Le Côté obscur des Noms de domaine

Dans un rapport intitulé Making Waves in the Fisher’s Safest Harbor: Exposing the Dark Side of the Subdomains Registeries (Faire des vagues dans le Havre des Fisher: Mettre en lumière le Côté Obscur des Registres de sous-domaines), l’association Anti-Phishing Working Group (apwg.org) propose des moyens de lutte contre la créations d’espaces internet frauduleux.

Le « phishing », de l’américain « l’hameçonnage », peut être défini comme une technique de fraude tendant à obtenir les données identifiantes et personnelles (notamment mais pas uniquement bancaires) dans le but de commettre une usurpation d’identité.

Les techniques sont nombreuses: envoi de courriels mensongers, créations de site Internet similaires à ceux d’une société, utilisation de logiciels espions qui transmettent des informations personnelles, etc.

Selon l’APWG, les fraudeurs ont constamment renouvelé leurs efforts pour préserver leur anonymat, et ont récemment adapté leurs méthodes aux techniques anti-fraude. Notamment les noms de domaine (et certains bureaux d’enregistrement) auraient joué un rôle considérable dans l’essor du phishing.

Le rapport rédigé par l’APWG expose le rôle des sous-domaines dans l’essor de la fraude par ‘phishing’, notamment par la constitution de zones de non-droit favorables à cette activité délictuelle. L’APWG propose des solutions individuelles et collectives pour rendre ces sous-domaines moins attractifs pour les délinquants du Net.

Selon l’APWG, la plupart des solutions d’hébergements fonctionnent par le biais de comptes d’hébergement. Certains fournisseurs d’accès à internet (FAI) ou prestataires d’hébergement proposent la création de noms de domaine gratuits, ou d’adresses e-mails gratuites, en échange de la diffusion de publicités sur le site de l’utilisateur. Ce modèle de financement, qui consiste à assumer les charges d’un service par la diffusion d’annonces publicitaires, connait aujourd’hui un succès certain en France.

Certains prestataires d’hébergement ou FAI proposent également la création de sous-domaines, intégrée dans leur offre globale de service. Il s’agit de choisir un nom qui constituera un domaine dépendant du domaine principal. La structure des sous-domaine est généralement la suivante:

<nom_choisi_par_le_client>.<nom_de_domaine_du_prestataire>.<ccTLD>

Par exemple:

<desrumaux.FAI.fr> est le sous-domaine intitulé <desrumaux> du domaine principal <FAI.fr>.

Selon les règles techniques d’accessibilité, un sous-domaine est dans la dépendance technique du domaine principal. <desrumaux.FAI.fr> ne peut fonctionner qu’avec l’accord du titulaire du domaine <FAI.fr>.

L’essor des sous-domaines a créé un effet d’aubaine pour les « phishers ». En effet, l’Internaute occidental lit majoritairement le nom de domaine de gauche à droite, et son attention sera généralement portée sur les premiers termes du domaine. Par exemple: en lisant rapidement <desrumaux.ft.com>, un internaute pourrait penser qu’il se trouve sur un domaine apparenté à <desrumaux.fr>, alors qu’en réalité il se trouve dans un sous-domaine, dont les pages sont gérées par le titulaire du nom de domaine <ft.com>.

L’exemple du sous-domaine <linter.naute.fr> est plus explicite: <linter> dépend du domaine principal <naute.fr>; le client de <linternaute.fr> pourrait être dupé s’il ne prend pas garde au petit « . » figurant entre les caractères.

L’APWG relève que la création de sous-domaines est facile, peu onéreuse en temps et en argent, généralement difficilement décelables. En outre, avec la généralisation des réservations anonymes, les facilités de redirection des sites (en URL non-transparentes), le sous-domaine a ouvert de nouvelles perspectives aux activités criminelles des phishers.

L’APWG remarque que les litiges relatifs aux sous-domaines font rarement l’objet de procédures alternatives de règlement des litiges. Une telle conclusion est trop facile. Les règles de droit sont applicables au média Internet, même si les praticiens ont parfois plus de difficultés à les mettre en œuvre. L’absence de procédure « alternative » n’empêche pas l’application des procédures classiques: engagement de la responsabilité du domaine principal par fourniture de moyens, exigence de conservation des données de connexion, etc. La coopération des FAI et des prestataires d’hébergement avec les services de lutte contre la répression des fraudes permettrait, dans certains cas, l’identification de responsables.

Pour lutter contre le développement du phising par les sous-domaines, l’APWG propose différentes solutions, notamment:

1. L’acceptation par les Bureaux d’enregistrement d’une charte (Uniform Terms of Service agreement – UTS) qui interdirait l’utilisation de sous-domaines pour des activités illégales. Ce renvoi à une Charte contribue à une contractualisation massive des rapports à la loi, et sous-entend qu’une règle commune ne serait pas applicable tant que la personne visée n’y aurait pas souscrite. Cette philosophie est difficilement acceptable. Un Bureau d’enregistrement ou un prestataire d’hébergement qui contribuerait, par sa négligence, à la violation de droits de propriété intellectuelle ou à la commission de fraudes massives par usurpation d’identité, mériterait d’être sanctionné.

2. La collecte d’informations identifiantes fiables des créateurs de sous-domaine: cette proposition n’est pas nouvelle, et participe d’une responsabilité de tous les acteurs de l’Internet. Actuellement, le nom de domaine est l’un des rares actifs incorporels pouvant être réservé de manière anonyme, alors que le dépôt d’une marque, l’achat d’action, la création d’un fonds de commerce… appellent une identification précise de son titulaire.

3. Mettre en œuvre un service de déclaration des abus, lorsque la création d’un sous-domaine viole la Charte UTS ; le titulaire d’un nom de domaine étant responsable de sa gestion, c’est bien la moindre des choses…

4. Paramétrer l’activité des zones pour identifier les sous-domaines qui violeraient la Charte UTS.

5. Développer la coopération entre les agents de lutte contre le phising, pour réduire le temps de réponse.

6. Développer un système alternatif de règlement des litiges permettant aux consommateurs et aux clients des prestataires d’hébergement de réouvrir leur site, lorsque celui-ci a été suspect de phishing par erreur.

Selon l’APWG, les bureaux d’enregistrement, les FAI et les prestataires d’hébergement doivent maintenant réagir, pour apporter aux échanges sur l’Internet la légitime sécurité technique que les acteurs sont en droit d’attendre.