Blog Nameshield

Actualités de l’ICANN sous le prisme du RGPD

Le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais) entre en application le 25 mai prochain. Ce texte a pour objet d’instaurer une réglementation uniforme pour les 28 Etats membres de l’Union Européenne (UE). Le but affiché étant de responsabiliser les entreprises, puisque le régime déclaratif jusqu’à présent en vigueur laisse place à la gouvernance interne des données personnelles par les entreprises.

Internet a peu de frontières, le RGPD non plus !

Le Règlement met à jour la législation en matière de données personnelles, et prend ainsi en compte les nombreux échanges numériques liés à la généralisation d’internet. Ainsi, le texte ne limite pas les obligations aux seules entreprises européennes traitant des données à caractère personnel de citoyens établis dans l’UE. Ainsi, toute entreprise, établie en UE ou non, qui traite des données personnelles de citoyens établis au sein de l’UE devra respecter les règles et obligations imposées par le RGPD.

Ce principe d’extraterritorialité a pour conséquence d’imposer la mise en conformité au Règlement par un grand nombre d’entreprises établies hors UE offrant des services à des citoyens résidant en UE.

L’écosystème des noms de domaine n’est donc pas épargné. Qu’il s’agisse de l’ICANN, des Registres et des Bureaux d’enregistrement, tous les maillons de la chaîne des noms de domaine peuvent être amenés à traiter des données à caractère personnel de résidants européens, et doivent ainsi se conformer au RGPD pour les traitements concernés.

Le Whois, une base de données mondiale de données à caractère personnel

L’ICANN, en sa qualité de coordinateur de la gestion des noms de domaine, a construit un système d’accréditation des Registres et Bureaux d’enregistrement. En effet, parmi les obligations des contrats d’accréditation, les Registres et Bureaux d’enregistrement doivent publier un annuaire Whois permettant d’afficher publiquement la fiche d’identité d’un nom de domaine recherché. Cette obligation concerne les extensions génériques (.COM, .NET, .XYZ, etc). Les Registres d’extensions pays mettent également un annuaire Whois à disposition, mais ont une meilleure maîtrise du contenu proposé.

Ainsi, pour un nom générique, il est possible d’accéder librement à des données à caractère personnel, permettant d’identifier les nom et prénom de la personne titulaire, mais également son domicile, ou encore ses moyens de communication (numéro de téléphone et fax, adresse email).

Le groupe de travail réunissant les autorités de contrôle des données en UE, connu sous le nom G29, ne manque pas de suivre avec intérêt l’actualité de l’ICANN vis-à-vis du respect de la réglementation européenne.

G29 versus ICANN

Le G29 a ainsi adressé un courrier à l’ICANN le 6 décembre 2017 à propos de la publication des données Whois, afin de rappeler à l’ICANN son statut de responsable conjoint du traitement en ce qui concerne la publication illimitée des données Whois, mais également lui communiquer ses inquiétudes à ce sujet.

Les inquiétudes du G29 portent notamment sur la base légale des traitements réalisés dans le cadre de la publication illimitée des données Whois. Selon le G29, parmi les fondements légaux de l’article 6 du RGPD, peuvent être retenus les suivants : le consentement de la personne concernée, l’exécution d’un contrat auquel la personne concernée est partie, ou les intérêts légitimes poursuivis par le responsable du traitement. Mais la publication illimitée des données Whois ne permet pas aujourd’hui de satisfaire à l’un de ces fondements.

En effet, la personne concernée par le traitement ne donne par un consentement « libre », elle n’est pas non plus signataire du contrat liant l’ICANN et le Registre ou le Bureau d’enregistrement, ces derniers requérant la publication du Whois. Sur le 3^ème fondement, le G29 considère que la publication illimitée des données Whois ne permet pas d’invoquer l’intérêt légitime poursuivi par le responsable de traitement. On retrouve ici le principe de minimisation des traitements, à savoir effectuer un traitement de manière spécifique et pour une finalité déterminée.

