mail mail mail
Noms de domaine

Comment un nom de domaine abandonné peut mettre en danger votre société ?

[08/03/2019]

Un nom de domaine non renouvelé peut compromettre la sécurité d'une société, notamment par l'utilisation email qui y est attachée.

En achetant 6 noms de domaine retombés dans le domaine public qui appartenaient à des cabinets d'avocats, des experts en cyber-sécurité ont pu récupérer 25 000 emails et PJ, se connecter à une trentaine de comptes professionnels et réseaux sociaux, ainsi qu’à des comptes PayPal, Dropbox, G Suite ou Office 365. Comment cela a-t-il été rendu possible ?

Un danger de l'intérieur, largement ignoré

Comme les marques, la gestion d'un portefeuille de nom de domaine n'implique pas le renouvellement systématique de tous les noms de domaine. L'évolution du nommage de la société, des services proposés, nécessite de rationaliser régulièrement ce portefeuille en abandonnant certains noms de domaine qui n'ont plus vocation à être utilisés.

Cependant, un nom de domaine qui a été enregistré laisse une "empreinte", souvent ignorée lors de son non-renouvellement.

Un nom de domaine qui n'a pas été renouvelé va retomber dans le domaine public. Dès lors, selon le principe du "premier arrivé, premier servi", tout un chacun pourra le réserver. Un acteur malveillant peut ainsi très facilement recréer des adresses emails auparavant associées à ce domaine, et récupérer les informations associées (logins et courriels).

Le nom de domaine ne se réduit pas à un site internet

Un nom de domaine est encore très souvent uniquement associé à un usage web tel qu'un site internet <www.mondomaine.com>. Or l'usage email <gael@mondomaine.com> repose également sur ce nom de domaine.

éAux yeux des tiers, le nom de domaine vous identifie, c'est particulièrement vrai dans le cadre de l'utilisation email. On le constate régulièrement via les arnaques au président et autre tentative de phishing qui utilisent des noms de domaine très proches du nom de domaine légitime.

Surtout, les adresses emails jouent aujourd'hui un rôle crucial pour l'authentification sur internet : connexion aux réseaux sociaux, banques, portails professionnels, paiements en ligne, e-commerce, impôts, etc...

Nous sommes tous conscients du danger que représente le piratage d'une adresse email. Nous devrions avoir la même réflexion lors de l'abandon d'un nom de domaine associé à des adresses emails : le futur titulaire pourra parfaitement recréer ces adresses.

Il existe par ailleurs des solutions techniques très simples permettant la récupération "à la volée" de tous les emails envoyés à un domaine <*@mondomaine.com> sans avoir à recréer spécifiquement les anciennes adresses existantes. Un Catch-All fait parfaitement l'affaire.

6 noms de domaines expirés, 25 000 emails récupérés et 30 comptes de collaborateurs identifiés

Bien que ce danger ne soit pas nouveau, une preuve de concept vient d'être récemment effectuée par l'expert en cyber-sécurité Gabor Szathmari et son équipe.

Fusion-acquisition... et abandon e noms de domaines

Profitant de nombreuses fusions de cabinets juridiques australiens, Gabor Szathmari a constaté que nombre d'entre eux abandonnaient purement et simplement leur nom de domaine au profit de la nouvelle entité, et donc nom de domaine, avec laquelle ils fusionnaient.

Il est très facile d'analyser les noms de domaine non-renouvelés et en cours d'expiration. Des listings sont disponibles, et la veille peut s'effectuer par mot clé thématique afin de cibler un domaine d'activité : juridique, défense, nucléaire, industrie, etc…

Utilisation passive d'un nom de domaine auparavant enregistré

Après avoir identifié 6 noms de domaine abandonnés et procédé à leur réservation une fois retombés dans le domaine public, les experts ont mis en place un catch-all permettant de capter l'intégralité des emails adressés à ces domaines.

Rapidement apparaissent les premières newsletters puis des emails de banque :

S'ensuivent des emails de confrères et les premières notifications de réseaux sociaux…

La simple mise en place d'un catch-all a donc le double intérêt d'identifier les adresses qui existaient auparavant, et leurs différentes associations avec des comptes en ligne (réseaux sociaux, banque, etc.).

Très vite des informations sensibles sont récupérées, telles que des décisions de justice, demandes Clients, honoraires de confrères et récapitulatifs de trajet Uber.

Mais les chercheurs ne sont pas contentés de "sniffer" passivement les emails envoyés aux différents domaines. Ils ont par la suite étudié les différents comptes en ligne associés.

