Cyberattaque mondiale par ransomware : l’achat d’un nom de domaine a sauvé nos vies numériques !

Cyberattaque

 

Angleterre, 2017. La cinquième puissance mondiale arrête ses 4 sous-marins atomiques. Panne générale ? Préparation à une attaque quelconque ? Non, l’absence de mise à jour Windows a rendu les systèmes vulnérables.

Bienvenue en 2017 où l’on découvre que la cybersécurité est l’affaire de tous et que peu s’y intéressent. La France découvre à la fois, l’importance des mises à jour Windows, et les initiales de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). L’attaque mondiale qui a touché bon nombre d’institutions résulterait, et le conditionnel est primordial, en une absence de mise à jour de certaines versions du système d’exploitation Windows.

Non, les utilisateurs n’ont pas fait preuve d’irresponsabilité en ne mettant pas à jour leur système Windows : il apparaît que c’est Microsoft qui n’en a pas proposé pour ses « vieux » systèmes d’exploitation. En effet, l’obsolescence programmée est aisée pour un système numérique : dans un monde en mouvement, si vous ne procédez pas aux mises à jour et montées de version, vous devenez vite défaillant et vulnérable. C’est justement ce que Microsoft a fait en stoppant les développements de ses anciens systèmes d’exploitation. En attendant, de nombreuses applications continuent de tourner sur d’illustres systèmes d’exploitation.

Bien sûr, Microsoft a réagi en proposant un patch mais la question de l’obligation de mises à jour pour les systèmes informatiques se pose : comment peut-on stopper l’usage d’un système d’exploitation jugé vulnérable, alors que des clients l’utilisent toujours ? Les spécialistes auront sans doute à débattre prochainement de cette question…

Dans notre histoire, le « ransomware » apparaît avoir été endigué par l’achat d’un nom de domaine comme l’explique Le Monde et The Guardian. Cette affaire montre, une fois de plus, le caractère stratégique des noms de domaine dans notre monde de plus en plus connecté.

 

Un nom de domaine, on doit y penser !

Oakland, Californie. 390.000 habitants, huitième ville de l’État et un nom de domaine non renouvelé (http://www.eastbaytimes.com/2017/04/13/oakland-city-website-down-domain-name-not-renewed/).

 

Oakland, California Logo

 

Pour un journaliste, il y a des marronniers bien connus : le baccalauréat, l’arrivée du froid, l’arrivée du printemps, les risques de déshydratation en plein été,…

Chez les registrars, il y en a plusieurs : quel nom de domaine utiliser ? Quel périmètre défensif adopter et surtout, comment gérer un nom de domaine ?

 

Historiquement, il fallait être sur Internet. Avoir un site web et donc un nom de domaine. C’était majoritairement une personne, « A », qui s’en occupait, avec son adresse professionnelle. Mais lorsque la personne « A » quitte l’entreprise, « B » la remplace. Sans penser à transférer les courriels en question. Première erreur.

Deuxième erreur : l’absence de réflexion quant à la gestion des noms de domaine. Qui doit gérer cet outil numérique devenu actif immatériel ? Le marketing ? La communication ? Le juridique ? L’informatique ? Peu importe. Même si aujourd’hui le service en charge de la propriété intellectuelle est souvent le mieux à même de gérer un portefeuille de noms de domaine et d’influer sur les stratégies de dépôts, il n’y a pas de règles en la matière. La seule chose que nous pouvons vous conseiller, que nous devons vous conseiller, c’est d’adopter une stratégie quant à l’enregistrement et la gestion de noms de domaine. Par exemple, quel service lit ce genre de « news » ?

Du service innovation « on a une idée de marque, on enregistre le nom de domaine », au service comptabilité « on renouvelle les noms de domaine », au service juridique « on a une stratégie réelle quant à la gestion des noms de domaine »,  au service informatique « vers quelle adresse IP dois-je configurer le nom ? » : tous les acteurs doivent être impliqués et savoir qu’il existe une procédure quelque part, et qu’elle doit être appliquée.

 

Finissons sur deux exemples :

Lorsque ZEBANK a été présenté à Bernard Arnault, ce dernier a demandé « avez-vous enregistré le nom ? ». Ce qui n’a pas été le cas.

Malheureusement ce nom de domaine en question avait déjà été enregistré une semaine plus tôt. Il a fallu 30 000 USD pour le racheter.

 

Quand Vivendi, avec J6M, a lancé son portail VIZZAVI, la surveillance des marques et noms de domaine existants n’avait pas été réalisée : l’entreprise dépensera 24 millions de francs pour réaliser un accord de coexistence avec la marque Vis-à-vis, cybercafé parisien, tenu entre autres par le porte-parole des sans-papiers (http://www.leparisien.fr/economie/vivendi-verse-24-millions-pour-proteger-vizzavi-22-07-2000-2001520430.php ).

