Logo
ICANN
ICANN
Filtered Search

Are you sure you want to sign out from http://www.icann.org?

If you want to sign out from both http://www.icann.org and ICANN Account, click here.

Blogs de l’ICANN

Lisez les blogs de l’ICANN pour vous tenir au courant des dernières activités d’élaboration de politiques, des événements régionaux et bien plus encore.

Les bonnes pratiques d'enregistrement et d'administration des portefeuilles de noms de domaine (Partie 1)

30 mai 2017
Par
Carlos Alvarez

Carlos Alvarez

Trust and Public Safety Engagement Director

Carlos’s work is currently focused on helping the Internet community address abuse of Domain Name System resources, by:

  • Providing subject matter expertise on contractual and policy matters with potential anti-abuse and consumer protection implications.
  • Trust-based collaboration with worldwide cyber law enforcement and the operational security community.
  • Capability building, via training law enforcement and other constituents involved in the operation or the security of the Internet identifiers.

He served in the past in ICANN's Contractual Compliance Team where he managed the team responsible for processing all registrar-related complaints worldwide. He also provided key subject matter expert advice and guidance to ICANN's Contractual Compliance Audit Program and to the gTLD registry-related work of the Compliance Team.

Prior to joining ICANN, Carlos participated in the International Attorneys Program at Holland & Knight in Miami and served as the head of the Legal & Business Affairs Division at Sony Music for Colombia, Ecuador, Venezuela and Peru. While in this position he was a member of the Andean legal committee of the IFPI (International Federation of the Phonographic Industry).

He was a pioneer in Latin America in matters related to software anti-piracy, information security from a legal perspective and cyber crime, initially through his work with the local law firm of the Business Software Alliance in Colombia since 1998. His articles on piracy and terrorism, cyber crime, botnets, digital evidence, criminal aspects related to the use of honeypots, legal aspects of information security standards, the Budapest Convention, and other related matters have been published in Colombia, Venezuela, Argentina, Mexico and Spain. He taught computer law, legal aspects of information security and intellectual property in two universities in Bogota and has lectured before many different audiences in the Americas, Europe and Asia, from students to c-level executives, as well as government representatives, regulators, law enforcement, and military and intelligence personnel.

He maintains working relationships with law enforcement cyber units from different countries and while still living in Bogota was a member of the local Electronic Commerce Subcommittee of the International Chamber of Commerce. Carlos is a former co-chair of the Messaging, Malware and Mobile Anti Abuse Working Group (M3AAWG)'s Anti-Phishing Special Interest Group and is a co-chair of M3AAWG's DNS Abuse Special Interest Group.

Carlos is an attorney graduated from the Universidad de los Andes in Bogota. He holds a Master of Laws degree from the University of Southern California Gould School of Law, and has studies on networking with TCP/IP from UCLA.

En plus des six langues des Nations Unies, ce contenu est aussi disponible en

null

Il est toujours utile de rappeler les bonnes pratiques liées à l'enregistrement et à l'administration des noms de domaine, en particulier lorsqu'on se réfère aux portefeuilles avec des dizaines ou des centaines de noms de domaine. Les bonnes pratiques permettent aux sociétés d'avoir des activités en ligne en continu et leur permettent d'éviter, par exemple, de perdre leurs noms de domaine à cause d'une échéance ou d'un détournement. D'un autre côté, avoir de mauvaises pratiques peut, parmi d'autres conséquences négatives, mener à une perturbation des activités, une perte de la confiance du consommateur et être préjudiciable pour la réputation.

Cet article, le premier d'une série, reprend trois bonnes pratiques. D'autres seront abordées dans de prochains articles. Commençons.

Maintenir à jour les informations d'enregistrement

Au moment de la création de chaque nom de domaine, le titulaire donne les coordonnées de contact au bureau d'enregistrement. Cette information est ensuite rendue publique via le service WHOIS, permettant aux sociétés d'être contactées pour de multiples raisons, y compris pour des questions techniques ou de fonctionnement en lien avec le domaine, ou pour un intérêt pour le contenu publié sur le site Web associé, ou pour des inquiétudes concernant la sécurité.

Les sociétés doivent s'assurer que les données de contact, tel que présentées au sein du WHOIS, sont exactes et mises à jour. Des informations fausses ou obsolètes peuvent empêcher les chargés de sécurité de contacter les titulaires de noms de domaine dont les domaines peuvent avoir été corrompus, ou empêcher les éventuels partenaires commerciaux d'établir un contact pouvant mener à une nouvelle opportunité commerciale.

Ne pas utiliser d'adresses électroniques personnelles

Les sociétés ne devraient pas autoriser l'utilisation d'adresses électroniques personnelles dans les données d'enregistrement de leurs noms de domaine d'entreprise. Cette recommandation comprend à la fois les adresses électroniques que les employés utilisent en dehors du travail et les adresses électroniques qui identifient les individus au sein de l'organisation. Les deux peuvent fragiliser la société.

