Blogs de l’ICANN

Lisez les blogs de l’ICANN pour vous tenir au courant des dernières activités d’élaboration de politiques, des événements régionaux et bien plus encore.

Les bonnes pratiques d'enregistrement et d'administration des portefeuilles de noms de domaine (Partie 1)

30 mai 2017
Par Carlos AlvarezCarlos Alvarez

En plus des six langues des Nations Unies, ce contenu est aussi disponible en

null

Il est toujours utile de rappeler les bonnes pratiques liées à l'enregistrement et à l'administration des noms de domaine, en particulier lorsqu'on se réfère aux portefeuilles avec des dizaines ou des centaines de noms de domaine. Les bonnes pratiques permettent aux sociétés d'avoir des activités en ligne en continu et leur permettent d'éviter, par exemple, de perdre leurs noms de domaine à cause d'une échéance ou d'un détournement. D'un autre côté, avoir de mauvaises pratiques peut, parmi d'autres conséquences négatives, mener à une perturbation des activités, une perte de la confiance du consommateur et être préjudiciable pour la réputation.

Cet article, le premier d'une série, reprend trois bonnes pratiques. D'autres seront abordées dans de prochains articles. Commençons.

Maintenir à jour les informations d'enregistrement

Au moment de la création de chaque nom de domaine, le titulaire donne les coordonnées de contact au bureau d'enregistrement. Cette information est ensuite rendue publique via le service WHOIS, permettant aux sociétés d'être contactées pour de multiples raisons, y compris pour des questions techniques ou de fonctionnement en lien avec le domaine, ou pour un intérêt pour le contenu publié sur le site Web associé, ou pour des inquiétudes concernant la sécurité.

Les sociétés doivent s'assurer que les données de contact, tel que présentées au sein du WHOIS, sont exactes et mises à jour. Des informations fausses ou obsolètes peuvent empêcher les chargés de sécurité de contacter les titulaires de noms de domaine dont les domaines peuvent avoir été corrompus, ou empêcher les éventuels partenaires commerciaux d'établir un contact pouvant mener à une nouvelle opportunité commerciale.

Ne pas utiliser d'adresses électroniques personnelles

Les sociétés ne devraient pas autoriser l'utilisation d'adresses électroniques personnelles dans les données d'enregistrement de leurs noms de domaine d'entreprise. Cette recommandation comprend à la fois les adresses électroniques que les employés utilisent en dehors du travail et les adresses électroniques qui identifient les individus au sein de l'organisation. Les deux peuvent fragiliser la société.

  • Ne pas autoriser l'utilisation d'adresses électroniques comme johndoe@gmail.com ou janedoe@hotmail.com.

    Les adresses électroniques listées pour le titulaire de nom de domaine et le contact administratif d'un nom de domaine sont les clés de son administration. Lorsque les adresses électroniques personnelles des employés sont listées, rien ne les empêche de détourner le domaine lorsqu'ils quittent la société.

  • Utiliser des adresses électroniques génériques, basées sur la fonction ou sur le département, comme domain_admin@companyname123.com, au lieu d'adresses électroniques avec le nom des personnes, comme j.doe@companyname123.com.

    Donner le nom des personnes impliquées dans l'administration des noms de domaine de l'entreprise les expose à un risque croissant d'attaques d'ingénierie sociale ou de spear-phishing (attaque par hameçonnage ciblé) visant la société. Il faudrait plutôt utiliser des noms basés sur la fonction ou sur le département, avec dans l'idéal plusieurs utilisateurs recevant les communications envoyées à cette adresse.

Éviter d'avoir des noms de domaine dans le bailliage

Le bailliage est une situation qui existe lorsqu'une société enregistre le domaine example.com et liste ensuite les adresses électroniques user1@example.com et user2@example.com dans la base de données WHOIS.

Les attaquants qui prennent le contrôle de l'administration d'un nom de domaine dans le bailliage peuvent rediriger les courriers électroniques en remplaçant le serveur de nom officiel par un serveur de nom qu'ils contrôlent. Ils peuvent ensuite ajouter un enregistrement MX qui dirige le courrier électronique vers un serveur qu'ils contrôlent également. Ils peuvent sinon désactiver le courrier électronique en supprimant l'enregistrement MX du domaine, et dans ce cas aucun courrier électronique ne sera envoyé ou reçu par la société qui a enregistré le domaine touché.

Un autre niveau de difficulté s'ajoute lorsque le bureau d'enregistrement ne peut pas entrer en communication avec la société touchée, étant donné qu'il n'a pas accès au courrier électronique de la société. Cette situation demande une communication hors bande et la preuve donnée au bureau d'enregistrement que la société est bien le titulaire de nom de domaine affecté.

Je vous tiendrai au courant des prochaines publications où je vous donnerai de nouvelles bonnes pratiques à suivre !

Authors

Carlos Alvarez

Carlos Alvarez

SSR Engagement Director (LAC)
Read biographyRead biography