Blog Nameshield

Password : les bonnes pratiques

Le sujet des mots de passe a déjà été abordé des centaines de fois, mais c’est un point majeur de la sécurité informatique et il est toujours intéressant d’y revenir. Voici un tour d’horizon des bonnes pratiques.

1 – Composition d’un mot de passe

Le premier point à voir est comment composer un mot de passe robuste. Contrairement à l’idée qui avait été popularisée il y a quelques années, il vaut mieux privilégier la longueur à la complexité. Aussi le terme « passphrase » semble-t-il plus approprié que « password ». Cela dit, la complexité n’est bien sûr pas à renier pour autant, puisqu’elle permet de renforcer un mot de passe.

Des tableaux circulent sur le temps nécessaire pour « craquer » un mot de passe en fonction de sa longueur et de sa complexité. Si ces données sont relatives et fluctuent en fonction du type d’attaque (en ligne ou hors ligne), de l’algorithme utilisé et de la machine qui effectue l’attaque, elles donnent néanmoins un repère sur les différents niveaux de sécurité. Si l’on se base sur une attaque hors-ligne avec une machine dédiée au « cassage » sur un algorithme NTLM, on obtient les données suivantes :

L’utilisation de chiffres uniquement est évidemment à bannir. Quant aux lettres, on peut constater qu’un mot de passe de 12 caractères est déjà bien plus difficile à craquer qu’un mot de passe complexe de 8 caractères. Et évidemment, c’est exponentiel en fonction du nombre de caractères.

On pourrait se dire qu’il est plus compliqué de retenir un mot de passe long, pourtant les moyens mnémotechniques sont beaucoup plus évidents. On peut par exemple choisir le titre ou des paroles d’une chanson, une réplique culte, le nom d’un auteur… En somme, quelque chose de marquant, avec quelques petites modifications ($ à la place d’un s) pour ajouter de la complexité. Et au final, on sécurise ainsi assez facilement nos mots de passe.

2 – Changer de mot de passe

La deuxième bonne pratique que je voudrais évoquer est de ne pas utiliser le même mot de passe plusieurs fois. C’est une pratique qui est très tentante, car il est beaucoup plus simple d’avoir un seul mot de passe à retenir plutôt qu’un pour chaque site, mais cela signifie aussi que si quelqu’un arrive à récupérer ce mot de passe, il aura accès à tous vos comptes. Or il y a beaucoup de raison pour laquelle votre mot de passe peut fuiter, que ce soit une mauvaise manœuvre de votre part ou des problèmes de sécurité d’un site auquel vous faites confiance. Pour cette deuxième partie, on peut citer le COMB (compilation of many breaches) qui regroupe un total de 3.2 milliards d’identifiants qui ont fuité sur Internet.

En cliquant sur ce lien ci-contre, cela pourra vous aider à découvrir si votre mot de passe est compromis.

Un point relatif au même sujet est le changement régulier de ses mots de passe. Si l’on voulait pousser le vice à l’extrême pour garder un niveau de sécurité optimum, il faudrait renouveler ses mots de passe tous les 90 jours. L’intérêt de ce procédé est de se prémunir contre ces diverses brèches :

– L’accès constant : Si vous avez un accès compromis, l’attaquant ne va pas forcément effectuer des actions qui vont vous permettre de le repérer. Il peut très bien continuer à voler des informations sur la durée. Le fait de changer de mot de passe régulièrement va lui couper les accès.

– L’accès par ancien mot de passe : Si quelqu’un récupère un mot de passe sur un ancien ordinateur ou écrit sur un post-it et que vous ne l’avez pas changé, il aura accès au compte. Alors que bien évidemment, le changer régulièrement règle le problème.

– Le « craquage » du mot de passe : S’il faut 4 ans pour craquer votre mot de passe et que vous le changez tous les 10 ans, quelqu’un de (très) patient pourrait arriver à craquer votre mot de passe. Encore une fois, changer le mot de passe régulièrement réduira considérablement le risque que ce cas se présente.

On arrive cependant sur des procédés très laborieux et fastidieux à respecter. Selon certains experts comme Dave Hatter, à moins d’être au courant d’une fuite de données au niveau des mots de passe sur un site que vous utilisez, il n’y a pas de nécessité de les changer régulièrement si les mots de passe sont uniques et forts.

Les avis tendent donc à diverger en la matière et il revient donc à chacun d’entre nous de décider de la marche à suivre. Selon mon opinion, faire preuve de bon sens en changeant régulièrement son mot de passe sans forcément s’imposer de date limite est un bon compromis.

