Bulletin d’information sur la spécification 11.3b du contrat de registre pour les nouveaux gTLD

Date de publication: 8 juin 2017

Introduction

L'ICANN publie ce bulletin d'information en réponse aux questions reçues de la part de certains opérateurs de registre concernant les pratiques qu'ils peuvent mettre en place pour se conformer à la section 3b de la spécification 11 du contrat de registre des nouveau gTLD (« Spec 11.3b ») qui établit :

L'opérateur de registre fera périodiquement une analyse technique afin d'évaluer si les domaines de son gTLD sont utilisés pour perpétrer des menaces contre la sécurité comme le détournement (pharming), le hameçonnage, les programmes malveillants et les réseaux zombis. L'opérateur de registre devra assurer des rapports statistiques sur le nombre des menaces contre la sécurité identifiées et les mesures prises suite aux vérifications périodiques en matière de sécurité. L'opérateur de registre devra maintenir ces rapports pour la durée du contrat, sauf si un délai plus court est requis par la loi ou approuvé par l'ICANN, et il les présentera à l'ICANN sur demande.

Ce bulletin d'information propose une approche volontaire que les opérateurs de registre peuvent adopter pour effectuer des analyses techniques destinées à évaluer les menaces contre la sécurité et produire des rapports statistiques, comme requis par la Spec 11.3b. Il faut noter que les opérateurs de registre qui mettent en place les pratiques décrites dans le présent bulletin ne sont pas pour autant considérés automatiquement en conformité. Dans tous les cas, les opérateurs de registre restent soumis aux mêmes audits et enquêtes factuelles menés au cas par cas pour déterminer leur conformité. Les opérateurs de registre peuvent se mettre en conformité avec la Spec 11.3b en mettant en œuvre leurs propres procédures pour satisfaire aux obligations.

Définition de menace contre la sécurité

Aux fins du présent bulletin d'information, les menaces contre la sécurité (« menaces contre la sécurité »), tel qu'évoquées dans la Spec 11.3b incluent, entre autres :

• le détournement (pharming)¹,
• le hameçonnage,
• les logiciels malveillants,
• les réseaux zombies, et
• d'autres types de menaces contre la sécurité.

Qu'est-ce qui constitue une « analyse technique » pour être en conformité avec ce bulletin ?

Une « analyse technique » fait référence aux mesures prises pour identifier les menaces contre la sécurité dans un TLD, à travers :

• l'examen des flux des données, et/ou
• la mise en place d'analyses automatisées capables de fournir des données au moins équivalentes à celles fournies par les prestataires de services de réputation de domaines.

Mise en place de l'analyse technique

Un opérateur de registre peut lui‑même effectuer l'analyse technique ou bien sous-traiter une ou plusieurs des étapes décrites ci-dessus auprès d'un prestataire de services de réputation de domaine.

Aux fins du présent bulletin d'information, les prestataires de services de réputation de domaine sont des entités qui possèdent ou gèrent des bases de données contenant des informations sur les noms de domaine et leurs liens avec des menaces contre la sécurité. Ils assurent des services connus comme des « services de réputation ».

• Utilisation des services de réputation

  Les services de réputation reposent sur des analyses de données qui mettent en rapport des informations sur l'enregistrement de noms de domaine avec d'autres données associées à des abus de noms de domaine. Ces services techniques compilent en permanence des listes actualisées contenant des noms bloqués, des signatures de logiciels malveillants et des données concernant des signalement d'abus provenant de sources vérifiées, afin de veiller à l'exactitude et à l'efficacité des informations. Dans la plupart des cas, les données agrégées sont analysées, regroupées par catégorie de menace et évaluées selon un score de réputation qui tient compte de la nature temporelle des noms de domaines pour éviter de s'appuyer sur des informations obsolètes. Ces services permettent aux opérateurs de registre d'interroger certaines données afin de déterminer la probabilité qu'un nom de domaine enregistré soit associé à des noms de domaine connus pour être utilisés à des fins malveillantes dans le but de perpétrer des menaces contre la sécurité.

  Dès qu'il est constaté qu'un nom de domaine est associé à des menaces contre la sécurité, les opérateurs de registre peuvent choisir de mettre en œuvre les mesures décrites dans le « Cadre de référence des opérateurs de registre pour répondre aux menaces contre la sécurité », soumis actuellement à consultation publique. Le bulletin d'information sera mis à jour avec un lien vers le Cadre de sécurité final, une fois que celui-ci sera disponible.

• Sélection des services de réputation

  Au moment de choisir un prestataire de services de réputation de noms de domaine (ou de mettre en place ce service par eux-mêmes), les opérateurs de registre doivent considérer les critères suivants :

  • Le service de réputation couvre-t-il les menaces contre la sécurité par rapport auxquelles l'opérateur de registre cherche à obtenir des données ?
  • Le service de réputation envoie-t-il une notification à l'opérateur de registre dès qu'un nom de domaine est incorporé à la base de données du prestataire de services de réputation ?
  • Y a-t-il un mécanisme pour effectuer des interrogations automatiques, tel qu'un API ?
  • Existe-t-il une description publiquement disponible de la méthodologie et des critères utilisés par le prestataire des services de réputation de noms de domaine pour préparer les données relatives à la réputation des domaines, à savoir : comment les noms sont ajoutés à leur(s) base(s) de données, combien de temps ces noms sont gardés dans la base de données et comment ils en sont éliminés.

  Étant donné que le présent bulletin d'information met l'accent sur l'autorégulation de l'industrie, l'ICANN ne recommande pas de prestataire de services de réputation spécifique.

Fréquence de l'analyse technique et du rapport statistique sur les menaces contre la sécurité identifiées

La mise en place d'analyses techniques conformément à la Spec 11 3.b donne à l'opérateur de registre la possibilité de déterminer quels sont les domaines de leurs TLD qui sont associés à des menaces contre la sécurité.  Une fois identifiées, ces informations peuvent être utilisées pour préparer les rapports statistiques décrits ici.

Pour démontrer leur adhésion aux orientations fournies dans le présent bulletin, les opérateurs de registre doivent mener ces analyses aussi souvent que nécessaire mais au moins une fois par mois. Une fréquence quotidienne des analyses est préconisée pour permettre une détection rapide des noms de domaine nouvellement créés qui sont utilisés pour perpétrer des menaces contre la sécurité.

Rapports statistiques sur les menaces contre la sécurité identifiées et actions mises en place

Les rapports statistiques relatifs au nombre de menaces contre la sécurité identifiées et aux actions mises en place qui résultent des vérifications de sécurité périodiques sont gardés pendant toute la durée du contrat, à moins qu'un période plus courte ne soit déterminée par la loi ou approuvée par l'ICANN.

Les rapports statistiques incluent typiquement :

• la quantité de noms de domaine examinés pendant l'analyse ;
• la liste des noms de domaine avec des menaces potentielles ;
• le type de menace identifiée, tel que des logiciels malveillants ou des réseaux zombies ;
• le type de mesure prise en réponse à ces menaces, telles que la suspension ;
• le statut de la menace (en cours, en suspens, close) et des statistiques sur les mesures prises ;
• des détails supplémentaires sur les menaces tels que l'adresse IP, la localisation géographique, les informations du titulaire du nom ; et
• des tendances et des alertes.

¹ Le détournement ou pharming est une menace qui affecte les services de résolution des noms de domaine et non pas les services d'enregistrement. Il peut ne pas faire partie des services de réputation de domaines et ne pas être soumis aux orientations fournies dans ce bulletin.