La conséquence du Brexit sur la gestion des extensions de l’AFNIC (.FR, …)

Le départ du Royaume-Uni de l’Union Européenne à compter du 1er janvier 2021 a bien sûr un impact sur les règles d’enregistrement (le .FR étant ouvert à l’enregistrement depuis décembre 2011 à toute personne physique ou morale résidant sur le territoire de l’Union Européenne).

Aussi depuis le 1er janvier dernier, les résidents du Royaume-Uni ne sont plus éligibles au .fr ainsi qu’à l’ensemble des extensions gérées par l’Afnic.

Comme l’indique l’AFNIC : « Pour bien comprendre les raisons de ce changement, il convient de rappeler les règles d’éligibilité énoncées par la Charte, directement reprises des dispositions du Code des Postes et des Communications Électroniques, à savoir :

Peuvent demander l’enregistrement ou le renouvellement d’un nom de domaine, dans chacun des domaines de premier niveau, toutes personnes physiques résidant et toutes personnes morales ayant leur siège ou établissement principal :

  • sur le territoire de l’un des états membres de l’union européenne ;
  • sur le territoire des pays suivants : Islande, Liechtenstein, Norvège, Suisse.

Le Royaume-Uni n’étant plus membre de l’Union Européenne, ses résidents ne sont plus éligibles.« 

La conséquence du brexit sur la gestion des extensions de l'AFNIC (.FR, ...)
Source image : 8385 Pixabay

A noter : le principe de la non rétroactivité des règles de nommage

Les titulaires d’un nom de domaine enregistré avant le 1er janvier 2021 résidant au Royaume-Uni pourront renouveler autant de fois qu’ils le souhaitent l’enregistrement de leurs noms de domaine, les règles d’éligibilité en vigueur au moment de l’enregistrement de leurs noms de domaine ayant été respectées.

Dans le cas d’un transfert de propriété, le lieu de résidence du nouveau titulaire sera examinée :

  *  S’il réside sur le territoire de l’un des 27 états membres de l’Union ou sur celui de l’Islande, du Liechtenstein, de la Norvège ou de la Suisse, une transmission « volontaire » peut être réalisée à n’importe quel moment auprès des bureaux d’enregistrement concernés.
 *   S’il réside sur le territoire du Royaume-Uni, le transfert ne pourra être opéré.

En résumé :

Un titulaire résidant au Royaume-Uni et ayant enregistré son nom de domaine avant le 1er janvier 2021 peut :

  • conserver son nom de domaine après cette date ;
  • le renouveler ;
  • le transmettre à un nouveau titulaire éligible ; et
  • bénéficier de la procédure de transmission forcée dans les cas particuliers prévus par la Charte de nommage.

Pour plus d’informations, votre consultant se tient à votre disposition.

La sensibilisation à la sécurité de l’information en interne

Sécurité de l’information en interne - jeu des 7 erreurs - Nameshield

Une part importante des failles de sécurité de l’information dans les entreprises est due à des facteurs humains et cette donnée doit faire l’objet de la plus grande attention de toute entreprise ou institution dont le patrimoine numérique est précieux.

Parce que Nameshield est certifié ISO 27001, l’entreprise se doit d’évaluer régulièrement le niveau de connaissance de ses employés en termes de sécurité de l’information.

L’équipe Sécurité SI a donc concocté et soumis un QCM à l’ensemble des salariés du groupe ; une nette majorité s’est prêtée à l’exercice, agrémenté d’un « jeu des 7 erreurs » pour l’aspect ludique.

Le test a permis de mesurer les acquis et de partager des techniques pour que les bonnes pratiques obtiennent l’adhésion et ne soient pas vécues comme des contraintes pesantes.  

Voici quelques unes des questions abordées : Quelles sont les spécificités d’un mot de passe robuste ? Comment le rendre mémorisable ? Quels sont les atouts d’un coffre-fort numérique ? Comment reconnaître un site de vente en ligne officiel ? Où sauvegarder mes fichiers sensibles ? Comment déceler un e-mail de phishing ? Etc.

Nous partageons avec vous le jeu des 7 erreurs. A vous de vous prêter à ce jeu en donnant vos réponses dans les commentaires de notre post LinkedIn ! Celle ou celui qui aura trouvé toutes les mauvaises pratiques en termes de sécurité SI le plus rapidement possible, recevra une récompense !

Jouez maintenant !