La transition HTTPS enclenchée

Depuis les récentes annonces de Google sur la nécessité de passer votre site en HTTPS sous peine de déréférencement du web, il est temps pour les DSI d’enclencher la transition. Mais cela n’est pas sans impact sur le référencement, et se prépare en amont.

Les raisons du passage en HTTPS sont assez simples : plus de sécurité pour les internautes, plus de confiance, plus de référencement (si un malware est détecté par Google, le SEO peut être impacté), un meilleur taux de rebond, donc plus de chiffre d’affaires. Et puis de manière pragmatique, si Google le dit…avons-nous vraiment le choix ?

Nous avons trouvé les 10 étapes pour passer en HTTPS sans impacter le SEO, et Dimitri Fontaine, directeur IT de Leboncoin confirme d’ailleurs que leur transition s’était déroulée sans encombre.

  • Acheter et installer un certificat sur le serveur
  • Activer HTTPS sur le serveur
  • Choisir la bonne liste de ciphers
  • Mettre à jour les contenus HTTP en HTTPS (liens internes, images, scripts, pubs, etc)
  • Activer le nouveau site HTTPS sur Search Console
  • Envoyer le nouveau sitemap HTTPS
  • Mettre en place les redirections d’URL HTTP vers les URL HTTPS
  • Tester
  • Configurer Google Analytics en HTTPS afin que les nouvelles visites soient prises en compte sans perdre l’historique
  • Suivre la migration sur Search Console afin de détecter d’éventuelles erreurs

 

Site leboncoin.fr
Site leboncoin.fr

 

Contrairement à ce qu’on pourrait croire, le trafic SEO du site leboncoin.fr est très faible car la plupart de la navigation se fait en trafic direct. Ainsi, le passage en HTTPS de ce site français de petites annonces a été moins stressant que pour d’autres.

Dimitri Fontaine reconnait que l’opération est moins risquée lorsqu’il n’existe pas une forte dépendance au SEO car le changement de protocole entraînera une perte de trafic SEO, même temporaire. En termes de coûts, ils ont été limités car ce site franco-français n’utilise pas de CDN (qui peut engendrer des facturations supplémentaires de la part du fournisseur liées à l’utilisation du HTTPS). Cela implique bien entendu des coûts humains, relatifs au temps passé par les équipes à vérifier le code dans chaque page. La direction de Leboncoin a décidé la migration HTTPS car le rapport coûts/bénéfices est intéressant. Google a annoncé un meilleur référencement, cependant, à ce jour, aucune conséquence sur le SEO n’a pu être mesurée.

La meilleure raison pour passer en HTTPS reste avant tout la sécurité apportée aux utilisateurs du site, apportant une marque de confiance.

Pour plus d’informations sur l’utilisation du HTTPS, retrouvez l’article de Christophe Gérard sur le blog : https://blog.nameshield.com/fr/2017/03/29/vers-un-web-100-crypte-les-nouveaux-challenges-du-https/

D’un « bon nom » découle-t-il un « bon produit » ?

Le lancement d’un nouveau produit est excitant, mais également coûteux. En plus de l’indispensable R&D, de l’étude de marché et des initiatives marketing, tous les produits exigent un nom qui est (idéalement) distinctif et disponible. Trouver le bon nom est une affaire coûteuse qui implique plusieurs étapes : création du nom et du logo, recherche de marques antérieures déposées, validation et stratégie de marque, dépôt et protection de marque etc. Suivant le lieu où vous souhaitez lancer votre produit et par conséquent protéger votre nom de produit, cela va définir les coûts qui s’élèveront probablement entre 5 000€ et 50 000€ voire davantage.

L’échec d’un produit peut être une erreur fatale pour une entreprise. En plus du temps perdu, il peut hanter les entreprises pour les années à venir et avoir des conséquences économiques importantes. L’ouverture du « Museum of Failure » dont le nom est révélateur, en est un exemple parlant. En effet, ce musée suédois ouvrira ses portes en juin pour présenter les échecs liés aux lancements ratés de marques par des entreprises parfois très notoires, et espérons, aider les entreprises à apprendre comment accéder au succès.

Le musée (museumoffailure.se) a pour accroche « Learning is the only way to turn failure into success » (Apprendre est la seule manière de transformer l’échec en succès).

Selon le fondateur Samuel West, même de grandes entreprises compétentes subissent des échecs. Il est important de créer une culture qui accepte et apprend de ses échecs.