Le G29 incite donc fortement l’ICANN à réfléchir à la mise en conformité aux obligations RGPD.

Les démarches de l’ICANN pour se conformer au RGPD

L’ICANN est aujourd’hui conscient que le système de Whois actuel n’est plus viable. Poursuivant l’objectif de mise en conformité, l’ICANN a mandaté un cabinet de conseil juridique pour étudier les différentes notions du Règlement appliquées à l’écosystème des noms de domaine, et plus particulièrement au Whois.

En parallèle, l’ICANN a pris la décision de ne pas engager de poursuites contre les Registres et Bureaux d’enregistrement se positionnant en non-conformité vis-à-vis des contrats d’accréditation en raison du respect des obligations RGPD. Cette exemption est accordée sous conditions, notamment en partageant à l’ICANN le modèle de conformité adopté.

Une refonte du Whois en 2018 ?

Les premières propositions de modèle de Whois conforme au RGPD concordent vers un système d’accès différencié selon la qualité de la personne demanderesse. Ces propositions ne modifient pas tant la collecte des données, mais plus la manière dont elles sont affichées.

Les personnes physiques auraient la possibilité de masquer leurs données personnelles, selon un système d’opt-in au moment de l’enregistrement. Egalement, avant d’afficher la fiche Whois, une proposition de modèle envisage de cocher quelle est la finalité recherchée, telle que connaître la disponibilité du nom de domaine, ou lutter contre une fraude, ou contacter le titulaire pour lui signifier une atteinte à un droit de propriété intellectuelle. La fiche Whois afficherait ainsi les données personnelles nécessaires à la finalité poursuivie par le demandeur.

Le cabinet Hamilton, conseil juridique de l’ICANN sur le RGPD, conclut son étude en évoquant la nécessaire révision du Whois, et rejoint les propositions en conseillant de réfléchir à une solution temporaire permettant un accès différencié par couches aux données du Whois, selon la finalité poursuivie par le demandeur.

Cette hypothèse corrobore avec celle évoquée par le G29 dans son courrier du 7 décembre 2017. En effet, depuis 2003, le G29 évoque cette solution d’accès aux données Whois par couches.

Ces réflexions rejoignent enfin ce qui est d’ores et déjà en vigueur pour certaines extensions pays ou régionales, telles que .FR, ou .EU, nécessitant de justifier la finalité poursuivie afin de bénéficier de la levée de l’anonymat d’un titulaire personne physique.

La création d’une marque, entre passé et futur

Créer une marque est un exercice de communication complexe et doit donc être réalisé avec réflexion et planification. Si la classification de Nice permet la coexistence de marques identiques, le système de noms de domaine ne le permet pas. Il paraît important de rappeler que la surveillance via les noms de domaine est une activité aisée et surtout indispensable.

Prenons JOON, nouvelle compagnie d’Air France. Nouveau nom, dépôt de marque effectué : RAS. Sauf que le nom de domaine JOON.FR n’a pas été réservé et c’est son titulaire qui a subi un afflux de visiteurs. D’où la capture d’écran ci-dessous. Depuis, le nom de domaine redirige vers le site d’Air France. Et en même temps, Air France n’a pas regardé les autres noms de domaine comprenant le terme JOON. D’où ce conflit avec la marque Hey Joon.

Autre problème qui peut également arriver : le blacklistage du nom de domaine. C’est l’entreprise française CHEERZ qui en a fait les frais.

Résumons, concernant les noms de domaine, voilà la liste de choses à faire:

Surveiller les noms de domaine via une recherche de disponibilité ;
Surveiller les username via une recherche de disponibilité ;
Regarder le passé du nom de domaine en question.

L’extension d’un nom de domaine modifie-t-elle le comportement de l’internaute ?