3 – Quelques bonnes pratiques supplémentaires

Il n’est jamais inutile de répéter des principes de base, ne nous en privons pas :

1. Ne communiquez jamais vos mots de passe. Aucune organisation, société, association, ne doit vous demander votre mot de passe. C’est une information qui est secrète. Si l’on vous demande votre mot de passe, c’est probablement de l’hameçonnage.

2. Ne les écrivez pas sur un post-it ni aucun support physique. Il est simple pour n’importe qui s’aventure près de votre poste de travail d’y avoir accès.

3. N’utilisez pas vos mots de passe sur des ordinateurs dans lesquels vous n’avez pas confiance (en libre-service par exemple). Il y a un pourcentage de chance non négligeable pour qu’il soit piégé, par exemple avec un keylogger (qui enregistre tout ce qui est tapé au clavier). Si jamais vous êtes obligé de le faire, changez le mot de passe dès que vous récupérez un accès sûr.

4. Configurez vos logiciels (notamment les navigateurs) pour qu’ils n’enregistrent pas vos mots de passe. J’ai pu faire un test avec Firefox, il est très facile de récupérer en clair les mots de passe qui y sont sauvegardés.

5. Dans la première partie, j’ai évoqué de choisir un mot de passe qui vous marque. Cela ne veut pas dire qu’il faille en utiliser un que l’on peut facilement relier à vous, comme une date de naissance, le nom de votre entreprise, … Si vous voulez mettre un titre de chanson, ne mettez pas votre chanson préférée, et modifiez légèrement le nom. Il existe un type d’attaque qui cible vos informations sur les réseaux sociaux pour tenter de deviner votre mot de passe. Pensez à avoir un temps d’avance sur ces attaquants.

6. Enfin, soyez particulièrement attentif à vos accès mail. C’est le nerf de la guerre. Si quelqu’un arrive à avoir accès à votre boîte mail, il peut très bien réinitialiser tous les mots de passe qui y sont liés et donc avoir accès à tous vos comptes.

4 – Gestionnaire de mots de passe

Toutes ces préconisations sont importantes, mais cela reste quand même assez laborieux. Il n’est pas évident de se souvenir de 74 mots de passe uniques, longs et complexes et qui ne sont bien sûr pas en rapport direct avec sa personne.

Heureusement, des outils qui font le travail à notre place existent, il s’agit des gestionnaires de mots de passe !

Un gestionnaire de mots de passe est une application (web ou desktop) qui permet de centraliser, générer et gérer ses mots de passe. L’accès à ce portefeuille de mots de passe est protégé par un mot de passe unique (encore un, mais c’est le dernier promis !). Avec cet outil, seul le mot de passe maître, qui nous donne accès à tous les autres, est à retenir. Il faut aussi qu’il soit vraiment fort pour des raisons évidentes.

5 – L’authentification à double facteurs (2FA)

Une méthode d’authentification forte qui s’est développée ces dernières années est l’authentification multifacteur, qu’on appelle couramment 2FA. Cette méthode d’authentification va, en plus du couple identifiant/mot de passe, demander une validation supplémentaire. Cette validation peut être un code provisoire envoyé par mail ou SMS, ou une application spécifique ou encore une reconnaissance biométrique. Ainsi grâce à cette confirmation, vous seul pourrez autoriser un nouvel appareil à se connecter aux comptes protégés.

En fonction des plateformes, le 2FA n’est pas forcément implémenté et la méthode de double authentification n’est pas forcément la même non plus. Cela peut aussi rajouter de la complexité. C’est pourquoi l’authentification multifacteur n’est donc pas forcement à activer sur tous les comptes, mais sur les comptes critiques (mail, banque, Amazon, …), car là il y a des actifs à protéger.

Si cette méthode ajoute une couche de protection supplémentaire, elle non plus n’est pas sans faille.

Le mot d’ordre reste donc dans tous les cas, de rester vigilant et de conserver une certaine complexité de sécurité à tous les niveaux.

Source de l’image : geralt via Pixabay

Ouverture des enregistrements de noms de domaine en .AU prévue pour Mars 2022

Nous avons évoqué dans un précédent article la future ouverture des enregistrements de noms de domaine en .AU, mais celle-ci a été reportée à plusieurs reprises.

Le registre australien vient d’annoncer la date d’ouverture des dépôts en .AU qui sera prévue pour le 24/03/2022, avec une phase prioritaire de 6 mois réservée :

aux titulaires de noms de domaine en extensions de deuxième niveau (par exemple .COM.AU) pour enregistrer leur équivalent en .AU.
aux enregistrements en .AU de nouveaux noms qui n’existent pas en extensions de deuxième niveau.

Pour plus d’informations sur les conditions d’enregistrement de votre .AU, n’hésitez pas à nous contacter.

