistrement. Un nom peut-être enregistré pendant plusieurs années, et il n’y a pas de procédures de récupération de noms pour les titulaires de marque, car c’est un projet décentralisé : le titulaire d’un nom de domaine .ETH est le seul à pouvoir le contrôler.

La procédure d’enregistrement se fait via l’utilisation d’un portefeuille Ethereum, et le paiement avec la cryptomonnaie ether ($ETH).

ENS permet également aux titulaires de noms de domaine traditionnels, d’enregistrer leurs noms sur leur système.

Unstoppable Domains : .CRYPTO, .ZIL, .COIN, .WALLET, .BITCOIN, .X, .888, .NFT, .DAO, .BLOCKCHAIN

Il s’agit là aussi d’un système de noms de domaine développé sur la Blockchain Ethereum. Il permet, comme ENS, d’enregistrer des noms de domaine avec différentes extensions. Un nom de domaine Unstoppable Domains n’expire pas et ne nécessite pas d’être renouvelé. Il existe en revanche une procédure pour les titulaires de marques.

Namebase

C’est un projet qui permet la création de toutes sortes d’extensions de premier niveau. Il est construit sur la Blockchain HNS.

Namecoin : .BIT

L’un des premier projet de noms de domaine alternatifs sur Blockchain.

Touchcast : .METAVERSE

C’est un projet récent qui met en vente des noms en .METAVERSE. Il n’y a pas beaucoup d’informations techniques sur leur système, et leur communauté semble assez limitée au regard de leur nombre d’abonnés sur les réseaux sociaux.

D’autres projets de noms de domaine alternatifs ont également vu le jour. Il faut savoir que n’importe qui peut créer une extension non régulée par l’ICANN.

Pour les utilisateurs, il est nécessaire d’utiliser un autre moyen qu’un résolveur DNS classique pour utiliser ces extensions (extensions de navigateurs, applications dédiées, etc.).

Comme l’on pouvait s’y attendre, une forte spéculation et un cybersquatting important sont liés à ce type de noms de domaine.

Source de l’image : xresch via Pixabay

Ouverture prochaine du .BH

C’est un nouvel élan pour le Bahreïn qui va ouvrir son extension .BH aux sociétés internationales.

Une phase prioritaire pour les titulaires de marques a actuellement lieu jusqu’en janvier 2022. L’ouverture globale est prévue pour le 2 Janvier 2022.

A noter que cette ouverture offrira d’abord une priorité aux sociétés locales jusqu’au 3 mai pour ensuite ouvrir à l’international.

Outre la copie de la marque qui sera nécessaire lors de la période de sunrise, nous attendons plus d’éléments quant aux documents supplémentaires qui seront demandés par le registre.

**Calendrier de lancement du .BH :**

Phase Sunrise : du 03/11/2021 au 02/01/2022
Phase LRP (Limited Registration Period) : du 03/11/2021 au 03/05/2022
Ouverture générale (locale) : 02/01/2022 au 03/05/2022
Ouverture générale (internationale) : 03/05/2022

Source de l’image : 12019 via Pixabay

[REPLAY WEBINAR] Noms de domaine stratégiques : Des cibles de plus en plus exposées, comment les protéger ?

Retrouvez sur le site de Nameshield et sur la plateforme Webikeo, le replay du webinar « Noms de domaine stratégiques : Des cibles de plus en plus exposées, comment les protéger ? », animé par Christophe GÉRARD, Security Product Manager de Nameshield group.

Au cours de ce webinar, notre expert aborde la notion de noms de domaine stratégiques, quels sont-ils, à quel point sont-ils vitaux pour l’entreprise et ses applications clés (web, mail, applications, VPN, SSO…), comment ils sont exposés à des menaces de plus en plus nombreuses et sophistiquées et comment se protéger pour garantir leur disponibilité 100% du temps.

VISIONNER LE REPLAY

[WEBINAR] Noms de domaine stratégiques : Des cibles de plus en plus exposées, comment les protéger ?

