Blog Nameshield

Nouvelle fiche : 5 minutes pour comprendre les extensions de noms de domaine (TLD)

Fiche 5 minutes pour comprendre - Les extensions de Noms de domaine - Nameshield

Les « Top Level Domains » également appelés TLD ou extensions, sont définis par l’IANA (Internet Assigned Numbers Authority) qui dépend de l’ICANN depuis 1998.

L’ICANN et l’IANA sont en charge d’allouer l’espace des adresses de protocole Internet (IP), d’attribuer les identificateurs de protocole et de gérer le système de noms de domaine de premier niveau, c’est-à-dire les « Top Level Domains ».

Découvrez dans cette fiche 5 minutes pour comprendre, disponible en téléchargement sur le site de Nameshield, les différents types de domaines de premier niveau.

Télécharger la fiche

Le RGS, l’atout confiance des administrations

En 20 ans les flux d’échanges de données entre administrations et ceux avec les usagers ont connu une évolution très forte, souvent accélérée par le contexte économique, politique ou sanitaire, obligeant par conséquent les autorités administratives à garantir la sécurité de leurs systèmes d’information en charge de la mise en œuvre de leurs services. Ainsi, par la nécessité de normaliser les pratiques, est né le « RGS ».

L’ANSSI a donc défini le référentiel général de sécurité (RGS) comme étant le cadre règlementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens dans un contexte de risques liés à la cybersécurité.

La version initiale du RGS (v.1.0) a été rendue officielle par arrêté du Premier ministre en date du 6 mai 2010. Une version 2.0 a été publiée par arrêté du Premier ministre du 13 juin 2014, applicable depuis le 1er juillet 2014, assurant une transition entre une première version liée à la mise en œuvre de l’administration électronique vers une troisième version (fondée sur la réglementation européenne en cours d’évolution).

Mais son champ d’application ne se limite pas au périmètre strict de l’administration: il s’applique à l’ensemble des prestataires de services qui assistent les autorités administratives dans la sécurisation des échanges électroniques qu’elles mettent en œuvre, ainsi qu’aux industriels dont l’activité est de leur proposer des produits de sécurité.

De façon globale, pour tout autre organisme, public ou privé, souhaitant organiser la gestion de la sécurisation de ses systèmes d’information et de ses échanges électroniques, le RGS se présente comme le guide des pratiques à suivre en la matière.

Dans son contenu il assimile les principes et règles liés à :

la description des étapes de la mise en conformité
la cryptologie et la protection des échanges électroniques
la gestion des accusés d’enregistrement et des accusés de réception
la qualification des produits de sécurité et des prestataires de services de confiance
la validation des certificats par l’État.

Aussi, pour répondre aux différents besoins dans ce domaine, les autorités de certification ont élaboré une gamme de produits bien spécifiques.

Ces autorités habilitées à délivrer des certificats de type RGS suivent un process d’émission très précis dans lequel le responsable légal de l’organisation doit être celui qui approuve directement la demande d’acquisition de certificat.

Actuellement en partenariat avec Certigna, Nameshield est là pour vous accompagner dans votre choix de certificats RGS.

N’hésitez pas à contacter votre équipe SSL pour faire un point sur vos besoins et les procédures d’obtention.

Source de l’image : pixelcreatures via Pixabay

Nameshield rejoint l’Alliance pour la Confiance Numérique (ACN)

L’Alliance pour la Confiance Numérique (ACN) représente les entreprises (leaders mondiaux, PME et ETI) du secteur de la confiance numérique notamment celles de la cybersécurité et de l’identité numérique. La France dispose dans ce domaine d’un tissu industriel très performant et d’une excellence internationalement reconnue grâce aux différents acteurs dynamiques du secteur.

L’ACN est membre de la FIEEC (Fédération des Industries Electriques, Electroniques et de Communication) et participe aux travaux du Comité Stratégique de Filière – CSF – des industries de sécurité. Par ailleurs, l’ACN est également membre fondateur de l’ECSO (European CyberSecurity Organisation).