Utilisation active d'un nom de domaine auparavant enregistré

Différents services proposent désormais la surveillance d'identifiant/login et des notifications en cas de fuite de mot de passe. Très pratique pour les sociétés, celles-ci peuvent surveiller la fuite d'un couple mot de passe et email, et dont l'adresse email est rattachée à leur société. Cette surveillance se fait donc au niveau du nom de domaine "parent" par exemple <*@masociété.com> et non directement et individuellement au niveau de chaque adresse email.

Ces services, pour des raisons de sécurité évidentes, nécessitent la confirmation de la titularité du nom de domaine que l'on souhaite surveiller. Vérification qui doit être réalisée par le détenteur du nom de domaine. Cela n'a donc posé aucun problème à l'équipe de chercheurs qui a pu authentifier ces domaines auprès de Haveibeenpwned et SpyCloud afin d'identifier les adresses emails correspondantes.

Une fois cette vérification effectuée, les comptes associés aux domaines et les mots de passe sont directement visibles.

En cas de mauvaise pratique de mot de passe (mot de passe faible et utilisé sur différentes plateformes), il devient possible de se connecter sur les différents comptes des collaborateurs, ainsi que de réinitialiser le mot de passe le cas échéant.

Pire, les mots de passe et emails ainsi récupérés ont permis la connexion sur des portails professionnels, les services Paypal, Dropbox, Office 365 et G suite

Si les chercheurs ne sont heureusement pas allés au bout de ces démarches et se sont limités à une démonstration technique, ce PoC prouve à quel point une société peut être vulnérable lors du non renouvellement d'un nom de domaine. La conclusion aurait pu être toute autre si les acteurs avaient été mal intentionnés.

Les possibilités offertes par cette pratique sont nombreuses :

  • Piratage (compromission d'accès à différentes ressources en ligne, falsification/suppression de document, accès à des moyens de paiement en ligne)
  • Extorsion (demande de changement de RIB auprès de fournisseurs, clients et confrères)
  • Atteinte à la réputation (fuite de données sensibles dans un domaine couvert par le secret professionnel)
  • Intelligence économique (récupération d'informations sensibles, secrets d'affaire)
  • Usurpation d'identité (fraude au président)
  • etc…

Surtout, cette pratique existe depuis des années et continue d’être rendue possible par des abandons qui ne sont pas ou mal analysés en amont.  Il est primordial de mettre en place des bonnes pratiques le cas échéant.

Comment se protéger ?

Préventivement 

Afin de vous prémunir contre ce type d'atteinte, il est important :

  • D'identifier au sein de votre portefeuille de noms de domaines ceux utilisés pour de l'email
  • D'avoir une politique de mot de passe robuste (complexe et différent pour chaque utilisation)
  • De mettre en place une double authentification lorsque cela est possible

En cas d'abandon du nom de domaine 

  • Identifier les services associés à des emails liés à ce domaine
  • Les supprimer ou actualiser le cas échéant
  • S'assurer que vous n'êtes plus identifiés par ce domaine auprès des fournisseurs, clients, prospect : campagne d'information email, nettoyage des pages web mentionnant ces emails
  • Monitorer vos noms de domaine expirés ! Tenez une liste de vos actifs actuels ou passés, et surveiller toute réactivation d'un nom de domaine abandonné

Comme pour votre portefeuille de marques, la rationalisation de votre portefeuille de noms de domaine doit être étudiée en détails. Certains noms de domaine peuvent être revendus, quand d’autres sont à maintenir.

Dans le doute, conservez le nom de domaine durant quelques années afin de mettre en place des redirections vers votre nouveau domaine dans un premier temps. Par la suite une désactivation du nom de domaine (suppression des serveurs DNS) tout en étant renouvelé, peut être envisagé afin d'indiquer les contacts web ou mail en erreur (404 pour le web, 512 ou 550 pour le mail).

Notre Cabinet est en mesure de vous accompagner sur la gestion de vos portefeuilles de marques et de noms de domaines afin d’en assurer la cohésion et optimiser son potentiel. N’hésitez pas à nous contacter à ce sujet.

Source : l’étude de Gabor Szathmari est disponible en suivant ce lien.

L'auteur :

Gaël Mancec | Juriste NTIC
Germain Maureau
gael.mancec@germainmaureau.com
+ 33 (0) 4 72 69 84 30

Téléchargez l'article de Gaël :Risques_abandon_noms_de_domaine_PDF

Partager sur