Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-INF-001

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 02 mars 2007
No CERTA-2007-INF-001

Affaire suivie par :

CERTA

NOTE D'INFORMATION DU CERTA

Objet : Conseils pour la gestion des noms de domaine


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-INF-001

Gestion du document


Tableau 1: Gestion du document
Référence CERTA-2007-INF-001
Titre Conseils pour la gestion des noms de domaine
Date de la première version 02 mars 2007
Date de la dernière version -
Source(s)  
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Résumé

Ces conseils s'adressent aux gestionnaires de noms de domaines ou de sous domaines. A priori, ces gestionnaires ne sont pas des informaticiens mais souvent des communicants.

  • Un nom de domaine est un moyen mnémotechnique d'usage courant pour identifier une ressource sur Internet (exemple : meteo.fr) ;
  • un nom de domaine n'est pas acheté mais loué pour une période déterminée ;
  • maintenir ses données d'enregistrement de nom facilite le renouvellement de la location du nom de domaine ;
  • la prorogation de la location n'est pas automatique ;
  • la négligence pour le renouvellement peut avoir un impact financier ou d'image ;
  • informer ses partenaires sur l'abandon ou le changement d'un nom de domaine évite à tous des déconvenues.

2 Introduction

Ces conseils s'adressent aux gestionnaires de noms de domaines ou de sous-domaines. Les explications techniques sont réduites au possible car ces gestionnaires sont souvent des communicants et non des informaticiens.



Un ordinateur, serveur ou poste de travail, connecté à l'Internet possède une adresse IP numérique. Dans la version 4 du protcole IP, cette adresse est un entier de 32 bits, écrit de manière courante sous la forme de 4 entiers compris entre 0 et 255, séparés par des points. Un exemple d'adresse IP v4 est : 192.168.0.2. La version 6 du protocole IP code les adresses sur 128 bits. La représentation classique est une suite de 8 entiers de 16 bits écrits en hexadécimal (en base 16, avec, comme chiffres, 0 à 9 et A à F), soit la forme :
aaaa:bbbb:cccc:dddd:eeee:ffff:gggg:hhhh.



Ces adresses numériques sont difficiles à mémoriser pour un humain. De plus, une ressource peut changer d'adresse IP. L'utilisation d'un nom permet de masquer ces changements à l'internaute pour qui seule la ressource compte, pas sa localisation. Donc, pour faciliter l'usage des services sur Internet, des mnémoniques sont utilisables en remplacement des adresses numériques. Ces mnémoniques contiennent un nom de domaine (gouv.fr), précédé d'un nom d'hôte (www). Entre le nom d'hôte et le nom de domaine, un ou plusieurs noms nom de sous-domaine peuvent être interposés (certa.ssi).

Il est plus facile d'entrer dans la barre d'adresses de son navigateur favori ou dans un lien d'une page web le nom www.certa.ssi.gouv.fr plutot que l'adresse numérique 213.56.176.2.



La conversion entre un mnémonique et une adresse se fait via le service de DNS (Directory name system).

3 Gestion d'un nom de domaine

Le nom de domaine est composé d'un mot (suite de chiffres, de lettres et de quelques caractères spéciaux) suivi d'un point et d'un suffixe. Le suffixe peut être :

  • « national » : fr (France), es (Espagne), ch (Suisse), mq(Martinique), re (Réunion)...
  • « générique » : com (commercial), edu (éducation), gov (gouvernement)...

Deux entités, particuliers ou organismes, ne peuvent utiliser le même nom de domaine. Pour éviter des conflits de noms, chaque suffixe est supervisé par un office d'enregistrement. Pour le suffixe fr, l'AFNIC assure actuellement cette fonction. Plusieurs prestataires se la partagent pour les suffixes génériques. Des intermédiaires (par exemple, des fournisseurs d'accès internet ou de service internet) peuvent procéder à l'enregistrement des noms.



Le décret 2007-162 du 06 février 2007 utilise le vocabulaire suivant :

  • office d'enregistrement, pour le responsable d'un suffixe ;
  • bureau d'enregistrement, pour un intermédiaire qui offre le service d'enregistrement aux utilisateurs.

4 Adoption d'un nom de domaine

L'internaute ou l'organisme qui veut être connu et accessible par un mnémonique doit s'adresser à un bureau d'enregistrement.

Le nom (le mot pour être plus exact) ne doit pas être déjà utilisé. Il doit répondre aux conditions fixées

  • par la règlementation (articles R.20-44-34 et suivants du codes de postes et communications électroniques) ;
  • dans la charte publiée par le gestionnaire.



Lorsque la procédure d'enregistrement de nom a abouti, le nom de domaine est alloué à l'organisme pour une durée limitée. Il s'agit en réalité de la location du nom et non de son achat. Ce point est crucial.