L’ACN a pour vocation :

D’être le représentant institutionnel de la filière du secteur de la confiance numérique auprès des pouvoirs publics,

D’être force de propositions, par l’élaboration de livres blancs, de fiches techniques, de contributions techniques, et des positions par rapport aux projets de législations nationales et européennes,

D’apporter des éléments de valeurs et innovants dans les débats nationaux et internationaux,

D’analyser l’écosystème de la confiance numérique et de permettre aux entreprises de toute taille (Startup, PME, Grands groupes et ETI) de mener des actions collectives au sein de la filière.

C’est avec beaucoup d’enthousiasme que Nameshield a décidé de rejoindre l’ACN, pour continuer à œuvrer pour un Internet plus sûr et à adresser les défis croissants que sont les enjeux de la cybersécurité, tant pour les entreprises que les administrations.

Le phishing, kezako ?

Le « phishing » est un anglicisme utilisé pour parler de « hameçonnage » (terme québécois) ou de « filoutage » (terme français). Cependant, le terme français est finalement très peu utilisé, restons donc sur « phishing » dans cet article si vous en êtes d’accord.

Petit rappel et tour d’horizon de la planète phishing : il s’agit d’un procédé employé par une entité malveillante ayant pour but de dérober des informations personnelles, en se faisant passer pour un tiers de confiance. Les informations ciblées peuvent être un mot de passe, un numéro de carte bancaire, un papier officiel (carte d’identité)…

L’attaque peut être effectuée par email, téléphone, SMS, ou tout autre moyen de communication électronique (messenger, whatsapp, …). Le plus souvent, le message provient prétendument d’un organisme de confiance comme une banque, un site de commerce en ligne (amazon), un opérateur téléphonique…

Et le spear phishing alors ?

Le « spear phishing », qui peut se traduire par « hameçonnage à la lance », est une variante du phishing traditionnel ciblant une personne précise.

L’attaquant va par exemple se faire passer pour un proche de la cible avec un message construit pour inspirer confiance, en se basant sur des données personnelles accessibles sur les réseaux sociaux.

Quid du In-session phishing ?

Le « In-session phishing » est une autre variante de phishing qui se base sur une faille informatique de type XSS présente sur le site visé.

Cette fois-ci, la cible de l’attaquant n’est pas une donnée personnelle, mais directement un cookie de session (c’est ce qui vous permet de ne pas avoir à vous connecter à chaque fois que vous visitez ce site) qu’il obtiendra à l’instant où vous aurez cliqué sur le lien.

Comment l’identifier ?

Il existe différents moyens d’identifier un message comme étant une tentative de phishing :

Vous n’utilisez pas ce service ou vous n’êtes pas client de cette entreprise.
Le nom de domaine de l’expéditeur (ce qui se trouve après le « @ ») ne correspond pas à l’organisme pour lequel il essaie de se faire passer. Cela peut être du typosquatting (« arnazon » au lieu de « amazon », « g00gle » au lieu de « google »…) ou alors le nom de domaine n’a rien à voir (« fo7zl89.com »).
Le sujet est écrit de manière informelle (pas de numéro de dossier par exemple).
Le message est mal écrit. Souvent, les messages sont rédigés à l’aide de traducteurs par des personnes qui ne parlent pas français. Cela étant, les traducteurs automatiques étant de plus en plus performants, cela peut devenir plus difficile à détecter.
L’email ne vous est pas personnellement adressé. Des formules comme « cher client » sont utilisées plutôt que d’indiquer votre nom. Une nuance toutefois, il est possible que votre adresse mail ait été récupérée en même temps que votre nom et prénom à la suite d’une fuite de données d’un site auquel vous avez fait confiance, invalidant ce point.
Lorsque vous passez votre curseur au-dessus d’un lien, vous pouvez voir l’adresse vers laquelle vous allez être redirigé. Si le lien et l’adresse affichée ne correspondent pas, c’est sûrement du phishing.
Le message vous demande des informations personnelles.

Conseils et préventions

Afin de limiter les risques de tomber dans ce genre du piège, il y a plusieurs habitudes à prendre.

Tout d’abord, c’est un conseil qui s’applique partout sur Internet, on ne le répétera jamais assez : soyez méfiant ! Pour tous les contenus que vous trouverez, posez vous la question suivante : la source est-elle fiable et si oui, pourquoi ? En fonction de ces réponses, agissez, avec prudence.