Voici quelques exemples exposés qui ont échoué pour diverses raisons, du mauvais design aux produits tout simplement mauvais ou inutiles.

 

Exemples de produits "ratés"

 

Un exemple amusant qui y est présenté, est un jeu de société appelé « Trump, The Game ». Ce jeu est similaire au jeu Monopoly, mais avec des billets Trump dollars, des propriétés Trump et des pièces du jeu en forme de T.

« Trump, The Game » a été lancé en 1989, mais seulement 800 000 pièces ont été vendues à la place des 2 millions prévues. Ce jeu est de nouveau sorti en 2004 mais n’a toujours pas atteint ses objectifs. Le nom déposé à l’époque n’est plus en vigueur, mais bizarrement une nouvelle demande a été déposée aux Etats Unis fin 2016.

 

Trump, The Game

Nouvelles extensions : les premiers signes d’une (R)évolution ?

Les stratégies de dépôt de noms de domaine suivent des logiques parfois ardues à comprendre. Cependant, la logique « moutonnière » est celle que l’on peut aisément observer. Lorsqu’Alphabet (Google) a utilisé pour la première fois son nom de domaine ABC.XYZ, une hausse sensible d’enregistrement avec cette extension a pu être observée. Plus qu’un simple enregistrement, ABC.XYZ a créé chez le public, qu’il soit averti ou non, une interrogation sur l’extension utilisée : « tiens, ils ne sont pas en .COM ? ».

 New gTLD - abc.xyz Alphabet Google

 

Le programme des new gTLDs par l’ICANN a engendré de nombreuses réflexions quant aux politiques de nommage sur Internet. Jusqu’alors, ces extensions étaient peu connues du grand public, malgré un intérêt réel des marques pour communiquer sur le sujet : BNP Paribas, Leclerc et même AXA sont des exemples français qui ont opté pour une extension dédiée.

La création des new gTLDs permet l’enregistrement de noms de domaine en cherchant à donner une signification sur l’activité associée, qu’elle soit géographique ou sectorielle. Ainsi, nous pouvons retrouver un peu d’identification à travers l’adage « je lis le nom de domaine et je sais ce qu’il y a derrière ».

Malgré cette opportunité, peu d’entreprises de grande envergure ont opté aujourd’hui pour l’usage d’une nouvelle extension. Et aucune, à ma connaissance, ne supprime son ancienne adresse pour basculer sur la nouvelle. Ce qui peut d’ailleurs paraître logique en soi. Mais les choses qui paraissaient immuables, sont en train de changer.

DXC, entreprise américaine présente au NYSE (https://www.nyse.com/quote/XNYS:DXC) a migré son nom de domaine court, trois caractères, dxc.com vers dxc.technology. Ce sont nos confrères de DNW qui ont annoncé la nouvelle (http://domainnamewire.com/2017/04/12/20-billion-company-uses-new-tld-website/). Cependant, le service d’adresses électroniques n’a, pour sa part, pas encore migré vers la nouvelle extension.

 

New gTLD - dxc.technology
Exemple de dxc.technology

 

Cette information peut paraître de faible importance. Mais ayons en réflexion, l’impact qu’elle va avoir sur les politiques d’utilisation des nouvelles extensions. En clair, cela commence par le fait qu’elles paraissent suffisamment importantes et sûres pour qu’une entreprise y migre. Attendons la suite ! Ce n’est peut-être que le début d’une tendance de fond sur les stratégies de communication et de nommage sur Internet.

La progression des révolutions technologiques est souvent plus lente que celle initialement prévue, mais leur impact est souvent plus important aussi… Affaire à suivre.

Les objets connectés : incontournables dans les attaques DDoS ?

IoT- Attaques DDoS

 

Aujourd’hui, tous les consommateurs côtoient et utilisent des objets connectés. L’Internet des Objets (IoT) peut comprendre un réfrigérateur, un capteur, une ampoule, des caméras de vidéosurveillance, des routeurs et thermostats connectés. Leur point commun ? De disposer d’une adresse IP et d’être connectés pour communiquer.

D’après la société américaine, Gartner,  d’ici 2020, les objets connectés devraient dépasser les 20,5 milliards d’unités. Nous allons faire face à une croissance phénoménale de l’Internet des Objets dans les années à venir.

La Chine, l’Amérique du Nord et l’Europe occidentale représenteront 67% de l’ensemble de l’Internet of Things (IoT) en 2017.

Toutefois, ces objets connectés sont fréquemment déployés avec des vulnérabilités et une sécurité hasardeuse, une véritable aubaine pour les attaques DDoS. 

