About ICANN
- Acronyms and Terms
- Courses and Learning
- ICANN for Beginners
- Participate
- President's Corner
- ICANN Management Organization Chart
- Staff
- Careers
- In Focus
- Media Resources
Board Activities and Meetings
Accountability
- Accountability Mechanisms
- Reviews
- Expected Standards of Behavior
- Employee Practices and Resources
- Enhancing ICANN Accountability – Work Stream 2 Implementation
Governance
- Governance Documents
- Evolving ICANN’s MSM
- Agreements
- Annual Reports
- Financials
  - Financial Reports
  - Policies, Guidelines and Procedures
- Planning
  - Strategic Plan
- Presentations
- RFPs
- Litigation
- Newsletter
- Correspondence
  - 2023
  - 2022
  - 2021
  - 2020
  - 2019
  - 2018
  - 2017
  - 2016
  - 2015
  - 2014
  - 2013
  - 2012
  - 2011
  - 2010
  - 2009
  - 2008
  - 2007
  - 2006
  - 2005
  - 2004
  - 2003
  - 2002
  - 2001
  - 2000
  - 1999
  - 1998
- Quarterly Reports
Groups
- 2023 ICANN CEO Search Committee
- RSSAC
  - Charter
- SSAC
- GAC
- At-Large
- ASO
- ccNSO
- GNSO
- Technical Liaison Group
  - Technical Experts Group (TEG)
- NomCom
  - Past NomComs
- Customer Standing Committee
- Root Zone Evaluation Review Committee (RZERC)
Business
Civil Society
Complaints Office
- Complaints Report
Domain Name System Abuse
Contractual Compliance
- About
- Programs
- Complaint Submission & Learn More
- Reporting & Performance Measurement
Registrars
- Accreditation Agreement
  - Global Amendments
    - 2024 Global Amendment to the RAA
    - 2023 Global Amendment to the RAA
- Registrar Library
- News & Communications
- How to Become a Registrar
- Changes to Existing Accreditation
- Privacy and Proxy Service Providers
- Registrar Resources
Registry Operators
- Advisories & Consensus Policies
  - Advisories
  - Consensus Policies
    - Registration Data Policy
      - Registration Data Policy Implementation Resources
    - Registry Service Evaluation Policy (RSEP)
- News & Events
- Registry Agreements
  - Global Amendments
- Registry Resources
- Services for Registry Operators
Domain Name Registrants
- About Domain Names
- ICANN Policies
- Registration Data Policies
  - WHOIS and Registration Data Directory Services
    - The Domain Name Registration Process
      - Using Domain Name Registration Data
      - Keeping Registration Data Accurate
    - Access and the Evolution of the WHOIS System
- Domain Name Industry
- Registering Domain Names
- Managing Domain Names
  - Contact Information and WDRP
  - Securely Managing Your Domain Name
- Transferring Domain Names
- Renewing Domain Names
- Rights and Responsibilities
- Spam, Phishing, and Website Content
- Trademark Infringement
GDS Metrics
Identifier Systems Security, Stability and Resiliency (OCTO IS-SSR)
- IS-SSR Team Blogs
- Security Terminology
- Document Archive
ccTLDs
- Background Materials
- Agreements
- Delegation
- Root Zone Database
- Model MOU
- Workshops
- ICANN and ISO
Internationalized Domain Names
- Root Zone Label Generation Rules (LGR)
- IDN Variant TLD Implementation
- LGR Toolset
- IDN ccTLD Fast Track
- IDN Implementation Guidelines
- Second-Level LGR Reference
- Resources
- Announcements and Blogs Posts
New gTLD Program Next Round
Universal Acceptance Initiative
- Make your systems UA-ready
- Universal Acceptance Steering Group (UASG)
- UA Training
- UA Day
- UA Readiness Evaluations
- Announcements and Blogs Posts
Policy
- Policy Mission
- Policy Staff Goals
- Presentations
- Global Addressing
- Policy Updates
Operational Design Phase (ODP)
Implementation
Public Comment
- Open
- Upcoming
- Archive
Root Zone KSK Rollover
Technical Functions
- Tech Day Archive
ICANN Locations
- Report Security Issues
- PGP Keys
- Certificate Authority
- Registry Liaison
- Ombudsman
I Need Help
- Dispute Resolution
- Domain Name Dispute Resolution
- Name Collision
- Registrar Problems
- Whois Data Correction
- Independent Review Process
- Request for Reconsideration
- Document

Questions fréquentes : projet de l’ICANN pour le signalement des cas d’utilisation malveillante des noms de domaine (DAAR)

Cette page est disponible en:

Comment les domaines de premier niveau géographiques (ccTLD) peuvent-ils rejoindre le projet DAAR ?