Deuxièmement, ne cliquez pas sur les liens. Si vous recevez un message qui vous demande de vérifier vos informations bancaires (par exemple), ouvrez un nouvel onglet et rendez-vous directement sur le site de votre banque. Comme j’en ai parlé avec le « In-session phishing », dans certains cas, si vous cliquez sur le lien, c’est déjà trop tard. De plus, les attaquants redirigent souvent vers une copie conforme du site de l’entité pour laquelle ils essaient de se faire passer. Vous ne vous apercevrez donc pas forcément de l’arnaque.

Ne communiquez jamais d’information personnelle par mail à moins d’être sûr de l’identité de votre correspondant. Les organisations (type banque) vous feront transmettre vos informations personnelles directement via leur plateforme. Cependant, il est possible d’avoir besoin d’envoyer des papiers par mail (pour son travail ou son propriétaire par exemple). Dans ces cas-là, avant d’envoyer les informations demandées, validez avec la personne (par téléphone) qu’elle est bien à l’origine de la demande.

Utilisez des mots de passe uniques sur chaque site. En cas de compromission d’un mot de passe, l’attaquant n’aura pas accès aux autres plateformes. De même, essayez de changer régulièrement de mot de passe, cela permet de couper les accès à un éventuel pirate.

Pour les accès critiques (mail, banque,…) mettez en place la double authentification afin de sécurisez vos comptes.

Enfin, sachez qu’il est possible de signaler les escroqueries à l’adresse suivante : www.internet-signalement.gouv.fr (Et si vous m’avez bien suivi, vous ne cliquerez pas sur le lien, mais vous irez dessus via un nouvel onglet).

Source de l’image : mohamed_hassan via Pixabay

Nameshield rejoint FIRST et sera présent au Centre de Cyber-entraînement sur IT Partners 2021

C’est avec beaucoup d’enthousiasme que Nameshield a rejoint le collectif F.I.R.S.T – French Industrials For Resilience, Security & Trust, en 2021.

F.I.R.S.T est un collectif de PME françaises et européennes qui ont décidé de travailler et de répondre ensemble aux défis cyber des petites organisations.

Cet écosystème de produits de cybersécurité souverains et interopérables propose une suite d’outils permettant de répondre aux défis de la sécurité numérique des TPE, des PME et des collectivités territoriales.

Dans le cadre du salon IT Partners (29 & 30 septembre 2021), dédié au channel IT, les membres de F.I.R.S.T dont Nameshield, dispenseront des formations accélérées en cybersécurité.

Le centre de cyber-entraînement sur l’édition 2021 d’IT Partners sera une première action de sensibilisation. Convaincu que la montée en compétence des acteurs du channel est une réponse opérationnelle adaptée à l’urgence du besoin, FIRST a pour ambition d’améliorer leur efficacité sur le volet de la remédiation mais aussi sur celui de la prévention.

Pendant deux jours, les visiteurs du salon IT Partners pourront se rendre au centre de cyber-entraînement pour assister aux conférences sur les enjeux de la cybersécurité spécifiques au TPE/PME et bénéficier de formations accélérées sur des sujets plus opérationnels sous forme de speed training avec un expert FIRST.

A cette occasion, les visiteurs du salon pourront retrouver nos experts sur le Centre de Cyber-Entraînement, et assister à la conférence « Menaces liées aux noms de domaine » animée par Christophe Gérard, Security Product Manager Nameshield, le 29 septembre à 12h et le 30 septembre à 15h.

Password : les bonnes pratiques

Le sujet des mots de passe a déjà été abordé des centaines de fois, mais c’est un point majeur de la sécurité informatique et il est toujours intéressant d’y revenir. Voici un tour d’horizon des bonnes pratiques.

1 – Composition d’un mot de passe

Le premier point à voir est comment composer un mot de passe robuste. Contrairement à l’idée qui avait été popularisée il y a quelques années, il vaut mieux privilégier la longueur à la complexité. Aussi le terme « passphrase » semble-t-il plus approprié que « password ». Cela dit, la complexité n’est bien sûr pas à renier pour autant, puisqu’elle permet de renforcer un mot de passe.

