2020 et le SSL, petit exercice de prévision

Navigateurs et Autorités de Certification, le combat continue.

Cybersécurité - SSL TLS - Blog Nameshield — Source de l’image : TheDigitalArtist via Pixabay

2019 fut une année bien remplie, avec un renforcement des divergences de point de vue entre fabricants de navigateurs et Autorités de Certification, l’explosion du nombre de sites de phishing chiffrés en HTTPS et l’avancée significative sur la dépréciation de TLS v1.0.

Les débats autour de la validation étendue, plus généralement du traitement visuel des certificats dans les navigateurs, et de la réduction de la durée des certificats ont pris une place prépondérante. Aucune de ces conversations n’est terminée, aucun consensus ne semble se dessiner, 2020 s’annonce comme une année chargée. Place à l’anticipation…

Le sort d’Extended Validation sera-t-il fixé ?

2019 a vu les principaux navigateurs cesser d’afficher la fameuse barre d’adresse en vert avec le cadenas et le nom de l’entreprise, le tout au profit d’un affichage classique et unique, ne tenant plus compte du niveau d’authentification des certificats :

Les discussions sont pour autant toujours en cours au niveau du CA/B forum, comme au sein du CA Security Council. Ces deux instances de régulations des certificats chercheront en 2020 un moyen intuitif d’afficher les informations d’identité des sites Web.

Historiquement approuvé par tous, notamment par l’industrie financière et les sites comprenant des transactions, EV (l’acronyme pour Extended Validation) a été la cible de Google en 2019. Les autres navigateurs, sous l’influence de Google, entre Mozilla financé par Google et Microsoft et Opera basés sur Chromium open source, ont suivi dans cette direction. Seul Apple continue à afficher EV.

Pour les navigateurs, la question est de savoir si TLS est ou non le meilleur moyen de présenter les informations d’authentification des sites web. Il semble que non. Google part du principe que ce n’est pas aux Autorités de Certification de décider du contenu légitime d’un site web et souhaite l’utilisation des certificats à des seules fins de chiffrement.

Bien sûr les Autorités de Certification voient les choses différemment. Certes on peut y voir une réaction purement mercantile, les certificats EV sont bien plus chers. On peut aussi se demander l’intérêt de l’authentification au-delà du chiffrement. La réponse semble se trouver dans les statistiques ahurissantes des sites web de phishing chiffrés en HTTPS. Les navigateurs ont pour l’instant imposé un web chiffré certes… mais plus authentifié !

2020 sera donc l’année des propositions de la part des Autorités de Certification : fournir une meilleure authentification, en incluant les identifiants d’entité juridique, en suivant la voie de la PSD2 en Europe… Une chose est sûre, l’identité n’a jamais été aussi critique sur Internet et il incombe à toutes les parties intéressées de trouver une solution, y compris aux navigateurs de trouver un moyen d’afficher l’authentification forte des sites. A suivre…

Des certificats d’une durée plus courte : vers des certificats d’un an

825 jours, soit 27 mois ou encore 2 ans, la durée maximale autorisée actuellement pour les certificats SSL. Pour autant, depuis 2017 et une première tentative au sein du CA/B forum, l’industrie se dirige vers une réduction de cette durée à 13 mois (1 mois supplémentaire pour couvrir la période de renouvellement).

Google et les navigateurs sont revenus à la charge en 2019 avec un autre vote soumis au CA/B forum, là encore rejeté mais à une moins vaste majorité. Le marché bouge. Des acteurs comme Let’sEncrypt proposent des certificats d’une durée de 3 mois, d’autres souhaitent plutôt garder des durées longues pour éviter les surcharges d’intervention sur les serveurs. Une chose est sûre, le marché ne dispose pas encore des systèmes d’automatisation pour rendre plus simple la gestion et l’installation des certificats, un délai d’un ou deux ans supplémentaires serait sinon souhaitable, en tout cas judicieux.

Mais tout ça est sans compter sur Google qui menace d’agir de manière unilatérale si le régulateur ne suit pas… certainement en 2020.

