Vous êtes ici :
-
Consultations
-
Commandes publiques de l'Afnic
-
Documents de référence
-
Statistiques
-
Publications
-
Blog
- Brexit et .fr
- Radioscopie du .RE
- Les marques répondent présentes au 2nd rendez-vous du Cercle des .marque
- À propos de l’attaque sur les résolveurs DNS de FAI français
- Utiliser l'open data de l'Afnic : exemple avec le terme COVID
- Héberger un nom de domaine avec caractères composés
- L’éligibilité d’un titulaire situé sur le territoire du Royaume-Uni post BREXIT
- Peut-on avoir des caractères composés dans un nom de domaine ?
- Le fonctionnement de l'Afnic pendant le confinement
- Quels domaines de premier niveau ont une adresse IP ?
- Lala Andriamampianina nous a quittés
- 6 conseils pour éviter les piratages de son site web
- Résolutions 2020: l'Afnic se met à l'elliptique
- À la recherche des nTLD low cost
- Balade au cœur du .paris - à la découverte de sa communauté
- Le .ORG – une autre perspective
- Retour sur le succès de la première rencontre du Cercle des .marque
- Facteurs clés de succès des extensions internet : une grille d’analyse
- [Vidéo] Retour sur le Forum de la Gouvernance Internet (FGI) France 2019
- Un petit exemple d'utilisation des données ouvertes de l'Afnic
- Réflexions sur les modèles économiques des « nouveaux TLD »
- 30 ans, des succès, et des risques ; le Web, l'URL et le futur
- [Success stories] Renforcer son infrastructure pour l’adapter à ses ambitions
- 1er février 2019 : le DNS va-t-il trembler ?
- [Success stories] Ils ont fait le choix d’une extension internet personnalisée
- [Success stories] Le .museum, une extension internet historique redynamisée
- Les grandes étapes pour lancer efficacement votre .marque
- 6 secrets pour améliorer le renouvellement des noms de domaine
- [Vidéo] Retour en images sur l'IGF 2018 Paris
- Le .MARQUE pour optimiser l'expérience client
- L’Afnic s’implique dans la sécurité du DNS au niveau international
- Remplacement de la clé KSK de la zone racine : Êtes-vous prêts ?
- Comment la SNCF a mis en oeuvre sa nouvelle stratégie digitale avec oui.sncf ?
- Projet de R&D: classification automatique des abus en matière de noms de domaine
- Mémorisation auditive des noms de domaine
- Quelles actions mener face aux abus sur les noms de domaine ?
- Usurpation d’identité par nom de domaine : ce que fait l’Afnic
- Cybersquatting, Spam, Phishing… les différents types d’abus sur noms de domaine
- [Vidéo] Retour sur le Forum de la Gouvernance de l'Internet France 2018
- Les extensions internet personnalisées : quelles opportunités pour les marques ?
- Comment éviter l'irrecevabilité dans la procédure SYRELI
- Quels sont les termes anglophones les plus utilisés dans les domaines en .FR ?
- Sécurité des noms de domaine, l'exemple des cryptomonnaies
- Test de personnalité : êtes-vous prêts pour le RGPD ?
- Les extensions comme le .alsace ont-elles un effet sur le SEO local ?
- Quels sont les termes les plus utilisés dans les noms de domaine en .fr ?
- Les 11 endroits incontournables où votre adresse internet doit apparaitre !
- Quels moyens d'actions pour les ayants-droits non éligibles à la charte du .fr ?
- Litige sur un nom de domaine: la reconnaissance des droits d'une AOC dans SYRELI
- Pourquoi utiliser un nom de domaine sous une nouvelle extension ?
- L'Afnic, une communauté avant tout !
- La défense des droits de la personnalité dans la procédure SYRELI
- Le prochain round des nouveaux gTLD, c’est pour quand ?
- Pourquoi venir à l’Afnic Forum ?
- Résolveur public de DNS-sur-TLS Yeti
- 2016, début d’un nouveau cycle pour l’Afnic
- Le .fr vient de franchir le cap des 3 millions de noms de domaine
- Mon expérience au sein du service Juridique de l'Afnic
- [Vidéo] 4 conseils pour réussir le lancement de votre entreprise sur Internet
- Futur de l’ICANN: Ni privatisation, ni internationalisation, ni supervision
- Excellence à l’Afnic – le coming out
- Offre exclusive : votre nom de domaine 100% Remboursé* !
- Intervention à l'occasion de la remise du plan de transition IANA
- Afnic Football Club
- 8 astuces pour bien choisir son nom de domaine
- IPv6 et DNSSEC ont 20 et 19 ans. Même combat et mêmes défis !?
- Le projet Yeti d'expérimentation d'une racine DNS
- L.45-2 1° du CPCE : Quand le nom de domaine porte atteinte à la loi
- Comment éviter de se faire voler son nom de domaine par email ?