Les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) sont aujourd’hui fréquentes. Pour les hackers, il est relativement simple de les mettre en place contre une cible non protégée. Ces attaques sont susceptibles d’engendrer des pertes financières non négligeables pour les sociétés, par l’interruption de service (site web ou boîtes email)  ou encore indirectement, par l’atteinte portée à l’image de la cible (bad buzz, mauvaise réputation…).

Avec l’arrivée des objets connectés, les chances d’être confronté à une attaque DDoS sont élevées.

Ces attaques ont pour but de rendre indisponible un service, par inondation de requêtes. Avec l’aide de nos objets numériques et connectés, les pirates envoient des requêtes en masse sur un ou plusieurs serveurs DNS. Ils arrivent à prendre le contrôle de nos objets à distance, car ils sont porteurs de failles de sécurité. Si les serveurs DNS ne sont pas protégés par un filtrage anti-DDoS puissant, alors les serveurs risquent de ne pas absorber le volume de requêtes et donc de ne plus répondre à la demande de l’utilisateur.

En octobre 2016, la société DYN, fournisseur de service DNS, a été victime d’une attaque DDoS via les objets connectés. Les services d’infrastructure DNS ont été indisponibles et ont donc impacté les services de ses clients: Twitter, Netflix, Spotify …

Plusieurs heures hors ligne, pour ces pure players du web, impactent directement le chiffre d’affaires. DYN affirme que  « des dizaines de millions d’adresses IP étaient impliquées » lors de cette attaque.

La semaine dernière, le Registrar Melbourne IT a également été victime d’une attaque DDoS. Certains de ses clients ont été touchés par cette rupture de service.

Ces attaques risquent d’être plus nombreuses, et plus puissantes en 2017. Avant les attaques étaient menées par des ordinateurs, aujourd’hui, les objets connectés sont une arme incontournable. Heureusement, certains fabricants ont affirmé vouloir renforcer la sécurisation de leurs produits connectés.

Le DNS est une priorité absolue. Il est indispensable de sécuriser ses noms de domaine stratégiques en les plaçant sur des DNS hautement sécurisés, afin de garantir une haute disponibilité permanente. Nameshield propose une solution DNS Premium pour gagner en performance et assurer une disponibilité à 100%.

Et si on parlait de DNSSEC ?

Le DNSSEC est un vieux serpent de mer qui se concrétise et devient indispensable dans les bonnes pratiques de sécurité prônées par l’ANSSI et par le web d’une manière générale. Et pourtant c’est un terme un peu barbare qui fait souvent peur et dont on ne sait pas trop bien comment ça marche et à quoi ça sert. Cet article a pour humble vocation d’éclaircir tout ça.

Le Domain Name System Security Extensions est un protocole de communication standardisé permettant de résoudre des problèmes de sécurité liés au DNS. Il convient donc de commencer par un petit rappel de ce qu’est le DNS.

Qu’est-ce que le DNS ?

Pour faire au plus simple, le Domain Name System (ou Système de Noms de Domaine) est un peu l’annuaire de l’Internet. C’est un service permettant de traduire un nom de domaine en adresses IP. Il s’appuie sur une base de données distribuée sur des millions de machines. L’être humain arrive beaucoup plus facilement à identifier, mémoriser et différencier des noms que des suites de chiffres, le DNS a ainsi été défini et implémenté dans les années 80 pour devenir une brique fondamentale (et souvent oubliée) de l’Internet d’aujourd’hui.

Comment le DNS fonctionne ?

Le DNS va permettre à l’internaute de renseigner dans son navigateur web, un nom de domaine pour accéder à un site web. Le navigateur va alors « résoudre » ce nom de domaine pour obtenir l’adresse IP du serveur web qui héberge ce site web et l’afficher. On appelle ça la « résolution DNS ».

Résolution DNS

Quels sont les risques liés au DNS ?

Pierre angulaire du web, si le DNS tombe, vos sites web et vos e-mails tombent, ce qui de nos jours est purement impensable. D’autres applications peuvent être impactées dans les entreprises : l’accès au VPN, intranet, cloud, VOIP… tout ce qui nécessite potentiellement une résolution de noms vers des adresses IP. Le DNS doit donc être protégé et rester hautement disponible.

Si le protocole DNS a été conçu avec un souci de la sécurité, plusieurs failles de sécurité du protocole DNS ont été identifiées depuis. Les principales failles du DNS ont été décrites dans le RFC 3833 publié en août 2004. Interception de paquets, fabrication d’une réponse, corruption des données, empoisonnement du cache DNS et Déni de service. Je vous renvoie à l’article français de Wikipedia sur le sujet, fort bien documenté.

Pour contrer ces vulnérabilités, le protocole DNSSEC a été développé.