Les domaines de premier niveau géographiques (ccTLD) qui souhaitent participer au projet DAAR peuvent trouver ci-dessous des détails sur la démarche à suivre :

Le ccTLD intéressé dépose sa demande en envoyant un e-mail à globalsupport@icann.org.
L'équipe internationale d'assistance lancera ensuite une procédure pour confirmer la demande en envoyant des e-mails aux contacts techniques et administratifs du ccTLD. Les adresses e-mail utilisées sont celles figurant dans les coordonnées fournies par le ccTLD lors de son enregistrement auprès de l'Autorité chargée de la gestion de l'adressage sur Internet (IANA).
- Une fois que la demande aura été confirmée par toutes les parties, l'ICANN lancera la procédure de réception des fichiers de zone. Ce processus comprend des démarches techniques, telles que la fourniture de clés publiques et la configuration du processus de transfert de zone DNS (AXFR).
Le personnel de l'ICANN aidera le ccTLD à accéder à l'interface de programmation d'application du système de surveillance de l'ICANN (MoSAPI).
Une fois que le processus de transfert de fichier de zone aura été configuré, il sera partagé avec iThreat Cyber Group, le prestataire qui gère le système DAAR. IThreat Cyber Group ajoutera la zone ccTLD au reste des entrées DAAR existantes.
Lorsque le ccTLD sera entièrement intégré et aura accès à l'interface de programmation d'application du système de surveillance de l'ICANN (MoSAPI), le ccTLD recevra deux ensembles de données du système DAAR :
- Chaque jour, le ccTLD recevra via le système MoSAPI des informations sur le nombre de domaines de zone du DAAR ainsi que des notations des menaces à la sécurité en fonction du type de menace.
- Le ccTLD recevra également des rapports mensuels personnalisés, qui sont des versions légèrement mises à jour des rapports mensuels du DAAR public, avec des informations du ccTLD concerné surlignées dans les graphiques et des statistiques directement liées au ccTLD. Ces rapports ne sont pas destinés au public et ne sont partagés qu'avec les ccTLD concernés.

Remarques

Les ccTLD peuvent signer un protocole d'accord (MoU) avec l'ICANN. S'ils souhaitent le faire, ils sont priés de mentionner ce choix dans le premier e‑mail envoyé à l'équipe internationale d'assistance.
Les fichiers de zone ccTLD ne seront partagés avec aucune autre entité, à l'exception du prestataire du DAAR, iThreat Cyber Group, et uniquement à des fins liées au DAAR. Aucune autre entité (gTLD ou ccTLD) ne pourra consulter ces statistiques des menaces à la sécurité.
Pour obtenir de l'aide supplémentaire, n'hésitez pas à écrire au responsable du projet DAAR, le Dr Samaneh Tajalizadehkhoob, à l'adresse suivante : samaneh.tajali@icann.org.

Qu'est-ce que le projet de l'ICANN pour le signalement des cas d'utilisation malveillante des noms de domaine (DAAR) ?

Le système DAAR est une plateforme pour étudier des menaces ou des comportements abusifs liés à l'enregistrement de noms de domaine (utilisation malveillante de domaines) chez les bureaux d'enregistrement et les opérateurs de registre de domaines de premier niveau (TLD). Le système comporte deux composants principaux :

un système de collecte, qui rassemble les fichiers de zone de chaque TLD pour lequel nous pouvons obtenir des données, compile les données d'abus de domaines à partir de sources indépendantes de signalement des menaces à la sécurité et associe l'activité de menaces à la sécurité à des TLD individuels ;
un système de gestion de l'interface utilisateur graphique (GUI), qui fournit des représentations tabulaires et graphiques des activités d'enregistrement de domaines et des activités malveillantes, avec la possibilité d'afficher également des données historiques. L'interface graphique (GUI) permet aux gestionnaires appartenant au personnel de l'ICANN d'étudier les activités qui constituent des menaces à la sécurité et d'exporter des données pour la génération de rapports.