Alerte : une campagne de phishing cible les titulaires de .AU

Phishing .AU
Source de l’image : kitkatty007 via Pixabay

Nous vous l’annoncions dernièrement, les nouvelles conditions d’enregistrement des .AU, modifiées par le registre australien, entreront en vigueur en date du 12 avril 2021.

Classiquement, lorsqu’un registre annonce une modification des conditions d’enregistrement, il n’est pas rare que les cybercriminels en profitent pour lancer des campagnes de phishing et les .AU n’échappent pas à la règle…

Les auteurs de ce scam, se faisant passer pour le registre, contactent les titulaires de .COM.AU, .NET.AU ou encore .ORG.AU en leur demandant de fournir différentes copies de documents d’identification.

Si vous recevez l’un de ces e-mails, nous vous invitons bien sûr à ne pas y répondre. Pour rappel, le registre ne pourrait être amené à vous demander de tels documents que via votre bureau d’enregistrement.

Pour rappel, à compter d’avril 2021, la seule utilisation d’une marque australienne ne suffira plus à convenir à l’exigence de présence locale imposée par le registre. Il sera désormais nécessaire de faire correspondre le nom de domaine souhaité avec la marque exacte.

Rappelons également qu’en 2021, le registre ouvrira les dépôts de premier niveau en .AU.

Pour tout renseignement, n’hésitez pas à contacter votre consultant Nameshield.

Janvier 2021 : la ville d’Angers victime d’une importante cyberattaque

A la mi-janvier 2021, la ville d’Angers a été victime d’une cyberattaque de type ransomware. Cette attaque survient après une série de rançongiciels visant notamment les administrations publiques : Aix-Marseille, Annecy, La Rochelle, Vincennes par exemple. Une cyberattaque parmi tant d’autres puisque depuis la crise du Covid 19 : l’Agence nationale de la sécurité des systèmes d’information (l’ANSSI) déplore une multiplication par 4 des attaques de ce type.

Le déroulé des faits

Selon Ouest France,  « À partir d’un ordinateur ou un appareil relié au réseau de la Ville, une personne aurait ouvert, de manière involontaire (ou pas) une pièce jointe contenant un logiciel malveillant ». L’attaque a démarré sous la forme d’une usurpation du compte Twitter du maire d’Angers, Christophe Béchu. Parallèlement, des problèmes d’accès via badges ont été détectés pour entrer dans la mairie. Dans un dernier temps, ce sont les sites Internet d’Angers et métropoles, ainsi que certains autres services (bibliothèque, conservatoire) qui ont été visés. Les sites étaient inaccessibles, et certains collaborateurs ne pouvaient plus recevoir ni envoyer d’emails.

Le ransomware, utilisé par les pirates informatiques dans cette attaque, consiste à bloquer une certaine masse de données ou bien à les corrompre. L’objectif étant d’utiliser les données récoltées, et/ou de récupérer de l’argent, une « rançon » contre laquelle l’attaque est stoppée.

Accompagnée par l’ANSSI, la direction des systèmes d’informations de la métropole angevine a travaillé dès samedi matin à un protocole de restauration et de sauvegarde des données. Effectivement, Angers bénéficie de l’aide technique prioritaire de l’ANSSI grâce à son statut de collectivité territoriale. Les services reviennent au fur et à mesure depuis l’attaque.

Quelles conséquences ? 

Bien que la ville d’Angers ait officiellement communiqué sur le fait qu’ « aucune extraction de données » n’ait été identifiée, ce genre d’attaque n’est pas sans conséquences. Conformément à la procédure, un signalement a été déposé à la Commission Nationale de l’Informatique et des Libertés (CNIL). Comment alors s’assurer qu’aucune donnée n’ait été interceptée par les pirates ? Dans tous les cas, la restauration des données prendra un certain temps, et ralentira le SI de l’entreprise durant plusieurs jours voire semaines.

Une attaque qui démontre des failles de sécurité dans le système d’informations des administrations publiques, mais aussi une augmentation massive des attaques et du professionnalisme des pirates.

Changements des règles d’enregistrement pour les .COM.AU, .NET.AU et .ORG.AU

Changements des règles d'enregistrement des .COM.AU, .NET.AU et .ORG.AU
Source de l’image : kitkatty007 via Pixabay

Le registre australien vient d’annoncer un changement des règles d’enregistrement des .COM.AU, .NET.AU et .ORG.AU (à noter que ce changement s’applique aux noms actuellement enregistrés et ce en prévision de l’ouverture du .AU courant 2021).