Des tableaux circulent sur le temps nécessaire pour « craquer » un mot de passe en fonction de sa longueur et de sa complexité. Si ces données sont relatives et fluctuent en fonction du type d’attaque (en ligne ou hors ligne), de l’algorithme utilisé et de la machine qui effectue l’attaque, elles donnent néanmoins un repère sur les différents niveaux de sécurité. Si l’on se base sur une attaque hors-ligne avec une machine dédiée au « cassage » sur un algorithme NTLM, on obtient les données suivantes :

L’utilisation de chiffres uniquement est évidemment à bannir. Quant aux lettres, on peut constater qu’un mot de passe de 12 caractères est déjà bien plus difficile à craquer qu’un mot de passe complexe de 8 caractères. Et évidemment, c’est exponentiel en fonction du nombre de caractères.

On pourrait se dire qu’il est plus compliqué de retenir un mot de passe long, pourtant les moyens mnémotechniques sont beaucoup plus évidents. On peut par exemple choisir le titre ou des paroles d’une chanson, une réplique culte, le nom d’un auteur… En somme, quelque chose de marquant, avec quelques petites modifications ($ à la place d’un s) pour ajouter de la complexité. Et au final, on sécurise ainsi assez facilement nos mots de passe.

2 – Changer de mot de passe

La deuxième bonne pratique que je voudrais évoquer est de ne pas utiliser le même mot de passe plusieurs fois. C’est une pratique qui est très tentante, car il est beaucoup plus simple d’avoir un seul mot de passe à retenir plutôt qu’un pour chaque site, mais cela signifie aussi que si quelqu’un arrive à récupérer ce mot de passe, il aura accès à tous vos comptes. Or il y a beaucoup de raison pour laquelle votre mot de passe peut fuiter, que ce soit une mauvaise manœuvre de votre part ou des problèmes de sécurité d’un site auquel vous faites confiance. Pour cette deuxième partie, on peut citer le COMB (compilation of many breaches) qui regroupe un total de 3.2 milliards d’identifiants qui ont fuité sur Internet.

En cliquant sur ce lien ci-contre, cela pourra vous aider à découvrir si votre mot de passe est compromis.

Un point relatif au même sujet est le changement régulier de ses mots de passe. Si l’on voulait pousser le vice à l’extrême pour garder un niveau de sécurité optimum, il faudrait renouveler ses mots de passe tous les 90 jours. L’intérêt de ce procédé est de se prémunir contre ces diverses brèches :

– L’accès constant : Si vous avez un accès compromis, l’attaquant ne va pas forcément effectuer des actions qui vont vous permettre de le repérer. Il peut très bien continuer à voler des informations sur la durée. Le fait de changer de mot de passe régulièrement va lui couper les accès.

– L’accès par ancien mot de passe : Si quelqu’un récupère un mot de passe sur un ancien ordinateur ou écrit sur un post-it et que vous ne l’avez pas changé, il aura accès au compte. Alors que bien évidemment, le changer régulièrement règle le problème.

– Le « craquage » du mot de passe : S’il faut 4 ans pour craquer votre mot de passe et que vous le changez tous les 10 ans, quelqu’un de (très) patient pourrait arriver à craquer votre mot de passe. Encore une fois, changer le mot de passe régulièrement réduira considérablement le risque que ce cas se présente.

On arrive cependant sur des procédés très laborieux et fastidieux à respecter. Selon certains experts comme Dave Hatter, à moins d’être au courant d’une fuite de données au niveau des mots de passe sur un site que vous utilisez, il n’y a pas de nécessité de les changer régulièrement si les mots de passe sont uniques et forts.

Les avis tendent donc à diverger en la matière et il revient donc à chacun d’entre nous de décider de la marche à suivre. Selon mon opinion, faire preuve de bon sens en changeant régulièrement son mot de passe sans forcément s’imposer de date limite est un bon compromis.

3 – Quelques bonnes pratiques supplémentaires

Il n’est jamais inutile de répéter des principes de base, ne nous en privons pas :

1. Ne communiquez jamais vos mots de passe. Aucune organisation, société, association, ne doit vous demander votre mot de passe. C’est une information qui est secrète. Si l’on vous demande votre mot de passe, c’est probablement de l’hameçonnage.

2. Ne les écrivez pas sur un post-it ni aucun support physique. Il est simple pour n’importe qui s’aventure près de votre poste de travail d’y avoir accès.