Les deux systèmes combinés permettent d'avoir un aperçu d'un ou de plusieurs jours dans la vie des services d'enregistrement de domaines, ainsi que de l'utilisation malveillante de noms de domaine enregistrés.

Pourquoi l'organisation ICANN a-t-elle développé le DAAR ?

Les initiatives pour étudier l'utilisation malveillante des noms de domaine sont relativement courantes aujourd'hui, mais elles ont souvent des limites :

peu d'initiatives étudient les abus dans tous les domaines génériques de premier niveau et au fil du temps ;
la majorité des travaux dans ce domaine portent uniquement sur un type spécifique de menaces à la sécurité et n'évaluent pas des menaces multiples à la sécurité ;
plus important peut-être, les méthodologies et les sources de données exactes utilisées pour ces études ne sont souvent pas divulguées au public ou aux opérateurs de registre, de sorte que les résultats des études ne peuvent pas toujours être reproduits.

À la suite de nombreuses demandes informelles effectuées par la communauté, le Bureau du directeur de la technologie (OCTO) de l'ICANN a conclu qu'il serait utile pour la communauté de l'ICANN de disposer d'un ensemble de méthodologies neutres, impartiales, durables et reproductibles de collecte de données anonymisées à partir desquelles des analyses pourraient être menées. L'équipe responsable de la sécurité, de la stabilité et de la résilience (SSR) de l'OCTO a lancé un projet de recherche visant à développer un système de collecte à grande échelle de données de noms de domaine, complété par un vaste ensemble de sources de données très fiables en matière de réputation.

Quel est l'objectif du DAAR ?

L'objectif général du DAAR est de signaler des menaces à la sécurité à la communauté de l'ICANN, qui peut ainsi utiliser ces données pour prendre des décisions éclairées. Dans ce cadre général, le DAAR a de nombreux objectifs spécifiques :

suivre l'évolution de la réputation des TLD au fil du temps en se basant sur des ensembles de données bien connus en matière de réputation et de menaces ;
contribuer aux efforts de lutte contre l'utilisation malveillante des noms de domaine en rendant publique la méthodologie du système DAAR ;
permettre de déterminer et de signaler la présence ou la prévalence de menaces à la sécurité chez un opérateur de registre ;
aider les opérateurs de registre ou les bureaux d'enregistrement à identifier les causes à l'origine des activités d'enregistrement anormales ;
soutenir les activités de la communauté de l'ICANN visant à renforcer la confiance des consommateurs.

Quels sont les types de menaces à la sécurité identifiés par le système DAAR ?

Le système DAAR identifie et assure le suivi des noms de domaine signalés qui sont associés à quatre types de menaces à la sécurité :

Hameçonnage. Noms de domaine associés à des pages Web qui se font passer pour des entités dignes de confiance telles que des banques, des marques connues, des marchands en ligne ou des agences gouvernementales.
Logiciels malveillants. Noms de domaine qui facilitent l'hébergement et/ou la diffusion de logiciels hostiles ou intrusifs installés dans des systèmes finaux, potentiellement sans l'autorisation de l'utilisateur.
Commande et contrôle de réseaux zombies. Noms de domaine utilisés pour identifier les hôtes qui contrôlent les réseaux zombies. Les réseaux zombies sont des ensembles d'ordinateurs infectés par des programmes malveillants qui peuvent être utilisés pour perpétrer diverses activités abusives comme, entre autres, des attaques par déni de service, l'envoi de courriers indésirables ou le lancement de campagnes d'hameçonnage.
Spam. Domaines faisant l'objet d'annonces publicitaires dans des e-mails en masse non sollicités ou utilisés pour nommer des systèmes d'échange de courrier indésirable. Le terme spam ne désigne plus uniquement les e-mails en masse non sollicités, mais également l'un des principaux moyens de distribution d'identificateurs (noms de domaine, hyperliens ou adresses) utilisés pour relayer les menaces à la sécurité répertoriées ci-dessus.