Les nouvelles règles d’enregistrement des .COM.AU, .NET.AU et .ORG.AU entreront en vigueur le 12 avril 2021. Tous les noms de domaine enregistrés ou renouvelés à cette date ou après cette date seront soumis à celles-ci.

Si votre nom de domaine expire après le 12 avril 2021, les règles en vigueur au moment de votre enregistrement ou du dernier renouvellement de votre nom de domaine s’appliqueront jusqu’à la fin de la période de l’enregistrement actuel. Si le nom est renouvelé, les nouvelles règles seront donc appliquées.

En quoi consistent les changements ?

Jusqu’à présent, pour enregistrer un nom en .COM.AU, .NET.AU et .ORG.AU, vous pouviez utiliser une marque australienne pour répondre à l’exigence de présence locale et pouviez choisir un nom « étroitement et substantiellement lié » à votre marque commerciale.

Avec l’entrée en vigueur des nouvelles règles, si vous utilisez une marque australienne pour répondre à l’exigence de présence locale, le nom de domaine concerné devra correspondre exactement à la marque.

Si cela implique de changer l’entité juridique auprès de laquelle le nom est enregistré, le nom devra être alors transféré à cette nouvelle entité.

Voici l’exemple donné par le registre :

Si votre marque est « A Pretty Horse Carousels »

Vous pourriez détenir les noms suivants :

• aprettyhorsecarousels.com.au
• prettyhorsecarousels.net.au

Mais vous ne pourriez pas détenir les noms suivants :

• phc.com.au
• Carousels.net.au
• Aprettyhorse.com.au
• horsecarousels.com.au

La mise à jour de vos .COM.AU, .NET.AU et .ORG.AU, vous permettra d’être éligible à l’ouverture prochaine du .AU, prévue second semestre 2021.

Nous vous avons annoncé en 2019 l’ouverture imminente du .AU. Nous vous précisions déjà que ce sujet était en cours depuis 2015. Cette ouverture arrive enfin et est une opportunité pour vous de faire un point global de vos noms australiens.

N’hésitez pas à prendre conseil auprès de votre chargé(e) de clientèle qui vous confirmera les éléments nécessaires pour la mise à jour de votre (vos) nom (s) de domaine.

Prolongation de la période sunrise pour le .FORUM

Sortie du .FORUM - new gTLDs
Source de l’image : ary74 via Pixabay)

Le registre du .FORUM a annoncé étendre la période sunrise jusqu’au 25 février 2021.

Pour rappel le .FORUM est une nouvelle extension intéressante tant à exploiter qu’à sécuriser. Ce nouveau gTLD peut aider les internautes à trouver plus rapidement vos pages de forum en optimisant le référencement.

Nouvelle fiche « 5 minutes pour comprendre – Les enregistrements abusifs de noms de domaine » à découvrir sur le site de Nameshield

Fiche 5 minutes pour comprendre - Noms de domaine - Nameshield

Le monde numérique est en perpétuelle évolution et tous les jours, de nouveaux noms de domaine sont déposés à travers le monde.

Parmi ces nouveaux dépôts, certains peuvent potentiellement porter atteinte à votre notoriété, votre activité et à vos résultats. Les fraudeurs, par ces enregistrements abusifs de noms de domaine, cherchent ainsi à tirer profit de votre notoriété le plus rapidement possible.

Retrouvez dans cette fiche « 5 minutes pour comprendre », disponible en téléchargement sur le site de Nameshield, les différentes pratiques d’enregistrements abusifs de noms de domaine pouvant porter atteinte à votre marque et les actions à mener en fonction de l’atteinte portée à la marque.

Nouvelle fiche « 5 minutes pour comprendre – Le vol de données d’un site Internet » à découvrir sur le site de Nameshield

Fiche 5 minutes pour comprendre - Cybersécurité - Vol de données - Nameshield

Chaque jour, de nouvelles cyberattaques viennent mettre à mal les systèmes de défense des entreprises, et fragilisent encore plus les relations avec l’internaute, en particulier sur les sites marchands. Usurpation d’identité et vol de données sont devenus habituels.

Les risques qu’une personne malveillante intercepte les données transmises par l’internaute sur votre site Internet et plus largement toutes les informations transmises entre le navigateur et le serveur de votre site, sont en forte augmentation.