3. N’utilisez pas vos mots de passe sur des ordinateurs dans lesquels vous n’avez pas confiance (en libre-service par exemple). Il y a un pourcentage de chance non négligeable pour qu’il soit piégé, par exemple avec un keylogger (qui enregistre tout ce qui est tapé au clavier). Si jamais vous êtes obligé de le faire, changez le mot de passe dès que vous récupérez un accès sûr.

4. Configurez vos logiciels (notamment les navigateurs) pour qu’ils n’enregistrent pas vos mots de passe. J’ai pu faire un test avec Firefox, il est très facile de récupérer en clair les mots de passe qui y sont sauvegardés.

5. Dans la première partie, j’ai évoqué de choisir un mot de passe qui vous marque. Cela ne veut pas dire qu’il faille en utiliser un que l’on peut facilement relier à vous, comme une date de naissance, le nom de votre entreprise, … Si vous voulez mettre un titre de chanson, ne mettez pas votre chanson préférée, et modifiez légèrement le nom. Il existe un type d’attaque qui cible vos informations sur les réseaux sociaux pour tenter de deviner votre mot de passe. Pensez à avoir un temps d’avance sur ces attaquants.

6. Enfin, soyez particulièrement attentif à vos accès mail. C’est le nerf de la guerre. Si quelqu’un arrive à avoir accès à votre boîte mail, il peut très bien réinitialiser tous les mots de passe qui y sont liés et donc avoir accès à tous vos comptes.

4 – Gestionnaire de mots de passe

Toutes ces préconisations sont importantes, mais cela reste quand même assez laborieux. Il n’est pas évident de se souvenir de 74 mots de passe uniques, longs et complexes et qui ne sont bien sûr pas en rapport direct avec sa personne.

Heureusement, des outils qui font le travail à notre place existent, il s’agit des gestionnaires de mots de passe !

Un gestionnaire de mots de passe est une application (web ou desktop) qui permet de centraliser, générer et gérer ses mots de passe. L’accès à ce portefeuille de mots de passe est protégé par un mot de passe unique (encore un, mais c’est le dernier promis !). Avec cet outil, seul le mot de passe maître, qui nous donne accès à tous les autres, est à retenir. Il faut aussi qu’il soit vraiment fort pour des raisons évidentes.

5 – L’authentification à double facteurs (2FA)

Une méthode d’authentification forte qui s’est développée ces dernières années est l’authentification multifacteur, qu’on appelle couramment 2FA. Cette méthode d’authentification va, en plus du couple identifiant/mot de passe, demander une validation supplémentaire. Cette validation peut être un code provisoire envoyé par mail ou SMS, ou une application spécifique ou encore une reconnaissance biométrique. Ainsi grâce à cette confirmation, vous seul pourrez autoriser un nouvel appareil à se connecter aux comptes protégés.

En fonction des plateformes, le 2FA n’est pas forcément implémenté et la méthode de double authentification n’est pas forcément la même non plus. Cela peut aussi rajouter de la complexité. C’est pourquoi l’authentification multifacteur n’est donc pas forcement à activer sur tous les comptes, mais sur les comptes critiques (mail, banque, Amazon, …), car là il y a des actifs à protéger.

Si cette méthode ajoute une couche de protection supplémentaire, elle non plus n’est pas sans faille.

Le mot d’ordre reste donc dans tous les cas, de rester vigilant et de conserver une certaine complexité de sécurité à tous les niveaux.

Source de l’image : geralt via Pixabay

Ouverture des enregistrements de noms de domaine en .AU prévue pour Mars 2022

Nous avons évoqué dans un précédent article la future ouverture des enregistrements de noms de domaine en .AU, mais celle-ci a été reportée à plusieurs reprises.

Le registre australien vient d’annoncer la date d’ouverture des dépôts en .AU qui sera prévue pour le 24/03/2022, avec une phase prioritaire de 6 mois réservée :

aux titulaires de noms de domaine en extensions de deuxième niveau (par exemple .COM.AU) pour enregistrer leur équivalent en .AU.
aux enregistrements en .AU de nouveaux noms qui n’existent pas en extensions de deuxième niveau.

Pour plus d’informations sur les conditions d’enregistrement de votre .AU, n’hésitez pas à nous contacter.