- Responsabilité et transition IANA : les coulisses
- République numérique : Ceci n’est pas une consultation publique
- Faut-il une approche globale pour les marques territoriales françaises ?
- Ne vendez plus de noms de domaine !
- abc.xyz : erratum.xyz
- abc.xyz : et pendant ce temps en France ?
- abc.xyz : pourquoi pas alphabet.com ? (Version théorie du complot)
- abc.xyz : le succès controversé du .xyz
- Communication institutionnelle : une tension permanente ?
- abc.xyz : pourquoi pas alphabet.com ?
- alphabet.xyz : comment Alphabet a acheté son nom de domaine ?
- abc.xyz : pas d’inquiétude, nous sommes aussi en train de nous habituer à ce nom
- La transition IANA franchit une étape majeure à Buenos Aires
- Une journée dans la vie de la communauté habilitée ICANN
- Transition IANA : la machine est lancée, mais l'échéance approche
- La Chine, une mutation à pas de géant
- Vers un DNS moins indiscret
- Les Parl : mettez toutes les chances de votre côté
- Icann : la gouvernance pour quoi faire ?
- ICANN Singapour. Un débat au bout du monde
- Synthèse de la table-ronde Afnic sur la solidarité numérique
- Mesurer la « qualité » de l'accès à l'Internet, mission difficile
- Réforme de l'Icann, la boite de Pandore est ouverte
- Comment se porte l'Internet en France ?
- Forum sur la Gouvernance de I’Internet : Que faire ?
- Spam suffit !
- Icann : ne bougez plus !
- Escroqueries et usurpations d’identité, expérience d’un rapporteur SYRELI
- La reforme des régions ne sonnera pas la fin des geoTLD français
- Que retenir de NETmundial ?
- Avis de changement à l'Afnic !
- Suggestions pour une transition IANA réussie
- Sur la gouvernance de l'Internet, les Etats Unis jouent la carte Icann
- Retour vers le futur du service juridique de l’Afnic
- Pourquoi les territoires veulent-ils leur place sur Internet ?
- Vers une nécessaire rationalisation du « panier gTLDs » des registrars ?
- L'éléphant IANA est dans la salle
- Syreli fête ses deux ans
- 2014 : changement de jalons pour le système de nommage
- Le système de nommage de GNUnet
- Gouvernance de l’Internet : Au travail !
- La responsabilité sociétale et l'ADN des ccTLDs
- Mais que fait l'Afnic ?
- Conseil d'Etat, Léon Blum, Lawrence Lessig et l'Afnic
- Qui est derrière le Whois ?
- Registrars Atlas 2013, ce qu'il faut retenir
-
FAQ
-
Lexique
-
Certificats
Projet de R&D: classification automatique des abus en matière de noms de domaine
2 octobre 2018 - Par Benoit Ampeau
Cristian Hesselman (Responsable du SIDN Labs), Benoît Ampeau (Directeur Partneriats et Innovations, Afnic Labs) et Maciej Korczyński (Professeur associé)
SIDN Labs, Afnic Labs et l'Université Grenoble Alpes ont lancé le 1er octobre 2018 un nouveau projet de recherche baptisé « Classification différenciée des noms de domaines détournés et des noms de domaines enregistrés aux fins d'actes de malveillance » (COMAR). Le projet franco-néerlandais aura pour objet de concevoir un outil permettant d'opérer une distinction automatique entre les noms de domaine enregistrés par des cybercriminels aux fins d'actes de malveillance et les noms de domaine usurpés au moyen d'applications Web vulnérables. Ce projet vise à aider les intermédiaires tels que les bureaux d'enregistrement et les registres de ccTLD à perfectionner leurs procédures de lutte contre les abus en matière de noms de domaine.
Qu'est-ce qu'un abus en matière de nom de domaine ?
Les noms de domaine sont une reformulation en langage courant d'adresse IP, qui facilite la navigation sur les nombreux services en ligne que nous utilisons au quotidien. Si les enregistrements et utilisations de noms de domaine sont, dans la plupart des cas, parfaitement légitimes, certains d'entre eux sont malheureusement utilisés par des cybercriminels pour lancer des attaques d’hameçonnage (phishing), d'infection par téléchargement de programmes malveillants (drive-by download) ou encore mener des campagnes de spam à grande échelle. Les organismes de sécurité informatique tels que l'APWG (Anti-Phishing Working Group) et Stop Badware collectent sur ces pratiques frauduleuses des informations qu'ils mettent à la disposition de leurs clients (hébergeurs, registres de noms de domaine, etc.) sous forme de « listes noires » d'URL.
