fr

La réponse multidimensionnelle de l’organisation ICANN face aux abus du DNS

20 avril 2020
Par Göran MarbyGöran Marby

Bien que le rapport du mois de mars du système de signalement des cas d'utilisation malveillante des noms de domaine de l'ICANN affiche une baisse générale des noms de domaine gTLD de second niveau impliqués dans des activités d'hameçonnage, de distribution de logiciels malveillants et de contrôle de réseaux zombies, de nombreux signalements montrent que les malfaiteurs profitent de la pandémie mondiale de COVID-19 pour lancer des campagnes malveillantes en ligne. Des pics dans l'utilisation de noms de domaine liés au COVID-19 pour perpétrer des abus du DNS ont également été constatés.

La réponse de l'ICANN face à l'utilisation malveillante du DNS reste multidimensionnelle et témoigne de la nécessité de répondre aux problèmes d'abus dans les limites établies dans ses statuts et les politiques définies par la communauté de l'ICANN, tout en respectant les lois et les exigences règlementaires locales. De manière générale, le service de l'ICANN en charge de la conformité contractuelle (service conformité) veille à l'application des obligations contractuelles établies dans les politiques et les contrats de l'ICANN, en particulier le contrat de registre (RA) et le contrat d'accréditation des bureaux d'enregistrement (RAA). Le bureau du directeur de la technologie (CTO) apporte son expertise métier et la Division des domaines mondiaux (GDD) travaille avec les parties contractantes afin de soutenir la prestation de services aux registres et bureaux d'enregistrement, conformément aux obligations contractuelles et celles établies dans les politiques de consensus.

En ce qui concerne les abus liés au COVID-19, les mêmes acteurs au sein de l'organisation ICANN ont décidé d'accorder la priorité à la gestion des cas d'abus du DNS liés au COVID-19 et travaillent avec leurs communautés respectives à l'atténuation de nouveaux risques de menaces. Ces menaces incluent l'hameçonnage, le piratage de messagerie en entreprise, la distribution de logiciels malveillants, la cyber-escroquerie et bien d'autres types d'attaques. Dans certains cas, les malfaiteurs poussent les utilisateurs Internet à révéler des identifiants ou des informations confidentielles en leur faisant croire qu'ils achètent des cures contre le coronavirus ou bien des équipements de protection personnelle. Dans d'autres cas, les attaquants diffusent de fausses informations ou infectent les dispositifs d'utilisateurs peu méfiants avec des logiciels malveillants. Malheureusement, une grande partie de ces activités malveillantes utilisent ou mettent à profit des noms de domaine, ce qui amène de nombreux membres de la communauté de l'ICANN à se demander quel est le rôle que peut jouer l'ICANN pour tenter d'enrayer ces abus.

Efforts de l'OCTO

Au sein du bureau du directeur de la technologie (OCTO), l'équipe en charge de la sécurité, la stabilité et la résilience, a mis au point un système pour aider à l'identification de domaines malveillants qui profitent de l'épidémie de coronavirus. Le système cherche des noms de domaine contenant des termes tels que « coronavirus », « covid », « pandemic » (pandémie), « ncov », entre autres et, une fois identifiés, les compare à de multiples sources fiables de renseignement de menaces pour déterminer s'ils sont impliqués dans des activités d'hameçonnage ou de distribution de logiciels malveillants. S'il s'avère être le cas, le nom des domaines et les données collectées par le système seront partagés avec des parties qui ont le droit d'intervenir, telles que les opérateurs de registres et les bureaux d'enregistrement, et dans certains cas, avec des organisations d'application de la loi à l'échelle nationale ou internationale. Le système est soumis à des tests en interne afin de garantir les niveaux les plus élevés de fiabilité et éviter des faux positifs autant que possible. Nous travaillons avec des membres de la communauté pour nous assurer que les rapports générés par le système répondent à leurs besoins et permettent la mise en place de mesures opportunes et appropriées.