Source de l’image : kitkatty007 via Pixabay

Nouvelle fiche : 5 minutes pour comprendre qui gère Internet

Fiche 5 minutes pour comprendre - Noms de domaine - Qui gère Internet -Nameshield

Il existe une multitude d’intervenants qui participent à la gestion du réseau des réseaux !
Sa gestion relève d’un réseau pluripartite décentralisé et international de groupes autonomes provenant de la société civile, du secteur privé, des gouvernements, des communautés académiques et scientifiques ainsi que des organisations nationales et internationales.

Découvrez dans cette fiche « 5 minutes pour comprendre », disponible en téléchargement sur le site de Nameshield, qui gère Internet, quels sont les rôles de l’ICANN, des registres et des registrars.

Télécharger la fiche

Le séquestre des données n’échappe plus à la concentration de l’industrie des noms de domaine

Acquisition - Concentration de l’industrie des noms de domaine

Il est souvent question de la concentration qui concerne les registres et les bureaux d’enregistrement, deux des maillons essentiels dans l’écosystème des noms de domaine. Les deux sociétés qui ont le plus fait parler d’elles ces deux dernières années sont Ethos Capital et Clearlake Capital, deux sociétés de capital-investissement qui se sont spécialisées dans les acquisitions dans ce secteur.

Ethos Capital fondée en 2019 avait proposé en novembre dans un deal à 1,135 milliard d’euros l’acquisition de Public Interest Registry, le registre en charge de l’extension historique .ORG qui revendiquait alors quelques 10,5 millions d’enregistrements. Si ce deal ne s’est pas fait après un veto surprise de l’ICANN dans le cadre d’une disposition de l’accord de Registre qui prévoit un processus d’approbation pour chaque type de cession, que ce soit un changement de contrôle ou un important accord de sous-traitance, Ethos Capital s’est très vite réconfortée avec l’acquisition confirmée au 31 mars 2021, du registre Donuts qui en décembre 2020, avait conclu l’acquisition du registre Afilias, opérateur entre autres des extensions .INFO et .MOBI. En ce qui concerne Donuts, le registre revendique aujourd’hui 270 extensions génériques sur un total de 1268 soit 21% d’entre eux ! Il a récemment acquis l’extension .watches du fabricant de produits de luxe Richemont.

En ce qui concerne Clearlake Capital Group, cette société créée en 2006, a mis la main sur Endurance International dans un deal à 3 milliards de dollars et a récemment pris une participation importante dans Web.com. Les deux entités ont été fusionnées pour former une nouvelle société dénommée Newfold Digital. Newfold compte dans son portefeuille des bureaux d’enregistrement comme Register.com, Network Solutions, Domain.com, BuyDomains, BigRock, PublicDomainRegistry et CrazyDomains, mais aussi BlueHost et HostGator, deux très importantes sociétés dans le domaine de l’hébergement Web. Le groupe revendique environ 16,5 millions de noms de domaine.

Autre acteur de renom, le registrar américain GoDaddy, annonçait en février 2021 une levée de 800 millions de dollars pour réaliser des acquisitions. Depuis, GoDaddy semble être passé à l’offensive. Le premier registrar au monde en volume finalise actuellement l’acquisition de Minds & Machines, un registre de nouvelles extensions génériques (27 en tout) dans un deal de 120 millions de dollars. L’Europe n’échappe bien entendu pas au phénomène de concentration même si les deals réalisés sont moins élevés que ceux que nous venons d’évoquer.

En effet, ce ne sont là que quelques exemples d’une concentration qui semble s’accélérer inéluctablement dans le secteur des noms de domaine. Pourtant autre maillon important du métier, les opérateurs de séquestre qui ont la mission de stocker et sauvegarder les données des noms de domaine des bureaux d’enregistrement et des registres, un peu comme le ferait une banque, semblaient jusqu’ici moins exposés au phénomène. Pourtant, si l’on considère la liste des agents désignés par ICANN, on a récemment pu noter que l’un deux, en l’occurrence Iron Mountain a disparu. Ce n’est pourtant pas lié à une erreur mais bien au fait que cet acteur a été absorbé par son concurrent NCC Group. Le deal engagé en juin en toute discrétion, est estimé à 165 millions de dollars.

Au-delà des concentrations en cours désormais dans l’ensemble des métiers clés nécessaires à la gestion de parcs de noms de domaine, se posent des questions sur l’offre de services qui ne cesse de se réduire à mesure que des acteurs trustent le marché, celle des tarifs aussi (PIR avait obtenu de l’ICANN la levée du plafonnement des prix des .ORG juste avant que Ethos Capital ne fasse son offre de rachat) et celle de la maîtrise des données des utilisateurs de noms de domaine, une maîtrise qui semble difficile avec la globalisation du marché. Rappelons que NAMESHIELD, reste une entreprise française indépendante pour laquelle l’ensemble de ces enjeux sont au cœur de ses préoccupations.

