Cet évènement a ébranlé l’univers des webmaster francophone : le 4 mars 2008, Olivier Duffez a pu voir son nom de domaine webrankinfo.com lui échapper en temps réel. Le dénouement est heureux, puisqu’il a eu la chance de le récupérer rapidement (environ une semaine). Mais revenons sur les événements, à commencer par la motivation du voleur.

Le voleur du nom de domaine n’a pas, à notre connaissance, signé son acte, mais on peut aisément imaginer ses motivations: avec un volume de 30 millions de pages vues par jour (source: alexa), il est aisé d’imaginer le chiffre d’affaire généré en quelques heures par les liens sponsorisés installés par l’indélicat (voir la copie d’écran). Cependant, comme nous allons le voir, ce vol requiert de connaitre un tant soit peu sa victime. On ne peut donc exclure une vengeance personnelle. Enfin, nous parlons de vol, mais c’est un terme exagéré ici. Dans ce cas précis, l’indélicat a procédé au transfert du nom de domaine depuis le bureau d’enregistrement (français) du titulaire vers un autre bureau d’enregistrement, aux États-Unis. Une fois transféré, il a pu modifier la configuration du nom de domaine pour rediriger les visiteurs vers un autre serveur. Mais durant tout ce temps, le nom de domaine n’a pas changé de propriétaire.

Les noms de domaines sont gérés par une base mondiale unique.

Pour mémoire, les noms de domaine sont enregistrés dans une base mondiale, appelée registre. Il y a pratiquement un service de registre par extension (.com, .info, .org, …). Chaque service de registre délègue la possibilité d’enregistrer des noms de domaine à des bureaux d’enregistrement. Il y ainsi plusieurs dizaines de bureaux d’enregistrement de part le monde pour chaque extension.

Il existe de nos jours plusieurs mesures standards pour prévenir le vol de nom de domaine. Les bureaux d’enregistrement avaient historiquement fait face à ce risque en proposant de verrouiller le nom de domaine, imposant de se rendre dans leur interface de gestion pour le déverrouiller, et permettre (accepter) toute demande de transfert sortant. Avant cela, il suffisait de demander un transfert, le titulaire du nom de domaine avait 5 jours pour l’annuler. Une vraie épée de Damocles en permanence !

Des protections multiples ajoutées au fil du temps.

Le service de registre Affilias pour les noms de domaine .info a introduit la notion de code d’autorisation : le bureau d’enregistrement détenant le nom de domaine remet un code d’autorisation au titulaire, qui le remet au nouveau bureau d’enregistrement au moment de demander le transfert. Ce dernier communique ce code d’autorisation au bureau détenant le nom de domaine afin de prouver la légitimité de la demande. Cette notion de code d’autorisation (auth-id) a été étendue a d’autres extensions au fil du temps.

Pour réaliser un transfert de nom de domaine, il faut donc :

  • Demander au bureau d’enregistrement détenant le nom de domaine de retirer la protection contre le transfert, récupérer le code d’autorisation, le plus souvent via une interface de gestion sécurisée.
  • Déclencher le transfert depuis le futur bureau d’enregistrement chargé d’accueillir le nom de domaine, en lui communiquant le code d’autorisation.
  • Répondre sous 5 jours aux messages envoyés au titulaire du nom de domaine et au contact administratif, pour autoriser le transfert.
  • Le futur bureau d’enregistrement transmet alors la demande au bureau d’origine.
  • Attendre jusqu’à 5 jours après que le bureau d’enregistrement de départ ait reçu la demande de transfert validée. En règle général, le bureau d’origine envoi un message aux contacts administratifs pour les informer de la demande de transfert, et leur donner un moyen de l’interrompre.

L’adresse email est le maillon faible.

Malgré toutes ces mesures de protection, il subsiste un point faible, l’adresse email. En effet, quiconque parvient à subtiliser l’accès au compte email du propriétaire et contact administratif peut prendre le contrôle de toute la chaîne d’autorisation et de vérification : après avoir demandé à recevoir par email son mot de passe au bureau d’enregistrement détenant le nom de domaine, il peut ensuite accéder à l’interface sécurisée pour déverouiller le nom de domaine, retirer le code d’autorisation et le transmettre au nouveau bureau d’enregistrement. Il pourra également répondre favorablement aux demandes de confirmation… reçues par email.

C’est exactement le scénario qui s’est déroulé en ce début mars.  D’après le témoignage de la victime sur son blog , le « voleur » s’est introduit dans l’interface de gestion des email gmail.com en exploitant une faille de sécurité, non décrite à ce jour. Il s’est ensuite rendu sur le site du registrar (bureau d’enregistrement), et a utilisé le lien « j’ai perdu mon mot de passe, me le renvoyer par email » pour obtenir les codes d’accès, puis s’est connecté, a déverouillé le nom de domaine, récupéré la clef d’authorisation, puis demandé le transfert, depuis un bureau d »enregistrement américain. Au bout de 5 jours, le transfert a été effectif. Il a alors modifié le mot de passe du compte email du titulaire légitime (pour retarder toute contestation), puis modifié la configuration DNS pour afficher son propre site en lieu et place du serveur webrankinfo. Les paramètres DNS mettant quelques heures à se propager sur Internet, les habitués ont progressivement perdu l’accès à leur site habituel, remplacé par cette page de liens sponsorisés. Il y a fort à parier que, comme dans le cas de David Airey victime d’un vol similaire en décembre 2007, le voleur a défini des règles de filtrage dans le webmail gmail.com pour les détruires automatiquement à leur arrivée les messages relatif à ses malversations après avoir transmis une copie dans sa boîte aux lettre email personnelle .

Les conseils de NeoDiffusion pour se protéger:

Au-delà des conseils habituels qui sont :

  • Choisir un mot de passe complexe et unique par service
  • Protéger son nom de domaine contre le transfert

Mais, vous l’avez noté, ces mesures élémentaires ne vous auraient pas protégé.

De fait, nous vous proposons quelques mesures supplémentaires :

  • Ne pas utiliser une adresse email d’un service webmail gratuit dans les contacts associés au nom de domaine, informations accessibles de tous via un simple whois. Comme tout site et service populaire, ses failles de sécurité sont forcément suivies de près par des personnes mal intentionnées. A défaut, masquez vos informations personnelles dans l’enregistrement whois.
  • Utilisez 2 adresses différentes pour le contact administratif et le titulaire du nom de domaine. Ainsi, si les messages de transfert ne vous parviennent pas sur un compte email, ils vous parviendront sur le second.

NeoDiffusion est à votre disposition pour établir un diagnostic de votre situation en matière de sécurité de vos nos de domaine, et revalider avec vous les bonnes pratiques à mettre en oeuvre.