Blog Nameshield

DNS – le grand oublié de l’Internet

« Le DNS continue à être l’un des services Internet les plus ciblés, et reste le talon d’Achille de l’infrastructure Internet mondiale. Non seulement le DNS a été le protocole le plus utilisé cette année pour les attaques DDoS par réflexion/amplification, mais on peut aussi noter qu’une seule attaque ciblant un fournisseur de DNS spécifique, a été la cause d’une des interruptions de trafic les plus importantes de 2016 [NDLR : attaque sur le prestataire Dyn qui a rendu inaccessible durant une dizaine d’heures une grande partie d’Internet aux USA, touchant notamment Twitter, Ebay, Netflix, Amazon, PayPal… en octobre 2016]. »

Arbor Network Infrastructure Security Report – Juin 2017.

Mais, qu’est-ce que le DNS ?

Parce que l’être humain est bien plus apte à retenir un nom que des chiffres, et parce que c’est encore plus vrai pour se rendre sur un site Internet entre un nom de domaine (www.nameshield.net) et une adresse IP (256.17.28.192), l’être humain, pour se faciliter la vie, a créé le DNS : Domain Name System (ou Service).

Par exemple : « Je veux aller sur Google.com, mon navigateur va demander au DNS quelle est l’adresse IP du serveur web qui héberge google.com, il va l’obtenir, s’y rendre et télécharger la page. »

Le DNS est une base de données publique, décentralisée et répartie, qui associe des noms de domaine à des adresses IP. Il existe depuis 1985. C’est une pièce que l’on pourrait qualifier d’infrastructure de l’Internet, indispensable à celui-ci pour fonctionner… et pourtant le DNS est invisible pour l’utilisateur.

Le DNS a été massivement adopté parce qu’il est pratique. Il simplifie la vie de l’internaute et lui permet de facilement identifier, différencier, repérer, mémoriser et transmettre le nom de domaine d’un site web associé à une marque. Il a aussi été adopté de l’autre côté du miroir par les administrateurs réseaux pour identifier et différencier des serveurs, c’est encore plus vrai avec IPv6, avec la multiplication des hosts et l’arrivée du tout connecté. Le DNS leur permet enfin et surtout de pouvoir changer des serveurs et adresses IP en toute transparence pour l’internaute.

Le DNS est tellement omniprésent que sans le DNS, l’Internet tombe ! Tout le monde doit pouvoir y accéder sinon le web ne fonctionnerait plus. C’est ce qui est arrivé en 2016 à nos compatriotes américains qui ont dû se passer de Twitter ou d’acheter frénétiquement pendant près de 10h. Le manque à gagner en terme de chiffre d’affaires et l’impact sur l’image de marque des sociétés impactées ont été considérables.

Mais comme il est invisible, tout le monde a tendance à l’oublier… et à s’en rendre compte lorsqu’il est trop tard.

Les services stratégiques qui dépendent du DNS et les risques associés

Sites web et email sont les deux services majeurs qui dépendent systématiquement du DNS. Imaginez votre site web inaccessible pendant 1 minute, 10 minutes, 1 heure… et les conséquences pour votre entreprise, chiffre d’affaires, discontinuité de service, image de marque, perte de clientèle. Et quelles conséquences pour une absence d’emails sur ces mêmes durées…

Si ces deux services sont les plus potentiellement impactés, d’autres peuvent dépendre du DNS : VPN, VOIP, Messagerie Instantanée… avec des conséquences peut-être moindres mais tout aussi fâcheuses pour le fonctionnement de l’entreprise.

Les attaques sur les DNS

Malheureusement les serveurs DNS sont exposés à de nombreuses attaques potentielles :

– Cache poisoning : faire croire aux serveurs DNS qu’ils reçoivent une réponse valide à une requête qu’ils effectuent, alors qu’elle est frauduleuse. Une fois le DNS empoisonné, l’information mise en cache rend vulnérables tous les utilisateurs (renvoie vers un faux site).

– Man in the middle : l’attaquant altère le ou les serveurs DNS des parties de façon à rediriger vers lui leurs communications sans qu’elles ne s’en aperçoivent.

– DNS Spoofing : rediriger les internautes à leur insu vers des sites pirates.

– DDoS : les DNS sont de plus en plus ciblés par les attaques DDoS afin de les saturer et les empêcher d’assurer la résolution des services clés de l’entreprise.