Source de l’image : Geralt via Pixabay

Qu’est-ce que la validation étendue (EV, ou Extended Validation) et quelle est son importance ?

Cybersécurité - Certificat SSL EV - Blog Nameshield

Les certificats SSL assurent le chiffrement et l’intégrité des données échangées entre un navigateur et un serveur web. Il existe différents niveaux de certificats, Extended Validation (EV), Organizational Validation (OV) et Domain Validation (DV), qui varient en fonction du degré d’authentification. Le certificat SSL de type Extended Validation fournit le plus haut niveau d’authentification SSL. Son obtention passe par un processus de vérification d’identité complet et normalisé à l’échelle mondiale ratifié par le forum CA/Browser Forum.

Le certificat SSL EV active la sécurité HTTPS et le cadenas, maintenant gris, dans la barre d’adresse du navigateur, tout comme les certificats DV et OV. Le coût et le temps supplémentaires consacrés à la vérification rendent plus difficile l’obtention de certificats de niveau EV pour les sites de phishing. Les internautes peuvent donc utiliser ce certificat comme marque de confiance et se sentent plus en sécurité lorsqu’ils communiquent et effectuent des achats.

Le 12 juin 2007, le CA/Browser Forum ratifie officiellement la première version des directives SSL Extended Validation qui entrent en vigueur immédiatement. L’approbation formelle clôture alors avec succès plus de deux ans d’efforts et fournit un cadre pour l’identité de site Web afin d’accroitre la confiance sur Internet.

La plupart des principaux navigateurs créent des indicateurs visuels pour les pages chargées via HTTPS et sécurisées par un certificat EV peu après la création de la norme : ils affichent l’identité validée, soit une combinaison du nom de l’organisation et de la juridiction, dans la barre URL. Safari pour iOS, Windows Phone, Firefox pour Android, Chrome pour Android et iOS, ajoutent également ces indicateurs.

En mai 2018, Google annonce son intention de repenser les interfaces utilisateur de Google Chrome afin de ne plus mettre l’accent sur les certificats EV. Chrome 77, sorti en 2019, supprime l’indication du certificat EV de l’omnibox. Firefox 70 fait de même et retire la distinction dans la barre d’URL : les certificats EV et DV sont affichés de la même manière, mais le statut du certificat EV peut toujours être consulté en cliquant sur l’icône cadenas, puis en vérifiant le nom de l’entité légale sous « certificat ».

Affichage d’un certificat EV dans Firefox

L’utilisation croissante des appareils mobiles et la suppression de l’indicateur visuel EV par les navigateurs a fait diminuer de manière significative l’intérêt de certaines entités à utiliser ce niveau de sécurité, mais l’EV a toujours une très grande importance dans notre quotidien.

Aujourd’hui les sites de phishing représentent malheureusement toujours une menace majeure pour les sites web et services en ligne légitimes. Ces « hameçonneurs » utilisent des certificats DV, généralement obtenus auprès d’un service SSL gratuit qui ne mène pas de contrôles de phishing adéquats, afin que leurs sites paraissent plus fiables. Ils trompent ainsi facilement les victimes peu méfiantes et les incitent à communiquer des informations financières ou personnelles.

Il a été remarqué une très forte hausse du phishing depuis Mars 2020, début du confinement et du télétravail pour beaucoup de personnes : le volume des sites de phishing a augmenté de 47 % pour le premier trimestre de 2020, et 82,7% des attaques de phishing ont utilisé des certificats SSL DV. Ce problème ne fait que s’accroitre et accentue la nécessité de vérifier les identités en ligne.

Source de l’image : TheDigitalArtist via Pixabay

Nouvelle fiche : 5 minutes pour comprendre la résolution DNS des noms de domaine

Fiche 5 minutes pour comprendre - Résolution DNS des noms de domaine - Nameshield

L’homme a une très mauvaise mémoire des suites de chiffres. Or les ordinateurs et serveurs communiquent entre eux en s’identifiant via une adresse IP, suite de nombres ou mix de chiffres et nombres sensiblement complexe à mémoriser et différencier.

Pour aider les hommes dans leurs communications sur les réseaux, le Système de Noms de Domaine (DNS) a été inventé. Ce service est un annuaire géant de l’Internet, hiérarchisé et distribué au plan mondial, qui fait correspondre des noms de domaine avec des adresses IP.

Lorsqu’un internaute saisit un nom de domaine dans son navigateur, celui-ci interroge un serveur DNS qui va rechercher la réponse à cette adresse humainement compréhensible, le plus souvent une adresse IP, menant au bon site web, ordinateur ou réseau. On appelle ce processus d’interrogation la «résolution DNS».