Les enjeux de DNSSEC :

DNSSEC permet de se prémunir de ces différents types d’attaques, en particulier l’empoisonnement du cache, en assurant l’intégrité de la résolution DNS. Les enjeux de DNSSEC ont donc été les suivants :

  • Comment assurer l’intégrité des données et authentifier les DNS (résolveurs/serveurs faisant autorité) tout en conservant la rétrocompatibilité avec DNS ?
  • Comment assurer la sécurité d’accès à la ressource demandée aux milliards d’utilisateurs du web ?
  • Comment trouver une solution assez légère pour ne pas surcharger les serveurs de noms ?

Fonctionnement de DNSSEC :

Pour assurer l’intégrité de la résolution DNS, DNSSEC permet d’établir une chaine de confiance qui remonte jusqu’à la racine du DNS (serveur DNS racine du schéma ci-dessus). La sécurité des données est effectuée à l’aide d’un mécanisme de clés (KSK pour Key Signing Key & ZSK pour Zone Signing Key) qui signe les enregistrements DNS de sa propre zone. Les clés publiques KSK sont alors envoyées au registre correspondant pour être archivées ; le registre étant lui-même lié via DNSSEC au serveur root, la chaine de confiance s’établit. Chaque zone DNS parente, garantit l’authenticité des clés de ses zones filles en les signant.

 

Sans DNSSEC                                     Avec DNSSEC

DNSSEC vs DNS normal

 

DNSSEC, Nameshield et vous :

DNSSEC intervient comme une protection indispensable pour vos noms stratégiques, qui permet de sécuriser l’authenticité de la réponse DNS. Il serait opportun d’étudier les noms qui méritent d’être protégés. Tous les TLDs ne proposent pas encore DNSSEC, voici une liste non exhaustive des principaux, liste très évolutive avec de nombreux ralliements en cours :

Extension supportant actuellement DNSSEC : .fr, .com, .be, .net, .eu, .pl, .re, .pm, .yt, .wf, .tf, .info, .li, .ch, .biz, .de, .sx, .org, .se, .nl, .in, .us, .at, .nu, .la, .ac, .cz, .me, .sh, .io, .uk, .co.uk, .me.uk, .org.uk.

Tous les news gTLDs, comme .paris, .club, .xyz, .wiki, .ink, supportent également DNSSEC.

DNSSEC est inclus sans supplément dans l’offre DNS Premium de Nameshield. Nameshield vous accompagne dans cette démarche pour la sécurisation optimale de vos actifs immatériels et gère l’intégralité du protocole DNSSEC pour vous, de la création, au stockage et au renouvellement des clés.

Ce n’est pas la seule réponse à mettre en place, le système de registry lock, le service DNS Premium, les certificats SSL sont des solutions complémentaires à étudier, que nous aurons l’occasion d’aborder dans d’autres articles ou dans les prochains nameshield.cafe.

Hier vous recherchiez de la confiance, aujourd’hui Google vous impose sa pertinence !

Hier vous recherchiez de la confiance, aujourd’hui Google vous impose sa pertinence

 

1998. La France est en finale de la Coupe du Monde, organisée à domicile. Finale contre le Brésil, Zinedine Zidane marque deux buts de la tête, fin de la première mi-temps. À ce moment-là, vous vous dites que c’est « rapado rapado » (https://www.youtube.com/watch?v=V4ahMgulldo) pour le Brésil et allez vous endormir, fier d’être vous aussi champion du monde.

Le lendemain, à la pause-café, vous apprenez qu’il y a eu un troisième but à la toute fin de la deuxième période. Et à cette époque, vous pouviez aller sur Internet pour savoir qui était ce buteur du triplé. Aujourd’hui, la certitude n’est plus la même. Voyons ensemble.

 

Au XXème siècle, l’information sur Internet passait par le biais de portails auxquels vous pouviez avoir confiance, tant vos petites habitudes faisaient que vous alliez sur tel ou tel site connu de vous. La sensibilisation à la source de l’information était la première de vos préoccupations.

Exemple Hitsme
Exemple : Hitsme, créé en 1998, permettait l’échange de bannières garantissant un certain niveau de confiance via l’identification du DNS

 

Dix-neuf ans plus tard, alors que la France est sixième au classement FIFA (http://fr.fifa.com/fifa-world-ranking/ranking-table/men/), rechercher une information ne s’opère plus de la même façon sur la toile : tapez votre requête sur votre moteur de recherche préféré et le résultat s’offre à vous.

Essayez-donc : saisissez « Classement FIFA » sur Google et vous verrez le tableau. Seulement, la source n’est pas le site de la FIFA que je viens de citer précédemment. Non, il s’agit de les-sports.info, un site Internet pour lequel vous ne savez rien : pas de mentions légales, un design austère. On ne sait pas qui a créé ce site et pourtant vous avez fait confiance à Google lorsque votre moteur de recherche favori vous a présenté directement le classement.