Outre le développement de cette nouvelle plateforme d'analyse et de signalement, les membres de l'équipe OCTO ont rejoint la Coalition contre les cybermenaces COVID-19 (CTC) et la Ligue de renseignement sur les cybermenaces COVID-19 (Ligue CTI), aux côtés de centaines de chercheurs de sociétés privés et de membres d'agences d'application de la loi de plusieurs pays. Ces groupes partagent des informations utiles concernant des menaces, en se focalisant sur la réponse à la pandémie dans l'espace cybernétique. L'ICANN effectue un travail similaire avec la communauté chargée de répondre à des incidents à travers son Forum des équipes de sécurité et de réponse aux incidents (FIRST), ainsi qu'avec les communautés qui s'occupent de la recherche des menaces et de la sécurité opérationnelle, à travers le Groupe de travail anti-abus pour la messagerie, les programmes malveillants et les mobiles (M3AAWG), le Groupe de travail anti-hameçonnage (APWG) et l'Alliance nationale d'intervention judiciaire et de formation contre la cybercriminalité (NCFTA). L'ICANN contribue au travail de ces groupes en apportant son expertise métier et en facilitant la communication entre les différentes parties intéressées à l'atténuation de risques liés à l'abus du DNS.

Efforts de l'ICANN en matière de conformité contractuelle

Tel qu'on l'a déjà dit, le service conformité de l'ICANN veille au respect des obligations établies dans les politiques et les contrats de l'ICANN, en particulier le contrat de registre (RA) et le contrat d'accréditation des bureaux d'enregistrement (RAA). Ce service travaille aussi étroitement avec l'OCTO à identifier des menaces à la sécurité du DNS (hameçonnage, distribution de logiciels malveillants et contrôle de réseaux zombies) et à les relier aux parties contractantes concernées. Le service conformité de l'ICANN se sert des données collectées pendant les audits (décrits plus en détail ci‑dessous) pour évaluer si les opérateurs de registres et les bureaux d'enregistrement se conforment à leurs obligations en matière d'atténuation de risques liés à la sécurité du DNS. En dehors de ces audits, le service conformité utilisera les données collectées par OCTO et d'autres pour contacter de manière proactive des opérateurs de registres et des bureaux d'enregistrement qui affichent un nombre disproportionné de menaces à la sécurité du DNS. En cas d'échec du dialogue constructif, le service conformité de l'ICANN n'hésitera pas à faire exécuter les contrats de tous ceux qui refuseraient de se conformer à leurs obligations en matière de menaces à la sécurité du DNS.

En réponse à la pandémie actuelle, l'équipe du service conformité de l'ICANN examine et traite de manière prioritaire toutes les plaintes en rapport avec des termes liés à la pandémie de COVID-19. Il est important de signaler que l'organisation ICANN ne s'est jamais vu conférer -et il n'en a d'ailleurs jamais été question- d'autorité pour agir en tant que régulateur des contenus Internet. À cet égard, lorsqu'il s'agit de la conformité contractuelle, il ne faut pas confondre les problèmes liés aux contenus avec les obligations en matière de menaces à la sécurité du DNS figurant dans les RA et RAA.

Le service conformité de l'ICANN consacre beaucoup de temps et d'efforts à traiter les plaintes relatives à des cas d'abus. Pendant la période comprise entre mars 2019 et mars 2020, le service conformité a reçu plus de 1 500 plaintes liées à des cas d'abus. La plupart de ces dossiers ont été résolus par le biais de processus de règlement informels, dans la mesure où les bureaux d'enregistrement ont accepté de se conformer à leur obligation de prendre des mesures pour enquêter et répondre aux signalements d'abus. Parmi les signalements qui n'ont pas donné lieu à des infractions, environ 10% ont abouti à une suspension des noms de domaine qui étaient inclus dans un dossier de plainte déposé auprès du service conformité de l'ICANN.

En outre, du 1er janvier 2014 au 31 janvier 2020, l'équipe du service conformité de l'ICANN a envoyé 42 avis de manquement à des bureaux d'enregistrement, portant sur l'absence de publication dans leur site web soit d'une adresse de courrier électronique pour recevoir des signalements d'abus, soit de la procédure du bureau d'enregistrement pour la réception, le traitement et le suivi des signalements d'abus, soit des deux. Pour ce qui est de la suite donnée à ces avis de manquement, le service conformité de l'ICANN a envoyé :

  • cinq avis de révocation d'accréditation de bureau d'enregistrement ;
  • un bureau d'enregistrement a volontairement renoncé à son accréditation après avoir reçu l'avis de manquement ;
  • trois avis de suspension de l'accréditation du bureau d'enregistrement.

Les exemples suivants correspondent à des dispositions du contrat en matière d'abus qui ont été exécutées par le service conformité de l'ICANN.

