Chaque mois, l'actualité mondiale des noms de domaine


Pour vous abonner à DNS News

Pour vous abonner gratuitement à DNS News, veuillez écrire à

dnsnews-subscribe@yahoogroups.com


Qui sommes-nous?

Loïc Damilaville


Editeur de DNS News depuis 1998, Loïc Damilaville travaille depuis 1997 sur les problématiques liées aux noms de domaine.

Il a fondé en 2005 le Club Noms de domaine, destiné à réunir les personnes en charge des noms de domaine au sein des grandes enteprises.

Il est auteur du Livre blanc sur la gestion des noms de domaine parrainé par l'ACSEL, l'AFNIC, l'APCE, l'APRAM, la CCIP, le CEFAC, le CIGREF, le Club de l'économie numérique, l'INPI, l'ISOC France, le MEDEF, le Ministère de l'économie, des finances et de l'emploi, et l'Union des Fabricants.

Loïc Damilaville est adjoint au directeur général de l'AFNIC.

Il mène aussi des missions de conseil auprès des grands comptes pour les assister dans l'élaboration, la mise en place et le suivi de leurs stratégies de nommage et de présence sur internet.

Contact:
loic[at]dns-news.fr
ou 01 49 73 79 06

Edito Février 2019 : le petit monde des noms de domaine en guerres



Etat statistique des nTLDs au samedi 01/03/19 (données publiées)

Les nTLDs ont perdu du stock pour le 2e mois consécutif, passant en dessous de leur niveau de début décembre 2018. Ce qui attire l’attention, au-delà de ces variations conjoncturelles parfois difficiles à expliquer, c’est l’évolution du nombre de noms utilisés, passé de 8.2 millions à 6.7 millions en deux mois. En solde net, la baisse des noms utilisés (ou censés tels) représente plus de trois fois celle du stock. Tout porte à s’interroger sur la méthodologie de comptage de nTLDStats… tout en s’interrogeant sur les causes d’un tel phénomène s’il n’était pas dû à des biais méthodologiques. En tout état de cause, la proportion sur 6 mois glissants commence à se dégrader en février et pourrait retomber progressivement vers les 25% d’autrefois.

La “vague d’attaque” sur le DNS

La sécurité a été mise à l’honneur ce mois-ci, avec la publication le 15 février par l’ICANN d’une alerte concernant des attaques ciblant le DNS (1). La technique la plus mentionnée dans les divers communiqués rassemblés par l’ICANN est le « DNS Hijacking » qui consiste à prendre le contrôle d’un nom de domaine, modifier ses serveurs DNS et détourner ainsi le trafic vers un site web contrôlé par le pirate. Quelques jours plus tard, Verisign et SIDN (registre néerlandais) joignaient leurs voix au concert (2). Une analyse faite avec quelques jours de recul par Stéphane Bortzmeyer permet de saisir un peu mieux les données du problème, en style pédagogique (3). Comme le souligne Stéphane, la « nouveauté » de ces attaques, qui fait tant parler d’elles, ne tient pas au modus operandi qui est bien connu, mais à leur caractère massif :

La force de ce type d'attaques particulier est son caractère indirect. Au lieu de pirater le site Web, ou le serveur de messagerie, probablement bien défendus, l'attaquant pirate les informations qui indiquent comment s'y rendre. La gestion des noms de domaine est souvent le maillon faible de la cybersécurité. Les attaquants appartenant à ce groupe de pirates particulier n'ont pourtant pas innové. Ils n'ont trouvé aucune faille de sécurité nouvelle, ils n'ont pas réalisé une percée technologique. Ils n'ont même pas été les premiers à comprendre l'intérêt des attaques indirectes, via le nom de domaine. Un exemple fameux d'une telle attaque avait été le détournement du nom de domaine du New York Times en 2013. Mais ces attaquants de 2018 ont attaqué un grand nombre de noms de domaine.

Stéphane note que la technique d’attaque se focalise sur les codes d’accès aux interfaces de gestion des noms de domaine chez les bureaux d’enregistrement. Une fois ces codes découverts, et en l’absence de systèmes de protection tels que la double authentification ou le « locking » des noms au niveau des registres, le pirate peut modifier les configurations techniques des noms du portefeuille piraté comme s’il était le titulaire légitime. On insiste beaucoup sur les redirections de noms de domaine vers des serveurs contrôlés par les pirates, mais il ne faut pas négliger un type d’attaque encore plus grave (car difficilement décelable au premier abord) qui consisterait à prendre le contrôle des serveurs de messagerie à l’insu des titulaires. Ici, ce ne sont pas des visiteurs qui sont détournés, mais bien tous les messages entrants et sortants adressés aux collaborateurs de la structure victime de l’attaque.
L’occasion est belle pour rappeler à la communauté l’importance de signer les noms de domaine en DNSSEC (4), même si en l’occurrence j’ignore si cela changerait grand-chose aux dégâts causés par le « DNS Hijacking ». La principale précaution à prendre reste de s’assurer que les mots de passe sont difficiles à casser, qu’il existe des systèmes de sécurité mentionnés ci-dessus, et que le retour à la configuration précédente est possible dans un très bref laps de temps après que l’attaque ait été identifiée.