Et toutes ces attaques ont les mêmes conséquences : détourner ou stopper le trafic des entreprises.

Le grand oublié

Du point de vue de l’internaute, le DNS n’existe pas, celui-ci utilise le système de nommage des noms de domaine pour naviguer et envoyer des emails, il n’a qu’un besoin, que ça marche !

Du côté des entreprises, le problème est différent, il s’agit souvent d’un manque d’information, d’une absence de conscience de l’importance du DNS et des conséquences d’une coupure de service. Dans la plupart des cas, les entreprises n’y font pas réellement attention. Elles vont utiliser un budget important pour enregistrer et gérer des noms de domaine pour augmenter leur visibilité et protéger leurs marques, mais ne vont pas s’attarder sur la robustesse des serveurs DNS mis à leur disposition par leur prestataire.

Les bonnes pratiques à mettre en place : disposer d’une infrastructure DNS de premier ordre

Avant tout, se poser la question de savoir si vos noms de domaine stratégiques bénéficient d’ores et déjà d’une attention particulière du côté de l’infrastructure DNS. Est entendu par stratégique, l’ensemble des noms de domaine sur lesquels reposent le trafic des services clés de la société : sites web, email, VPN, messagerie instantanée…

Acquérir sa propre infrastructure DNS est une solution qui présente les avantages de la flexibilité et du contrôle, mais le coût d’acquisition, gestion et maintien d’un côté, la complexité et le savoir nécessaire de l’autre, sont souvent rédhibitoires ou mal évalués. Il est souvent plus facile de s’orienter vers une infrastructure DNS externe gérée par un registrar, un hébergeur ou un prestataire spécialisé. Il convient alors de vérifier quel taux de disponibilité annuel est garanti et comment il s’appuie sur les bonnes pratiques pour une disponibilité maximale.

Pour assurer une haute disponibilité à vos services Internet, il est crucial de choisir une solution DNS hautement disponible, qui offre :

– les fonctionnalités nécessaires à une utilisation intensive du DNS ;

– un réseau de type anycast pour diminuer le temps de résolution DNS et assurer un temps d’accès à vos sites optimal ;

– une infrastructure DNS sécurisée et restant disponible même en cas d’attaque

– des fonctionnalités clés telles que : GeoIP, Failover, Registry lock, DNSSEC, filtrage anti-DDoS intelligent…

Conclusion :

Le DNS ne se voit pas mais il est partout, il garantit l’accès à vos services clés via la résolution de vos noms de domaine stratégiques, il est potentiellement exposé à de nombreuses attaques aux conséquences désastreuses, et il manque trop souvent d’attention de la part des entreprises. Alors… ne l’oubliez pas et parlez-en le cas échéant à votre interlocuteur Nameshield.

Les noms de domaine – emoji, nouvel eldorado pour les domainers ?

Les noms de domaine, on n’en finirait pas de vanter les mérites de ces petits constituants numériques, immatériels par leurs présences mais actifs par leurs valeurs ! Lorsque l’on voit les revenus engendrés par des noms tels que sex.com ou hotels.com, on peut aisément s’imaginer pourquoi le second marché est actif !

Mais revenons-en à la paix. La paix dans le monde, voilà un objectif de vie. Voilà également un actif immatériel : le nom de domaine « xn--v4h.com » a été vendu 3400€ par le biais de la plate-forme Sedo. En effet, ce nom de domaine que l’on verra s’afficher en tant que « ☮.COM » est un nom de domaine ‘emoji’, terme qui fait fureur en ce moment. En prenant connaissance des raisons qui ont poussé l’acheteur à acquérir ce terme, on notera la référence à Sun Tzu : ce stratège militaire a écrit « l’art de la guerre » où l’on apprenait qu’un bon général utilise la force de l’ennemi…

Noms de domaine emoji - Site internet de Sonshi.com — Site internet de Sonshi : ☮.com

Au-delà de l’aspect anecdotique de cette vente, se pose ici la question des noms de domaine porteurs de symboles, communément appelés emoji.

Existant depuis des années, mais popularisés par l’iPhone d’Apple, les emoji permettent de faire passer un message plus rapidement et facilement qu’un texte, où la notion de second degré est parfois compliquée. Si en Israël on statue sur la nature de l’emoji, on peut se demander jusqu’où ira cette mode ? S’il devient acceptable d’envoyer des emails professionnels avec un smiley, peut-on imaginer demain envoyer des emoji comme on le fait à titre privé ?