  • Les opérateurs de registre ont l'obligation d'inclure dans leurs contrats avec les bureaux d'enregistrement une disposition en vertu de laquelle les contrats passés entre les bureaux d'enregistrement et les titulaires de noms doivent défendre à ces derniers de s'engager dans certaines activités et les rendre passibles de sanctions en cas de manquement, y compris la suspension du domaine. Le service conformité de l'ICANN peut – et il le fait – prendre des mesures à l'encontre d'opérateurs de registres qui n'ont pas inclus la disposition exigée dans leurs contrats avec les bureaux d'enregistrement (contrat de registre de base, spécification 11 3(a)).
  • Les opérateurs de registres sont tenus de mener périodiquement une analyse technique afin d'évaluer si les domaines dans leurs gTLD sont utilisés pour perpétrer des menaces à la sécurité, telles que le dévoiement (pharming), l'hameçonnage, les programmes malveillants et les réseaux zombis. De plus, les opérateurs de registres doivent tenir des rapports statistiques relevant le nombre de menaces à la sécurité identifiées et les mesures mises en place à la suite des vérifications de sécurité périodiques menées pendant la durée du contrat. Ils doivent également fournir des copies de ces rapports à l'ICANN à sa demande (contrat de registre de base, spécification 11 3 (b)).
  • En vertu de l'article 3.18 du RAA, les bureaux d'enregistrement sont tenus de:

    • prendre rapidement les mesures nécessaires pour enquêter et répondre de manière appropriée aux signalement d'abus ;
    • prendre en considération des rapports fondés, préparés par les forces de l'ordre, des organismes de protection des consommateurs, des agences quasi-gouvernementales et d'autres autorités similaires faisant état d'activités illégales (tel que définies dans le RAA) ; et
    • publier de manière ouverte l'information de contact en cas d'abus ainsi que les procédures de gestion des cas d'abus afin que les utilisateurs sachent comment signaler des abus au bureau d'enregistrement et comment ces signalements seront traités.
  • Lors des enquêtes sur des plaintes d'abus valides, le service conformité de l'ICANN demande aux bureaux d'enregistrement d'expliquer la démarche suivie pour enquêter et répondre aux signalements d'abus. Les bureaux d'enregistrement doivent également fournir un lien ou une copie des politiques régissant l'utilisation des noms de domaine et les cas d'abus sur lesquelles ils s'appuient pour traiter un signalement d'abus spécifique.
  • Le Programme d'audit du service de conformité contractuelle de l'ICANN inclut l'utilisation malveillante du DNS parmi les questions adressées habituellement aux opérateurs de registres et aux bureaux d'enregistrement, afin de déterminer s'ils se conforment aux dispositions qui peuvent s'avérer utiles pour lutter contre différents formes d'abus. L'équipe du service conformité de l'ICANN a concentré ses audits les plus récents sur l'utilisation malveillante du DNS.
  • L'année dernière, l'ICANN a mené un audit sur la réponse des opérateurs de registres aux menaces pour la sécurité du DNS. L'audit a évalué la conformité des opérateurs de registres vis-à-vis de leurs obligations contractuelles, y compris la spécification 11 3(b) du contrat de registre de base (RA) décrite ci‑dessus. Le service conformité de l'ICANN mènera un audit auprès de ses bureaux d'enregistrement accrédités afin d'évaluer leur conformité aux obligations en matière de menaces à la sécurité du DNS. Pour mettre en place ces audits, l'équipe s'appuie sur l'expertise développée par OCTO pour identifier des menaces à la sécurité et les relier aux parties contractantes concernées.

Le service conformité de l'ICANN demande instamment aux parties qui identifient des noms de domaine utilisés pour perpétrer des abus dans le DNS, notamment liés au COVID-19, de les signaler aux opérateurs de registres ou aux bureaux d'enregistrement concernés, et de déposer des plaintes auprès du service conformité de l'ICANN s'ils considèrent que les parties contractantes n'ont pas traité de manière adéquate, raisonnable et opportune leur signalement d'abus. Le service conformité de l'ICANN encourage les parties à l'origine de signalements de cas d'abus du DNS à lire les directives publiées par le Groupe des représentants des bureaux d'enregistrement.