Rendez-vous le 30 novembre prochain à 14h pour assister au webinar intitulé « Noms de domaine stratégiques : Des cibles de plus en plus exposées, comment les protéger ? », animé par Christophe GÉRARD, Security Product Manager de Nameshield group.

Au cours de ce webinar, notre expert abordera la notion de noms de domaine stratégiques, quels sont-ils, à quel point sont-ils vitaux pour l’entreprise et ses applications clés (web, mail, applications, VPN, SSO…), comment ils sont exposés à des menaces de plus en plus nombreuses et sophistiquées et comment se protéger pour garantir leur disponibilité 100% du temps.

Je m’inscris au webinar

Pour y assister, il faudra au préalable vous inscrire sur la plateforme Webikeo (inscription gratuite) puis réserver votre place pour ce webinar. Vous pourrez ainsi participer en live à cette web-conférence et poser vos questions en direct.

Vous ne serez pas disponible ? Pas d’inquiétude, ce webinar sera également disponible en replay.

[REPLAY WEBINAR] Créez votre extension Internet : les clés pour performer votre nouveau gTLD

Retrouvez sur la plateforme Webikeo, le replay du webinar « Créez votre extension Internet : les clés pour performer votre nouveau gTLD », animé par Arnaud Wittersheim, Responsable projets nouveau gTLD – Responsable compliance de Nameshield et membre du CA de l’AFNIC, avec la participation de Stefan Pattberg, Managing Director de DENIC Services.

Au programme de ce webinar, les experts aborderont :

Un panorama des politiques ICANN
Une revue des fonctions essentielles d’un gTLD
Un focus sur la fonction d’agent de séquestre avec DENIC Services
Des leviers de succès d’un gTLD à considérer

Visionner le replay

[WEBINAR] Créez votre extension Internet : les clés pour performer votre nouveau gTLD – Le 16 novembre à 15h

[WEBINAR NAMESHIELD] Créez votre extension Internet : les clés pour performer votre nouveau gTLD

Rendez-vous le 16 novembre prochain à 15h pour assister à notre webinar intitulé : Créez votre extension Internet : les clés pour performer votre nouveau gTLD.

Compte tenu de l’importance croissante d’Internet dans le monde économique, social et culturel, l’ICANN a lancé en 2012, un appel à candidatures afin d’introduire de nouveaux gTLDs de premier niveau.

Offrant aux entreprises la possibilité d’utiliser une marque ou une dénomination sociale comme extension (ex : .bnpparibas, .loreal, .alstom, .sncf), l’ouverture aux new gTLDs a également mis sur le marché plus de 1200 nouvelles extensions (ex. : .love, .bank, .xyz, .ski, .africa, .shop, .paris, .alsace, etc.).

Un deuxième appel à candidatures à venir permettra aux entreprises mais aussi aux villes de créer à nouveau de nouvelles extensions.

Connaissez-vous les fonctions essentielles d’un gTLD et les aspects qui sont à prendre en considération pour une extension efficiente ?

Grâce à nos experts, découvrez les informations clés pour performer votre nouveau gTLD, avec notamment un focus sur le rôle méconnu des agents de séquestre des données. Un webinar passionnant à ne pas manquer.

Ce webinar sera animé par :

Arnaud Wittersheim, NgTLD Project manager – Compliance manager de Nameshield group et membre du CA de l’AFNIC.
Lie Sue Chung, Chargée de projet compliance de Nameshield group.
Un représentant de DENIC.

Date : Mardi 16 novembre 2021 à 15h

Durée : 45 min

Je m’inscris au webinar

Vous ne serez pas disponible ? Pas d’inquiétude, ce webinar sera également disponible en replay.