Le groupe « sécurité » de l’ICANN a récemment statué sur les emoji : il est ardu de faire la différence entre eux, tant les différences sont compliquées. En effet, l’extension .WS était devenue la première extension à supporter les emoji, suite à un concours de GoDaddy, le fameux registrar américain. S’en était suivie une emoji-mania, jusqu’à la réaction de l’ICANN.

Tout ceci nous laisse sans voix devant les évolutions de langage, tant les possibilités permises avec les emoji sont légion. Mais finissons cet article par un pari : combien de candidatures emoji seront présentées à l’ICANN ? Verra-t-on d’illustres enchères pour le « .EMOJI-SOURIRE » telles que pour le .WEB ? L’histoire le dira !

Lancement d’un dot brand pour le plus gros site e-commerce français

OUIGO – Photo de Kabelleger / David Gubler

Il y a deux semaines, la SNCF annonçait qu’elle lançait un important programme de rebranding autour du terme « OUI ». Nous connaissions déjà OUIGO pour les trains low costs, et OUIBUS pour les lignes de bus longues distances, nous découvrons désormais INOUI, les TGV nouvelles générations munis de wifi.

L’objectif de la SNCF est d’avoir une offre plus claire et se distinguer de la concurrence. Le monopole de la SNCF sur les lignes ferroviaires s’arrête en 2021 et il est temps de se différencier. « TGV » est un terme trop générique qui n’est pas suffisamment distinctif.

En plus du changement de dénomination, la SNCF a annoncé le lancement d’un nouveau site internet : oui.sncf. La nouvelle marque ayant été plutôt (très) mal accueillie par la webosphère, le changement de site est tout aussi risqué. D’une part, un changement de site internet implique forcément une perte de trafic et un nouveau travail de référencement, ce qui rend la tâche risquée et difficile. D’autre part, changer de site pour utiliser une nouvelle extension internet, encore mal connue des internautes, implique un risque de confusion pour ces derniers.

On ne peut que saluer cette prise de risque de la part de la SNCF, qui suit la tendance de BNPPARIBAS, précurseur sur le lancement d’un site français en dot brand (mabanque.bnpparibas).

Compte Twitter de oui.sncf

Mais alors, c’est quoi un dot brand ? et à quoi ça sert ?

Avant 2013, le commun des mortels savait reconnaître des URL grâce à leurs extensions .com, .fr etc. Depuis 2013, en plus de ces 300 extensions existantes, ont commencé à voir le jour des extensions du type .hotel, .pizza, .paris etc.

Ce sont près de 28 millions de noms de domaine qui sont enregistrés, pour 1215 extensions existantes. Parmi les plus enregistrées depuis leur lancement, on compte le .xyz avec plus de 6 millions d’enregistrements, le .top avec 4.5 millions d’enregistrements, le .loan avec 1.7 millions d’enregistrements, suivis par le .win (1.1 millions), le .wang (1 million), .club, .site, .online, .bid, .vip (tous à moins d’un million).

Parmi celles-ci, on trouve des extensions qui correspondent à des marques (.total, .alstom, .bnpparibas, .mango, .sncf etc). Certaines entreprises (dont une trentaine d’entreprises françaises) ont souhaité détenir leur propre extension afin de capitaliser sur leur marque phare. La plupart d’entre elles ont voulu sécuriser leur espace de nommage (limiter les intermédiaires dans la chaîne des acteurs intervenants sur l’enregistrement d’un nom de domaine). Le but aussi est d’avoir un nom de domaine réellement distinctif et rassurant pour le consommateur final. Les marques en ont assez de se battre contre le cybersquatting, cela représente un coût important et ne limite pas suffisamment les dégâts. Le message des marques détentrices d’un dot brand est le suivant : si vous n’êtes pas sur un site en .hermes, c’est que vous n’achetez pas du Hermès. Il va bien sûr falloir évangéliser les internautes afin de redoubler de prudence lors de leur navigation, et cela passe par la vérification du nom de domaine.

Ainsi, et peu importe la raison première de ce choix, SNCF peut être fière de faire partie des premières sociétés françaises à communiquer et utiliser véritablement son .sncf.