Découvrez dans cette fiche « 5 minutes pour comprendre », disponible en téléchargement sur le site de Nameshield, le fonctionnement de la résolution DNS.

Télécharger la fiche

ICANN71 : Le GAC au centre des attentions

Quelques 56 sessions étaient planifiées du 14 au 17 juin dans le cadre du 71^ième sommet de l’ICANN prévu à La Haye. Tenu une nouvelle fois exclusivement en visio-conférences en raison du contexte sanitaire mondial, pas moins d’un quart de ces sessions étaient organisées par le GAC, le comité consultatif gouvernemental qui conseille l’ICANN sur des dossiers de politiques publiques en rapport avec les responsabilités de l’ICANN sur le système des noms de domaine. Le GAC très actif sur tous les sujets d’actualité des politiques ICANN s’est clairement démarqué.

Le GAC revendique actuellement 179 membres soit une majorité des pays du monde. Cela lui donne une bonne représentativité à l’échelle globale pour parler à une instance de gouvernance globale. Très organisé, le GAC fait précéder les rendez-vous ICANN de réunions préparatoires qui permettent de recueillir les avis à des échelles locales afin de les relayer ensuite au niveau de l’instance de gouvernance. Une nouvelle fois, ce sommet a mis en lumière le fait que l’actualité des politiques ICANN est fournie.

La lutte contre les pratiques malveillantes sur le DNS

Le sujet des abus est presque devenu un marronnier des sommets de l’ICANN car il est au centre des sujets de préoccupations depuis bientôt deux années. Si les registres et les bureaux d’enregistrement sont déjà soumis à une batterie d’obligations sur ce sujet, beaucoup de parties prenantes considèrent que celles-ci sont insuffisantes pour réellement adresser ce sujet. L’année 2020 a effectivement vu les atteintes de cybersécurité exploser, en se greffant notamment sur la pandémie mondiale qui a vu la consommation encore davantage se faire via le web, notamment en raison des confinements et où les modes de travail ont dû être réinventés pour privilégier le distanciel. Force est de constater qu’à l’heure actuelle peu de choses ont avancé.

Une initiative fouillée et riche de propositions a bien été formulée par le SSAC (Security and Stability Advisory Committee) qui, dans ses 24 recommandations transmises au Board ICANN, a émis l’idée d’engager un processus de développement de politique « expéditif » (ePDP) avec pour finalité de développer une anti-abuse policy. Leur rapport transmis au Board il y a trois mois, n’a pas eu de suites à ce jour. La seconde initiative plus récente, émane de l’arcane représentant les registres, le Registry Stakeholder Group (RySG). Elle a finalisé avec l’input du GAC un cadre visant en particulier les botnets, des attaques qui utilisent des formes de chevaux de Troie pour prendre le contrôle d’ordinateurs pour former des réseaux d’ordinateurs qui permettront de perpétrer d’autres attaques. Son principe est de permettre aux registres volontaires d’adhérer à un dispositif qui les oblige à bloquer préventivement des noms en masse générés via des DGA (Domain Generation Algorithms), des algorithmes utilisés pour générer périodiquement un grand nombre de noms de domaine pouvant être utilisés comme points de rendez-vous avec leurs serveurs de commande et de contrôle. Le grand nombre de points de rendez-vous potentiels fait qu’il est difficile pour les forces de l’ordre de contrer efficacement les botnets, puisque les ordinateurs infectés tenteront de contacter certains de ces noms de domaine chaque jour pour recevoir des mises à jour ou des commandes. Le principe est donc ici préventif. Les registres bénéficieraient en contrepartie d’incentives et ne seraient pas redevables de la taxe perçue par ICANN lors de la création d’un nom. Une initiative donc plutôt à saluer mais portée plus directement par le RySG et donc non consensuelle, d’où son caractère volontaire et donc une portée très limitée.

Si le sujet du DNS abuse patine autant c’est que ce sujet est confronté à d’autres processus de développements de politiques en cours et à venir et à des intérêts divergents entre instances, l’Intellectual Property Constituency (IPC) étant par exemple très concernée par l’accès aux données de contacts dans les annuaires de noms de domaine, le RySG par le lancement du prochain round de nouvelles extensions qu’ils veulent voir avancer.

L’impact du Règlement Général sur la Protection des Données (RGPD) sur les données d’enregistrement des noms de domaine

Rappelons que pour remplacer la Specification Temporaire, mise en place le 17 mai 2018 à quelques jours de l’application du RGPD, un processus ePDP a vu le jour. Ce processus qualifié d’expéditif a paru pourtant assez loin d’être finalisé lors de ce nouveau sommet ICANN, alors que trois années ont passé.