De TLS 1.0 à TLS 1.3 : marche en avant forcée

Prévue pour janvier 2020, Microsoft, Apple, Mozilla, Google et Cloudflare ont annoncé leur intention de déprécier la prise en charge de TLS 1.0 (protocole créé en 1999 pour succéder au SSL 3.0, devenu fortement exposé) et TLS 1.1 (2006), tous deux en souffrance aujourd’hui d’une trop grande exposition à des failles de sécurité.

Si TLS 1.2 (2008) est toujours considéré comme sûr aujourd’hui, le marché semble vouloir pousser rapidement pour TLS 1.3, la version la plus récente de la norme, finalement publiée à l’été 2018. TLS 1.3 abandonne le support des algorithmes trop faibles (MD4, RC4, DSA ou SHA-224), permet une négociation en moins d’étapes (plus rapide), et réduit la vulnérabilité aux attaques par repli. En termes simples, c’est le protocole le plus sûr.

Petit problème cependant, le passage à l’action de nombreux sites web. Début 2019, seuls 17% des sites web du Alexa Top 100 000 prenaient en charge TLS 1.3, tandis qu’un peu moins de 23% (22 285) ne supportaient même pas encore TLS 1.2. Si la décision de déprécier les anciennes versions de protocole est une bonne décision, la forme adoptée par les grands acteurs du web peut être critiquée, notamment par son caractère unilatéral. En attendant, préparez-vous, nous y allons tout droit.

La menace de l’informatique quantique

Les entreprises parlent de plus en plus de l’informatique quantique, y compris Google. Mais la réalité est la suivante, alors que le quantum va avoir un impact sur notre industrie, ce ne sera certainement pas en 2020, ni pendant au moins une décennie. Il y a encore de nombreuses questions auxquelles il faut répondre, telles que: Quel est le meilleur algorithme pour la résistance quantique? Personne n’a cette réponse et tant qu’il n’y aura pas de consensus dans l’industrie, vous ne verrez aucune solution quantique en place.

L’IoT gagne du terrain, mais le manque de sécurité continue d’être problématique

L’IoT est un succès, mais un certain nombre de déploiements sont retardés en raison d’un manque de sécurité. En 2020, les fournisseurs de services cloud fourniront ou travailleront en partenariat avec des sociétés de sécurité pour fournir un approvisionnement et une gestion sécurisés des appareils, ainsi qu’un écosystème IoT sécurisé général, pour leurs clients.

Les cadres réglementaires pour la fabrication et les déploiements de l’IoT seront très certainement dirigés par l’UE, même si nous assisterons également à une augmentation aux États-Unis. Les attaques, les compromissions et les piratages IoT continueront, malheureusement. De plus, les normes de sécurité ne seront pas respectées et nous ne serons même pas proches d’un pourcentage plus élevé d’appareils sécurisés. Pourquoi ? Les fabricants d’équipement d’origine (FEO) ne sont toujours pas disposés à payer les coûts impliqués ou à les répercuter sur les consommateurs, de peur de perdre des ventes.

Les lois de chiffrement en Chine créeront beaucoup d’incertitude

Au cours des dernières années, une partie de la transformation numérique du monde a entraîné la codification des droits et restrictions des données dans des lois nationales et des organisations régionales. PSD2, RGPD, CCPA, LPRPDE… un vrai casse-tête pour les entreprises internationales face aux normes réglementaires et à la conformité.

Le 1er janvier 2020, la loi chinoise sur le chiffrement devait entrer en vigueur. Une donnée supplémentaire et… toujours floue pour ceux qui font des affaires en Chine. Des clarifications sont encore nécessaires sur plusieurs fronts. Par exemple, le chiffrement commercial des sociétés internationales doit être approuvé et certifié avant de pouvoir être utilisé en Chine – mais ce système de certification n’a pas encore été créé. De même, il existe une incertitude concernant le séquestre clé et les données qui doivent être mises à la disposition du gouvernement chinois. Cela a conduit à une vague de spéculations, de désinformation et, finalement, de réactions excessives. Compte tenu de l’opacité des parties de la nouvelle réglementation, de nombreuses entreprises optent pour une approche attentiste. Il s’agit d’une tactique judicieuse, en supposant que votre organisation ne dispose pas d’un expert juridique chinois expérimenté.