Selon le Parisien, le site a généré un chiffre d’affaires de 4,6 milliards d’euros en 2016 et devrait atteindre 5,5 milliards d’euros en 2020. Le nombre de billets vendus en 2016 était de 86 millions, avec des pics jusqu’à 240000 billets par jour. Le nouveau site inclura le moteur d’Intelligence Artificielle pour suggérer le voyage qui correspond le mieux à vos préférences et à votre comportement passé.

Pour l’instant, le nom de domaine oui.sncf est fonctionnel et redirige vers voyages-sncf.com.

Le goût amer d’un litige de confiseries

La semaine dernière, la Cour d’Appel de Grande-Bretagne a statué sur la longue bataille en cours entre Nestlé et Cadbury (appartenant à Mondelez) sur la tentative d’enregistrer la forme de la barre KitKat au Royaume-Uni. Les marques déposées ont besoin d’être « un signe d’origine ». En particulier, l’enregistrement des marques de forme, demande la preuve d’une distinction acquise pour montrer que les consommateurs se fient à la forme pour reconnaître le produit d’origine.

La Cour britannique a statué que ce n’est pas le cas pour la forme de la barre en chocolat de KitKat. Le simple fait que les consommateurs reconnaissent la marque est insuffisant et le déposant doit démontrer qu’une partie significative du public concerné se fie à la forme du produit pour indiquer son origine.

Une fois de plus, cela montre comment les demandes d’enregistrements de marques non traditionnelles sont plus exposées aux objections pour manque de caractère distinctif.

Il est pourtant intéressant que le secteur continue de mener ces batailles coûteuses. La plupart d’entre nous regardent ces litiges comme sans importance et une perte d’argent mais les parties concernées les voient comme une bataille pour obtenir un atout essentiel sur le marché. L’industrie de la confiserie est extrêmement compétitive – le but est de protéger votre marque et les droits de Propriété Intellectuelle associés pour empêcher les autres marques d’empiéter sur votre espace.

Il y a un certain nombre d’enregistrements de marques de forme et plusieurs d’entre eux ont vu un certain niveau de conflit en matière de dépôt de marque.

Quelques exemples de marques de forme connues :

Le fabricant du Lapin Or de Lindt, a lancé un nouveau produit, un ours en chocolat. Haribo, qui a inventé les bonbons gélifiés en forme d’ourson dans les années 20, affirme que cela va perturber les acheteurs, bien que l’Ours Lindt soit en chocolat alors que les Ours Haribo sont des sucreries en gélatine.

Exemples de marques de couleur :

Ces deux nuances de violet sont utilisées pour des produits en chocolat et sont détenues par Kraft/Mondelez. Pourtant il y a une bataille en cours entre Nestlé et Cadbury sur la légitimité d’utilisation en tant que marque déposée. Le public britannique fait le lien entre la nuance de violet et Cadbury depuis plus d’un siècle, de la même manière que la nuance de Milka est bien reconnue par une plus large audience de consommateurs européens.

Cyber-blurring : la technique mise en place par l’équipe de Macron face aux cyberattaques

A deux heures de la clôture de la campagne pour l’élection présidentielle 2017, le 5 mai 2017, des dizaines de milliers de documents appartenant à l’équipe de campagne d’Emmanuel Macron ont fuité et ont été rendus publics sur le forum américain 4Chan, relayés par WikiLeaks. Les réseaux sociaux ont joué un rôle important dans la diffusion de cette attaque et du contenu des documents : des discussions internes du mouvement, des notes de synthèses, des photos, des factures ainsi que sa comptabilité. Cela représente 9 gigaoctets de données piratées.

Les équipes du candidat d’En Marche n’étaient pas confrontées à leur première attaque depuis le début de la campagne présidentielle. Alertées depuis longtemps sur de potentiels risques d’attaque, elles ont mis en place la stratégie du cyber-blurring (qui signifie cyber flou) pour essayer de se défendre. Cette technique consiste à créer une quantité massive de faux documents (faux emails, faux mots de passe, faux comptes) pour tenter de ralentir le travail des hackers. Cette parade est souvent utilisée dans le milieu bancaire, pour protéger leurs clients. Cette technique de diversion est aussi appelée floutage numérique.