Il existe plusieurs milliers d’extensions à ce jour (notamment avec l’arrivée massive des new gTLDs), et bien que le quidam n’en connaisse pas la moitié, il semble que leur existence influence néanmoins sa navigation sur Internet.

En 2016, l’ICANN publiait une étude sur le comportement actuel des consommateurs à l’égard des gTLDs et du système des noms de domaine (DNS). Les internautes ont répondu à des questions concernant la sensibilisation des consommateurs et leurs perceptions en termes de choix, d’expérience et de confiance.

« Les résultats de l’enquête montrent que la notoriété totale des domaines de premier niveau a augmenté par rapport à l’étude de base menée l’année dernière et continue de s’accroître », précisait Akram Atallah, président de la Division des domaines mondiaux de l’ICANN.

Il en ressort notamment que les noms de domaine génériques de premier niveau (gTLDs) affichent une légère hausse en termes de notoriété au niveau mondial.

Plus de la moitié des personnes interrogées (52%) connaissaient au moins un nouveau gTLD.
La notoriété a notamment augmenté en Amérique du Nord, en Asie-Pacifique et en Europe

La notoriété et la fiabilité des gTLDs « historiques » les plus connus demeurent importantes.

Parmi un sous-groupe de gTLDs historiques, .COM (95%), .NET (88%) et .ORG (83%) ont été les plus reconnus par les consommateurs.
Ces TLDs sont largement considérés (91%) comme des destinations fiables sur Internet.
Les ccTLDs sont considérés fiables par la plupart des consommateurs (95%) dans les régions où ils sont le plus utilisés.

Les consommateurs font un lien entre restrictions à l’enregistrement et confiance.

Plus de 70% des personnes interrogées se sont montrées favorables à l’application d’un certain niveau de restrictions à l’enregistrement autant pour les gTLDs historiques que pour les nouveaux gTLDs, ce qui représente une hausse par rapport à 2015.
Lorsqu’il s’agit de nouveaux gTLDs, les consommateurs s’attendent à ce qu’il existe une correspondance assez étroite entre le contenu d’un site web et la signification implicite du nom de domaine de second niveau associé au gTLD où le nom est enregistré.

Autres points saillants du rapport :

De manière générale, la confiance dans l’industrie des noms de domaine par rapport à d’autres industries du domaine technologique s’est améliorée.
Lorsqu’on a demandé aux personnes interrogées de décrire la finalité des gTLDs, les réponses ont notamment porté sur l’idée de structure du contenu de l’Internet. Interrogés par rapport à ce que les nouveaux gTLDs apportaient, les sondés ont dit qu’ils contribuaient à améliorer la structure et la crédibilité, et qu’ils répondaient à l’augmentation de la demande de noms de domaine.
Au niveau mondial, la réponse des adolescents est similaire à celle des adultes, même s’ils semblent plus familiarisés avec les nouveaux gTLDs et préfèrent les applications et les wikis aux gTLDs pour naviguer dans les contenus en ligne.

Un autre exemple parlant, celui des donations en ligne. Le rapport de l’enquête 2017 sur les tendances caritatives mondiales (givingreport.ngo) résume les données sur les donateurs des six continents quant à l’effet des technologies mobiles et en ligne sur les dons. Le rapport de l’enquête 2017 sur les tendances caritatives mondiales est unique, car il s’agit de la seule étude annuelle dédiée à l’analyse des habitudes des donateurs dans le monde entier. Il est conjoint à celui sur l’utilisation des technologies par les ONG mondiales (techreport.ngo). Celui-ci montre que les donateurs ont plus tendance à donner à des sites dont l’extension est un .org ou .ngo/ong, plutôt qu’à des extensions génériques comme le .com ou le .net.

L’extension d’un nom de domaine modifie-t-elle le comportement de l’internaute ? — Source: http://givingreport.ngo

Le Pôle de compétitivité mondial Finance Innovation vient de publier un livre blanc sur la Fonction Finance : 140 innovations au service de la croissance. Un beau travail de Place pour avancer sur l’évaluation des actifs immatériels stratégiques !

