La France s'est dotée, en 2022, d'un « service interministériel de lutte contre le cybersquattage des identités de l'État ». Reposant sur la direction des affaires juridiques des ministères économiques et financiers, il s'appuie aussi et surtout sur un outil de surveillance conçu et paramétré par un prestataire spécialisé. Un appel d'offres vient de relancer le marché.
La récente création de nombreux sous domaines en .qouv.fr usurpant des noms de domaine de sites .gouv.fr fait craindre le risque de campagnes d’« hameçonnage » (ou « phishing ») se faisant passer pour des administrations françaises.
Les risques de typo- et cybersquatting des signes identitaires de l’État n'auraient commencé à être vraiment pris en compte par les autorités qu'à partir de 2022, expliquait la Direction des Affaires Juridiques (DAJ) des ministères économiques et financiers en avril 2023.
Jusqu'en 2021, la mission Appui au Patrimoine Immatériel de l’État (APIE) du ministère de l'Économie, des Finances et de la Souveraineté Industrielle et Numérique (MEFSIN), « chargée de la gestion des portefeuilles de marques » de l’État, ne s'y employait, en effet, que « de manière ponctuelle ».
En juillet 2021, le Secrétariat général de la défense et de la sécurité nationale (SGDSN) lançait un appel d'offres de « Mise en œuvre d'un service de lutte contre le cybersquattage ». Il précisait que, « dans le cadre de ses missions, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) souhaite lutter contre le cybersquattage ».
Le marché visait à faire établir par un prestataire externe un « service de surveillance des noms de domaine en lien avec la sphère étatique ». Il lui était également demandé une activité de conseil « sur les méthodologies retenues et la définition du périmètre surveillé, ainsi qu’une expertise juridique pouvant lui permettre de soutenir l’État dans ses démarches en cas d’attaques avérées ».
Cette activité de conseil comprenait, en particulier, la définition des typologies de cyber- et typosquattage (typovariation, homoglyphe, etc.) ainsi que des « méthodologies de détection et réaction adaptée au cadre étatique ». Le prestataire devait en outre « être force de proposition quant à la définition du service de lutte contre le cybersquattage ».
Détecter l'ensemble des cybersquattages potentiels ou avérés
Le prestataire devait ainsi mettre en œuvre une veille sur le périmètre défini pour « détecter l'ensemble des actes de cybersquattage (potentiel ou avéré) quelle que soit la méthode employée ».
« En particulier, mais sans être exhaustif », précisait l'ANSSI, son analyse devait permettre de « lever les faux positifs et distinguer les attaques avérées » nécessitant une intervention rapide en raison de leur impact sur les administrations de l'État ou les usagers.
Il reste 79% de l'article à découvrir. Abonnez-vous pour ne rien manquer.
Déjà abonné ? Se connecter
Commentaires (24)
#1
#1.1
#1.2
#2
A des fins personnelles, depuis le 1er janvier 2024, je récupère la liste des domaines .fr enregistrés chaque jour, publié sur le site de l'Afnic, et compte faire un petit bilan en fin d'année
Sinon, il existe déjà un très bon service de Nicolas Pawlak, Red Flags Domain, qui liste chaque jour les domaines potentiellement malveillants des tld français.
Le taff est quasiment fait déjà avec ce site. (en tout cas avec les tld français)
#2.1
Et je n'avais rien trouvé sur le site de l'Afnic.
#2.2
#2.4
#2.3
Mais en parcourant, rapidement, la liste des domaines enregistrés hier, via le lien partagé par Jean-Marc, je voie
yajoo
,wanadoor
,wanadoux
. Qui ne me semble pas très clair, mais ils ne sont pas listés sur Red Flag Domain.#2.5
Les domaines que tu indiques ont été enregistrés le 02.09
Il faut attendre la nouvelle liste et checker.
Sur la page détails, il est indiqué qu'il analyse avec un outil maison et validé manuellement, mais ça n'empêche pas qu'il peut y avoir des ratés.
#2.6
Son algorithme de détection a besoin d'encore quelques ajustements.
#2.7
Je me permets de répondre, étant à l'origine de Red Flag Domains.