Twitter L'Express - Mounir Mahjoubi - cyber-blurring pour faire face aux cyberattaques — Compte Twitter de L’Express

Même si le directeur de la campagne numérique d’En Marche, Mounir Mahjoubi, pense avoir considérablement ralenti le travail des hackers par cette technique de cyber-blurring, malgré ces précautions, l’attaque n’a pas été empêchée.

Les pirates informatiques n’ont pas cherché à demander une somme d’argent en échange de la non publication des documents. Ces documents non compromettants pour l’équipe d’Emmanuel Macron, n’étaient pas monétisables car il fallait s’amuser à trier 9 gigaoctets en peu de temps.

Les conséquences sont minimes sur l’impact de la campagne présidentielle et l’équipe d’En marche n’a pas été réellement touchée. Cette contre-offensive a été bien mise en place. Les pirates anti-Macron n’ont pas eu le succès souhaité. En revanche, cet échec va les pousser à être encore bien plus malins, plus ingénieux, moins visibles, mieux préparés pour une prochaine attaque.

To be continued.

Mastodon : Quid du cybersquatting ?

La communication par les réseaux sociaux fait l’objet de craintes justifiées de la part des titulaires de marques. En effet, la création des noms d’utilisateur appelé « username » ne fait l’objet d’aucune protection juridique préalable. Concrètement, il faut que le titulaire enregistre ou récupère le « username » correspondant à sa marque ou bien démontre au réseau social que l’utilisation qui est faite de sa marque est un cas de malveillance. Bref, une activité chronophage…

Mastodon, réseau social datant de plusieurs mois et « hype » depuis quelques jours fait l’objet de quelques articles variés sur sa nature, son fonctionnement, son but. Mais qu’en est-il de la protection des marques associées ?

Mastodon est un réseau social créé par Eugen Rochko, développeur allemand de 24 ans. Clone de Twitter où les caractères sont limités à 500, Mastodon est gratuit, open source et surtout décentralisé. C’est sur ce dernier terme que nous allons nous intéresser. Il est possible d’accéder à Mastodon à travers son site ‘officiel’ ‘de base’ mastodon.social.

Cependant, mastodon.social n’est qu’une instance, vous pouvez en utiliser d’autres, telles que mastodon.fun, développée à Angers. Vous choisissez un username sur une instance et votre username complet sera @username@instance. Gardez à l’esprit que les instances sont raccordables entre elles donnant le terme de fédération.

Vu que tout le monde peut créer une instance, vous avez deux possibilités cumulables :

soit vous enregistrez votre marque pour toutes les instances existantes (il y a plus de 2000 instances à l’heure actuelle et ce n’est qu’un début) ;
soit vous créez votre instance, fermée, qui correspond à votre marque.

Vous l’avez compris, c’est bien la deuxième option que je vous suggère : vu qu’il n’existe pas de certification sur Mastodon, tout le monde peut être n’importe qui. Mais en créant une instance qui corresponde à votre nom de domaine principal, vous créez cette certification !

Évidemment, les titulaires de .BRAND ont tout intérêt à créer social.BRAND afin d’avoir une instance dédiée qui permettrait de mettre en avant leur TLD, de type @pierre.dupont@social.brand

Plus d’infos sur Mastodon ? N’hésitez pas à nous contacter pour tout renseignement complémentaire.

Cyberattaque mondiale par ransomware : l’achat d’un nom de domaine a sauvé nos vies numériques !

Angleterre, 2017. La cinquième puissance mondiale arrête ses 4 sous-marins atomiques. Panne générale ? Préparation à une attaque quelconque ? Non, l’absence de mise à jour Windows a rendu les systèmes vulnérables.

Bienvenue en 2017 où l’on découvre que la cybersécurité est l’affaire de tous et que peu s’y intéressent. La France découvre à la fois, l’importance des mises à jour Windows, et les initiales de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). L’attaque mondiale qui a touché bon nombre d’institutions résulterait, et le conditionnel est primordial, en une absence de mise à jour de certaines versions du système d’exploitation Windows.

Non, les utilisateurs n’ont pas fait preuve d’irresponsabilité en ne mettant pas à jour leur système Windows : il apparaît que c’est Microsoft qui n’en a pas proposé pour ses « vieux » systèmes d’exploitation. En effet, l’obsolescence programmée est aisée pour un système numérique : dans un monde en mouvement, si vous ne procédez pas aux mises à jour et montées de version, vous devenez vite défaillant et vulnérable. C’est justement ce que Microsoft a fait en stoppant les développements de ses anciens systèmes d’exploitation. En attendant, de nombreuses applications continuent de tourner sur d’illustres systèmes d’exploitation.