En conclusion, l’industrie des certificats continue sa mue. L’équipe certificats de Nameshield se tient à votre disposition pour aborder tous ces sujets.

Meilleurs vœux pour 2020.

L’Equipe Certificats.

Pourquoi la vente du registre du .ORG fait-elle débat ?

Extension .ORG - dot org - Blog Nameshield

En novembre 2019, un communiqué annonçait que le registre du .ORG, le Public Interest Registry (PIR), organisme sans but lucratif géré par l’Internet Society, allait être racheté par Ethos Capital, un fonds d’investissement.

Le .ORG est l’extension de référence pour les organisations à but non lucratif. L’acquisition du PIR par Ethos a rapidement inquiété les structures utilisant le .ORG au motif du dévoiement potentiel de l’extension par son nouveau propriétaire qui, par essence même, a des visées lucratives.

La crainte ? Que les tarifs d’enregistrements et de renouvellements des noms de domaine en .ORG n’augmentent.

Pourtant, des personnalités clés du monde de l’Internet, comme Andrew Sullivan (directeur de l’Internet Society) se sont enthousiasmées, y voyant un partenariat stratégique fort et un apport financier important permettant à l’Internet Society de poursuivre sa mission d’un « Internet plus ouvert, accessible et sécurisé pour tout le monde », tel qu’il l’écrivait dans le communiqué relatif à l’acquisition du 13 novembre 2019.

Il semblerait que les peurs générées trouvent leur origine dans ce rachat « surprise » et peu transparent, puisque le montant de la transaction n’a pas été révélé.

Ces craintes se font bien sûr le corolaire de la suppression le 30 juin 2019 du plafond imposé jusqu’alors aux tarifs du .ORG (historiquement bas), par l’ICANN, malgré les nombreuses réserves émises par la communauté. Enfin, le fait qu’Ethos ait directement ou indirectement des liens étroits avec des anciens de l’ICANN posent problèmes à plusieurs voix du secteur.

La peur de voir les prix du .ORG flamber a poussé l’Electronic Frontier Foundation (EFF) à lancer la campagne SaveDotOrg dont le but est de sensibiliser au potentiel impact que pourrait avoir une augmentation tarifaire du .ORG sur les contraintes budgétaires des ONG.

La possibilité également qu’Ethos Capital mette ensuite en place un principe de protections des droits qui pourrait mener à une forme de censure, comme la pratiquent actuellement certains pays souhaitant faire taire des ONG.

Devant la levée de bouclier, l’ICANN a suspendu l’opération de rachat en décembre dernier et réclame des éclaircissements à l’Internet Society.

Plus récemment, en janvier 2020, un nouveau candidat à la reprise de l’extension .ORG vient de se faire connaître. Il s’agirait d’une société coopérative (Cooperative Corporation of .ORG Registrants) rassemblant certains pionniers du Web et d’anciens membres de l’ICANN.

Affaire à suivre !

[REPLAY WEBINAR] Se protéger du cybercrime : comprendre et appliquer les recommandations ANSSI visant le DNS

Le DNS est au cœur de nombreux services stratégiques de l’Internet (mails – VoIP – site – applications etc.) et reste un élément central exposé à de nombreuses cybermenaces.

L’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information, liste différentes préconisations pour la sécurisation du DNS.

DOH, DOT, blockchain DNS, DNSSEC font également l’actualité du DNS.

Notre expert aborde ces différents sujets à travers ce webinar, avec au programme :

Définition du Domain Name System
L’importance du DNS
L’ANSSI et le DNS
Les tendances du DNS

Retrouvez ce webinar animé par Christophe GERARD, Security Product Manager de Nameshield Group, en replay sur la plateforme Webikeo :

VISIONNER LE REPLAY

Chypre : ouverture des dépôts de nom de domaine de premier niveau en .CY

Le registre chypriote a annoncé l’ouverture du .CY aux enregistrements de noms de domaine : nomdedomaine.cy

Les titulaires du second niveau (nomdedomaine.com.cy) peuvent donc à présent prétendre enregistrer leur nom existant en .COM.CY à l’identique en .CY.

A noter : pas de phase prioritaire, le registre du .CY appliquera la règle du premier arrivé, premier servi et a également assoupli ses conditions d’enregistrement pour le .COM.CY.