Google - Classement Fifa

 

Vous l’avez compris, nous parlons ici d’une évolution de la recherche d’information sur Internet : avant on cherchait la confiance « je vais sur le journal l’Equipe pour voir les résultats sportifs » alors qu’aujourd’hui vous demandez à Google en espérant que ce dernier sera pertinent ; la confiance a cédé sa place à la pertinence.

Peu importe quand, peu importe qui, peu importe où, n’importe quel site Internet peut être classé dans les premiers résultats de recherche dans Google si son contenu est jugé pertinent par l’algorithme. Et c’est bien là le problème.

Un autre exemple. Combien y a-t-il d’habitants aux îles Pitcairn, l’entité juridique la moins peuplée du monde à avoir un ccTLD ? Demandons à Google : « nombre d’habitants à Pitcairn ». Réponse : 57 en 2014. Merci Google. Génial ce Google ! Mais quelle est la source de ce chiffre ? Google ne le dit pas.

Google - Nb d'habitants à Pitcairn

 

Les habitués de l’informatique l’auront compris : en modifiant l’algorithme de Google, vous saurez modifier la réalité et le comportement des gens.

Souvenons-nous du débat présidentiel en 2007 : Ségolène Royal et Nicolas Sarkozy avaient des chiffres différents concernant la génération de l’EPR, le réacteur nucléaire. Des internautes orientés politiquement avaient alors modifié le contenu de la page Wikipedia idoine (https://www.nextinpact.com/archive/36175-Wikipedia-EPR-generation-Sarkozy-Royal.htm).

Lorsque l’on saisissait « Sarkozy » dans le moteur de recherche en 2005, on tombait sur « Iznogoud » (https://www.generation-nt.com/iznogoud-nicolas-sarkozy-et-google-actualite-8896.html). Comme quoi, Google peut dire ce qu’il veut.

Prenons maintenant vos sites habituels, auxquels vous accordez une certaine confiance. À force de rechercher l’information souhaitée, vous pourrez tomber sur celle ; pertinente ET de confiance. C’est là toute la nuance.

Ce que Google vous dira, ce n’est pas l’information que vous recherchez, ni la vérité mais un résultat pertinent par rapport à votre requête. À partir de là, lorsque les faits passent bien après la réponse pertinente, le monde devient biaisé. Je ne me permettrais pas de montrer l’impact des recherches d’informations dans les récentes élections mais garderai en tête que lorsque la vérité n’est pas bonne, il devient tout à fait possible de la recréer.

Face à ce constat, il est intéressant de se rendre compte du regain d’intérêt de la presse traditionnelle de qualité : après un net recul des abonnements papiers en raison de la profusion d’informations gratuites sur Internet, la presse traditionnelle bénéficie aujourd’hui d’un boom des abonnements, grâce en partie aux « fake news » : Financial Times, New York Times et Washington Post ont ainsi bénéficié d’une hausse d’abonnements (https://www.lesechos.fr/tech-medias/medias/0211943354670-le-financial-times-bat-son-record-dabonnements-digitaux-2077427.php).

En tant que doctorant et étant confronté à des confrères qui affirment que la Terre est plate et que le soleil tourne autour (http://www.jeuneafrique.com/424393/societe/tunisie-these-affirmant-terre-plate-provoque-stupeur-consternation-monde-universitaire/), je ne peux que vous conseiller de prendre en considération cette notion de confiance. Et si ce n’est pas moi qui vous le dis, ce sera peut-être Sir Tim Berners-Lee, le fondateur du World Wide Web (http://www.bbc.com/news/technology-39246810).

Comment traiter de manière appropriée du contenu inapproprié sur Internet ?

Internet est l’endroit idéal pour trouver du contenu de toutes sortes. Des vidéos de chats et de leurs cascades, des mèmes (ce sont des images, des vidéos ou des textes repris, déclinés et diffusés en masse sur Internet), des messages qui incitent à réfléchir sur des modes de vie.

Cependant cette grande disponibilité signifie également une facilité d’accès à une large variété de contenus inappropriés.

Un contenu inapproprié correspond à tout contenu dérangeant, déplacé et simplement inadéquat. Cela peut être des images de violence réelle ou simulée, ou à caractère sexuel explicite.

Récemment, des inquiétudes sont apparues concernant des vidéos YouTube. Ces vidéos ressemblent fortement à des dessins animés populaires mais diffusent du contenu perturbant et inapproprié, ne convenant pas aux enfants. Dans certains cas, ces vidéos sont des parodies, mais parfois il s’agit de cas évidents de violation des droits d’auteur, avec un contenu non autorisé reprenant de populaires personnages de dessins animés, qui ne sont simplement pas, pour la plupart, destinés à un jeune public.