La société Nameshield s’efforce depuis près de 20 ans à défendre marques et consommateurs sur Internet. C’est dans ce cadre que la société travaille à la prise de conscience de l’importance des actifs immatériels digitaux qu’il convient d’identifier, de manager et de valoriser à leur juste place. À cet effet, nous avons participé à la rédaction du 10^ème Livre Blanc du Pôle Finance Innovation (premier de la filière Métiers du Chiffre et du Conseil), dirigé par Cécile SAINT JEAN (PwC). Il résulte d’une mobilisation exceptionnelle de l’écosystème avec 180 contributeurs et plus de 300 jours d’échanges, de réflexion et de rédaction pour faciliter la transformation de la Fonction Finance au service de la compétitivité des entreprises et de la croissance.

Face à la nécessité d’adapter la fonction Finance pour faire face aux défis technologiques et humains, le Livre Blanc met en lumière 140 propositions d’innovations concrètes autour de quatre grandes thématiques :

Transformation de l’organisation et des processus par la digitalisation ;
Sécurité et transparence ;
Culture du cash et amélioration du financement ;
Pilotage de la création de valeur et évaluation de l’entreprise digitalisée.

Le Livre Blanc rappelle que la digitalisation a une incidence considérable sur le capital immatériel de toutes les entreprises. Des nouveaux actifs immatériels sont créés, alors que certains actifs existants peuvent être fragilisés, faute de sous-estimation ou de négligence. Il s’agit dès lors d’être en mesure d’identifier ces éléments, de les piloter et de les évaluer. Le big data et l’automatisation de traitement favoriseront l’émergence à la fois de modèles d’évaluation simplifiés et de conseils à forte valeur ajoutée.

Jo-Michel DAHAN, Sous-directeur des entreprises de services et des professions libérales Ministère de l’Économie et des Finances (DGE), rappelle les enjeux liés à l’émergence d’une société de la connaissance et la nécessité d’utiliser de nouveaux métriques afin d’appréhender les nouveaux usages de la digitalisation et de la mondialisation de l’économie. Il rappelle que la manière de mesurer l’économie influe sur sa gestion et sa régulation. À ce titre, il convient de bien identifier les actifs immatériels des entreprises sans se restreindre au prisme réducteur d’une traduction comptable. Une entreprise qui dispose d’actifs immatériels de qualité bénéficie en effet d’une croissance annuelle supérieure de dix points à celle d’une entreprise moins bien dotée.

Sur le plan de l’évaluation des entreprises digitalisées, quatre Domaines d’Innovation ont été jugés Prioritaires (DIP) :

Développer de nouveaux modèles d’évaluation (DIP 17) ;
Identifier et piloter les nouveaux actifs immatériels (DIP 18) ;
Décrypter la création de valeur globale de l’entreprise à l’aide du pilotage « intégré » (DIP 19) ;
Autoévaluer l’entreprise pour piloter la création de valeur (DIP 20).

La société Nameshield a participé activement à l’élaboration des propositions permettant d’identifier et piloter les nouveaux actifs immatériels (DIP18). À ce titre, il est apparu clairement pour le groupe de travail, l’urgence de développer de nouvelles méthodes d’identification et d’évaluation des actifs immatériels stratégiques issus de la digitalisation. L’importance jouée par les noms de domaine et autres identités numériques y est pleinement reconnue. Il reste à concevoir de nouveaux modèles d’évaluation permettant de mesurer finement cette nouvelle classe d’actif. Grâce au big data et plus précisément à la data qualifiée (smart data), l’immatériel devient plus finement mesurable, contrôlable et objectivable.