ICANN72, entre besoins de priorisation et risques de fragmentation

Fin octobre s’est tenu le 72^ième sommet de l’ICANN consacré au développement des politiques qui impactent le système de noms de domaine (DNS) et la communauté Internet mondiale. Comme déjà annoncé durant cet été, ce dernier rendez-vous annuel allait se tenir en visio-conférences sur le fuseau horaire de Seattle aux Etats-Unis. Les « nuits blanches » n’étaient donc pas du côté de Seattle mais plutôt de l’Europe.

L’épine du prochain cycle de nouvelles extensions génériques

Un mois avant ce sommet, ICANN annonçait le calendrier de la phase de design opérationnelle (ODP) pour l’un des sujets les plus attendus par les parties contractantes : l’organisation d’un nouveau cycle de candidatures à de nouvelles extensions génériques. L’ODP est un nouveau dispositif désormais adossé au processus de développement de politiques (PDP). Il s’apparente à un cadrage de projet car il vise à identifier les étapes, les risques, les coûts et les ressources à allouer pour mettre en œuvre un projet, ici un nouveau cycle d’extensions génériques. Le PDP a été conduit entre 2015 et 2020, avec la remise d’un rapport final de recommandations au Board ICANN en mars de cette année. Ce n’est pourtant qu’en février 2023, soit près de deux années plus tard que le Board devrait examiner ces recommandations, le temps de laisser conduire l’ODP. ICANN a en effet confirmé avant l’ouverture de l’ICANN72 que cette phase de cadrage devrait durer seize mois dans sa totalité dont dix mois pour la conduite de l’ODP, trois mois en amont pour initier ce dernier et notamment constituer les équipes qui vont le conduire et trois mois en aval pour conclure les travaux. Un calendrier qui avait surpris beaucoup de parties contractantes et suscité de nombreux mécontentements. Ces mécontentements se sont particulièrement exprimés au travers du Brand Registry Group qui représente et promeut les intérêts de ses membres, des propriétaires de dotBrand. Au premier jour du sommet de l’ICANN, pour la plupart des membres, les choses n’avancent pas suffisamment vite et l’ODP serait même en partie inutile puisque certains aspects recoupent les travaux déjà conduits durant le PDP préalable. Autre aspect pointé du doigt : un coût de 9 millions de dollars pour cette ODP, une somme non négligeable.

Les nuages s’amoncellent comme les processus en cours

Au fil des autres sessions programmées durant cette semaine de sommet, force est de constater que les nuages ont continué de s’amonceler dans la météo des politiques conduites par l’ICANN. Ainsi par exemple, l’annonce du lancement d’un processus de développement de politique dit expéditif (ePDP) pour réviser la procédure de résolution de litiges UDRP (Uniform Domain-Name Dispute Resolution Policy) qui permet de récupérer des noms de domaine litigieux, a suscité beaucoup d’incompréhension alors qu’une revue sur l’ensemble des mécanismes de protection des droits (RPM) a déjà été conduite entre 2016 et 2020 et que ses recommandations finales n’ont pas encore été examinées par le Board ICANN. Désormais cet examen du Board qui vise à valider les recommandations est prévu au mieux à l’été 2022, date à laquelle l’ePDP précité devrait être finalisé. Cet exemple a illustré le fossé qui est en train de se créer entre les attentes de décisions de la communauté et les instances décisionnaires de l’ICANN qui semblent dépassées par les processus de négociations de politiques qui s’empilent et s’étirent dans le temps, risquant au passage de rendre des décisions caduques si elles sont rendues trop tardivement. De l’aveu de certains, il en va même de la capacité de l’ICANN à toujours assumer sa mission inscrite dans ses textes fondateurs : Préserver et renforcer la stabilité opérationnelle, la fiabilité, la sécurité et l’interopérabilité mondiale de l’Internet.

« Priorisation », le mot est lâché

Dès le premier jour des sessions, Goran Marby, le patron de l’ICANN s’est défendu contre l’idée que le Board tardait à prendre des décisions. Il a ainsi mis en avant que ce dernier a récemment examiné 228 recommandations du Competion Consumer Choice & Consumer Trust (CCT) qui vient de conduire un examen pour évaluer dans quelle mesure l’expansion des extensions génériques, les gTLDs, a favorisé la concurrence, la confiance des consommateurs et leur choix. 166 ont été approuvées à ce jour, 44 placées en attente et 18 rejetées. Beaucoup de ces mesures sont corrélées à des conduites d’études et à la collecte de données pour mieux comprendre les tendances du marché des nouvelles extensions.

