Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Comment des pirates exploitent gratuitement des noms de domaine expirés

L’enfer est pavé de bonnes intentions

Comment des pirates exploitent gratuitement des noms de domaine expirés

Ne pas renouveler un nom de domaine peut avoir des conséquences inattendues. Certains se ruent sur les noms qui viennent d’expirer pour voir s’ils peuvent en tirer quelque chose, en profitant parfois d’une « période de grâce » gratuite de quelques jours.

Le 13 octobre à 10h50

Il y a quelques semaines, nous avons analysé pas moins de 10 millions de noms de domaines en .fr, dont 4.3 millions encore actifs. Nous avions également découvert qu’OVHcloud domine très largement le marché des bureaux d’enregistrement. Dans un registre plus léger, nous avions aussi découvert de belles pépites avec des noms de domaines plus que surprenants.

Une période de grâce de cinq jours pour ne pas être facturé

Il reste 90% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (5)

votre avatar
Je vais donner un exemple concret sur les conséquences de l'expiration d'un nom de domaine (je t'en avais parlé d'ailleurs Sébastien).

TL;DR /mylife

Au taff, je m'occupe entres autres de la distribution de deux Multiplex de la TNT.

Un jour (il y a 2 ans je crois), on reçoit un mail (8 jours après le début de l'incident :troll: ) d'une des chaines d'un Multiplex. Apparemment des téléspectateurs (mais pas tout le monde) un peu partout en France de la chaine se plaignent de ne plus la recevoir sur la TNT, ou bien il y a une image étrange à la place (on a le screen). On peut voir sur l'image, une sorte de menu, "Online Payment Gateway", etc.

Sur le coup, on ne comprend pas, nos retours de diffusion sont OK.

Je passe les détails sur l'analyse. On a fini par trouver le problème.
La chaine en question avait un service de HbbTV.

Elle sous traitait cette partie à un prestataire. Cette chaine a décidé un jour de ne plus faire de HbbTV, sans se soucier ou sans en parler au prestataire.

Pour résumer très brièvement, le HbbTV, c'est un site web. Et côté Multiplex, on déclare une simple URL dans une table.

Ce qu'il s'est passé : La chaine, décidant de ne plus faire de HbbTV, a laissé mourir le truc, sans imaginer les conséquences. sans nous prévenir, nous le responsable du multiplex, et le prestataire du HbbTV.

C'est le prestataire qui gérait le nom de domaine. Il ne l'a donc pas renouvelé. Dès son expiration, il a été racheté par un margoulin.

Conséquences : certaines télévisions connectées, pas toutes (j'imagine que ça dépend comment le protocole a été implémenté par les constructeurs) affichaient donc ce site d'escrocs à la place de la chaine :eeek2:

Cet incident a duré environ 8 jours, le temps qu'on désactive le HbbTV de cette chaine sur le Multiplex.
Les conséquences auraient pu être bien plus dramatiques si le site en question était autre chose (terrorisme, etc.)
votre avatar
Merci pour ce partage. Édifiant !
votre avatar
« une erreur courante est de croire qu’on connait toutes les utilisations d’un domaine. C’est rarement le cas ».
Sauf à se préoccuper soigneusement de sa zone.
Sur la question des emails, [Stéphane Bortzmeyer] ajoutait : « De même qu’on ne peut pas espérer faire changer toutes les mentions des anciennes adresses éparpillées aux quatre coins de l’internet, les références à des adresses de courrier sont trop nombreuses pour qu’on se permette de supprimer un domaine qui a été utilisé pour des adresses de courrier publiques ».
Effectivement, cela est vrai dès lors qu'un domaine a été utilisé par un service fonctionnant de matière décentralisée, et le courriel est un excellent exemple ici, même s'il ne doit être considéré que comme un exemple.
Pour se séparer d'un domaine ayant utilisé de cette manière, c'est un autre défi. Cependant, je m'interroge alors sur le besoin de s'en séparer, car (selon moi), on ne branche du courriel que sur des noms de domaine importants, au long cours ?
Cet article sur les noms de domaine peut aussi s’appliquer aux adresses IP, rappelle à juste titre Stéphane Bortzmeyer : « si on garde un nom de domaine qui pointait vers une adresse IP, et que cette adresse IP était chez un hébergeur public, et qu’on abandonne cette adresse IP (en gardant le nom, ce qui arrive souvent à la fin d’un projet), on est vulnérable à une attaque répandue, l’attaque du sous-domaine ».
On parle ici d'une ressource pointée (potentiellement temporairement) par une entrée de zone.

La partie "mise à jour de la zone" revient au point d'une bonne gestion de celle-ci.
La partie "réutilisation d'une entrée anciennement nommée par une entrée de zone", est spécifique.

Commençons par relativiser l'intérêt de la réutilisation de telles ressources si l'on ne parle pas de service décentralisé, avec potentiellement du cache d'adresse IP quelque part.
Un acteur qui est capable de faire de l'empoisonnement de cache ciblé sur la base d'une adresse identifiée d'un domaine visé me semble être le fait d'un attaquant motivé aux moyens non-négligeables : à mon avis, la défense face à la menace ne sera pas chose aisée.

Si l'on persiste dans la qualification de cela en menace, pour moi, cette réflexion a plus trait à l'utilisation de ressources que l'on ne maitrise pas, donc l'infonuagique publique dans son ensemble, qui tend à mettre en rotation rapide les ressources recyclées.
Dans un hébergement classique, même s'il est externalisé, la rotation est peut-être moins rapide, mais c'est peut-être un angle mort de la gestion des ressources par un hébergeur : intéressante question à lui poser.

Le mieux reste encore et toujours un hébergement sur ressources propres : il y a des gens qualifiés pour cela, et tout le monde n'est pas fanatique de l'infonuagique publique.
votre avatar
Pour se séparer d'un domaine ayant utilisé de cette manière, c'est un autre défi. Cependant, je m'interroge alors sur le besoin de s'en séparer, car (selon moi), on ne branche du courriel que sur des noms de domaine importants, au long cours ?
Les changements de nom de boîtes/institutions entraînent généralement un changement du nom de domaine…
votre avatar
Heureusement ce n’est pas le cas de Next INpact :ane:

Comment des pirates exploitent gratuitement des noms de domaine expirés

  • Une période de grâce de cinq jours pour ne pas être facturé

  • La politique de consensus de l’Icann, les limitations contre les abus

  • Pourquoi enregistrer des noms de domaine et les rendre aussi vite ?

  • Des risques pour les emails, les réseaux sociaux…

  • Bien réfléchir avant de lâcher un nom de domaine

  • « On n’en a plus besoin donc on le supprime » : pas si vite…

  • Noms de domaine et adresses IP : même combat, mêmes risques

Fermer