Pour plus d’informations, n’hésitez pas à contacter votre conseiller.

Fausses applications mobiles : une menace grandissante pour les marques et les consommateurs

Avec plus de 5 millions d’applications mobiles actuellement disponibles sur les plateformes de téléchargement telles que Google Play et App Store, plus de 2000 nouvelles applications lancées chaque jour et près de 2 milliards d’applications téléchargées en France en 2018, les applications mobiles se sont rapidement développées en une dizaine d’années pour devenir un élément incontournable du monde digital.

Selon une étude réalisée par FEVAD, le revenu du commerce mobile en France est estimé à 22 milliards d’euros en 2018, soit ¼ des ventes en ligne. Les applications mobiles représentent ainsi un marché en forte croissance.

Des études ont montré que 68% des consommateurs identifiés comme fidèles à une marque spécifique ont téléchargé l’application de la marque. A l’inverse, des statistiques indiquent que 40% des utilisateurs vont chez les concurrents suite à une mauvaise expérience d’achat sur l’application mobile. Les entreprises ont donc vite réalisé qu’assurer une expérience d’achat de qualité et sécurisée à leurs clients lorsqu’ils téléchargent et utilisent leur application est la clé pour les fidéliser.

La croissance des fausses applications mobiles

Alors que les applications mobiles des marques ont gagné en popularité auprès des consommateurs, le nombre de fausses applications mobiles lancées sur le marché par des acteurs malveillants a également explosé. Les fausses applications pouvant être dangereuses car associées à des attaques de fraude, sont devenues une menace grandissante pour les consommateurs. En effet elles ont accru de 191% entre 2018 et 2019. Le rapport de McAfee sur les menaces mobiles indique que près de 65 000 nouvelles fausses applications ont été détectées en décembre 2018.

Malgré les précautions prises par la plupart des plateformes d’applications pour diminuer le nombre d’applications malveillantes lancées sur leur plateforme, les cybercriminels continuent de trouver les moyens de contourner ces mesures de sécurité.

Un exemple récent, la fausse application Samsung qui a piégé 10 millions d’utilisateurs Android. Cette application nommée « Updates for Samsung » (« Mises à jour pour Samsung ») qui promet des mises à jour de firmware, n’est en réalité pas liée à Samsung. Une fois téléchargée, elle propose avant tout de la publicité. Et pour télécharger une mise à jour, l’utilisateur est alors invité à sortir sa carte bleue pour débourser une trentaine d’euros. Une opération pourtant totalement gratuite puisque la mise à jour est accessible directement depuis les paramètres de son smartphone.

**Que faire face à ces fausses applications mobiles ?**

Étant donné l’importance et l’omniprésence des applications mobiles, il est donc absolument essentiel pour les entreprises d’intégrer dans leurs stratégies de protection des marques, une sécurisation de leurs applications mobiles et la mise en place de surveillance d’applications mobiles présentes sur le marché.

Chaque seconde, une application malveillante est active et représente une menace pour les marques et les consommateurs. Pour y faire face, Nameshield propose une surveillance en ligne des applications mobiles présentes sur les plateformes d’applications, permettant ainsi d’identifier celles qui pourraient porter atteinte à vos marques et vous accompagne dans les actions à mettre en place.

Pour en savoir plus sur notre solution de surveillance, n’hésitez pas à prendre contact avec un consultant Nameshield.

Ouverture générale du .MADRID dès le 17 décembre 2019

Sortie du .MADRID — *Source de l’image : Stan89 via Pixabay*

L’ouverture générale du .MADRID, l’extension géographique de la ville de Madrid, la capitale espagnole est proche. Gérée par le registre Comunidad de Madrid, cette extension a été lancée en avril dernier suivant le calendrier ci-dessous :

Calendrier de lancement du .MADRID

Phase APL (Approved Launch Program) : du 11/04/2019 au 06/06/2019
Phases Sunrise et LRP (Limited Registration Period) : du 16/07/2019 au 10/12/2019
Ouverture totale : à partir du 17/12/2019

Quelques conditions sont à respecter pour pouvoir déposer un nom de domaine en .MADRID. L’enregistrement d’un nom en .MADRID est réservé aux personnes physiques ou morales ayant un lien avec la Communauté de Madrid :

Être résident de la Communauté de Madrid ;
Exercer une activité professionnelle, personnelle, culturelle ou commerciale dans la Communauté de Madrid ;
Posséder un lien direct ou indirect avec la Communauté de Madrid.