Comment le système DAAR compile-t-il les données liées aux menaces ?

Le DAAR ne fonctionne pas de manière isolée. Le système ne génère pas de données liées aux menaces. Il s'appuie sur des données de réputation ouvertes ou commerciales pour identifier et classer les quatre types de menaces à la sécurité mentionnés ci-dessus. Les services de réputation qui fournissent les données utilisées par le système DAAR répondent à plusieurs critères : exactitude, couverture, adoption par l'industrie et capacité à classer les événements dans les catégories de menaces à la sécurité suivies par le DAAR.

Si un domaine est répertorié pour deux types de menaces ou plus, ce domaine sera comptabilisé dans chacune des catégories de menaces concernées. Toutefois, seuls les domaines uniques sont comptabilisés pour calculer le nombre total de domaines présentant des menaces à la sécurité dans les portefeuilles des TLD ou des bureaux d'enregistrement, et à des fins de notation.

Quelles données de réputation le système DAAR utilise-t-il ?

Nous pensons qu'il est utile de recueillir les mêmes données sur les menaces à la sécurité (utilisation malveillante) que celles communiquées aux acteurs de l'industrie et aux internautes. Les systèmes de sécurité tels que les passerelles pour lutter contre le spam ou les logiciels malveillants, ainsi que les pare-feu qui protègent des milliards d'utilisateurs tiennent compte de ces données dans leurs mesures d'atténuation des menaces. Le DAAR reflète ainsi la façon dont les utilisateurs et les communautés opérationnelles qui exploitent des réseaux voient l'écosystème des noms de domaine à travers le prisme des données relatives aux menaces.

Le DAAR utilise un grand nombre de données de réputation. N'hésitez pas à consulter la liste des données et des fournisseurs incluse à la fin de cette section de questions/réponses pour connaître les flux utilisés à la date de rédaction du présent document. Collectivement, ces flux fournissent plusieurs sources de données liées à des menaces à la sécurité que le système DAAR peut mesurer ou analyser. Le DAAR est conçu pour être extensible, afin d'assurer la qualité des données et d'évaluer les menaces à la sécurité que la communauté de l'ICANN pourrait identifier à l'avenir. Par conséquent, les flux de données des prestataires des services de réputation peuvent être ajoutés ou supprimés au fil du temps.

Les données du système DAAR sont-elles fiables ?

Pour l'instant, le DAAR utilise deux catégories de données : les données de zone et les données de réputation.

Le système DAAR collecte quotidiennement des données de zone TLD, en utilisant le service centralisé de données de zone de l'ICANN et/ou les données fournies directement par le biais d'accords avec les opérateurs de TLD. Les données de zone, dont la disponibilité est contractuellement obligatoire pour les domaines génériques de premier niveau (gTLD) et volontaire pour les domaines de premier niveau géographiques (ccTLD), sont généralement fournies une fois par jour. C'est pourquoi tout changement des zones survenant après la publication quotidienne des données de zone ne sera observé que le lendemain.

Le système DAAR recueille les données de réputation auprès de fournisseurs sélectionnés pour leur réputation en matière d'exactitude (définie ici comme faisant l'objet d'une adoption quasi-consensuelle par la communauté de la sécurité opérationnelle). Les fournisseurs doivent disposer de processus clairement définis pour ajouter et supprimer des noms de domaine identifiés dans leurs flux de données. Un autre critère de sélection concerne l'utilisation de ces flux par les universités dans des articles et des thèses de recherche, ainsi que par l'industrie dans des produits et des services. Enfin, le flux de données doit inclure au moins l'une des quatre catégories de menaces à la sécurité suivies par le DAAR. Nous élaborons actuellement une méthodologie plus robuste d'évaluation des flux (sélection/suppression) qui sera publiée prochainement.

Les données sont-elles à jour ?