Efforts de la GDD

La Division des domaines mondiaux (GDD) s'occupe de la relation commerciale avec les opérateurs de registres gTLD et les bureaux d'enregistrement accrédités. Elle fournit des services pour les aider à s'acquitter de leurs obligations contractuelles. Par le biais de cette relation de coopération, la GDD contribue à lutter contre les menaces à la sécurité du DNS et d'autres formes d'abus du DNS, en coordonnant les activités mises en place par les parties contractantes avec les différents acteurs de l'organisation ICANN et de la communauté.

Début avril, j'ai envoyé un email aux opérateurs de registres et bureaux d'enregistrement pour les remercier de leurs efforts et de leurs initiatives visant à atténuer et à minimiser les risques d'utilisation abusive et malveillante des noms de domaine pour tirer profit de la pandémie de coronavirus. Le Groupe des représentants des bureaux d'enregistrement a récemment publié un guide très utile, intitulé « Approches des bureaux d'enregistrement face à la crise du COVID-19 » où l'on retrouve un certain nombre de mesures à mettre en place et des ressources que la communauté des bureaux d'enregistrement peut utiliser dans le cadre de ses efforts.

La GDD suit de près les abus liés au COVID-19 et leur impact sur l'industrie des domaines. Plus spécifiquement, l'équipe GDD a récemment fourni des orientations sur la manière dont les bureaux d'enregistrement peuvent protéger les titulaires de noms confrontés à des difficultés pour renouveler leurs noms de domaine en temps opportun. La GDD a demandé à poursuivre les discussions avec les représentants des parties contractantes afin de mieux comprendre, combattre et atténuer les problèmes que rencontrent les parties contractantes et les bureaux d'enregistrement et développer des idées pour d'éventuelles solutions.

Prochaines étapes

Pour combattre les abus il faut pouvoir donner un accès prévisible et fiable aux données d'enregistrement de noms de domaine à ceux qui en ont un intérêt légitime. L'organisation ICANN poursuit ses efforts pour essayer de comprendre dans quelle mesure un modèle d'accès unifié aux données d'enregistrement de noms de domaine serait acceptable dans le cadre du Règlement général sur la protection des données et la législation de l'Union européenne. L'accès à ces données d'enregistrement est essentiel pour les forces de l'ordre et les professionnels de la sécurité, afin de pouvoir protéger les utilisateurs Internet des délinquants qui profitent de la pandémie de COVID-19 ou d'autres menaces liées à des activités frauduleuses et criminelles. La communauté de l'ICANN, par le biais du processus accéléré d'élaboration de politiques (EPDP) sur la spécification temporaire relative aux données d'enregistrement des gTLD, a consacré énormément de temps et d'efforts à définir les éléments essentiels d'un modèle d'accès centralisé. L'organisation ICANN et d'autres acteurs ont consacré également beaucoup d'efforts à chercher des orientations du Comité européen de la protection des données, afin de savoir si et comment un tel modèle peut garantir un accès efficace aux données d'enregistrement tout en restant conforme au RGPD. À ce jour, la communauté de l'ICANN n'a pas reçu les orientations demandées.

L'organisation ICANN continuera à évaluer d'autres méthodes et outils nécessaires pour veiller à la sécurité et à la stabilité du DNS, au bénéfice de tous les utilisateurs Internet. Pensez à prendre toutes les mesures nécessaires pour protéger vos systèmes et restez vigilant pour vous prémunir de toute activité malveillante. Des pratiques standard de « cyber-hygiène » telles que ne pas cliquer sur des liens dans des courriers non sollicités, vérifier que l'adresse de l'expéditeur correspond à la personne concernée, être vigilant face à des emails contenant des fautes d'orthographe ou de grammaire, ne jamais fournir des identifiants en réponse à un email ou à un lien contenu dans un email, ne pas croire à des sollicitations inattendues, etc., peuvent beaucoup contribuer à réduire les probabilités de devenir victime d'attaques perpétrées par des délinquants qui se servent du DNS pour commettre des abus.

Protéger la santé et veiller à la sécurité de sa communauté est la priorité de l'organisation ICANN. Prenez soin de vous, autant en ligne que hors ligne, pour aider à retarder la propagation du COVID-19 et contrecarrer les efforts des criminels qui tentent de tirer profit de la pandémie globale.

Authors

Göran Marby

Göran Marby

President and Chief Executive Officer (CEO)
Read biographyRead biography