  • Ne pas autoriser l'utilisation d'adresses électroniques comme johndoe@gmail.com ou janedoe@hotmail.com.

    Les adresses électroniques listées pour le titulaire de nom de domaine et le contact administratif d'un nom de domaine sont les clés de son administration. Lorsque les adresses électroniques personnelles des employés sont listées, rien ne les empêche de détourner le domaine lorsqu'ils quittent la société.

  • Utiliser des adresses électroniques génériques, basées sur la fonction ou sur le département, comme domain_admin@companyname123.com, au lieu d'adresses électroniques avec le nom des personnes, comme j.doe@companyname123.com.

    Donner le nom des personnes impliquées dans l'administration des noms de domaine de l'entreprise les expose à un risque croissant d'attaques d'ingénierie sociale ou de spear-phishing (attaque par hameçonnage ciblé) visant la société. Il faudrait plutôt utiliser des noms basés sur la fonction ou sur le département, avec dans l'idéal plusieurs utilisateurs recevant les communications envoyées à cette adresse.

Éviter d'avoir des noms de domaine dans le bailliage

Le bailliage est une situation qui existe lorsqu'une société enregistre le domaine example.com et liste ensuite les adresses électroniques user1@example.com et user2@example.com dans la base de données WHOIS.

Les attaquants qui prennent le contrôle de l'administration d'un nom de domaine dans le bailliage peuvent rediriger les courriers électroniques en remplaçant le serveur de nom officiel par un serveur de nom qu'ils contrôlent. Ils peuvent ensuite ajouter un enregistrement MX qui dirige le courrier électronique vers un serveur qu'ils contrôlent également. Ils peuvent sinon désactiver le courrier électronique en supprimant l'enregistrement MX du domaine, et dans ce cas aucun courrier électronique ne sera envoyé ou reçu par la société qui a enregistré le domaine touché.

Un autre niveau de difficulté s'ajoute lorsque le bureau d'enregistrement ne peut pas entrer en communication avec la société touchée, étant donné qu'il n'a pas accès au courrier électronique de la société. Cette situation demande une communication hors bande et la preuve donnée au bureau d'enregistrement que la société est bien le titulaire de nom de domaine affecté.

Je vous tiendrai au courant des prochaines publications où je vous donnerai de nouvelles bonnes pratiques à suivre !

Authors

Carlos Alvarez

Carlos Alvarez

Trust and Public Safety Engagement Director
Carlos Alvarez

Carlos Alvarez

Trust and Public Safety Engagement Director

Carlos’s work is currently focused on helping the Internet community address abuse of Domain Name System resources, by:

  • Providing subject matter expertise on contractual and policy matters with potential anti-abuse and consumer protection implications.
  • Trust-based collaboration with worldwide cyber law enforcement and the operational security community.
  • Capability building, via training law enforcement and other constituents involved in the operation or the security of the Internet identifiers.

He served in the past in ICANN's Contractual Compliance Team where he managed the team responsible for processing all registrar-related complaints worldwide. He also provided key subject matter expert advice and guidance to ICANN's Contractual Compliance Audit Program and to the gTLD registry-related work of the Compliance Team.

Prior to joining ICANN, Carlos participated in the International Attorneys Program at Holland & Knight in Miami and served as the head of the Legal & Business Affairs Division at Sony Music for Colombia, Ecuador, Venezuela and Peru. While in this position he was a member of the Andean legal committee of the IFPI (International Federation of the Phonographic Industry).

He was a pioneer in Latin America in matters related to software anti-piracy, information security from a legal perspective and cyber crime, initially through his work with the local law firm of the Business Software Alliance in Colombia since 1998. His articles on piracy and terrorism, cyber crime, botnets, digital evidence, criminal aspects related to the use of honeypots, legal aspects of information security standards, the Budapest Convention, and other related matters have been published in Colombia, Venezuela, Argentina, Mexico and Spain. He taught computer law, legal aspects of information security and intellectual property in two universities in Bogota and has lectured before many different audiences in the Americas, Europe and Asia, from students to c-level executives, as well as government representatives, regulators, law enforcement, and military and intelligence personnel.

He maintains working relationships with law enforcement cyber units from different countries and while still living in Bogota was a member of the local Electronic Commerce Subcommittee of the International Chamber of Commerce. Carlos is a former co-chair of the Messaging, Malware and Mobile Anti Abuse Working Group (M3AAWG)'s Anti-Phishing Special Interest Group and is a co-chair of M3AAWG's DNS Abuse Special Interest Group.

Carlos is an attorney graduated from the Universidad de los Andes in Bogota. He holds a Master of Laws degree from the University of Southern California Gould School of Law, and has studies on networking with TCP/IP from UCLA.

Vous aimerez peut-être

Articles récents

Articles par auteur

Recherche avancé

Rechercher

Voulez-vous recevoir d’autres contenus de ce type ?

Souscrire