Logo
ICANN
ICANN
Filtered Search

Are you sure you want to sign out from http://www.icann.org?

If you want to sign out from both http://www.icann.org and ICANN Account, click here.

Blogs de l’ICANN

Lisez les blogs de l’ICANN pour vous tenir au courant des dernières activités d’élaboration de politiques, des événements régionaux et bien plus encore.

Leçons à tirer du détournement du domaine Diigo

2 novembre 2012
Par Dave Piscitello

Dave Piscitello

Dave Piscitello, expert en sécurité, pour l’équipe de sécurité de l’ICANN.

Diigo est un service de stockage de favoris et de notes dont se servent quotidiennement des millions d’individus, de formateurs et d’étudiants pour gérer et partager des informations, mener des recherches et travailler en collaboration. Le 24 octobre, un pirate s’est emparé du compte du domaine Diigo du bureau d’enregistrement. Le domaine a été détourné du contrôle de Diigo et tombé dans les mains d’un pirate, ce qui a empêché l’accès au service à environ cinq million d’utilisateurs pendant plus de deux jours. TechCrunch a publié un récit détaillé de l’incident, qui devrait donner matière à réflexion et servir de rappel à tous les registrants de noms de domaine : Votre nom de domaine est une composante clé de votre présence en ligne, si bien que vous devez prendre des mesures afin de le surveiller et de le sauvegarder contre des attaques susceptibles de perturber les services que vous prêtez, faire obstacle à la recherche, entraîner des dommages matériels ou nuire à votre réputation.

Le détournement de domaines n’est pas une nouveauté. Le Comité consultatif de l’ICANN sur la stabilité et la sécurité (SSAC) a commencé à attirer l’attention sur cette menace en 2006, dans son premier Rapport sur le détournement de domaine [PDF, 400 KB]. Depuis 2006, le SSAC et les membres de l’équipe de sécurité de l’ICANN ont recommandé des mesures que les registrants peuvent prendre afin de protéger leurs comptes d’enregistrement de domaine ainsi que des moyens pour que les bureaux d’enregistrement puissent les aider (SAC040, SAC044).

L’incident Diigo est une affaire de mise en danger d’un compte, extorsion et transfert non autorisé de domaine. Entre autres mesures recommandées, ces rapports mettent l’accent sur l’importance de protéger les comptes par le biais d’informations d’identification (nom d’utilisateur et mot de passe) qui ne puissent pas être facilement devinées ou obtenues par des techniques d’ingénierie sociale. N’oubliez pas : toute personne ayant accès à vos informations d’identification –vous, le personnel que vous embauchez pour héberger votre site Web ou le personnel du bureau d’enregistrement – peuvent être la cible d’attaques et devenir des victimes de l’ingénierie sociale.

Le rapport explique aussi l’importance d’utiliser des « verrouillages » pour empêcher tout transfert non autorisé. Un autre rapport du SSAC explique comment un nom de domaine peut être détourné par une opération d’hameçonnage [PDF, 50 KB] : Dans ce cas, un hameçonneur usurpant l’identité d’un bureau d’enregistrement attire le client d’un bureau d’enregistrement vers une copie frauduleuse de la page de connexion du client, où ce dernier peut révéler involontairement ses informations d’identification au pirate, qui pourra ainsi modifier ou s’emparer des noms de domaine des clients.

Notre « liste résumée » de mesures que tous les registrants devraient prendre afin de se prémunir contre les détournements ou toute autre utilisation frauduleuse des noms de domaine inclut :

  1. Protégez le compte du nom de domaine à l’aide d’informations d’identification. La plupart des portails des comptes des bureaux d’enregistrement sont protégés par des mots de passe : créez donc des mots de passe sûrs et sauvegardez les. Vous avez aussi intérêt à chercher des bureaux d’enregistrement qui proposent une authentification multifactorielle (par exemple, jeton).
  2. Utilisez SSL (HTTPS) quand vous accédez au compte d’enregistrement de votre nom de domaine.
  3. Utilisez les bureaux d’enregistrement accrédités par l’ICANN. Renseignez-vous sur la réputation et l’historique de service des bureaux d’enregistrement. Si vous n’êtes pas tout à fait à l’aise avec votre bureau d’enregistrement, vous pouvez et devriez envisager de transférer votre domaine à un service auquel vous faites confiance.
  4. Demandez à votre bureau d’enregistrement de mettre en place des verrouillages par le bureau d’enregistrementde vos noms de domaine. Les verrouillages (formellement, des codes d’état) empêchent tout changement dans l’enregistrement de votre nom de domaine et bloquent toute tentative de transfert ou de suppression de vos noms de domaine (voir SAC044, pages 22-23) Un certain nombre d’opérateurs de registre TLD proposent des verrouillages de registrepour empêcher tout changement non voulu des comptes du registre. Ce service est proposé en complément du service de verrouillage proposé par les bureaux d’enregistrement, et inclut souvent un contrôle manuel (1, 2).
  5. Soyez attentif à la correspondance « habituelle » du bureau d’enregistrement, car il peu s’agir de courriels d’hameçonnage. Dans ces courriels, les hameçonneurs utilisent souvent l’HTML pour incorporer des liens malveillants dans des liens apparemment sûrs et inoffensifs. Ne cliquez pas sur un hyperlien; tapez plutôt le lien manuellement.
  6. Surveillez l’information WHOIS et DNS de votre domaine. Vérifiez tous les deux systématiquement pour identifier tout changement non autorisé ou suspect (voir SAC044, pages 20-22).
  7. Veillez à ce que l’information du compte de registrant de votre domaine reste privée, soit sécurisée et récupérable.

Pour plus d’information, les articles ci-dessous peuvent s’avérer utiles :

Mesures pour protéger les enregistrements de domaine (universitaires) et le DNS contre des attaques
http://securityskeptic.typepad.com/the-security-skeptic/2011/07/measures-to-protect-university-domains-against-attacks.html

Podcast : Comment protéger votre compte d’enregistrement de domaine contre des attaques ou des utilisations frauduleuses
http://securityskeptic.typepad.com/the-security-skeptic/2011/02/podcast-how-to-protect-your-domain-registration-accounts-against-attack-or-misuse.html

Pourquoi vous devez ajouter « protéger le nom de domaine » à votre liste de vérification de sécurité
http://www.networkcomputing.com/data-protection/why-you-need-to-add-protect-domain-name/229616011

Comment vous protéger du détournement de noms de domaine
http://www.informationweek.com/how-to-protect-yourself-against-domain-n/170000337

Vous voulez enregistrer un nom de domaine ? Conseils faciles au consommateur
http://blog.consumerwebwatch.org/2007/12/want_to_register_a_domain_name_1.html

Dix points clé à considérer pour l’enregistrement d’un nom de domaine.
http://www.consumerwebwatch.org/pdfs/domainname.pdf

Authors

Dave Piscitello

Dave Piscitello

Vous aimerez peut-être