Source de l’image : kitkatty007 via Pixabay

Nouvelle fiche : 5 minutes pour comprendre qui gère Internet

Il existe une multitude d’intervenants qui participent à la gestion du réseau des réseaux !
Sa gestion relève d’un réseau pluripartite décentralisé et international de groupes autonomes provenant de la société civile, du secteur privé, des gouvernements, des communautés académiques et scientifiques ainsi que des organisations nationales et internationales.

Découvrez dans cette fiche « 5 minutes pour comprendre », disponible en téléchargement sur le site de Nameshield, qui gère Internet, quels sont les rôles de l’ICANN, des registres et des registrars.

Télécharger la fiche

Le séquestre des données n’échappe plus à la concentration de l’industrie des noms de domaine

Acquisition - Concentration de l’industrie des noms de domaine

Il est souvent question de la concentration qui concerne les registres et les bureaux d’enregistrement, deux des maillons essentiels dans l’écosystème des noms de domaine. Les deux sociétés qui ont le plus fait parler d’elles ces deux dernières années sont Ethos Capital et Clearlake Capital, deux sociétés de capital-investissement qui se sont spécialisées dans les acquisitions dans ce secteur.

Ethos Capital fondée en 2019 avait proposé en novembre dans un deal à 1,135 milliard d’euros l’acquisition de Public Interest Registry, le registre en charge de l’extension historique .ORG qui revendiquait alors quelques 10,5 millions d’enregistrements. Si ce deal ne s’est pas fait après un veto surprise de l’ICANN dans le cadre d’une disposition de l’accord de Registre qui prévoit un processus d’approbation pour chaque type de cession, que ce soit un changement de contrôle ou un important accord de sous-traitance, Ethos Capital s’est très vite réconfortée avec l’acquisition confirmée au 31 mars 2021, du registre Donuts qui en décembre 2020, avait conclu l’acquisition du registre Afilias, opérateur entre autres des extensions .INFO et .MOBI. En ce qui concerne Donuts, le registre revendique aujourd’hui 270 extensions génériques sur un total de 1268 soit 21% d’entre eux ! Il a récemment acquis l’extension .watches du fabricant de produits de luxe Richemont.

En ce qui concerne Clearlake Capital Group, cette société créée en 2006, a mis la main sur Endurance International dans un deal à 3 milliards de dollars et a récemment pris une participation importante dans Web.com. Les deux entités ont été fusionnées pour former une nouvelle société dénommée Newfold Digital. Newfold compte dans son portefeuille des bureaux d’enregistrement comme Register.com, Network Solutions, Domain.com, BuyDomains, BigRock, PublicDomainRegistry et CrazyDomains, mais aussi BlueHost et HostGator, deux très importantes sociétés dans le domaine de l’hébergement Web. Le groupe revendique environ 16,5 millions de noms de domaine.

Autre acteur de renom, le registrar américain GoDaddy, annonçait en février 2021 une levée de 800 millions de dollars pour réaliser des acquisitions. Depuis, GoDaddy semble être passé à l’offensive. Le premier registrar au monde en volume finalise actuellement l’acquisition de Minds & Machines, un registre de nouvelles extensions génériques (27 en tout) dans un deal de 120 millions de dollars. L’Europe n’échappe bien entendu pas au phénomène de concentration même si les deals réalisés sont moins élevés que ceux que nous venons d’évoquer.

En effet, ce ne sont là que quelques exemples d’une concentration qui semble s’accélérer inéluctablement dans le secteur des noms de domaine. Pourtant autre maillon important du métier, les opérateurs de séquestre qui ont la mission de stocker et sauvegarder les données des noms de domaine des bureaux d’enregistrement et des registres, un peu comme le ferait une banque, semblaient jusqu’ici moins exposés au phénomène. Pourtant, si l’on considère la liste des agents désignés par ICANN, on a récemment pu noter que l’un deux, en l’occurrence Iron Mountain a disparu. Ce n’est pourtant pas lié à une erreur mais bien au fait que cet acteur a été absorbé par son concurrent NCC Group. Le deal engagé en juin en toute discrétion, est estimé à 165 millions de dollars.