A l’approche de l’ouverture générale prévue le 17 décembre prochain, si vous souhaitez davantage d’informations sur les conditions d’enregistrement de votre .MADRID, n’hésitez pas à nous contacter.

Les webinars Nameshield à découvrir ou redécouvrir

Vous avez manqué les derniers webinars organisés par Nameshield ?

Profitez de cette période de fêtes de fin d’année pour voir et revoir les webinars Nameshield, disponibles en replay sur le site Nameshield et sur la plateforme Webikeo.

DDoS et attaques ciblant le DNS et les noms de domaine :
Comment s’en protéger ?

Saviez-vous que la disponibilité de vos mails, sites et services Internet dépend du Nom de Domaine ?

Au programme de ce webinar:

Actualités en cybersécurité
Comprendre l’importance du DNS
Identifier les attaques visant le DNS et les noms de domaine
Les bonnes pratiques pour se protéger

Visionner le replay

SSL & HTTPS :
Définition, importance et risques liés aux certificats SSL

Dans les navigateurs web, le « S » du HTTPS signifie « Sécurisé« . Les certificats SSL (ou TLS) permettent d’afficher le fameux cadenas et le « S » dans la barre de navigation. Ils existent depuis plus de 20 ans, mais Google, au travers de Chrome, a récemment modifié la donne et les a rendus incontournables.

Au programme de ce webinar :

Qu’est-ce qu’un certificat SSL ?
Quels sont les avantages et les risques liés aux certificats SSL ?
Quelle stratégie adopter pour vos sites web ?

Visionner le replay

Protéger et défendre vos marques sur Internet :
Quelles sont les procédures existantes ? Pourquoi et comment les utiliser ?

Saviez-vous qu’un nouveau record de plaintes pour cybersquattage déposées auprès de l’OMPI a été atteint en 2018 ?

Découvrez comment protéger et défendre efficacement votre territoire numérique et vos marques en ligne.

Au programme de ce webinar :

Les atteintes aux marques et la cybercriminalité en chiffres
Comment réagir efficacement face aux usages abusifs de votre marque ?
Les risques et les avantages à lancer une procédure

Visionner le replay

Inscrivez-vous dès aujourd’hui à notre prochain webinar :

Et abonnez-vous à notre chaîne pour ne manquer aucun des prochains webinars organisés par Nameshield.

JE M’ABONNE A LA CHAINE NAMESHIELD

Bonnes fêtes de fin d’année et rendez-vous en 2020 pour notre prochain webinar !

Le secteur financier, cible d’attaques sur le DNS de plus en plus coûteuses

Les sociétés de services financiers sont particulièrement touchées par les cyberattaques. Elles détiennent une mine d’informations sur les clients, protègent leur argent et fournissent des services essentiels qui doivent être disponibles jour et nuit. Elles constituent une cible lucrative. Parmi les angles d’attaques privilégiés : le DNS.

Le rapport annuel Global DNS Threat d’Efficient IP montre une progression constante du nombre d’attaques sur le DNS et des impacts financiers, avec une perte financière moyenne de 1,2 million d’euros sur l’année 2019. Ce montant était estimé à 513 000 € en 2017 et 806 000 € en 2018.

Si tous les secteurs d’activités sont touchés par les attaques, 82% des sociétés interrogées ont été touchées et 63% ont subi une interruption de trafic, le secteur financier paie un tribut plus important avec 88% d’impact. Menée auprès de 900 personnes de neuf pays d’Amérique du Nord, d’Europe et d’Asie, l’étude indique que les établissements financiers ont subi en moyenne 10 attaques au cours des 12 derniers mois, soit une augmentation de 37 % par rapport à l’année dernière.