En s’inspirant de la norme ISO 10668, portant sur l’évaluation monétaire des marques, Nameshield a développé une méthode scientifique d’évaluation monétaire des noms de domaine par une double analyse ; d’une part, la sémantique propre au nom de domaine, d’autre part sa criticité pour l’entreprise. Corrélée à une base de données de plus d’un million de transactions réalisées sur le second marché, cette nouvelle méthode d’évaluation des noms de domaine permet d’avoir des comparables et sortir ainsi du néant !

Plus d’informations sur : www.finance-innovation.org et www.nameshield.com

Quand la domainosphère s’intéresse à la cryptomonnaie

A l’heure où ces lignes sont rédigées, le bitcoin bat son plein, puisqu’il atteint les 12600€, soit 18% de plus qu’hier, soit 51% de plus que la semaine dernière, soit 103% de plus que le mois dernier, et 1650% de plus que l’année dernière. De quoi avoir quelques regrets de ne pas avoir pris le train en marche plus tôt.

Certains diront que le bitcoin et tous ses petits copains (Ethereum, Litecoins, Monero, ZCash, ou Ripple) n’ont aucun avenir, que cette jolie bulle spéculative a vocation à disparaître très rapidement et que les investisseurs perdent leur argent. D’autres vous diront qu’ils ont toute confiance dans ces nouvelles devises et qu’elles sont aussi sûres que l’or. Comment ne pas les croire quand on voit le jeune Erik Finman devenir millionnaire grâce à l’achat de 1000$ de bitcoins quelques années plus tôt, revendus pour 100 000$, lui ayant permis de créer sa société ?

Pour revenir aux bases, et mieux comprendre de quoi il s’agit, les cryptomonnaies sont des monnaies cryptographiques et proposent un système de paiement de pair à pair. Il s’agit donc de monnaies virtuelles car ces dernières sont caractérisées par une absence de support physique : ni pièces ni billets et les paiements par chèque ou carte bancaire ne sont pas possibles non plus. Ce sont des monnaies alternatives qui n’ont de cours légal dans aucun pays du globe. Leur valeur n’est pas indexée sur le cours de l’or ni sur celle des devises classiques et elles ne sont pas non plus régulées par un organe central. Elles sont largement remises en cause par les Etats (certains les ont même interdites) car elles peuvent servir à financer des marchés illégaux. Certes, mais pas plus qu’un billet de 100$… Aujourd’hui, il est impossible de tracer un billet de banque et aucune transaction illégale n’est réglée par carte bancaire, mais bien avec des billets physiques.

Pourtant, si on regarde de plus près, la cryptographie sécurise les transactions qui sont toutes vérifiées et enregistrées dans un domaine public, assurant tout à la fois confidentialité et authenticité, grâce à la technologie blockchain.

Si certains pays interdisent les cryptomonnaies, d’autres pays n’y voient pas d’inconvénients (ou ne donnent pas d’avis sur la question). On peut même faire des dons à la Croix Rouge en bitcoins, acheter des produits sur showroomprive.com, acheter des jeux vidéo sur gamesplanet.com, prendre des cours d’échecs sur echecs-facile.com etc. De plus en plus de sites internet français acceptent les paiements en bitcoins, ce qui fait prendre de la valeur à la monnaie. Dernière nouvelle, la société PwC, l’une des BigFour, a annoncé qu’elle acceptait les règlements en bitcoins pour la fourniture de ses services.

Ainsi, on le comprend, personne n’arrive à se mettre d’accord sur l’avenir accordé aux cryptomonnaies mais force est de constater que le sujet impacte de plus en plus de monde (relayé par les médias notamment) et de sociétés (en termes économiques).

D’ailleurs, Amazon ne pourra pas nier son intérêt pour les cryptomonnaies puisque la société annonçait en septembre dernier qu’elle accepterait les transactions avec cette devise sur son site web prochainement. Une information non innovante, car des sites acceptent déjà le Bitcoin, mais cela serait une première pour un des principaux acteurs du e-commerce.