Goran Marby, a également justifié les délais sur les prises de décisions en raison du grand nombre de sujets en cours dont certains se chevauchent et par le fait que pour trancher ICANN a parfois besoin d’expertise additionnelle. Pour répondre aux critiques, il a également indiqué que l’ICANN travaille désormais sur une forme de priorisation, un souhait formulé par NAMESHIELD qui semble donc avoir été entendu. Marteen Botterman du Board a toutefois nuancé en précisant que la priorisation n’est pas du ressort du Board car il doit veiller à respecter le modèle multipartite et se doit donc de garder une certaine neutralité sur les sujets qui lui sont soumis.

Un risque de fragmentation

D’une organisation qui a du mal à prendre des décisions, à sa remise en question il n’y a qu’un pas. Dès le premier jour des sessions, Goran Marby, particulièrement impliqué dans les échanges, a parlé de « menaces contre l’ICANN ». ICANN travaille donc à un cadre de gestion des risques de l’organisation. Il a également évoqué le besoin de discuter plus étroitement avec les gouvernements dans un contexte de remise en question du modèle de gouvernance actuel. Il suffit en effet de regarder du côté de la Russie pour voir qu’en novembre 2019, le pouvoir russe a introduit de nouvelles réglementations qui créent un cadre juridique pour une gestion étatique centralisée de l’Internet à l’intérieur des frontières de la Russie. La Russie a également proposé de confier la gestion des serveurs racines à des États membres des BRICS (Brésil, Russie, Inde, Chine et Afrique du Sud). Preuve que les Etats passent à l’offensive au niveau de leurs législations, de récentes directives européennes impactent également la gouvernance comme le Règlement Général sur la Protection des Données (RGPD), ou encore la directive NIS2 (Network and Information Systems) à venir, des sujets également rappelés à l’occasion de ce sommet. Autre exemple, en Chine, c’est une loi renforçant les contrôles sur les services numériques opérés en Chine qui vient d’être adoptée.

L’échec du modèle de gouvernance de l’ICANN s’il venait à se confirmer, pourrait donc conduire à une fragmentation du système DNS tel que nous le connaissons actuellement, une fragmentation qui prend corps à mesure que l’ICANN s’enlise dans des débats stériles. Ce sommet a mis en lumière que la communauté et les dirigeants de l’ICANN ont identifié ce risque. Il s’agit pour l’avenir d’y remédier. Rendez-vous à l’ICANN73 en mars 2022.

Le constat d’enlisement des politiques de régulation du DNS particulièrement présent lors de l’ICANN72 a été largement partagé par NAMESHIELD bien avant ce sommet. NAMESHIELD avait notamment fait part d’un besoin de priorisation des sujets en accord avec la communauté lors de la session préparatoire de l’ICANN72. NAMESHIELD qui participe à des groupes de travail œuvrant aux recommandations dans le cadre des revues périodiques conduites par l’ICANN, a également plaidé pour ré-enchanter le volontariat et pour contribuer à la diversité des représentants dans ces groupes de travail, beaucoup étant aujourd’hui acculés par un volume croissant de sujets à considérer à mesure que les processus s’accumulent et que les décisions ne suivent pas. Quant aux nouveaux participants, ils sont dissuadés de s’intéresser à ces sujets du fait de processus trop longs et trop lourds.

Source de l’image : David Mark via Pixabay

Petit précis du DNS

Pour les non-initiés, l’informatique est un domaine assez magique où tout se résout plus ou moins tout seul. Quand ça ne fonctionne plus, c’est la catastrophe et on est perdu.