Retrouvez dans cette fiche « 5 minutes pour comprendre », disponible en téléchargement sur le site de Nameshield, quelle est la solution à mettre en place face à ces risques.

Firefox 83 lance le mode HTTPS-Only

Mozilla a sorti, le 17 novembre dernier, la version 83 du navigateur Firefox, promettant notamment des performances accrues sur le chargement des pages et la réactivité dans la navigation ainsi qu’une baisse significative de la mémoire utilisée.

Mais Mozilla introduit surtout une grande nouveauté dans le petit monde des navigateurs, une option « HTTPS-Only Mode » pour limiter la navigation aux seules connexions sécurisées en HTTPS *.

Firefox 83 lance le mode HTTPS-only - Nameshield
Source de l’image : Mozilla Security Blog

Mozilla enfonce le clou en ce qui concerne la volonté des principaux navigateurs de faire passer le protocole HTTPS comme le protocole de navigation par défaut en lieu et place du HTTP non chiffré et donc totalement visible.

Quel affichage lors de la navigation ?

Lorsque l’option est activée, n’importe quelle page web ne disposant pas d’un certificat SSL/TLS (permettant d’afficher le HTTPS et le cadenas de sécurité dans la barre d’adresse du navigateur) se verra précédée du message d’alerte ci-dessous, rédhibitoire pour les internautes. 

Firefox 83 lance le mode HTTPS-only - Nameshield
Source de l’image : Mozilla Security Blog

A quoi s’attendre dans les années à venir ?

Si l’option n’est pas encore activée par défaut, la direction de Mozilla indique s’attendre à ce que le HTTPS devienne la norme pour naviguer sur le Web. Incités par les évolutions successives des navigateurs et de leurs affichages de plus en plus ostentatoires de l’absence de sécurité, de plus en plus de sites Web migrent vers le HTTPS par défaut. Il y a fort à parier que les fabricants de navigateurs décident de déprécier complètement les connexions HTTP dans un avenir proche, rendant de facto le HTTPS protocole par défaut de la navigation sur le Web.

Comment les entreprises peuvent-elles se préparer ?

La plupart des entreprises ont déjà entamé la migration vers le HTTPS par défaut de leur(s) site(s) Web. Il est important de maintenir à jour un inventaire exhaustif des sites et pages Web de l’entreprise, de maîtriser les certificats SSL-TLS associés dont les risques principaux sont les erreurs de renouvellement et mauvaise installation. Il est primordial d’établir des procédures claires et d’y associer une bonne communication à destination des interlocuteurs en charge des sites Web. Des acteurs tels que Nameshield sont là pour vous accompagner dans cette démarche. Ils disposent de l’expertise et des outils nécessaires à la simplification de ces tâches et à la réduction du risque d’erreur.


* HTTPS : quelques liens utiles au besoin

REPLAY WEBINAR CYBERSÉCURITÉ – SSL & HTTPS : définition, importance et risques liés aux certificats SSL

La croisade de Google pour l’adoption du HTTPS par défaut

Référencement naturel et certificats SSL : faut-il passer au HTTPS:// ?

[REPLAY WEBINAR] Nom de domaine : les clés d’une stratégie de surveillance et de protection

[REPLAY WEBINAR] Nom de domaine : les clés d'une stratégie de surveillance et de protection - NAMESHIELD

Découvrez lors du replay de ce webinar en quoi le nom de domaine est un actif clé pour votre société, comprenez quelle est sa valeur, quelles sont les formes de cyber-risques qui pèsent sur cet actif et comment mettre en place une stratégie de surveillance et de protection.

De la valorisation financière, aux recommandations techniques (DNS / HTTPS / SSO etc.), en passant par le monitoring, nos experts vous présentent un panorama complet des bonnes pratiques à mettre en place pour défendre efficacement votre territoire numérique.

Au sommaire :

  • Le nom de domaine : un actif stratégique essentiel
  • Attaques et risques ciblant les noms de domaine
  • Protéger son territoire numérique : les clés d’une stratégie de protection
  • Surveiller et se défendre 

Intervenants :

  • Christophe GERARD, Security Product Manager de Nameshield group
  • Lucie LOOS, Directrice Marketing & Communication – Experte Cybersécurité de Nameshield group

Retrouvez ce webinar en replay sur la plateforme Webikeo :