Différence entre détournement de nom de domaine et enregistrement de nom de domaine aux fins d'actes de malveillance
En matière de noms de domaine, professionnels du secteur et chercheurs distinguent deux types d'abus perpétrés par les cybercriminels : le détournement (usurpation) d'un nom de domaine légitime d'une part, et l'enregistrement d'un nouveau nom de domaine visant spécifiquement à commettre des actes frauduleux d'autre part. studentflats.gr est un exemple de nom de domaine usurpé : ce site légitime, développé sous Wordpress, a été piraté par des cybercriminels pour héberger un site d'hameçonnage visant la collecte de données bancaires. Cette malversation apparaît dans l’URL du site, qui a fait l'objet d'une inscription sur liste noire (http://studentflats.gr/wp-content/uploads/2016/.co.nz/login/personal-banking/login/auth_security.php) : un script bancaire (/uploads/…/auth_security.php) a été installé de manière illicite dans le répertoire Wordpress (/wp-content).
continue-details.com, en revanche, est un exemple de nom de domaine enregistré aux fins d'actes de malveillance ; ce nom de domaine a été utilisé pour un site de phishing ciblant les utilisateurs du service Paypal. Comme on le voit, l'URL du site ((http://paypal.com.login.continue-details.com/), également inscrite sur liste noire, ne contient pas explicitement de programme malveillant tel qu'un script PHP, mais renvoie vers un site spécialement conçu pour le phishing au moyen d'un nom de domaine de cinquième niveau (continue-details.com correspondant aux premier et deuxième niveaux, et paypal.com.login. ajoutant trois niveaux supplémentaires).
Il est essentiel d'opérer une distinction entre ces deux types d'abus, chacun nécessitant de la part des différents intermédiaires concernés des mesures spécifiques de réduction des risques. Ainsi, en règle générale, hébergeurs et webmasters concentrent leurs efforts sur le nettoyage du contenu des sites Web détournés [3], tandis que les registres de noms de domaine (comme SIDN et l'Afnic) et les bureaux d'enregistrement se consacrent davantage à la lutte contre les enregistrements de noms de domaine à des fins malveillantes.
Une classification basée sur les listes noires
D'un point de vue opérationnel, les intermédiaires utilisent généralement des listes noires d'URL dans leurs systèmes de sécurité pour bloquer automatiquement les contenus malveillants. Toutefois, dans le cas des noms de domaine usurpés, l'approche mise en œuvre en matière de réduction des risques se doit d'être plus fine. Par exemple, si un intermédiaire se contente de bloquer le site studentflats.gr, il bloque également la partie légitime de ce site (soit les contenus Wordpress proposés aux internautes). Par conséquent, l'approche recommandée consiste, pour l'ingénieur sécurité, à examiner l'installation Wordpress du site et à supprimer manuellement (ou automatiquement) le script PHP malveillant de la plate-forme d'hébergement. Cet exemple montre à quel point il est essentiel d’étiqueter de façon claire les noms de domaine des URL inscrites sur liste noire en précisant s'il s'agit de noms de domaine détournés ou enregistrés aux fins d'actes de malveillance, afin que ces listes puissent être utilisées de manière fiable par les systèmes de sécurité.
L'objectif ultime du projet COMAR est de concevoir un outil de classification basé sur l’apprentissage automatique et capable d'opérer une distinction entre les noms de domaine sur liste noire selon que ceux-ci ont été détournés ou enregistrés à des fins malveillantes ; dans un second temps, la précision de cet outil sera évaluée de manière approfondie, avant son déploiement en environnement de production. Nous prévoyons également d'étudier les pratiques des cybercriminels en matière de maximisation des bénéfices, ainsi que leur modèle économique. Notre outil de classification sera appliqué aux noms de domaine non étiquetés figurant sur les listes noires d'URL, notamment, pour répondre à la question suivante : dans le cadre de leurs activités criminelles, les auteurs de cyberattaques préfèrent-ils enregistrer des noms de domaine aux fins d'actes de malveillance, détourner des sites Web vulnérables ou utiliser frauduleusement les noms de domaine de services légitimes, tels que les services de partage de fichiers basés sur le Cloud ?
Capacités et missions des partenaires
Les trois partenaires du projet COMAR ont acquis une expérience approfondie en matière d’analyse de grands ensembles de données hétérogènes et de conception des plates-formes associées. Les travaux de l'Université Grenoble Alpes porteront essentiellement sur l'analyse statistique des données issues de vastes campagnes de mesure et de signalement des incidents sur Internet ainsi que sur la publication d'articles scientifiques ; de leur côté, les deux laboratoires des registres néerlandais et français auront pour mission de perfectionner l'outil de classification COMAR en vue de son déploiement en environnement opérationnel (au sein du SIDN et de l'Afnic, notamment) et de mettre cet outil à disposition de leurs parties prenantes, parmi lesquelles les bureaux d'enregistrement des noms de domaine en .nl et .fr. La complémentarité de l'approche mise en œuvre dans le cadre de ce partenariat reflète la nécessité, pour les registres, de renforcer continuellement leurs capacités afin d'augmenter les niveaux de sécurité de leurs domaines de premier niveau (TLD) et, partant, de renforcer la confiance des utilisateurs finaux
Sourena Maroofi, étudiant en Doctorat à l'Université Grenoble Alpes, sera chargé de développer et d'évaluer l'outil de classification COMAR, sous la supervision de Maciej Korczyński, Chercheur principal du projet COMAR. Le projet COMAR, co-financé par le SIDN et l’Afnic, débutera en octobre 2018 et durera trois ans. Le comité de pilotage du projet est composé de Cristian Hesselman (SIDN Labs), Benoît Ampeau (Afnic Labs) et Maciej Korczyński (équipe Drakkar, Grenoble INP, Université Grenoble Alpes).