Certaines notions peuvent être un peu velues, mais le principe de fonctionnement est souvent assez simple. Il suffit de l’expliquer.

Parlons aujourd’hui du système de nom de domaine. C’est un système que tout le monde utilise au quotidien pour parcourir Internet et qui est très intéressant à explorer.

Les noms de domaine

Tous les services (site web, mail, jeux vidéo …) que vous utilisez sur Internet fonctionnent sur des serveurs. Pour avoir accès à un de ces services, il faut contacter le serveur correspondant et lui demander de livrer le service. Or le point de contact d’un serveur c’est son adresse IP.

On peut comparer ça à avoir la localisation (longitude et latitude) d’un endroit où l’on souhaite se rendre. Dans la théorie, on peut très bien se rendre n’importe où à partir de la longitude et latitude. Cependant, dans la réalité ce serait un enfer de se souvenir de chaque localisation. Et pour rendre ça viable, on utilise des adresses postales. Et bien pour l’informatique c’est pareil. Plutôt que de devoir se souvenir de chaque adresse IP, on a mis en place les noms de domaine.

Un nom de domaine c’est donc (en partie) ce que vous voyez inscrit dans la barre d’adresse en haut de votre navigateur quand vous arrivez sur un site. C’est « google.com », « linkedin.com » ou « nameshield.com ». On peut constater que le nom de domaine se compose d’une chaîne de caractères, qui correspond généralement au nom d’une marque, d’un produit ou d’un service, et d’une extension (« fr », « com », « net », …).

Si on reprend notre comparaison avec une localisation, une fois arrivé à destination, on peut encore affiner notre objectif en choisissant à quel étage on veut se rendre. De même, pour les noms de domaine, on peut préciser notre demande en ajoutant un « étage » à notre nom de domaine, qu’on appelle sous-domaine : « mail.google.com ». Ici, on a « mail » qui est le sous-domaine et « google.com » qui est le nom de domaine. À partir de là, on peut mettre autant de sous-domaines qu’on le souhaite : « sous-sous-domaine.sous-domaine.domaine.net », mais c’est assez peu utilisé.

Les extensions

Comme on a pu le voir juste avant, la partie la plus à droite du nom de domaine est ce qu’on appelle une extension. On peut également l’appeler domaine de premier niveau (Top Level Domain ou TLD). Contrairement au reste du nom de domaine qui peut être composé de n’importe quels caractères alphanumériques, le domaine de premier niveau est choisi dans une liste préexistante. La liste de ces extensions se découpe en quatre types :

· Les ccTLD (country code Top Level Domain) : ce sont des extensions de deux lettres identifiant un pays ou territoire indépendant. Par exemple, on a le « fr » pour la France, le « us » pour les États-Unis, ou le « tv » pour le Tuvalu.

· Les gTLD (generic Top Level Domain) : ce sont des extensions historiques de trois lettres ou plus prévues pour des utilisations générales. On retrouve par exemple le fameux « com » qui a été créé pour une utilisation commerciale, le « gov » pour le gouvernement ou le « org » pour les organisations.

· Les new gTLD (new generic Top Level Domain) : devant la croissance d’Internet, l’autorité responsable des noms de domaine a décidé en 2012 d’introduire de nouvelles extensions. On retrouve le « xyz », le « bank » ou le « sport ».

· Les corpTLD (corporate Top Level Domain) : c’est en fait une sous-catégorie de new gTLD. Elle est réservée aux organisations souhaitant posséder leur propre extension. On y retrouve « hbo » ou « lego ».

Les serveurs de nom de domaine

Maintenant que l’on comprend un peu mieux à quoi correspond cette notion, on peut se demander de quelle manière notre ordinateur récupère l’adresse IP cachée derrière un nom de domaine. On appelle cette opération « résolution d’un nom de domaine ». En fait, en regardant la configuration réseau de notre ordinateur, on peut retrouver un champ DNS (Domain Name Server) où l’on indique une adresse IP d’un serveur de nom de domaine à qui on va faire les demandes de résolution à chaque fois qu’on utilise un nom de domaine. Ce serveur peut être appelé « résolveur DNS ». On peut noter que pour ce service, on est obligé de spécifier une adresse IP étant donné que si ce champ n’est pas configuré on n’a aucun moyen de résoudre un nom de domaine et donc on ne peut pas récupérer l’IP cachée derrière.