Segmenté en trois phases, la phase 1 vise à fournir une policy pérenne qui doit cadrer la gestion des données personnelles des noms de domaine pour remplacer la Specification temporaire qui a notamment expurgé les données personnelles des annuaires de noms de domaine (via les protocoles Whois et RDAP). Sa rédaction avance mais aucune date n’est connue quant à sa finalisation et donc possible implémentation. Le délai est en partie lié à la difficulté de transcription de certaines recommandations dont l’une était notamment en conflit avec une politique en place, la Thick Whois Transition Policy qui prévoit un transfert systématique des données de contacts détaillées des bureaux d’enregistrement vers les registres. Autre écueil : la politique recoupe comme on le voit, d’autres politiques en place qui nécessitent donc des adaptations également en cours.

La phase 2 concerne la mise en place d’un système harmonisé d’accès aux données expurgées des annuaires de noms pour les intérêts « légitimes ». Ce système est aujourd’hui connu sous l’appellation Système Standardisé d’Accès aux Données (SSAD). Premier écueil : le Generic Names Supporting Organization (GNSO), l’entité qui élabore les politiques applicables aux noms génériques, avait à la surprise générale approuvé toutes les recommandations du rapport final, même celles qui n’avaient pas obtenu de consensus. Les recommandations pour créer ce dispositif ont donc toutes été transmises au Board ICANN qui plutôt que de se prononcer et de voter sur l’application de celles-ci, a décidé d’initier d’abord une Operational Design Phase (ODP). Initiée fin mars par le Board, elle doit durer six mois et vise à identifier les étapes, les risques, les coûts et ressources à allouer avec une consultation de la communauté après franchissement d’un jalon. C’est donc une forme de cadrage de projet. La publication d’une Request for Information, est prévue en juin pour une première consultation de la communauté.

Une phase 2a, strate additionnelle du PDP, vise à évaluer la piste d’une dissociation des données de contacts de personnes morales publiables et de personnes physiques non publiables. Initiée en décembre 2020, elle a abouti à cinq recommandations dans un rapport initial ouvert à commentaires jusqu’au 19 juillet 2021. La première recommandation très commentée lors de l’ICANN71, préconise finalement de ne rien changer en permettant aux acteurs qui le veulent de faire cette différenciation. Ce processus va poursuivre son chemin avec un rapport final de recommandations qui va arriver au second semestre.

Point commun entre les deux sujets précités, le GAC considère que des améliorations sont nécessaires. Sur le SSAD, il considère notamment que le système ne va pas assez loin pour protéger les consommateurs et augmenter leur confiance. Il regrette aussi que l’évolution du dispositif dans le temps n’ait pas été cadrée et craint que le coût, l’accès se faisant avec un dispositif d’accréditation, ne soit dissuasif notamment pour ceux engagés dans la lutte contre les atteintes à la sécurité qui ont besoin d’accéder aux données d’enregistrement des noms. Sur le DNS abuse, le GAC réitère le besoin d’adresser ce sujet. Il a déjà fait plusieurs propositions lors de précédents sommets.

Et le prochain round dans tout ça ?

Sujet qui intéresse beaucoup de monde, le prochain round n’a toujours pas de date. Tout juste a-t-on appris que le Board ICANN qui vient de récupérer les derniers inputs sur les recommandations en vue d’un prochain cycle de nouvelles extensions, a confirmé engager une Operational Design Phase (ODP) pour estimer les étapes, risques et ressources nécessaires pour mettre en œuvre ces recommandations. Pas encore planifiée, le Board a indiqué avoir demandé à ICANN org de préparer un document pour cadrer l’ODP qui permettra d’élaborer la résolution qui doit l’officialiser. Cette résolution fixera un délai pour réaliser cette ODP, possiblement six mois comme pour celui visant le SSAD.

Le GAC a pour sa part rappelé les sujets qui préoccupent plus spécifiquement ses membres. Parmi celles-ci : la prévisibilité, les engagements volontaires et obligatoires des registres (Registry Voluntary Commitments, Public Interest Commitments) avec notamment la façon d’adresser le DNS abuse, son souhait de voir le support aux nouveaux candidats mieux adapté notamment pour les zones moins favorisées, son opposition aux extensions génériques fermées, la consolidation de sa faculté à évaluer toutes les candidatures pour émettre des avis et warnings, son opposition aux enchères privées pour départager des candidats à une même extension. Il souhaite également un soutien aux applications communautaires à but non lucratif.