Amazon a d’ailleurs fait l’acquisition des noms de domaine amazonethereum.com, amazoncryptocurrency.com et amazoncryptocurrencies.com. Ces acquisitions vont peut-être confirmer la rumeur diffusée en septembre, mais également en créer une : celle où Amazon souhaiterait créer sa propre cryptomonnaie. Une idée qui n’est pas non plus nouvelle, mais on connaît les ambitions de l’entreprise quand il s’agit de disrupter un marché.

Enfin, le nom de domaine ethereum.com est actuellement en vente pour 10 millions de dollars. En octobre, eth.com s’est vendu pour 2 millions de dollars.

Et vous, vous y croyez ?

Sale histoire de phishing

Une victime d’un phishing de 2015 a demandé à sa banque de lui rembourser la somme de 3 300€ détournée par l’auteur de la fraude. Pourtant, lors de la procédure judiciaire, la Justice a annulé le jugement de la juridiction de proximité d’octobre 2017, qui avait alors ordonné à la banque de la victime de rembourser les sommes correspondantes à l’opération de phishing.

Le motif de cette annulation ? La victime a délibérément communiqué certaines de ses données confidentielles relatives à sa carte bancaire, en tombant dans le piège d’un mail de phishing (l’arnaqueur s’y faisait passer pour l’opérateur téléphonique de la victime).

L’argumentation de cette annulation avance en effet que le courriel ne comportait aucun nom de destinataire ni d’expéditeur et que la mention d’un rejet ou d’un impayé était inexacte. Aussi la victime aurait-elle pu éviter le piège tendu et ne pas communiquer ses données bancaires. La responsabilité lui incomberait donc, annulant de fait la demande de remboursement de l’argent dérobé auprès de la banque.

La grande majorité des sites de phishing utilisent des noms de domaine associés à une activité existante ou se référant à une activité, dans le but de tromper les utilisateurs, en les invitant à cliquer sur les liens de sites légitimes. Cela permet d’augmenter ainsi la probabilité de réussite des attaquants.

Le principe du phishing est de récupérer des données personnelles sur Internet via l’usurpation d’identité, adaptée au support numérique.

S’il est vrai que le paiement frauduleux en ligne est directement dû à la négligence de la victime, elle n’avait pourtant pas communiqué ni le code confidentiel de sa carte, ni le code 3D SECURE à 6 chiffres qui lui avait été adressé par SMS pour valider le paiement. La victime avait fait opposition le jour même à sa carte bancaire, après réception de 2 messages de 3D Secure.

Toutefois, dans cette affaire, la banque affirme qu’elle sensibilisait et communiquait régulièrement auprès de ses clients, afin de les alerter des risques de phishing et sur la mise en garde de ne jamais communiquer ses données bancaires confidentielles.

Ainsi, la Cour de cassation a jugé que la victime avait agi négligemment et aurait pu éviter de tomber dans le panneau du fraudeur.

Les cybermenaces reposent beaucoup sur les mauvaises pratiques des internautes, comme le confirme le SANS Institute. Les menaces les plus fréquemment rencontrées dans les entreprises sont l’hameçonnage ou phishing (72% des répondants), les logiciels espions (50%) et les ransomwares (49%).

D’après la société américaine Webroot, environ 1.385.000 sites uniques de phishing sont créés chaque mois, avec un pic impressionnant de 2,3 millions en mai de 2017.

Il faut savoir que ces sites de phishing restent actifs durant une très courte période : entre 4 et 8 heures au maximum, pour éviter d’être suivis ou blacklistés.

Cette affaire rappelle bien sûr que la vigilance reste plus que jamais de mise !

La géopolitique des noms de domaine évolue. Elle nécessite votre attention régulière.