5 Renouvellement de la location

Des « vautours » attendent que des organismes oublient de renouveler la location dans les délais pour :
  • racheter le nom de domaine ;
  • revendre au prix fort le nom à l'organisme négligent ;
  • héberger un site « peu recommandable » tant que l'organisme négligent n'a pas payé (pression par l'atteinte à l'image de marque).

L'organisme dont le nom de domaine pris en otage est largement diffusé (autres supports de communication, moteurs de recherches, portails...) est souvent contraint de payer le tribut pour récupérer le nom de domaine. L'action en justice est très aléatoire en temps et en efficacité si le « rapace » ou le gestionnaire du nom de domaine sont hors du territoire national. Pour les domaines en fr et en re, l'AFNIC a mis en place une procédure alternative de résolution des litiges, publiée sur son site.



Les bureaux d'enregistrement sérieux préviennent les locataires des noms qu'ils gèrents bien avant le terme de la location. Encore faut-il que les coordonnées postales, téléphoniques et de courrier électronique, dont ils disposent soient à jour. Il est possible pour organisme de vérifier les coordonnées fournies. Les services informatiques connaissent les commandes et les services en ligne adéquats.



Il est donc très important :

  • de veiller à l'exactitude des informations de contact fournies à son bureau d'enregistrment ;
  • de surveiller régulièrement ces informations et de les actualiser si besoin ;
  • d'entreprendre en temps et en heure les formalités de prolongation de la location du nom de domaine.

6 Abandon d'un nom de domaine

Pour diverses raisons, il peut être décidé de ne plus utiliser un nom de domaine. Cette décision peut avoir des effets secondaires sur l'image de marque du locataire qui vient d'abandonner mais aussi pour les organismes qui avaient ce nom de domaine parmi leurs liens. Cet effet est très visible lorsque le domaine contient un site web. Le moindre mal est une attente longue et un message de type connexion impossible ou page non trouvée lors de la tentative d'accès à un site du domaine abandonné. En l'absence de site web, les effets sont plus subtils. Le nom du serveur de messagerie est utilisable pour du filoutage (phishing). Ces effets peuvent venir de « rapaces » ou du gestionnaire du nom de domaine.

L'abandon d'un nom de domaine n'est pas propagé immédiatement. Des internautes, à partir de signets (favoris), de liens depuis d'autres sites ou d'autres sources non actualisées, continuent de composer le nom de domaine abandonné pour aller joindre l'organisme. La page sur laquelle ils arrivent peut être neutre ou non.

Pour les « rapaces », le scénario a été décrit ci-dessus. Prendre la succession d'un site fréquenté permet de retenir des internautes. C'est une sorte de démarchage indirect. Le « rapace » peut être dans un secteur d'activité bien différent. Une association culturelle a vu son nom repris par un site pornographique. Pendant une période que l'on jugera toujours trop longue, le portail d'un ministère a aiguillé des internautes vers ce site.

Pour le gestionnaire de noms de domaine, un nom loué est une source de revenus. Ceci est particulièrement vrai pour les suffixes génériques (com, net, org, info...). C'est également vrai pour certains suffixes nationaux. Des petits États vendent les noms au plus offrant et ne contrôlent pas les activités des sites. Ce sont des paradis Internet à l'image des paradis fiscaux. Il y a des similitudes géographiques (Tuvalu,tv, Îles Cocos,cc, etc.). Le gestionnaire du nom propose à la vente ce nom de domaine libéré et peut adjoindre des statistiques justifiant son prix :

  • nombre de tentatives de connexion vers ce nom de domaine (popularité);
  • sites qui ont aiguillé les internautes vers ce nom (popularité des sites y référant (referrer)).

Il peut également accoler des bannières de publicité auprès de ce nom qu'il déclare « à prendre ». Comme dans le cas précédent, rien n'oblige un rapport entre la publicité et l'activité du locataire qui vient de délaisser le nom.



On peut en déduire deux recommandations :

  • tout site qui référence d'autres sites doit vérifier régulièrement la validité des liens qu'il propose ;
  • tout organisme qui délaisse un nom de domaine devrait en avertir ses partenaires privilégiés.

La dernière recommandation peut reposer sur une analyse des journaux avant l'abandon du nom de domaine. Le paramétrage de la journalisation d'un site web peut ere conçu pour indiquer de quel site vient l'internaute visiteur, donc quels sites doivent être prévenus du changement de nom. Les journaux permettent également d'analyser quantitativement et qualitativement les connexions de messagerie, etc. Ils donnent des pistes pour éviter ou limiter des fraudes ou des erreurs.

7 Documentation

Gestion détaillée du document

02 mars 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-28