La hausse des coûts n’est que l’une des conséquences des attaques DNS pour le secteur des services financiers. Les impacts les plus courants sont les temps d’arrêt des services cloud, rencontrés par 45% des organisations financières, et les temps d’arrêt des applications internes (68%). En outre, 47 % des établissements financiers ont été victimes d’escroqueries par le biais d’attaques phishing ciblant le DNS.

L’enquête montre clairement l’insuffisance des mesures de sécurité mises en place pour la sécurisation du DNS. Le retard dans l’application des correctifs de sécurité constitue un problème majeur pour les organisations du secteur. En 2018, 72% des entreprises interrogées admettaient un délai de trois jours nécessaires pour installer un correctif de sécurité sur leurs systèmes, durant lesquels ceux-ci ont été exposés aux attaques.

Seules 65% des institutions financières utilisent ou envisagent d’intégrer une architecture DNS de confiance, elles semblent toujours être en retard et ne pas prendre suffisamment conscience des risques liés à ce point central de leur infrastructure. L’évolution des menaces sur le DNS est permanente, les attaques nombreuses et complexes. Il convient de réagir rapidement pour mieux se protéger.

Industrie, commerce, médias, télécoms, santé, éducation, gouvernement, service… autant d’autres secteurs touchés par les attaques. Des solutions existent. L’ANSSI publie chaque année le guide des bonnes pratiques en matière de résilience du DNS, détaillant de nombreuses recommandations pour être protégé. S’appuyer sur un réseau Anycast ; disposer de système de protection contre les attaques DDoS ; avoir du monitoring de trafic DNS et une équipe en mesure d’intervenir rapidement ; disposer d’une politique de sécurité efficace… Autant de mesures indispensables à la résilience et l’efficacité du réseau DNS face à ces attaques préjudiciables en termes d’impact financier et d’image. En espérant voir enfin de meilleurs chiffres sur le rapport 2020.

ICANN66 Montréal – Un sommet contrasté

Lors de la première quinzaine de novembre s’est tenu à Montréal au Canada, le 66^ième sommet de l’ICANN. Ce troisième et dernier sommet annuel consacré aux policies applicables au nommage internet était très attendu tant les sujets en débats sont nombreux. A sa clôture, il a pourtant laissé bon nombre de participants sur leur faim.

Un avant-goût des sujets et des postures lors du week-end précédant le lancement officiel du Sommet

Le week-end qui précède l’ouverture officielle du Sommet est généralement l’occasion d’avoir un aperçu des sujets et postures en présence. Sans surprise, le processus expéditif (ePDP) qui vise à développer une règle consensuelle pour préciser les conditions d’accès futures aux données personnelles qui ne sont plus publiées dans le WHOIS, l’annuaire de recherches des noms de domaine, pour cause de RGPD, est l’un des sujets majeurs.

Parmi les autres sujets connexes le remplacement de ce même WHOIS par le protocole RDAP (Registration Data Access Protocol) sans doute l’année prochaine pour les noms de domaine génériques. Ce remplacement n’est pas anodin quand on sait que le WHOIS est en usage depuis près de 35 ans.

L’instance représentant les gouvernements, le GAC, a quant à lui mis dans la balance le sujet des usages malveillants de noms de domaine qui ont pris un essor considérable sur les nouvelles extensions internet lancées en 2012. Quand on connait l’essor de pratiques internet visant à peser les élections de certains pays et l’impact économique des attaques et piratages informatiques, on comprend que ce sujet soit poussé par le GAC. Si l’un des sujets de l’ICANN est de clarifier dans leurs textes la notion d’usages malveillants, cette expression fait référence aux domaines enregistrés pour le phishing, les logiciels malveillants, les botnets et le spam, l’autre volet concerne les moyens de les endiguer. L’existence de ces domaines abusifs menace en effet l’infrastructure DNS, impacte la sécurité des consommateurs et constitue une menace pour les actifs critiques des entités publiques et commerciales. Enfin et ce n’est pas une surprise, le sujet d’un prochain round de nouvelles extensions a lui aussi été sur bien des lèvres.

ICANN66 Montréal — *Cherine Chalaby à la tribune de l’ICANN Summit de Montréal*

« Le meilleur sommet ICANN », vraiment ?