Au-delà des concentrations en cours désormais dans l’ensemble des métiers clés nécessaires à la gestion de parcs de noms de domaine, se posent des questions sur l’offre de services qui ne cesse de se réduire à mesure que des acteurs trustent le marché, celle des tarifs aussi (PIR avait obtenu de l’ICANN la levée du plafonnement des prix des .ORG juste avant que Ethos Capital ne fasse son offre de rachat) et celle de la maîtrise des données des utilisateurs de noms de domaine, une maîtrise qui semble difficile avec la globalisation du marché. Rappelons que NAMESHIELD, reste une entreprise française indépendante pour laquelle l’ensemble de ces enjeux sont au cœur de ses préoccupations.

Source de l’image : Geralt via Pixabay

Qu’est-ce que la validation étendue (EV, ou Extended Validation) et quelle est son importance ?

Cybersécurité - Certificat SSL EV - Blog Nameshield

Les certificats SSL assurent le chiffrement et l’intégrité des données échangées entre un navigateur et un serveur web. Il existe différents niveaux de certificats, Extended Validation (EV), Organizational Validation (OV) et Domain Validation (DV), qui varient en fonction du degré d’authentification. Le certificat SSL de type Extended Validation fournit le plus haut niveau d’authentification SSL. Son obtention passe par un processus de vérification d’identité complet et normalisé à l’échelle mondiale ratifié par le forum CA/Browser Forum.

Le certificat SSL EV active la sécurité HTTPS et le cadenas, maintenant gris, dans la barre d’adresse du navigateur, tout comme les certificats DV et OV. Le coût et le temps supplémentaires consacrés à la vérification rendent plus difficile l’obtention de certificats de niveau EV pour les sites de phishing. Les internautes peuvent donc utiliser ce certificat comme marque de confiance et se sentent plus en sécurité lorsqu’ils communiquent et effectuent des achats.

Le 12 juin 2007, le CA/Browser Forum ratifie officiellement la première version des directives SSL Extended Validation qui entrent en vigueur immédiatement. L’approbation formelle clôture alors avec succès plus de deux ans d’efforts et fournit un cadre pour l’identité de site Web afin d’accroitre la confiance sur Internet.

La plupart des principaux navigateurs créent des indicateurs visuels pour les pages chargées via HTTPS et sécurisées par un certificat EV peu après la création de la norme : ils affichent l’identité validée, soit une combinaison du nom de l’organisation et de la juridiction, dans la barre URL. Safari pour iOS, Windows Phone, Firefox pour Android, Chrome pour Android et iOS, ajoutent également ces indicateurs.

En mai 2018, Google annonce son intention de repenser les interfaces utilisateur de Google Chrome afin de ne plus mettre l’accent sur les certificats EV. Chrome 77, sorti en 2019, supprime l’indication du certificat EV de l’omnibox. Firefox 70 fait de même et retire la distinction dans la barre d’URL : les certificats EV et DV sont affichés de la même manière, mais le statut du certificat EV peut toujours être consulté en cliquant sur l’icône cadenas, puis en vérifiant le nom de l’entité légale sous « certificat ».

Affichage d’un certificat EV dans Firefox

L’utilisation croissante des appareils mobiles et la suppression de l’indicateur visuel EV par les navigateurs a fait diminuer de manière significative l’intérêt de certaines entités à utiliser ce niveau de sécurité, mais l’EV a toujours une très grande importance dans notre quotidien.

Aujourd’hui les sites de phishing représentent malheureusement toujours une menace majeure pour les sites web et services en ligne légitimes. Ces « hameçonneurs » utilisent des certificats DV, généralement obtenus auprès d’un service SSL gratuit qui ne mène pas de contrôles de phishing adéquats, afin que leurs sites paraissent plus fiables. Ils trompent ainsi facilement les victimes peu méfiantes et les incitent à communiquer des informations financières ou personnelles.

Il a été remarqué une très forte hausse du phishing depuis Mars 2020, début du confinement et du télétravail pour beaucoup de personnes : le volume des sites de phishing a augmenté de 47 % pour le premier trimestre de 2020, et 82,7% des attaques de phishing ont utilisé des certificats SSL DV. Ce problème ne fait que s’accroitre et accentue la nécessité de vérifier les identités en ligne.

Source de l’image : TheDigitalArtist via Pixabay

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description