Vous vous dites surement « C’est bien beau, mais moi je l’ai jamais changé ce paramètre et pourtant mon ordinateur arrive quand même à résoudre les noms de domaine ! ». Et en fait, c’est très simple, parce que vous n’avez pas non plus configuré votre adresse IP sur votre ordinateur ; vous l’avez branché à votre box Internet et la magie s’est opérée. Et bien, c’est pareil, c’est votre router Internet qui a décidé quel DNS vous alliez utiliser. Donc par défaut vous utilisez le résolveur de votre fournisseur d’accès Internet.

Cependant, ce ne sont que des valeurs par défaut, et vous pouvez tout à fait choisir d’utiliser d’autres résolveurs DNS. Vous pouvez choisir d’utiliser ceux d’un autre fournisseur d’accès, mais aussi ceux d’un autre fournisseur de service.

Choisir son résolveur DNS est important, car de là dépend (en partie) la vitesse de livraison d’un service (si le serveur met du temps à vous renvoyer une IP, vous mettrez forcément plus de temps à récupérer la page web) ; mais aussi la confidentialité de vos données, car comme c’est lui qui résout tous vos noms de domaine, il connait tous les services que vous cherchez à joindre.

La résolution des noms de domaine

Un serveur de nom de domaine est donc une base de données de couple nom de domaine / adresse IP. Cependant, chaque serveur DNS ne contient pas la liste d’absolument tous les noms de domaine qui existent. Cela formerait des bases de données titanesques, ce serait un vrai calvaire à mettre à jour et ça serait des passoires en termes de sécurité.

Avant de rentrer dans le détail du cheminement d’une demande de résolution de nom de domaine, il va être indispensable, pour ne pas se perdre, de définir certaines notions relatives au DNS et notamment les différents types de serveurs DNS qui existent (parce que oui, il en existe différent, ce serait beaucoup trop simple sinon).

Notions importantes

ICANN : C’est l’Internet Corporation for Assigned Names and Numbers (Société pour l’attribution des noms de domaine et des numéros sur Internet). C’est une autorité de régulation d’Internet de droit privé et à but non lucratif. Elle a pour objectif l’administration des ressources numériques d’Internet telles que l’adressage IP et la gestion des domaines de premier niveau (vous vous souvenez, les TLDs).

Serveur récursif : Ce sont les serveurs que l’on imagine quand on parle de serveur DNS. Ce sont ceux qu’on configure dans le fameux champ DNS de notre configuration réseau et ce sont eux qui se débrouillent pour aller chercher l’adresse IP que l’on souhaite à partir d’un nom de domaine. Ces serveurs ont aussi une fonction de « cache », c’est-à-dire que lorsqu’on leur demande un nom de domaine qu’ils ne connaissent pas, ils font la recherche puis ils gardent l’information en mémoire au cas où on leur redemande. Il ne garde bien sûr cette information qu’un certain temps avant de devoir renouveler leur recherche (au cas où il y a eu une modification relative à ce nom de domaine).

Serveur Racine : Ce sont les treize serveurs gérés par l’ICANN qui ont pour objectif d’indiquer où se situent les serveurs responsables de chacun de domaine de premier niveau.

Serveur TLD : Ce sont les serveurs responsables de chacun des domaines de premier niveau. On retrouve un serveur pour le « fr », un serveur pour le « com », … (En vrai cela est plus complexe que « un serveur pour un TLD », mais l’idée globale est là). Et ces serveurs de noms de domaine répertorient le serveur faisant autorité pour chacun des noms de domaine qu’ils gèrent.