Lors de la traditionnelle cérémonie d’ouverture qui voit converger une heure durant tous les convives (2500 selon les propos de Goran Marby le CEO de l’ICANN) dans une immense salle pour écouter divers orateurs dont Martin Aubé du Ministère de l’Économie et de l’Innovation du Gouvernement du Québec, Cherine Chalaby, l’un des membres du Board ICANN dont le mandat se termine en cette fin d’année, indiquait à son auditoire que l’ICANN66 allait être le « meilleur sommet ICANN ». Il faut dire pourtant qu’à la fin de la semaine de débats et de réunions qui se sont enchaînés à un rythme effréné, alors que les sujets en débats sont nombreux, le sentiment concernant cette assertion était plus que mitigé pour beaucoup de participants.

D’abord, le processus expéditif pour l’accès aux données non publiques du WHOIS avance avec un cadre contraint par l’ICANN et les Autorités de Protection des Données Personnelles. L’aboutissement de ce processus est envisagé entre avril et juin 2020 et c’est actuellement un modèle centralisé où ICANN autoriserait la levée future d’anonymat des données qui sont désormais masquées pour cause de RGPD qui tient la corde.

Ensuite, le sujet qui a sans doute le plus souvent été cité lors de cette nouvelle semaine de sommet, a concerné les usages abusifs avec les noms de domaine. Pour ICANN, le sujet est central car il est directement corrélé à leur totem : la stabilité de l’Internet dont ils sont les garants. Depuis février 2019, ICANN publie certaines métriques sur les pratiques malveillantes identifiées au travers du DAAR, Domain Abuse Activity Reporting.

Leur dernier rapport présenté à Montréal montre que 364 extensions (principalement des nouvelles extensions issues du round de 2012) ont révélé au moins une menace portée par l’un des noms de domaine activés sur ces extensions. Plus préoccupant, les nouvelles extensions génériques concentreraient près de 40% des usages malveillants, contre 60% pour les extensions génériques historiques. Ce chiffre est en effet à mettre en relief avec la volumétrie de ces deux catégories d’extensions. En effet sur un peu plus de 200 millions de noms génériques, les nouvelles extensions génériques ne représentent que 15% du total des noms enregistrés. ICANN souhaite donc que ce sujet soit pris à bras le corps par la communauté.

Des propositions ont été faites par les diverses instances présentes, certaines allant jusqu’à demander un processus de développement de nouvelles policies (PDP). Cette dernière proposition si elle devait obtenir l’aval de l’ICANN aurait pour fâcheuse conséquence de reporter l’hypothétique calendrier d’un prochain round de nouvelles extensions, sujet qui intéressait pourtant beaucoup de convives présents à Montréal. En effet pour ICANN le problème de la concentration des pratiques malveillantes dans les nouvelles extensions génériques doit être solutionné avant tout futur round, ceci faisant que le PDP toujours en cours sur la revue du dernier round de 2012 est presque passé inaperçu.

Si les règles tardent à évoluer sur les usages malveillants, votre consultant Nameshield peut vous apporter dès à présent des solutions adaptées à vos besoins.

Nameshield signe l’Appel de Paris afin de contribuer activement à la stabilité de l’Internet

Il y a tout juste un an, dans le cadre du 1^er Forum de Paris sur la paix, le Président de la République Française, Emmanuel Macron, lançait l’Appel de Paris pour la Confiance et la Sécurité dans le Cyberespace. Cet appel est une déclaration politique destinée à marquer une mobilisation sur la stabilité dans le cyberespace et vient renforcer les efforts de la communauté internationale et de nombreux acteurs impliqués dans les enjeux de sécurité numérique. Ce texte rappelle certains principes que nous estimons fondamentaux, comme l’application du droit international et des droits de l’Homme dans le cyberespace. Il souligne aussi la nécessité d’une approche multi-acteurs pour élaborer les normes qui nous permettront de profiter pleinement, c’est-à-dire de manière fiable et sécurisée, des opportunités offertes par la révolution numérique. Enfin, l’Appel de Paris promeut le renforcement de la sécurité des produits et services numérique, que nous utilisons par exemple dans notre vie quotidienne. Le texte vise en ce sens à empêcher les cyberattaques commises par des acteurs malveillants qui mettent en danger l’ensemble des usagers du cyberespace.