À propos des partenaires du projet COMAR
COMAR est un projet conjoint réunissant SIDN Labs, Afnic Labs et l'Université Grenoble Alpes.
- SIDN Labs est l'équipe de recherche du SIDN, registre du domaine de premier niveau (TLD) .nl dans le Système de noms de domaine (DNS). Le SIDN a pour mission de renforcer la sécurité opérationnelle et la résilience des communications Internet de bout en bout grâce à des travaux de recherche et de développement technologique de premier ordre, basés sur des mesures objectives. Les défis qui se posent à nos chercheurs incluent la sécurité et la résilience du DNS et de l'Internet, ainsi que le développement d'Internet.
- Afnic Labs est une équipe stratégique dédiée au développement et à l'avenir d'Internet au sein de l'Afnic. L'Afnic gère le TLD .fr et 5 autres TLD pour les départements d'Outre-mer. L'Afnic est également opérateur technique (back-end registry) pour 14 entreprises et administrations locales et régionales qui ont choisi d'avoir leur propre extension TLD. Chaque jour, Afnic Labs met en place et alimente des projets conformes aux missions de l'AFNIC : contribuer au développement d’un Internet sûr et stable, ouvert à l'innovation, dans lequel la communauté internet française joue un rôle de premier plan. À l'instar des autres partenariats de l'Afnic, Afnic Labs croit en la valeur ajoutée des travaux de recherche collaboratifs, qui permettront à terme de fournir un outil de classification de pointe, hautement performant et éprouvé.
- L'Université Grenoble Alpes a pour mission de créer dans la région Rhône-Alpes un pôle d'excellence en matière de recherche en cybersécurité, axé notamment sur les mesures de cybersécurité actives et passives. Les membres de l’équipe Drakkar participent à des projets menés en collaboration avec les forces de l'ordre, les organismes de sécurité et les agences de réglementation d'Internet qui luttent contre la cybercriminalité. Notre mission porte essentiellement sur l'analyse statistique des données issues de vastes campagnes de mesure et de signalement des incidents sur Internet, dans le but d'identifier les différentes pratiques d'abus de noms de domaine des cybercriminels, ainsi que les mesures prises par les fournisseurs de services Internet pour traiter les risques et les incidents de sécurité. Le projet COMAR est au cœur de ces préoccupations.
- Sites web du projet : www.comar-project.fr et www.comar-project.nl (bientôt disponibles).
Pour en savoir plus
- « Cybercrime After the Sunrise: A Statistical Analysis of DNS Abuse in New gTLDs », Maciej Korczynski, Maarten Wullink, Samaneh Tajalizadehkhoob, Giovane C.M. Moura, Arman Noroozian, Drew Bagley et Cristian Hesselman, compte rendu de la Conférence ACM AsiaCCS, Corée, juin 2018.
- « Global Phishing Survey: Trends and Domain Name Use in 2016 », Greg Aaron et Rod Rasmussen ; disponible à l'adresse : http://docs.apwg.org/reports/APWG_Global_ Phishing_Report_2015-2016.pdf, 2017.
- « Herding Vulnerable Cats: A Statistical Approach to Disentangle Joint Responsibility for Web Security in Shared Hosting », Samaneh Tajalizadehkhoob, Tom van Goethem, Maciej Korczyński, Arman Noroozian, Rainer Bohme, Tyler Moore, Wouter Joosen et Michel van Eeten, compte rendu de la Conférence ACM CCS, octobre 2017.
Ce nom de domaine
est-il disponible ?
Actualités
- 16 mars 2021 L'Afnic rejoint le Think Tank Renaissance numérique
- 12 mars 2021 L’Afnic et Internetstiftelsen prolongent leur projet collaboratif Zonemaster j...
- 11 mars 2021 Le .FR en 2020 : accélération de la transformation numérique des entreprises ...
- 1 mars 2021 Rapport Internet des Objets & Souveraineté Numérique
- 12 février 2021 L’Afnic marraine de l’émission Connecte Ta boîte de France Num