Les données utilisées par le système DAAR sont mises à jour quotidiennement. La comptabilisation des domaines se fait chaque jour à partir des fichiers de zones TLD. Certains opérateurs de registre n'accordent l'accès aux fichiers de zone que pour des périodes limitées qui doivent être renouvelées, ce qui peut parfois donner lieu à des lacunes. Les prestataires des services de réputation de noms de domaine ajoutent continuellement des domaines à leurs listes. Le système collecte ces données mises à jour auprès de chaque prestataire plusieurs fois par jour. Chaque prestataire dispose également d'une procédure pour supprimer des domaines de ses listes, et ces suppressions sont suivies et prises en compte par le DAAR. En général, chaque prestataire répertorie un nom de domaine aussi longtemps qu'il estime que le domaine constitue un problème, après quoi le domaine est supprimé. Un nom de domaine peut être répertorié pendant des minutes seulement, ou des mois, en fonction des stratégies et des critères du prestataire.

Il existe un petit nombre de listes qui ne suivent pas l'état de situation des abus et ne fournissent donc pas d'indications concernant des « suppressions ». C'est par exemple le cas des données fournies par le groupe de travail anti-hameçonnage (APWG). Il s'agit d'une liste d'identificateurs d'hameçonnage nouvellement confirmés, mais l'APWG n'effectue pas de suivi pour savoir quels sites sont actifs et lesquels sont inactifs. Par souci de prudence, lorsqu'un domaine est répertorié dans le flux APWG, nous ne comptons ce domaine comme « répertorié » ou « actif » que pendant un jour.

Le système DAAR est-il capable de trouver toutes les instances de menaces à la sécurité dans le DNS ?

Non. Le système DAAR collecte des données concernant des menaces à la sécurité auprès de plusieurs fournisseurs de services de réputation. Toutefois, ces fournisseurs ne voient et ne prétendent pas voir ou répertorier toutes les activités pouvant représenter des menaces sur Internet. Nous rappelons donc que le système DAAR fournit une mesure de référence et que le nombre de menaces à la sécurité associées aux noms de domaine est supérieur à celui répertorié par le système. Les utilisateurs des données du DAAR doivent supposer que les statistiques qu'il présente sont un sous-ensemble des menaces à la sécurité auxquelles peut être confronté un TLD donné.

Le système DAAR répertorie-t-il uniquement les domaines enregistrés par des parties malveillantes ?

Non. En général, la plupart des prestataires des services de réputation de noms de domaine ne peuvent pas attribuer de manière définitive des motifs aux acteurs qui enregistrent des noms de domaine. De même, le système DAAR n'est pas en mesure de connaître les motifs derrière l'enregistrement des noms de domaine. Le DAAR s'appuie sur des prestataires de services de réputation qui utilisent des systèmes modernes de détection de menaces à la sécurité. Les données de certains prestataires peuvent également contenir des noms de domaine dont le service d'hébergement a été compromis, ce qui entraîne l'utilisation du domaine à des fins malveillantes. Nous travaillons à l'élaboration de méthodologies permettant de distinguer les deux ensembles de domaines.

Comment le DAAR gère-t-il les faux positifs dans les données de réputation ?

Une révision indépendante montre que les taux de faux positifs sont faibles parmi les listes que nous avons choisies. Le DAAR ne modifie pas les données issues des services de réputation. Par conséquent, si ces données incluent des faux positifs, ceux‑ci sont reflétés dans les résultats du DAAR. Toutefois, étant donné que de nombreuses parties s'appuient sur ces données de réputation (par exemple, les fournisseurs de services de messagerie, les fournisseurs de services Internet et les opérateurs de résolveurs) tout faux positif affectera l'écosystème des noms de domaine, quelle que soit la manière dont le DAAR les signale. Ainsi, toute tentative du système DAAR de réduire davantage les faux positifs se traduirait par des informations contradictoires ou fausses du point de vue de l'impact des menaces à la sécurité signalées à ces parties. L'équipe SSR de l'ICANN surveille en permanence la qualité des données. Des flux de données peuvent ainsi être ajoutés ou supprimés en fonction de l'évaluation de la qualité effectuée par les membres de l'équipe SSR ou en fonction des commentaires de la communauté.

Qui pourra accéder au système DAAR ?