 

Quel serait alors le meilleur moyen d’y faire face ?

Google et les sites de réseaux sociaux proposent des outils permettant de signaler les cas de contenus inappropriés, de violation des droits d’auteur ou de contrefaçon de marque.

L’action en contrefaçon est une procédure légale lancée par l’auteur d’une œuvre, le titulaire d’une marque ou d’un brevet ou par son agent qui y est autorisé. Mais il est essentiel de considérer si le contenu est utilisé de manière raisonnable. Une utilisation raisonnable couvre les adaptations de l’œuvre originale dans le but d’une parodie ou d’un commentaire sur l’œuvre. La parodie d’une œuvre originale se justifie par la liberté d’expression, mais le point essentiel est que le public doit être capable de différencier les deux œuvres. Si le contenu est utilisé de manière raisonnable, il est préférable de ne pas soumettre une action en contrefaçon. Elle serait alors considérée comme une fausse réclamation et pourrait provoquer davantage de parodies. Été 2015, l’artiste Banksy avait lancé le projet du parc d’attractions Dismaland, jouant de manière évidente sur les mots et le concept de Disneyland. Disney est cependant resté (sensiblement) silencieux.

 

Exemple de parodie - Dismaland
Exemple de Dismaland

 

Le contenu inapproprié et perturbant devrait être signalé par l’utilisation d’un système de plateforme. YouTube prend en compte très sérieusement les avis des internautes et facilite le signalement des vidéos aux contenus problématiques. Les vidéos signalées sont manuellement examinées 24/7 et toute vidéo qui n’est pas propice à la diffusion est supprimée dans les heures suivantes. De plus, YouTube dispose d’une application YouTube Kids qui limite l’accès au contenu pour permettre aux enfants de regarder des vidéos sans qu’ils risquent de tomber sur des images inappropriées.

Bien évidemment, aucun filtre n’est sûr à 100%, et rien ne remplace la vigilance. Une surveillance attentive peut aider à s’assurer que votre contenu protégé par un copyright ne soit pas utilisé injustement et vous permet de soumettre un avis de retrait. Mais il n’existe aucun produit qui remplace la vigilance des parents.

 

YouTube

Vers un web 100% chiffré, les nouveaux challenges du HTTPS

Entre mars 2016 et mars 2017, Let’s Encrypt a émis 15 270 certificats SSL contenant le terme « PayPal » ; 14 766 d’entre eux ont été émis pour des domaines menant vers des sites de phishing. C’est le résultat de la récente analyse menée par Vincent Lynch, expert SSL.

Paypal fake or real

Lynch s’est intéressé de près à ce cas à la suite d’un article très intéressant publié par Eric Lawrence (Google Chrome Security Team) en janvier 2017, le visuel ci-dessus est tiré de cet article, dénommé « Certified Malice » qui dénonçait les certificats SSL frauduleux et dénombrait alors « seulement » 709 cas pour PayPal, et bien d’autres sur toutes les plus grandes marques américaines : BankOfAmerica, Apple, Amazon, American Express, Chase Bank, Microsoft, Google…

Quel impact pour l’internaute ?

En Janvier 2017, Google et Mozilla ont mis à jour leur navigateur avec Chrome 56 et Firefox 51, et un changement majeur est intervenu pour les internautes : l’apparition des termes « Sécurisé » ou « Non sécurisé » dans la barre d’adresse.

Vers un web 100% crypté, les nouveaux challenges du HTTPS

En 2015, l’initiative Let’s Encrypt, supportée par les grands noms de l’internet (EFF, Mozilla, Cisco, Akamaï…) voyait le jour avec pour objectif de diffuser en masse et gratuitement des certificats SSL au monde entier. Un an et demi plus tard, Let’s Encrypt a délivré des millions de certificats, et d’autres initiatives de ce type ont suivi.

Qui dit gratuit, dit peu ou pas de vérification pour délivrer les certificats, et toute une armée de cybercriminels qui se sont rués vers ces certificats pour sécuriser leurs contenus illicites : phishing, malware… et afficher ainsi le terme « Sécurisé » dans leur barre d’adresse. Comment l’internaute lambda peut-il facilement différencier le vrai du faux ?