Effectivement, c'est fait maison et vérifié manuellement (donc semi automatique). Pour plus d'infos, secouez (mais pas trop fort, il est sympa) @SébastienGavois qui a un article dans ses cartons :)
Concernant yajoo[.]fr, wanadoor[.]fr, wanadoux[.]fr : je les avais bien relevés, mais ils semblent enregistrés pour du training phishing (le titulaire est une entreprise de TMA en activité). Il n'y aurait donc pas un but malveillant mais pédagogique, et Red Flag Domains n'est pas là pour pétarder ce genre d'actions même si je n'adhère pas forcément aux méthodes parfois employées. J'ai une liste longue comme le bras de domaines "suspects", mais où j'ai trop de doutes pour pouvoir les publier... puis, régulièrement, je réanalyse cette "liste de l'ombre" et décide de supprimer ou de publier certaines entrées en fonction d'un éventuel nouveau contexte (comme un nom de domaine qui aura entretemps affiché du contenu au lieu de la page parking de son bureau d'enregistrement). Priorité à la fiabilité !
Historique des modifications :
Posté le 05/09/2024 à 15h40
Hello,
Effectivement, c'est fait maison et vérifié manuellement (donc semi automatique). Pour plus d'infos, secouez (mais pas trop fort, il est sympa) @SébastienGavois qui a un article dans ses cartons :)
Concernant yajoo[.]fr, wanadoor[.]fr, wanadoux[.]fr : je les avais bien relevés, mais ils semblent enregistrés pour du training phishing (le titulaire est une entreprise de TMA en activité). Il n'y aurait donc pas un but malveillant mais pédagogique, et Red Flag Domains n'est pas là pour pétarder ce genre d'actions même si je n'adhère pas forcément aux méthodes parfois employées. J'ai une liste longue comme le bras de domaines "suspects", mais où j'ai trop de doutes pour pouvoir les publier... puis, régulièrement, je réanalyse cette "liste de l'ombre" et décide de supprimer ou de publier certaines entrées en fonction d'un éventuel nouveau contexte (comme un nom de domaine qui aura entretemps affiché du contenu au lieu de la page parking de son bureau d'enregistrement). Priorité à la fiabilité !
#2.9
#2.8
#3
Il a été arrêté ?Pourquoi ?!?Erreur de ma part, à la lecture de l'article il semble que ça soit plus compliqué et loin d'être précis.
Il y a des dates auxquelles ça s'arrête, sans raison apparente, est-ce des fins de contrat à durée déterminée ?
Et bien sur le texte barré ne fonctionne pas, génial. (c'est parce que j'ai une ligne vide entre les 2 lignes de texte que je voulais barrer)
Historique des modifications :
Posté le 03/09/2024 à 14h11
"relancer le marché"
Il a été arrêté ?
Pourquoi ?!?
Posté le 03/09/2024 à 14h26
"relancer le marché"
~~Il a été arrêté ?
Pourquoi ?!?~~
Erreur de ma part, à la lecture de l'article il semble que ça soit plus compliqué et loin d'être précis.
Il y a des dates auxquelles ça s'arrête, sans raison apparente, est-ce des fins de contrat à durée déterminée ?
Posté le 03/09/2024 à 14h26
"relancer le marché"
Il a été arrêté ?Pourquoi ?!?Erreur de ma part, à la lecture de l'article il semble que ça soit plus compliqué et loin d'être précis.
Il y a des dates auxquelles ça s'arrête, sans raison apparente, est-ce des fins de contrat à durée déterminée ?
Et bien sur le texte barré ne fonctionne pas, génial.
#4
#4.1
Il existe tellement de variation possibles, que c'est juste impossible à réaliser.
#4.2
Le but n'est pas de réserver toutes les variantes possibles, mais au moins les plus simples à commencer par qouv.fr.
En tout cas, je ne vois aucun intérêt à laisser ce domaine vacant sachant que le problème se reproduira tôt ou tard.
#4.3
Je trouve cette remarque ironique vue ta préconisation (la sensibilisation ne sert à rien, il faut réserver les domaines typosquatable).
Le problème du .qouv.fr est réglé. Mais cela ne règlera rien sur des domaines comme impots-gouv.fr par exemple. Tu pourras réserver autant de domaines que tu veux, tu auras toujours plein de possibilités. impot-gouv.fr, impôts-gouv.fr, impôt-gouv.fr, impot.gouv.rf, nps-impots-gouv.fr, vos-impots.gouv.fr, mon-impot.gouv.fr, etc...
Et le problème de ce type de lien n'est pas leur référencement sur les moteurs de recherche, mais leur présence dans des mails de phishing.
#4.4
#4.5
#4.6
#4.7
#5
#6