La semaine dernière nous avons détaillé les différents types d’abus en matière de gestion de noms de domaine. Voyons à présent les actions possibles que le registre peut envisager face à ces abus.
Il faut garder en tête plusieurs points importants :
- Le registre n’est pas forcément responsable des abus commis par les titulaires de noms de domaine. Au contraire, les règles d’enregistrement précisent souvent que le titulaire est seul responsable.
La responsabilité peut être difficile à évaluer. Par exemple, si une entreprise se fait pirater son site Web, ce qui est assez banal, et qu’un site de hameçonnage est installé dessus, est-ce juste de supprimer le nom de domaine ? Et si un nom est utilisé pour du spam, compte-tenu de l’absence d’authentification du courrier électronique, doit-on agir contre le titulaire de ce nom, qui n’y pouvait pas grand’ chose ? Il faut donc éviter de se comporter comme le superhéros des films étatsuniens, qui tire d’abord et réfléchit après.
- Il n’y a pas de solution technique magique, qui résoudrait tous ces problèmes à la fois, et sans inconvénients.
Il est important que le registre agisse, à la fois en raison de ses obligations contractuelles, et aussi pour préserver sa réputation. Un registre qui serait perçu, à tort ou à raison, comme un havre pour les malfaisants risquerait de voir ses noms de domaine fréquemment bloqués, comme suggéré par Brian Krebs dans un récent article. Mais le registre ne doit pas non plus agir sans réfléchir, par exemple en supprimant sans bonne raison des noms de domaine innocents.
Une activité importante du registre est la supervision des listes « noires », gérées par divers acteurs, et qui listent des adresses ou des noms de domaine posant problème d’une façon ou d’une autre. L’examen régulier de ces listes peut donner l’alerte au registre, par exemple lui signaler que des acteurs malveillants ont soudain décidé d’utiliser son TLD massivement.
Parmi les actions possibles, le registre doit d’abord lire les signalements qui lui sont adressés. Cela n’est pas évident car une grande majorité de ces signalements sont trop vagues, ne concernent pas toujours le registre (piratage d’un site Web dans un sous-domaine délégué), écrits en termes excessivement brutaux, ou réclament des choses impossibles, par exemple en application d’un jugement étranger non traduit. Néanmoins, la perception de la réactivité d’un registre dépend beaucoup de la réponse qu’il apportera aux signalements.
Le registre peut également activer la technologie de sécurité DNSSEC, et encourager ses clients à l’utiliser. Il est important de comprendre que DNSSEC ne protège pas contre tous les abus cités plus haut. Mais il aurait protégé, par exemple, contre le piratage de MyEtherWallet, qui a d’ailleurs activé DNSSEC après avoir été piraté.
Enfin, le registre peut procéder à des vérifications dans les données sociales soumises lors de l’enregistrement d’un nom de domaine, comme par exemple vérifier que la ville indiquée dans l’adresse existe bien dans le pays en question. (De telles vérifications sont délicates, surtout dans un environnement international, car il peut exister plusieurs orthographes d’une ville.)
Notre service de détection d’abus : Abuse Report
Abuse Report est un service de l’Afnic, qui compare la liste des noms de domaine enregistrés dans un TLD à certaines bases de noms utilisés à des fins malveillantes (Spamhaus, Google Safebrowsing, SURBL).
Abuse Report a deux fonctions principales :
- Envoi, par courrier électronique, d’une alerte au registre, au BE (Bureau d’Enregistrement) et au titulaire en cas d’abus potentiel détecté,
- Envoi d’un rapport mensuel au registre détaillant l’activité d’abus potentiels dans le mois.
Le rapport mensuel comporte les données suivantes :
- La synthèse de l’activité du registre en matière d’abus (nombre de domaines, nombre d’abus potentiels détectés dans le mois, nombre d’abus par type d’abus, par base d’abus. . .),
- La répartition par BE,
- L’historique de l’activité d’abus sur les 12 derniers mois glissants, et l’historique des types d’abus sur les 12 derniers mois glissants,
- Les types d’actions réalisées. Par défaut, envoi d’un courrier au registre et aux BE. En option : envoi d’un message aux titulaires de noms de domaine. Ce message présente précisément les données liées aux domaines faisant l’objet d’un abus potentiel (domaine, date de création, date de détection, ancienneté du domaine, base abus dans laquelle le domaine a été détecté),
- Un glossaire qui présente en détail les bases d’abus supervisés par le service Abuse Report, ainsi que la définition des types d’abus détectés et des actions prises en compte.