Pour mémoire, il existe trois niveaux de vérification lors de l’émission des certificats permettant d’afficher HTTPS : Domain Validation (DV) considéré comme de l’authentification faible, Organization Validation (OV) à authentification forte et Extended Validation (EV) à authentification renforcée. Les certificats gratuits sont des DV, et représentent près de 90% des certificats, la plupart du temps sur des « petits » sites web. Les certificats OV (9%) et EV (1%) sont peu nombreux mais protègent la quasi-totalité des sites web à très fort trafic. Les GAFA (Google, Apple, Facebook, Amazon) sont tous en OV ou EV par exemple.


Niveaux de vérification lors de l’émission des certificats permettant d’afficher HTTPS

Le problème pour l’internaute est l’absence de différenciation dans les navigateurs entre les certificats DV et OV. Ces deux types sont affichés de la même manière, étant comme « Sécurisés », alors que les certificats EV affichent le nom du titulaire dans la barre d’adresse.

En reprenant le visuel du début de cet article, on comprend aisément l’intérêt du EV pour PayPal : permettre de distinguer facilement le vrai du faux. Et c’est la raison pour laquelle Nameshield conseillera systématiquement l’emploi du EV pour les sites vitrines, en particulier pour ses clients exposés au cybersquatting, phishing ou encore contrefaçon.


Deux forces qui s’opposent pour l’avenir du HTTPS

Malheureusement les choses ne sont pas aussi simples et là où la logique voudrait qu’on différencie clairement les trois types de certificat, ou en tout cas au moins deux types (DV/OV), Google ne l’entend pas de cette oreille et souhaite à l’inverse supprimer cette notion d’affichage EV. Chris Palmer (Senior Software Engineer pour Chrome) le confirme à demi-mot dans son article paru ici.

Nous sommes donc aujourd’hui dans une situation où les Autorités de Certification historiques, Microsoft et dans une moindre mesure Apple, font face à Google, Mozilla et Let’s Encrypt dans une vision que l’on peut résumer comme suit :

Vision de Google/Mozilla/Let’s Encrypt :

HTTP = Non Sécurisé

HTTPS = Sécurisé

Vision des AC historiques/Microsoft/Apple :

HTTP = Non Sécurisé

HTTPS DV = pas d’indicateur dans la barre d’adresse

HTTPS OV = Sécurisé

HTTPS EV = Nom de la société dans la barre d’adresse

La discussion est ouverte en ce moment même, au sein de l’instance supérieure du SSL qu’est le CAB/forum. On peut facilement comprendre que les Autorités de Certification voient d’un très mauvais œil la fin de la différenciation visuelle entre DV/OV/EV dans les navigateurs, c’est leur raison d’être de délivrer des certificats à authentification forte, mais est-ce seulement un tort ? Il s’agit quand même de rassurer l’internaute en lui garantissant l’identité du site qu’il visite.

A l’inverse, Google et Let’s Encrypt n’hésitent pas à dire que les notions de phishing et de garantie de contenu des sites web, ne sont pas du ressort des Autorités de Certification, et que d’autres systèmes existent (par exemple, Google Safe Browsing), et qu’en conséquence il faut avoir une vision binaire : les échanges sont chiffrés et inviolables (= HTTPS = Sécurisé) ou ils ne le sont pas (= HTTP = Non sécurisé). On peut simplement se demander si au travers de cette vision qui se défend également, ce n’est pas plutôt un problème de sémantique du terme employé : Sécurisé.

Que veut dire « Sécurisé » pour l’internaute ? Est-ce qu’en voyant « Sécurisé » dans sa barre d’adresse, il sera enclin à entrer ses login/password ou son numéro de carte bancaire ? On peut penser que oui et dans ce cas, le risque actuel est bien présent. Kirk Hall (Director Policy and Compliance – SSL, Entrust) a fait une intervention remarquée à la dernière conférence RSA sur ce sujet (si vous avez un peu de temps, l’enregistrement est ici).

Enfin, il ne faut pas négliger le poids de l’industrie financière ni des grandes marques qui voient d’un très mauvais œil l’augmentation du risque de fraude en ligne et que ne peut décemment pas totalement ignorer Google.

Comment rassurer l’internaute ?

Pour le moment nous ne pouvons que vous encourager à opter pour les certificats Extended Validation pour vos sites vitrines et/ou de e-commerce afin de faciliter la tâche des internautes et à rester à l’écoute de ce qui se passe sur le web. Rassurer et éduquer également les internautes en n’hésitant pas à mentionner sur vos sites les choix que vous faites en termes de sécurité et d’authentification.

Au même titre que vous surveillez certainement les dépôts de nom de domaine sur vos marques, vous pouvez aujourd’hui également surveiller les enregistrements de certificats, et ce pour réagir rapidement.

Et en tant qu’internaute, lorsque le terme « sécurisé » est mentionné dans la barre d’adresse, systématiquement contrôlez les détails du certificat pour voir qui en est le titulaire.