Piratage de nom de domaine : les bonnes pratiques pour s'en prémunir

Source de développement commercial, de confiance des consommateurs, de maîtrise de l'image et de protection de la marque, un site internet représente une surface d'attaque particulièrement prisée des pirates informatiques.

Parmi les risques à gérer, ceux liés au détournement du nom de domaine sont encore trop souvent négligés dans les stratégies mises en œuvre par les entreprises en matière de lutte contre les cybermenaces. Ainsi, le nom de domaine devient l’un des maillons faibles de leur posture globale de cybersécurité.

Lorsque son nom de domaine est piraté, c’est souvent une part primordiale de l’univers numérique de l’entreprise qui s’écroule, avec des conséquences potentiellement dramatiques sur le plan financier, image, juridique... Cela se produit lorsque les attaquants parviennent à modifier ou faire modifier les informations techniques associées au nom de domaine, afin de rediriger les internautes vers un serveur sous leur contrôle. Leur but est souvent de tromper les visiteurs en leur servant un site web malveillant, imitant l’original à la perfection, afin de récupérer à leur insu leurs mots de passe ou informations bancaires par exemple. Dans d’autres cas, il s’agit plutôt d’afficher un site véhiculant des informations préjudiciables à l’image de l’entreprise (revendications idéologiques par exemple). Dans tous les cas, même une fois le problème résolu, les répercussions à long terme en matière d’image et de perte de confiance des internautes sont désastreuses.

L’humain en première ligne de la cyberdéfense

Quelques bonnes pratiques suffisent à renforcer la sécurité des noms de domaine et garder les attaquants à distance. Cela commence par replacer l’humain au cœur de la gestion du cycle de vie de votre nom de domaine. Même si celle-ci repose en grande partie sur des processus automatisés, l’humain doit y conserver un rôle suffisant.

Les problématiques de la gestion du ou des noms de domaine de l’entreprise sont diverses et variées, autant techniques qu’administratives, juridiques ou encore marketing. Par conséquent, les intervenants impliqués (dans ou hors de l’entreprise) peuvent être nombreux. Or, trop souvent, la responsabilité globale de la gestion des noms de domaine n’incombe à personne en particulier. Pour en garantir leur sécurité, l’entreprise doit donc désigner un responsable compétent, dont la mission sera notamment de s’assurer que toutes les procédures de gestion nécessaires (création, modification, etc.) sont définies de sorte à minimiser les risques, et qu’elles sont scrupuleusement respectées.

Cela signifie également que toutes les personnes qui ont, de près ou de loin, un rapport avec la gestion de votre nom de domaine, doivent avoir été selon les cas sensibilisées ou formées aux risques et aux bonnes pratiques de cybersécurité en général, et de sécurité des noms de domaine en particulier. De nombreuses attaques informatiques sur les noms de domaine trouvent leur point de départ dans une erreur humaine, et auraient souvent pu être évitées.

Les bureaux d’enregistrement, compagnons d’arme de la sécurité 

Le bureau d’enregistrement est le prestataire servant d’intermédiaire entre l’entreprise (titulaire du nom de domaine) et l’Office d’enregistrement, gestionnaire des noms de domaine (par exemple l’Afnic pour les noms de domaine en .fr). C’est le bureau d’enregistrement qui s’occupera de déclencher toutes les démarches administratives et techniques vous permettant d’enregistrer, puis de gérer et de configurer votre nom de domaine.

Si les parcours d’enregistrement peuvent varier d’un bureau à l’autre (ils ont tous une approche différente du parcours client, ce qui fait la richesse et l’intérêt de leur prestation), l’essentiel des différences entre bureaux réside dans les services proposés, par exemple la création de site web, l’hébergement sur serveur dédié ou la création d’adresses emails. D’autres services concernent la sécurité globale de votre site internet (comme la mise en œuvre d’un certificat SSL/TLS, technique dorénavant incontournable empêchant l’interception des données transférées entre le site et l’internaute, ou des filtres DDoS pour détecter et contrer les attaques par déni de service).

Il faut enfin citer les services concernant spécifiquement la sécurité de votre nom de domaine, parmi lesquels sa signature avec DNSSEC pour garantir l’intégrité des données envoyées par le DNS, son renouvellement automatique pour éviter qu’il ne vous échappe à sa date anniversaire, ou enfin l’activation du verrou de registre, probablement la mesure la plus efficace contre son détournement.

Le verrouillage au niveau du registre, la barrière de sécurité

Le verrouillage du nom de domaine au niveau du registre s’impose comme l’une des mesures de sécurité les plus fiables pour contrer la suppression ou le transfert frauduleux d’un nom de domaine. Il est particulièrement indiqué pour les entreprises ou institutions dont le site internet génère un fort trafic ou de nombreuses données et transactions, et représente donc pour elles un canal stratégique.

Concrètement, la pratique consiste à poser un verrou au plus haut niveau, celui du registre, rendant ainsi impossibles toutes les opérations et mises à jour non autorisées pouvant affecter la résolution d’un nom de domaine, c’est-à-dire sa traduction en une adresse numérique. Tout changement – modification des contacts ou des serveurs DNS, transfert ou suppression du nom de domaine – doit préalablement faire l’objet d’une demande de déverrouillage. Cette demande ne sera validée que si l’identité du demandeur est vérifiée par double, voire triple authentification – via des identifiants de connexion à un portail, des codes de validation envoyés par sms et/ou des appels téléphoniques aux contacts enregistrés.

La sécurité des noms de domaine doit faire partie intégrante de la stratégie globale de présence en ligne des entreprises. Cela passe par de bonnes pratiques et le choix de bons prestataires pour vous accompagner. En matière de verrouillage des noms de domaine au niveau du registre, notamment, la procédure repose sur une collaboration étroite entre le bureau d’enregistrement et le registre Internet. L’entreprise devra donc, avant toute chose, vérifier que son choix se porte sur un bureau d’enregistrement qui propose effectivement le service.