Conscient que le développement de notre Société, tant sur les plans économiques, culturels et démocratiques, passe par une confiance renforcée de l’information qui transite par internet, la société Nameshield, qui œuvre depuis 25 ans pour protéger l’identité numérique de ses clients ; entreprises, collectivités et administrations via l’usage de leurs noms de domaine, a souhaité s’associer à cette démarche et signer l’Appel de Paris.

Son métier consiste à assurer l’intégrité et la résilience de l’identité des personnes morales et physiques sur internet, représentée aujourd’hui par le nom de domaine. En protégeant hautement les données renseignées sur la carte d’identité du nom de domaine (Whois) et en assurant un service de haute disponibilité et de haute performance via le Domain Name System (DNS) associé, Nameshield contribue ainsi dans une large mesure au deuxième principe de l’Appel de Paris : Protéger l’internet. Empêcher les activités qui portent atteinte intentionnellement et dans une large mesure à la disponibilité ou à l’intégrité du cœur public de l’internet.

Le Domain Name System peut être comparé à l’annuaire de l’internet. Ce protocole traduit un nom de domaine en adresse IP, en s’appuyant sur une base de données distribuée sur des milliers de machines. Pierre angulaire du web, si le DNS tombe, notamment par une corruption des données ou une attaque par déni de services, ce sont tous vos sites web et vos emails qui deviennent inaccessibles : cela devient purement impensable aujourd’hui ! Le DNS doit donc être protégé et rester hautement disponible. Protocole créé dans les années 1980, des failles de sécurité ont été depuis identifiées quant au fonctionnement usuel du DNS. C’est pourquoi un nouveau protocole sécurisé, DNSSEC, a été développé afin de garantir l’authenticité des échanges via une signature certifiée. D’autres solutions peuvent venir compléter la résilience de votre identité sur internet : le Registry Lock, les certificats SSL…

Les solutions de sécurité proposées par Nameshield, société indépendante française, stockant ses données en France, disposant de sa propre infrastructure DNS anycastée et résiliente, certifiée ISO 27001 sur l’ensemble de son activité noms de domaine, sont conformes aux recommandations de l’ANSSI sur les « bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine ».

Dans le cadre du 2^ème Forum de Paris sur la paix, le Ministère des Affaires étrangères a souhaité illustrer le deuxième principe de l’Appel de Paris : Protéger l’internet en mettant en avant les services proposés par Nameshield. La société est ainsi fière de pouvoir s’associer, à son niveau, aux acteurs impliqués dans les enjeux de sécurité numérique afin de rendre l’internet plus fiable et contribuer ainsi à la sécurité du cyberespace.

https://pariscall.international/fr/principles

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description

Navigateurs et Autorités de Certification, le combat continue.

Le sort d’Extended Validation sera-t-il fixé ?

Des certificats d’une durée plus courte : vers des certificats d’un an

De TLS 1.0 à TLS 1.3 : marche en avant forcée

La menace de l’informatique quantique

L’IoT gagne du terrain, mais le manque de sécurité continue d’être problématique

Les lois de chiffrement en Chine créeront beaucoup d’incertitude

La croissance des fausses applications mobiles

Que faire face à ces fausses applications mobiles ?

Calendrier de lancement du .MADRID

Vous avez manqué les derniers webinars organisés par Nameshield ?

DDoS et attaques ciblant le DNS et les noms de domaine : Comment s’en protéger ?

SSL & HTTPS : Définition, importance et risques liés aux certificats SSL

Protéger et défendre vos marques sur Internet : Quelles sont les procédures existantes ? Pourquoi et comment les utiliser ?

Un avant-goût des sujets et des postures lors du week-end précédant le lancement officiel du Sommet

« Le meilleur sommet ICANN », vraiment ?

Nameshield utilise des cookies

**Que faire face à ces fausses applications mobiles ?**

DDoS et attaques ciblant le DNS et les noms de domaine :
Comment s’en protéger ?

SSL & HTTPS :
Définition, importance et risques liés aux certificats SSL

Protéger et défendre vos marques sur Internet :
Quelles sont les procédures existantes ? Pourquoi et comment les utiliser ?