Bien sûr, Microsoft a réagi en proposant un patch mais la question de l’obligation de mises à jour pour les systèmes informatiques se pose : comment peut-on stopper l’usage d’un système d’exploitation jugé vulnérable, alors que des clients l’utilisent toujours ? Les spécialistes auront sans doute à débattre prochainement de cette question…

Dans notre histoire, le « ransomware » apparaît avoir été endigué par l’achat d’un nom de domaine comme l’explique Le Monde et The Guardian. Cette affaire montre, une fois de plus, le caractère stratégique des noms de domaine dans notre monde de plus en plus connecté.

Un nom de domaine, on doit y penser !

Oakland, Californie. 390.000 habitants, huitième ville de l’État et un nom de domaine non renouvelé (http://www.eastbaytimes.com/2017/04/13/oakland-city-website-down-domain-name-not-renewed/).

Pour un journaliste, il y a des marronniers bien connus : le baccalauréat, l’arrivée du froid, l’arrivée du printemps, les risques de déshydratation en plein été,…

Chez les registrars, il y en a plusieurs : quel nom de domaine utiliser ? Quel périmètre défensif adopter et surtout, comment gérer un nom de domaine ?

Historiquement, il fallait être sur Internet. Avoir un site web et donc un nom de domaine. C’était majoritairement une personne, « A », qui s’en occupait, avec son adresse professionnelle. Mais lorsque la personne « A » quitte l’entreprise, « B » la remplace. Sans penser à transférer les courriels en question. Première erreur.

Deuxième erreur : l’absence de réflexion quant à la gestion des noms de domaine. Qui doit gérer cet outil numérique devenu actif immatériel ? Le marketing ? La communication ? Le juridique ? L’informatique ? Peu importe. Même si aujourd’hui le service en charge de la propriété intellectuelle est souvent le mieux à même de gérer un portefeuille de noms de domaine et d’influer sur les stratégies de dépôts, il n’y a pas de règles en la matière. La seule chose que nous pouvons vous conseiller, que nous devons vous conseiller, c’est d’adopter une stratégie quant à l’enregistrement et la gestion de noms de domaine. Par exemple, quel service lit ce genre de « news » ?

Du service innovation « on a une idée de marque, on enregistre le nom de domaine », au service comptabilité « on renouvelle les noms de domaine », au service juridique « on a une stratégie réelle quant à la gestion des noms de domaine », au service informatique « vers quelle adresse IP dois-je configurer le nom ? » : tous les acteurs doivent être impliqués et savoir qu’il existe une procédure quelque part, et qu’elle doit être appliquée.

Finissons sur deux exemples :

Lorsque ZEBANK a été présenté à Bernard Arnault, ce dernier a demandé « avez-vous enregistré le nom ? ». Ce qui n’a pas été le cas.

Malheureusement ce nom de domaine en question avait déjà été enregistré une semaine plus tôt. Il a fallu 30 000 USD pour le racheter.

Quand Vivendi, avec J6M, a lancé son portail VIZZAVI, la surveillance des marques et noms de domaine existants n’avait pas été réalisée : l’entreprise dépensera 24 millions de francs pour réaliser un accord de coexistence avec la marque Vis-à-vis, cybercafé parisien, tenu entre autres par le porte-parole des sans-papiers (http://www.leparisien.fr/economie/vivendi-verse-24-millions-pour-proteger-vizzavi-22-07-2000-2001520430.php ).

La transition HTTPS enclenchée

Depuis les récentes annonces de Google sur la nécessité de passer votre site en HTTPS sous peine de déréférencement du web, il est temps pour les DSI d’enclencher la transition. Mais cela n’est pas sans impact sur le référencement, et se prépare en amont.

Les raisons du passage en HTTPS sont assez simples : plus de sécurité pour les internautes, plus de confiance, plus de référencement (si un malware est détecté par Google, le SEO peut être impacté), un meilleur taux de rebond, donc plus de chiffre d’affaires. Et puis de manière pragmatique, si Google le dit…avons-nous vraiment le choix ?

Nous avons trouvé les 10 étapes pour passer en HTTPS sans impacter le SEO, et Dimitri Fontaine, directeur IT de Leboncoin confirme d’ailleurs que leur transition s’était déroulée sans encombre.