D’autres sujets portés par le GAC décidément très engagé

D’autres processus de développement de politiques sont en cours, comme celui concernant les Identifiants d’Organisations Gouvernementales et Non gouvernementales (IGO, INGO), un processus sur les mécanismes de protection des droits ou en phase initiale un PDP sur les transferts de noms et sur la rampe de lancement un PDP sur les IDNs. Le GAC n’a pas manqué de rappeler le sujet central de l’exactitude des données d’enregistrement jugé insuffisamment adressé par les obligations actuelles. Ce sujet va en effet s’avérer central dans la perspective des futures directives NIS2 et du Digital Services Act en cours d’élaboration au niveau européen. Le GNSO interpelé par le GAC sur l’examen de ce sujet, qui n’a en vrai pas réellement démarré, en est venu à s’excuser d’avoir trop de sujets en cours. Des tensions que le GNSO a cherché à apaiser en consacrant du temps pour examiner sa liaison avec le GAC pour l’améliorer, un GAC décidément offensif et actif.

Quid des prochains sommets

Les sommets ICANN se terminent généralement par un forum public où le public peut interpeler directement le Board. Signe d’une amélioration (temporaire ?) de l’état sanitaire sur le covid, le traditionnel forum a été consacré aux futurs sommets ICANN pour savoir s’ils doivent repasser en présentiel. De cette session, il est ressorti que la réponse n’est pas évidente. En cause, la différence des niveaux de vaccination et d’accès aux vaccins selon les pays, les conditions d’entrée aux USA actuellement restreintes, ICANN72 se tenant à Seattle et l’évolution de la pandémie qui reste incertaine. Ce forum a permis de commenter une récente enquête conduite par ICANN qui montre que la majorité des personnes intéressées par les événements ICANN ont considéré qu’il faudrait refaire des meetings en présentiel (54%). A la fin de cette session, ICANN s’est engagé à arbitrer courant juillet. Le format de l’ICANN72 pourrait être hybride, à savoir une représentation limitée sur place et le maintien du dispositif en distanciel.

Fait notable de ce sommet, beaucoup de sujets en cours et une impression que les choses avancent difficilement. Cela s’est traduit par de notables crispations entre instances et des mécontentements exprimés par exemple par le groupe des représentants d’extensions géographiques, les geoTLDs. Si pour certains, le retour en présentiel semble être la solution pour améliorer les choses, par notre présence dans certaines instances et notre participation à des groupes de travail, nous pensons que c’est plutôt un problème de visibilité dû à un trop grand nombre de sujets lancés en parallèle dont certains se chevauchent via des processus lourds avec un manque clair de priorisation. L’ODP, ce nouvel outil qui vise à cadrer la mise en place d’un système harmonisé d’accès aux données d’enregistrement et désormais appliqué au prochain round, va peut-être améliorer en partie ces perceptions. Autre aspect à considérer, des intérêts divergents entre instances. Là les échanges facilités peuvent peut-être améliorer les choses.

Nameshield élue au Conseil d’Administration de l’AFNIC

Lors de l’Assemblée Générale de l’AFNIC (Association Française pour le Nommage Internet en Coopération) qui s’est tenue le 11 juin 2021, Arnaud WITTERSHEIM, Chef de projet nouvelles extensions et responsable conformité de Nameshield, a été élu au Conseil d’Administration en tant que représentant des bureaux d’enregistrement.

Cette Assemblée Générale avait pour objectif d’élire un représentant en remplacement de Frédéric GUILLEMAUT de Safebrands qui a démissionné de ses fonctions d’administrateur suite à une opération capitalistique récente le concernant.

Avec près de 20 ans d’expérience dans des bureaux d’enregistrement, Arnaud WITTERSHEIM gère la conformité au sein de Nameshield et accompagne nos clients dans leurs projets de nouvelles extensions sur l’ensemble de leur cycle de vie. Depuis plusieurs années, il participe activement aux réunions de l’ICANN et à des groupes de travail pour agir dans les centres de décisions et partager une vision européenne du nommage.

Arnaud tient à remercier tous les bureaux d’enregistrement qui lui ont fait d’emblée confiance et qui ont rendu ce résultat possible. « Il s’agit pour moi désormais de rendre mon mandat utile au bénéfice des bureaux d’enregistrement et de leurs clients pour que les orientations actuelles et à venir de l’AFNIC soient au plus près de leurs besoins.

Comme j’ai pu le préciser lors de ma prise de mandat, les impulsions que j’entends appuyer lors de ce mandat peuvent être résumées par cinq verbes qui reflètent bien l’essence de Nameshield :

Ecouter les bureaux d’enregistrement encore davantage dans des périodes difficiles comme celles que nous connaissons alors que de nouvelles obligations arrivent comme la directive NIS2 qui va s’appliquer à tous les fournisseurs de services DNS ;

Epauler les bureaux d’enregistrement dans leurs obligations en veillant au niveau de l’AFNIC à proposer des solutions adaptées conçues en termes de Simplicité, Accessibilité, Praticité ;

Evaluer les outils et les services et projets de l’AFNIC au regard des besoins des bureaux d’enregistrement pour être certain qu’ils soient le plus en phase. Le retour d’expérience est la clé pour concilier besoins et offre.