1983 : on crée le DNS, Domain Name System. Deux ans plus tard, les premiers ccTLDs, codes pays, sont créés selon la norme ISO 3166-1 alpha 2. Chacun peut revendiquer son droit sur un code pays s’il a un intérêt légitime. Cette condition floue amène de nombreux pays à être spoliés de leur droit à la territorialité numérique : la France aura du mal, mais réussira, à gérer l’extension des Terres Australes et Antarctiques Françaises.

Dans la France outre-marine, c’est globalement l’échec. Si l’INRIA, laboratoire français, a demandé à gérer le .FR, peu de cas a été fait du reste. Aujourd’hui Guadeloupe, Martinique, Guyane française ont leurs extensions gérées par des entreprises étrangères à l’État. Pour le reste, c’est l’AFNIC, qui s’en charge, selon l’article L45 du code des postes et communications électroniques. Pour Saint Martin, Clipperton et Saint Barthélémy, personne ne s’en charge, malgré la volonté de « Saint Barth’ » que l’AFNIC le fasse. Tout ceci est de notoriété publique.

Dans notre cas, avec une démocratie française, on peut penser que l’intérêt de l’État est supérieur à celui des entreprises privées. On peut donc faire confiance à l’AFNIC pour gérer nos extensions régionales. Mais dans d’autres, la question se pose. On l’a vu récemment lors des manifestations pro-Catalogne et les actions du gouvernement Espagnol contre l’association gérant le .CAT.

Dans le cas d’autres territoires, la question se pose également. En Afrique, où la géopolitique évolue constamment, bon nombre d’utilisateurs préfère enregistrer un .COM, en perdant certes la notion de territorialité numérique, mais en s’assurant de bénéficier d’une résilience, l’entreprise gérant le .COM étant reconnue comme fiable.

Comment savoir si l’on peut se fier à un TLD ? Trois règles à suivre :

Regarder qui gère l’extension : entreprise, association ou État, il est nécessaire de consulter le site de l’IANA, succursale de l’ICANN qui gère l’affectation des extensions ;
Faire une veille sur l’actualité mondiale : au Congo, c’est tendu en ce moment, au Zimbabwe où la situation reste confuse, on peut clairement imaginer des actions coercitives à l’encontre de l’extension .ZW ;
Suivre régulièrement les articles de ce blog : Nameshield vous informe et vous conseille dans le choix de vos extensions.

Gardons à l’esprit qu’Internet suit la règle du monde : tout évolue et rien n’est résilient avec une garantie aveugle de fonctionnement : une centrale nucléaire en France qui s’arrête aura des conséquences sur le réseau, une prise de pouvoir dans un pays aura une incidence sur les noms de domaine. Quant à une guerre, vous imaginez bien que les États se feront un plaisir de censurer les communications tel récemment en Égypte et il y a bien longtemps en France.

L’attaque par phishing, de plus en plus sophistiquée

Dernièrement, certains utilisateurs d’Amazon ont été victimes d’un phishing assez sophistiqué.

Ils ont reçu un faux e-mail d’Amazon les prévenant qu’une personne avait essayé de se connecter à leur compte en essayant de changer leur mot de passe. Un code à six chiffres a été transmis, avec la consigne d’appeler un numéro pour vérifier l’identité de l’utilisateur. Si les internautes n’étaient pas à l’origine de cette action, ils étaient invités à suivre une procédure bien spécifique pour sécuriser leur compte. En appelant le numéro d’« Amazon », ils tombaient sur un SAV, basé à l’étranger. Lors de l’appel ils devaient se rendre sur un site internet et communiquer le code, pour assurer la sécurisation du compte.

Voici une copie du message de phishing:

Heureusement, de nombreux internautes ont détecté ce phishing et ne sont pas tombés dans le panneau. Mais pour les autres, ont-elles été victimes d’un malware ou d’un vol de données ?

Tous les internautes sont touchés par ces tentatives de phishing. Elles font partie de notre quotidien, mais de nombreuses marques sensibilisent leurs clients contre ces manipulations (surtout le secteur bancaire qui est la cible privilégiée des hackers).