Rapport ICANN sur les abus commis via les noms de domaine

Curieusement, cette attaque intervient quelques jours après la publication par l’ICANN de son premier rapport sur les comportements abusifs utilisant les noms de domaine (6, 7). Ce rapport très intéressant produit un assez grand nombre de mesures et d’indicateurs qui seront certainement suivis dans le temps. Il reste sur des analyses par segments, entre « Legacy » et « nTLDs » mais sans jamais mentionner une extension en particulier. L’intérêt de l’approche est qu’elle permet de rester dans une tonalité neutre et factuelle, mais le lecteur reste sur sa faim : quelles sont les 4 extensions « legacy » qui concentrent 96% des cas d’abus recensés ? Quelles mesures l’ICANN pourrait-elle, ou compte-t-elle, prendre pour agir en direction des registres concernés ? Cette dernière décision échappe sans doute aux auteurs du rapport, mais il est à espérer que le Board ne restera pas inactif.

Les « guerres du WHOIS »

Je reprends ici le titre d’un article publié ce mois-ci, et qui décrit bien la situation en présentant un panorama de l’historique de cette question et une analyse du présent (8). L’auteur étant lui-même membre du groupe de travail de l’ICANN planchant sur cette question depuis un an, on peut espérer qu’il est l’un des plus à jour sur le sujet. Les propositions de ce groupe sont peu encourageantes :

In a nutshell, you will see some changes to the content of the Temporary Specification that have quite some impact on the domain industry, and in particular Whois as we have known it for the past two decades. There is emerging consensus in our group that the administrative contact will disappear – there will be no Admin-C in the future, for example. As our preliminary recommendation stands, we will strip down the data set for technical contact and it is likely that that data will only be collected on an optional basis. We have more or less confirmed that most of the data that you previously found in public Whois will be redacted.

Pouvaient-elles cependant aller contre le RGDP ? Evidemment pas, et la composition du Groupe, dont étaient exclus les représentants des ayants-droits, était faite pour cela. Il était clair que le moindre ayant droit présent autour de la table aurait empêché d’atteindre un consensus déjà bien difficile à obtenir. Mais la publication restreinte n’empêche en aucun l’ICANN de vouloir s’assurer que les données collectées sont fiables (9).
La question qui reste à trancher, après celle de la publication des données, tient aux modalités d’accès à ces mêmes données. Les ayants droits seront encore plus passionnés par cette « seconde mi-temps » qui s’annonce déjà agitée, avec le départ du groupe de son président Kurt Pritz (10). En toile de fond, divers groupes s’agitent aux Etats-unis en faveur d’un « RGDP » qui serait proprement états-unien et opposable au règlement européen (11). Les « guerres du WHOIS » n’ont pas fini de faire couler de l’encre.


(1) Alert Regarding Published Reports of Attacks on the Domain Name System
https://www.icann.org/news/announcement-2019-02-15-en
Cette alerte a curieusement été traduite par un journaliste francophone en “L’attaque DNS de l’ICANN…”. L’ICANN n’a en principe pas elle-même diligenté ces attaques, à moins que ledit journaliste ne dispose d’informations très sensibles…
(2) ICANN, Verisign, SIDN and Others Warn of Global Domain Name Hijacking Campaign
http://goldsteinreport.com/article.php?article=26944
(3) Attaques récentes contre les noms de domaine, que se passe-t-il ?
https://www.bortzmeyer.org/attaques-noms-domaine-explications.html
(4) ICANN Makes Urgent Call for Full Deployment of Domain Name System Security Extensions (DNSSEC)
http://www.circleid.com/posts/20190223_icann_makes_urgent_call_for_full_deployment_of_dnssec/
(5) Revisiting how registrants can reduce the threat of domain hijacking
https://blog.verisign.com/domain-names/revisiting-how-registrants-can-reduce-the-threat-of-domain-hijacking/
(6) Domain Abuse Activity Reporting (DAAR) System
https://www.icann.org/en/system/files/files/daar-monthly-report-31jan19-en.pdf
(7) New gTLDs Account for 51% of Domains Considered Security Threats, But Only 12% of Total gTLD Registrations
http://www.domainpulse.com/2019/02/05/new-gtlds-domains-security-threats/
(8) The Whois wars
https://www.dotmagazine.online/issues/socially-responsible-digitalization/digital-fundamental-rights-and-internet-governance/the-whois-wars
(9) Expect more Whois accuracy emails under new ICANN policy
http://domainincite.com/23947-expect-more-whois-accuracy-emails-under-new-icann-policy
(10) Pritz quits Whois privacy group as work enters impossible second phase
http://domainincite.com/23940-pritz-quits-whois-privacy-group-as-work-enters-impossible-second-phase
(11) Government Officials, Academia, and Advocacy Groups Say Time for US to Get Its Own GDPR
http://www.circleid.com/posts/20190216_government_officials_say_time_for_the_us_to_get_its_own_gdpr/


Samedi 2 Mars 2019
Loic Damilaville
Lu 95 fois

Présentation | Analyses générales | Gouvernance Internet | Juridique | Sommaires anciens n°