Pour continuer sur notre série de bonnes pratiques pour la gestion des enregistrements de domaine (vous pouvez lire le premier article ici), je voudrais donner un aperçu des pratiques d'enregistrement de domaine des grandes organisations. En général, elles présentent des caractéristiques positives ; elles donnent des adresses électroniques valides pour leurs contacts WHOIS, configurent un service résilient de résolution de noms, et utilisent les codes EPP pour limiter l'usurpation de noms de domaine.
Beaucoup d'organisations et d'entités gouvernementales suivent les pratiques et les recommandations d'enregistrement de domaines comme celles qui sont décrites dans les documents publiés par le Comité consultatif sur la sécurité et la stabilité (SSAC), tel que le SAC044 et le SAC040, de façon à limiter les risques que leurs noms de domaine soient détournés ou exploités.
Cependant, il convient également de dire que les mesures pour limiter certains risques ne sont pas toujours présentes. Les organisations devraient être conscientes des risques auxquels font face leurs noms de domaine, et ajuster leurs pratiques d'enregistrement existantes pour assurer un environnement plus sécurisé pour leurs propres entreprises, ainsi qu'une expérience en ligne plus stable et plus sûre pour leurs clients. Nous les encourageons à examiner régulièrement leurs enregistrements de domaine et à inclure les noms de domaine et la gestion globale du DNS au sein de leurs programmes de gestion des risques.
Dans cet article, nous allons faire référence aux bonnes pratiques quant à savoir qui le véritable titulaire de nom de domaine et le contact administratif devraient ou ne devraient pas être.
Qui est le véritable titulaire ?
Chaque nom de domaine est enregistré conformément au contrat d'enregistrement entre un titulaire de nom de domaine et un bureau d'enregistrement sponsor. Sur cette copie d'écran vous pouvez voir deux champs qui identifient qui est le titulaire de nom de domaine selon qui est indiqué dans le résultat du WHOIS du nom de domaine icann.org.
S'agissant des enregistrements professionnels, si le champ 'Organisation titulaire du nom de domaine' indique le nom d'une entité juridique existante, celle-ci sera considérée comme étant le titulaire du nom de domaine. Cependant, lorsque le champ 'Organisation titulaire du nom de domaine' est vide, ou lorsque le nom indiqué ne correspond pas à une véritable entité juridique (comme 'Admin du domaine', par exemple), le véritable titulaire sera quiconque est indiqué dans le champ 'Nom du titulaire'.
Cette situation arrive parfois lorsque les employés enregistrent des noms pour leurs employeurs et qu'ils ne joignent pas les informations appropriées dans les champs correspondants. Ils laissent le champ 'Organisation titulaire du nom de domaine' vide, ou ils notent le nom de leur département, ou leur propre nom dans ce champ qui est réservé pour le nom du titulaire, se transformant en titulaires des domaines de leur société. Dans ces cas, les organisations font face au risque d'avoir des enregistrements contestés par leurs employés, qui peuvent réclamer les droits des domaines et essayer de les transférer ailleurs, en se basant sur le fait que l'organisation en particulier n'est pas une partie au contrat entre le bureau d'enregistrement et le titulaire de nom de domaine.
Avec ce risque en tête, et pour une question de bonne pratique, les organisations devraient s'assurer que leur nom juridique est indiqué dans le champ 'Organisation titulaire du nom de domaine', et qu'un nom de département ou de fonction est indiqué dans le champ 'Nom du titulaire'.
Titulaire de nom de domaine ou contact administratif tiers.
D'autre part, et je voudrais faire remarquer que cela ne constitue PAS un conseil juridique (vous devriez toujours demander un conseil juridique approprié lorsque vous rédigez ou examinez des contrats), les organisations autorisent parfois les tiers, comme le fournisseur d'hébergement, le développeur Web ou le cabinet juridique, à être listé en tant que titulaires de leurs domaines. En général ce n'est pas considéré comme une bonne pratique. Lorsqu'une organisation externalise la gestion de son portefeuille de domaines, elle devrait toujours être indiquée en tant que titulaire du domaine, que le gestionnaire du portefeuille soit listé ou pas en tant que contact administratif, technique ou responsable de la facturation du domaine.
Permettre à une tierce partie d'être le titulaire des domaines d'une organisation signifie que l'organisation ne sera PAS le titulaire de l'enregistrement. Cela pourrait permettre à cette tierce partie de contester l'enregistrement en termes de transfert des domaines vers un bureau d'enregistrement différent et priver l'organisation et ses employés, clients et partenaires commerciaux de l'utilisation des domaines (au moins jusqu'à ce que l'organisation retienne les services d'un conseiller juridique, paie les dépenses juridiques, lance les procédures correspondantes, qu'elles soient administratives comme une UDRP ou une URS, ou judiciaire selon la juridiction appropriée. Et même après tout ça, rien ne garantit que les poursuites de l'organisation aboutiront.
À l'heure actuelle, en ce qui concerne le fait d'avoir un gestionnaire de portefeuille listé en tant que contact technique ou administratif, la bonne pratique est d'établir une relation contractuelle (séparée) entre l'organisation et la tierce partie (je rappelle que c'est une bonne pratique et NON un conseil juridique). Du point de vue du fonctionnement technique et de sécurité, il est bon d'inclure des dispositions dans le contrat qui affectent l'autorité à la gestion du nom de domaine, y compris la capacité, par exemple, à transférer le nom de domaine vers un bureau d'enregistrement différent selon les instructions de l'organisation, la capacité à renouveler ou autoriser la fin d'un domaine, modifier les enregistrements du serveur de nom, établir l'état du nom de domaine ou modifier les données de contact. Ce contrat pourrait également préciser les circonstances selon lesquelles le contact technique ou administratif serait autorisé à, ou obligé de modifier un aspect de l'enregistrement ou du fonctionnement du nom de domaine.
Pour poursuivre cette bonne pratique il convient d'ajouter des dispositions au contrat qui prévoient des mesures opérationnelles que les contacts techniques et administratifs devraient mettre en œuvre ou appliquer de façon à protéger les noms de domaine de l'organisation, y compris celles jugées appropriées pour répondre aux incidents de sécurité, comme les attaques par déni de service distribué contre les serveurs de noms de domaine, le fait de compromettre un serveur, ce qui entraîne un contenu alors hébergé sans l'autorisation du titulaire, une création non-autorisée de sous-domaines, ou même une modification ou un ajout non-autorisé(e) d'enregistrements de zone. Ces mesures opérationnelles peuvent inclure, par exemple, le dépôt de rapports auprès du bureau d'enregistrement correspondant, ou auprès du département chargé de l'application des lois dans les juridictions appropriées. Pour finir, comme avec chaque contrat, il s'agirait également de définir les sanctions lorsque la partie indiquée en tant que contact technique ou administratif viole ses obligations concernant l'administration des noms de domaine.
Cette section ne constitue pas non plus un conseil juridique, donc c'est à vous de demander les conseils juridiques appropriés tout en prenant en considération ces bonnes pratiques d'un point de vue contractuel, opérationnel et technique.
Dans les futurs articles, nous ferons référence aux bonnes pratiques en lien avec les codes EPP (qu'est-ce qu'un code EPP ?), les serveurs de nom ainsi que d'autres aspects à garder à l'esprit lorsque l'on gère des enregistrements de domaine.