Acheter et installer un certificat sur le serveur
Activer HTTPS sur le serveur
Choisir la bonne liste de ciphers
Mettre à jour les contenus HTTP en HTTPS (liens internes, images, scripts, pubs, etc)
Activer le nouveau site HTTPS sur Search Console
Envoyer le nouveau sitemap HTTPS
Mettre en place les redirections d’URL HTTP vers les URL HTTPS
Tester
Configurer Google Analytics en HTTPS afin que les nouvelles visites soient prises en compte sans perdre l’historique
Suivre la migration sur Search Console afin de détecter d’éventuelles erreurs

Contrairement à ce qu’on pourrait croire, le trafic SEO du site leboncoin.fr est très faible car la plupart de la navigation se fait en trafic direct. Ainsi, le passage en HTTPS de ce site français de petites annonces a été moins stressant que pour d’autres.

Dimitri Fontaine reconnait que l’opération est moins risquée lorsqu’il n’existe pas une forte dépendance au SEO car le changement de protocole entraînera une perte de trafic SEO, même temporaire. En termes de coûts, ils ont été limités car ce site franco-français n’utilise pas de CDN (qui peut engendrer des facturations supplémentaires de la part du fournisseur liées à l’utilisation du HTTPS). Cela implique bien entendu des coûts humains, relatifs au temps passé par les équipes à vérifier le code dans chaque page. La direction de Leboncoin a décidé la migration HTTPS car le rapport coûts/bénéfices est intéressant. Google a annoncé un meilleur référencement, cependant, à ce jour, aucune conséquence sur le SEO n’a pu être mesurée.

La meilleure raison pour passer en HTTPS reste avant tout la sécurité apportée aux utilisateurs du site, apportant une marque de confiance.

Pour plus d’informations sur l’utilisation du HTTPS, retrouvez l’article de Christophe Gérard sur le blog : https://blog.nameshield.com/fr/2017/03/29/vers-un-web-100-crypte-les-nouveaux-challenges-du-https/

D’un « bon nom » découle-t-il un « bon produit » ?

Le lancement d’un nouveau produit est excitant, mais également coûteux. En plus de l’indispensable R&D, de l’étude de marché et des initiatives marketing, tous les produits exigent un nom qui est (idéalement) distinctif et disponible. Trouver le bon nom est une affaire coûteuse qui implique plusieurs étapes : création du nom et du logo, recherche de marques antérieures déposées, validation et stratégie de marque, dépôt et protection de marque etc. Suivant le lieu où vous souhaitez lancer votre produit et par conséquent protéger votre nom de produit, cela va définir les coûts qui s’élèveront probablement entre 5 000€ et 50 000€ voire davantage.

L’échec d’un produit peut être une erreur fatale pour une entreprise. En plus du temps perdu, il peut hanter les entreprises pour les années à venir et avoir des conséquences économiques importantes. L’ouverture du « Museum of Failure » dont le nom est révélateur, en est un exemple parlant. En effet, ce musée suédois ouvrira ses portes en juin pour présenter les échecs liés aux lancements ratés de marques par des entreprises parfois très notoires, et espérons, aider les entreprises à apprendre comment accéder au succès.

Le musée (museumoffailure.se) a pour accroche « Learning is the only way to turn failure into success » (Apprendre est la seule manière de transformer l’échec en succès).

Selon le fondateur Samuel West, même de grandes entreprises compétentes subissent des échecs. Il est important de créer une culture qui accepte et apprend de ses échecs.

Voici quelques exemples exposés qui ont échoué pour diverses raisons, du mauvais design aux produits tout simplement mauvais ou inutiles.

Un exemple amusant qui y est présenté, est un jeu de société appelé « Trump, The Game ». Ce jeu est similaire au jeu Monopoly, mais avec des billets Trump dollars, des propriétés Trump et des pièces du jeu en forme de T.

« Trump, The Game » a été lancé en 1989, mais seulement 800 000 pièces ont été vendues à la place des 2 millions prévues. Ce jeu est de nouveau sorti en 2004 mais n’a toujours pas atteint ses objectifs. Le nom déposé à l’époque n’est plus en vigueur, mais bizarrement une nouvelle demande a été déposée aux Etats Unis fin 2016.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description