Serveur faisant autorité : Ce sont sur ces serveurs sur lesquels se retrouve l’information que l’on cherche, c’est-à-dire l’IP correspondant à un nom de domaine. Lorsqu’on modifie une information relative à un nom de domaine, c’est sur ces serveurs qu’elle est modifiée.

Le chemin de la résolution

Maintenant qu’on voit un peu plus clair dans les termes, on commence à distinguer un schéma qui se dessine ; schéma que je vais m’empresser de vous expliquer. D’après ce que je vous ai déjà dit, on sait que le serveur DNS configuré sur votre ordinateur (le serveur récursif) ne connait pas tous les noms de domaine qui existent, il doit donc trouver un moyen d’apprendre l’IP d’un nom de domaine qu’il ne connait pas. La recherche se fait de manière hiérarchique.

Pour comprendre comment ça marche, on va suivre le cheminement d’une demande de résolution d’un nom de domaine. Imaginons que l’on veut résoudre « www.nameshield.com ».

1. Notre ordinateur va commencer par faire une demande au serveur récursif qu’il a de configuré. On va dire qu’on est chez Orange, et on demande donc au serveur « 80.10.401.2 » : « Est-ce que tu connais l’adresse IP qui se trouve derrière le nom de domaine www.nameshield.com ? ». C’est une adresse que personne n’a jamais demandée au serveur DNS d’Orange (on va faire comme si c’était le cas) et du coup il ne connait pas la réponse.

2. Ne voulant pas rester dans l’ignorance, il va aller chercher cette information. Pour ce faire, il va aller interroger un des serveurs racines : « Dis-moi serveur racine, je dois résoudre www.nameshield.com, or je ne connais pas ce nom de domaine, peux-tu m’aider ? ». Ce à quoi le serveur racine va répondre « Hum… tu devrais demander à 192.134.4.1, c’est lui qui gère les .com ».

3. Le serveur récursif d’Orange va donc répéter sa question au serveur TLD du .com qui va lui répondre : « nameshield.com ? C’est un nom qui est enregistré chez Nameshield ça. Demande à 255.341.209.423 ».

4. Pour la troisième fois, notre serveur récursif pose la question au serveur faisant autorité qui lui répond « Bien sûr que je connais www.nameshield.com, c’est moi qui le gère ! Tu peux le trouver à 81.92.80.11 ».

5. Tout fier d’avoir enfin la réponse, notre serveur récursif nous la transmet et on peut alors contacter le serveur qui se cache derrière nameshield.com via son adresse IP.

Bien évidemment, on est en informatique et tous ces échanges ne prennent que quelques centièmes de secondes. Mais, on est toujours soucieux de gagner du temps, et donc le serveur récursif va garder l’information qu’on vient de lui demander en mémoire (au moins pendant quelques minutes), comme ça si on lui redemande 20 secondes plus tard, il ne va pas déranger les autres serveurs.

Conclusion

En dehors du milieu technique, on entend assez peu parler du système de nom de domaine (DNS), or c’est une notion qui mérite d’être connue, car c’est un vecteur important pour toute organisation. En effet, l’influence des noms de domaine se retrouve à tous les niveaux :

· Le nom de domaine représente une marque, un produit, une organisation, … il est donc important de le protéger. Il faut penser aux différentes possibilités lors de l’enregistrement pour pas que quelqu’un d’autre puisse le réserver et nuire à votre image.

· La configuration du serveur récursif que l’on va mettre en place sur notre machine va jouer sur la vitesse de votre Internet, mais aussi la confidentialité de vos données.

· La disponibilité de tout Internet dépend de la disponibilité du système de nom de domaine. Si les serveurs racine, TLD ou faisant autorité tombent, on n’a plus accès à aucun service.

Tout ça pour dire, que le DNS, c’est complexe, mais c’est crucial !

Source de l’image : storyset.com

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description

Qu’est-ce que BIMI?

Pourquoi BIMI est important ?

Comment BIMI fonctionne ?