Seuls le personnel de l'ICANN et les développeurs sous contrat peuvent accéder directement au système DAAR par le biais de son interface administrative. Les opérateurs de registre peuvent désormais accéder à leurs propres données via le système SLAM de l'ICANN. Pour de plus amples informations à ce sujet, veuillez contacter Gustavo.Lozano@icann.org.

L'équipe SSR de l'OCTO travaillera avec la communauté de l'ICANN pour déterminer la meilleure façon de partager les statistiques et les analyses basées sur les données recueillies par le DAAR.

Quelle est la relation entre le DAAR et l'initiative d'ouverture de données (ODI) ?

L'initiative d'ouverture de données est un terme générique qui fait référence aux efforts mis en place pour faciliter l'accès aux données créées ou éditées par l'organisation ICANN ou la communauté. Le système DAAR utilise des données de sources publiques, ouvertes et/ou commerciales. Les données de zone DNS et les données d'enregistrement du WHOIS sont accessibles au public. Certaines sources de données de réputation sont à code ouvert tandis que d'autres sont des sources commerciales nécessitant une licence ou un abonnement. Pour certains flux de données commerciaux, la licence permet une utilisation dérivée mais pas directe. Dans les cas où il n'y a pas de limitation à la redistribution des données relatives au DAAR, ces données et analyses seront publiées périodiquement et incluses dans l'initiative d'ouverture de données.

Quel sera le rôle du système DAAR dans le cadre des politiques de l'ICANN ?

L'objectif du DAAR est de fournir des données vérifiables et reproductibles permettant de faciliter des analyses qui pourraient s'avérer utiles pour étayer la prise de décisions consensuelles éclairées. Le système DAAR rassemble un ensemble divers de données sur la réputation des noms de domaine que la communauté de la sécurité opérationnelle observe, signale et utilise. Il appartient à la communauté de l'ICANN de déterminer si ou comment utiliser les rapports dérivés des données recueillies par le DAAR dans les délibérations en matière de politiques.

Comment le DAAR s'inscrit-t-il dans le cadre des attributions de l'ICANN ?

Pour que l'ICANN puisse contribuer à garantir la sécurité et la stabilité du système d'identificateurs uniques de premier niveau de l'Internet dont elle assure la coordination dans le cadre de sa mission, l'organisation et la communauté de l'ICANN doivent être conscientes des menaces qui pèsent sur ce système. Conformément aux exigences de l'ICANN en matière d'ouverture et de transparence, l'organisation doit, autant que possible, faire en sorte que les données que nous recueillons soient à la disposition de la communauté. Enfin, le rôle de l'organisation ICANN en général, et du bureau du directeur de la technologie en particulier, est de fournir des données et des analyses neutres et impartiales pour faciliter les discussions et l'élaboration de politiques.

Comment puis-je fournir des informations sur le DAAR ?

Liste des flux de données et des prestataires de services de réputation de noms de domaine

Depuis juillet 2017, le DAAR a incorporé les listes de blocage suivantes :

Liste de blocage de domaines de Spamhaus (DBL). Domaines annoncés dans des courriers indésirables, domaines utilisés pour des activités d'hameçonnage et domaines utilisés pour distribuer des logiciels malveillants.
SURBL. Domaines annoncés dans des courriers indésirables, domaines utilisés pour des activités d'hameçonnage et domaines utilisés pour distribuer des logiciels malveillants.
Groupe de travail anti-hameçonnage. Flux de la liste blocage d'URL : domaines utilisés pour des activités d'hameçonnage.
Phishtank. Domaines utilisés pour des activités d'hameçonnage.
Malware Patrol. Domaines utilisés pour distribuer des logiciels malveillants. Le flux de Malware Patrol incorpore aussi des informations issues des listes de blocage suivantes :
- SpamAssassin
- Carbon Black Malicious Domains
- Proxy Web SQUID
- Smoothwall
- Symantec Email Security for SMTP
- Symantec Web Security
- Firekeeper
- DansGuardian
- Ransomware URLs
- Botnet C&C server IPs
Ransomware Tracker. Logiciels malveillants de serveurs de commande et contrôle de réseaux zombie.
Feodotracker. Domaines utilisés pour distribuer des logiciels malveillants.