Astuces pour les professionnels du web Démarrer sur le web

Cinq conseils pour sécuriser votre nom de domaine et votre site web

Astuces-Sécuriser-nom-domaine-site-web

Par Aman Masjide

Imaginez : après des mois, voire des années, de construction de votre site, d’amélioration de son SEO (classement dans les moteurs de recherche) et de constitution d’une base de données utilisateurs/clients… Vous vous réveillez un matin et trouvez vos clients en colère sur les réseaux sociaux et votre position dans les moteurs de recherche en chute libre.

Votre site web et ses données ont été détournés.

En tant qu’entreprise, vous ne souhaitez certainement pas prendre ce risque.

Minimiser les besoins de sécurisation de votre domaine laisse une porte ouverte aux pirates. Voici ce qui pourrait arriver :

  • Les données de vos clients, y compris les informations personnelles identifiables (PII), pourraient être volées
  • Vous devrez probablement payer une amende pour non-conformité
  • La réputation de votre marque en sortira ternie

Les sites web sont constamment menacés. Pour voler vos données, mais également pour utiliser votre serveur afin d’envoyer des pourriels, partager des fichiers illégalement, ou configurer un serveur web temporaire malveillant. Chacune de ces activités nuira à la réputation de votre marque.

Voici cinq étapes à suivre pour vous assurer que vous êtes bien protégé.

1. Maintenir les contacts à jour et ne pas les sur-publier

Assurez-vous que vous êtes le propriétaire du domaine

Si votre domaine est piraté, vous pouvez le récupérer plus rapidement si vous êtes le « titulaire » du domaine. Si vous avez enregistré votre domaine par l’intermédiaire d’une agence web, par exemple, assurez-vous que les coordonnées du propriétaire sont les vôtres et non celles de l’agence. Ou si un membre de votre équipe a enregistré votre domaine pour vous, c’est peut-être à son nom. Dans les deux cas, vous devez dès que possible remplacer le propriétaire par le compte de votre organisation.

Gardez vos coordonnées à jour

Cela permettra à votre registrar de vous avertir s’il remarque des anomalies. Si votre nom et vos coordonnées sont corrects dans les informations d’enregistrement du domaine, cela facilite la restauration de l’accès à votre domaine.

Cachez vos données personnelles dans le WHOIS

Le WHOIS répertorie vos informations d’enregistrement, y compris votre adresse et votre numéro de téléphone. Vous voudrez peut-être masquer cette information pour deux raisons. Premièrement, la publication de votre numéro de téléphone dans le WHOIS est un bon moyen de recevoir beaucoup de spams. Mais aussi, les pirates peuvent pirater votre numéro et l’utiliser pour essayer d’accéder à vos comptes via des processus de récupération.

2. Ne jamais partager vos informations de connexion

Concepteurs web, professionnels de l’informatique et développeurs peuvent parfois demander des informations de connexion pour pouvoir modifier certaines configurations DNS.

Ces mises à jour peuvent être effectuées sans partager vos informations de connexion.

Si votre registrar permet de créer des sous-comptes, vous pouvez fournir des droits limités pour lui permettre d’accéder uniquement à ce dont il a besoin. Si votre développeur web doit modifier les paramètres DNS, ne lui donnez accès qu’aux paramètres DNS. De cette façon, vous serez assuré qu’aucun détail ne sera modifié au-delà de ce qui est nécessaire.

3. Attention aux courriels vous demandant vos informations de connexion

Les attaques par hameçonnage se présentent généralement sous la forme d’un simple courriel qui semble provenir de votre registrar de domaine.

Ces mails sont envoyés en forgeant un identifiant expéditeur approuvé ou ressemblant à un nom de confiance. Par exemple, les phishers peuvent envoyer des courriels à partir d’un domaine tel que «gandeeemailsupport.com». Ces courriels peuvent être liés à votre gestion de domaine ou à votre renouvellement.

Ne cliquez jamais sur un lien dans un email qui vous demande votre nom d’utilisateur et votre mot de passe.

Le meilleur moyen d’éviter le phishing est de ne vous connecter à votre compte qu’à partir de l’interface officielle du registrar. N’hésitez pas à partager le courrier électronique que vous avez reçu avec eux pour vérifier s’il s’agit d’une attaque de phishing.

4. Authentification à deux facteurs

L’authentification à deux facteurs (2FA) nécessite que vous vous connectiez avec un deuxième facteur de sécurité en plus de votre nom d’utilisateur et de votre mot de passe. Cela peut être un code qui vous est envoyé par SMS ou généré par une application. Si un pirate informatique accède à votre compte, la seconde couche d’authentification vous protègera.

Cependant, 2FA reste vulnérable aux attaques. Lorsqu’il utilise des messages SMS pour vous envoyer un code, si un attaquant pirate votre téléphone (comme indiqué dans le point 1), il peut accéder aux comptes utilisant 2FA.

Pour éviter ce problème de piratage, vous pouvez utiliser TOTP ou des mots de passe à usage unique. Mais ils ne vous protègent, ni vous, ni vos utilisateurs, des attaques de phishing. L’attaquant peut, en effet, toujours les relayer lors d’une tentative de phishing réussie.

Universal bi-factor (U2F) est un 2FA plus puissant, ajoutant une couche de chiffrage au processus et fournissant une validation supplémentaire de votre identité et du site web, empêchant ainsi les schémas d’attaque de phishing connus.

5. Choisir un bon registrar

L’un des facteurs les plus importants pour assurer la sécurité de votre domaine est le choix d’un registrar de domaine fiable.

Lorsque vous choisissez un registraire de domaine, prenez le temps d’examiner leurs garanties de sécurité.

La confidentialité du WHOIS gratuit, des sous-comptes, une authentification à deux facteurs peuvent faire la différence.

Les autres fonctions de sécurité importantes de votre registrar sont les suivantes :

  • Gestion DNSSEC : DNSSEC est une extension du DNS utilisée pour vérifier que les informations DNS reçues sont correctes. Sans DNSSEC, un attaquant pourrait pirater votre trafic et fournir à un utilisateur à la recherche de votre site web des informations le dirigeant vers un site malveillant.
  • Un support technique de qualité : un support technique 24/24h est indispensable. Vous devriez toujours pouvoir contacter un représentant de l’assistance en cas de problème. Dans le cas de domaines piratés, une assistance immédiate est cruciale pour la restauration de votre domaine.

Conclusion

Votre nom de domaine est l’un des piliers identitaires de votre entreprise. Si votre nom de domaine est piraté, votre entreprise peut hériter d’une mauvaise e-reputation, votre classement SEO peut chuter, et des mois ou des années de travail risquent d’être anéantis. En suivant les conseils ci-dessus et en choisissant un registrar fiable, vous pouvez réduire les risques de piratage de votre nom de domaine.

Gandi offre les garanties mentionnées ci-dessus, mais il est important de comparer toutes les fonctionnalités de sécurité d’un registrar pour vous assurer que votre domaine est sécurisé.

Enregistrez votre nom de domaine dès à présent ! 

Aman Masjide dirige le service « Conformité et Réduction des Abus » chez Radix, l’un des plus grands registres de portefeuilles de domaines au monde. Radix propose de nouveaux domaines tels que .online, .store, .fun, .website, .tech, .host, .site, .space & .press.