To be continued.

Conformité, Fiabilité, Portée

On m’avait dit que dans la vie, il fallait respecter trois éléments par ordre croissant : la santé, la famille, le travail. Pour les noms de domaine, il est possible de respecter un triptyque similaire face aux nombreuses interrogations que l’on se pose quant à sa campagne de communication sur Internet. Ce triptyque, C-F-P, est à garder à l’esprit :

Conformité :

Il est important de se demander si le nom de domaine que vous souhaitez acquérir est en conformité avec les règles d’enregistrement du registre. Car oui, sur Internet, il y a une territorialité. Souvenons-nous de Elsevier qui tenta de saisir SCI-HUB.ORG via un tribunal américain (car .ORG est géré par un registre états-unien). Souvenons-nous également des noms de domaine en .CAT et de l’action du gouvernement ibérique face à la demande d’indépendance de la Catalogne.

Fiabilité :

Dans un monde intangible, les noms de domaine peuvent sembler être dotés de super-pouvoirs et de compétences technologiques identiques. Pourtant, les évènements politiques, climatiques et technologiques nous rappellent que toutes les extensions ne disposent pas de la même stabilité supposée. Avant de communiquer avec une adresse, il convient de se poser la question la plus importante : est-ce que mon adresse est robuste ? Est-ce que :

L’extension choisie pour mon nom est gérée par un registre sérieux ?
- .COM, c’est Verisign, entreprise américaine reconnue et qui gère un des treize serveurs racine ;
- .DE c’est le DENIC, registre allemand certifié ISO 27001 et ISO 22301 ;

Mes noms de domaine sont-ils administrés par un registrar fiable ?
- Nameshield est un registrar certifié ISO 27001 qui gère de nombreuses extensions,…

Portée :

L’utilisation d’un nom de domaine comportant une extension pays implique une zone de chalandise fixe, exception faite de certaines extensions détournées et devenues génériques. Ainsi, faire le choix de communiquer en .FR vous lie à la France. (L’AFNIC, le registre français du .FR, communique actuellement via l’initiative Réussir en .FR).Un .COM ou un .NET sera plus générique.

Nous développerons plus longuement dans un prochain article l’assurance qualité liée à la bonne gestion d’un nom de domaine.

Conséquences désastreuses du non renouvellement d’un nom de domaine

La société américaine de Télécommunication, Sorenson Communication, a oublié de renouveler un nom de domaine seulement quelques jours en juin 2016. La décision est tombée fin septembre 2017, Sorenson Communication doit payer une amende de 3 Millions de dollars. Pourquoi un montant aussi élevé ?

Le nom de domaine qui est retombé dans le domaine public était porteur d’un service critique pour certains usagers ! Il s’agit du « Video Relay System » que les entreprises de télécommunication doivent fournir aux sourds et aux personnes avec des déficiences vocales pour faire des appels vidéo et contacter le numéro d’urgence des Etats-Unis, le 911, en utilisant la langue des signes. Les résidents de l’Utah présentant ces handicaps se sont vus dans l’incapacité d’appeler le 911 pendant 3 jours !

Sorenson Communication s’est en effet rendu compte assez tardivement de son oubli et a fini par renouveler le nom de domaine seulement au bout de 3 jours.

Mais ce genre d’oubli peut être facilement évité, grâce à l’option « renouvellement automatique » pour l’ensemble de votre portefeuille de noms de domaine. Vos noms de domaine critiques, porteurs de services, de site web et/ou de messageries ne seront pas interrompus par un simple oubli de renouvellement.

Sur les 3 millions de dollars d’amende, 252 000$ sont reversés à « The Federal Communication Commission » et 2,7 millions, à la société de « Telecommunications Relay Services Fund », qui a trouvé une solution temporaire pour louer sa bande passante lors de ces 3 jours sensibles.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description