Equilibrer la gestion de toutes les données collectées par l’AFNIC entre besoins de souveraineté numérique, de protection des données et d’open data. Equilibrer c’est aussi veiller à la bonne gestion des moyens de l’AFNIC en termes de budgets car les administrateurs doivent aussi se prononcer sur des budgets.

Entraîner l’AFNIC et le .FR à rayonner en étant investi, force de propositions et moteur dans les coopérations entre registres européens. Elaborer des réponses européennes aux enjeux actuels notamment de sécurité et être en pointe sur les enjeux plus globaux de gouvernance sont de belles perspectives à encourager.»

A propos de l’AFNIC

Fondée en 1997, l’AFNIC est l’office d’enregistrement désigné par l’État pour la gestion des noms de domaine en .FR. L’association gère également les extensions ultramarines .RE (Île de la Réunion), .PM (Saint-Pierre et Miquelon), .TF (Terres australes et antarctiques Françaises), .WF (Wallis et Futuna) et .YT (Mayotte) ainsi que les extensions .PARIS, .BZH, .ALSACE et .CORSICA.

Son rôle s’inscrit aussi dans une mission d’intérêt général plus large qui consiste à contribuer au quotidien à un Internet plus sûr et stable, ouvert aux innovations, où la communauté Internet française joue un rôle de premier plan.

Le Conseil d’Administration de l’AFNIC est composé de 10 membres :

– 5 représentants désignés par les membres fondateurs : 2 pour l’Inria et un pour chacun des ministères concernés (Télécommunications, Industrie et Recherche) ;

– 5 représentants des membres, élus au sein de l’Assemblée Générale : 2 représentants des membres « bureaux d’enregistrement », 2 représentants des membres « utilisateurs » et 1 représentant des membres correspondants.

Augmentation du tarif du .COM prévue pour le dernier trimestre 2021

Pour rappel, dans un article de mars dernier, nous avions évoqué l’augmentation du tarif du .COM annoncée par Verisign le registre américain qui gère cette extension.

Les extensions sont gérées par les registres de noms de domaine de manière indépendante. Ils fixent eux-mêmes les tarifs des enregistrements de noms de domaine proposés aux registrars, ces prix peuvent donc évoluer suivant les décisions des registres.

Pourtant le prix du .COM était bloqué depuis 2012 suite à la mise en place d’une politique de contrôle des prix par Barack Obama. Mais Donald Trump a mis un terme à cette politique durant son mandat présidentiel.

En conséquence, Verisign a décidé d’augmenter le tarif du .COM, pour participer au coût de fonctionnement de l’ICANN pour un renforcement de la sécurité, de la stabilité et de la résilience de l’Internet. Le prix du .COM va ainsi connaître très prochainement une hausse annuelle de 6.5% prévue pour le dernier trimestre 2021.

Pour plus d’informations sur cette hausse du prix du .COM, n’hésitez pas à contacter votre consultant Nameshield.

Nouvelle fiche : 5 minutes pour comprendre la procédure URS

Fiche 5 minutes pour comprendre - Noms de domaine - Procédure URS - Nameshield

La procédure URS (Uniform Rapid Suspension System) est la dernière procédure de résolution des litiges en matière de noms de domaine, mise en œuvre par l’ICANN dans le cadre des nouvelles extensions.

Cette procédure permet de sanctionner des atteintes manifestes et incontestables à un droit de marques résultant de la réservation par des tiers de noms de domaine identiques ou similaires concernant les nouvelles extensions.

Découvrez dans cette fiche « 5 minutes pour comprendre », disponible en téléchargement sur le site de Nameshield, dans quels cas s’applique la procédure URS et quelles sont les règles et les conditions à respecter.

Télécharger la fiche

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description

1 – Composition d’un mot de passe

2 – Changer de mot de passe

3 – Quelques bonnes pratiques supplémentaires

4 – Gestionnaire de mots de passe

5 – L’authentification à double facteurs (2FA)

La lutte contre les pratiques malveillantes sur le DNS

L’impact du Règlement Général sur la Protection des Données (RGPD) sur les données d’enregistrement des noms de domaine

Et le prochain round dans tout ça ?

D’autres sujets portés par le GAC décidément très engagé

Quid des prochains sommets

A propos de l’AFNIC

Nameshield utilise des cookies