La vie après la mort d’un nom de domaine

8 Nov, 2019  - écrit par  dans Noms de domaine

Les domaines ont un cycle de vie. Ils sont créés, ils sont utilisés pendant un certain temps et ils expirent. Mais pour de nombreux domaines, la vie ne s’arrête pas là. Les noms de domaine peuvent être ravivés, ressuscités et réutilisés après avoir vécu une vie bien remplie et le cycle de vie se répète. Parfois, le propriétaire n’a aucune utilité pour un domaine et le laisse expirer. Mais souvent, lorsque les domaines expirent, ce n’est pas intentionnel, et le propriétaire n’a pas respecté la date limite de renouvellement.
 
Même s’ils ne sont pas réenregistrés, la mémoire d’un nom de domaine mort peut perdurer. Au cours de leur durée de vie, les domaines acquièrent une réputation, sont utilisés pour héberger des services et sont parfois utilisés pour confirmer une identité. Après leur expiration, ces services ne peuvent plus être actifs, mais les liens, mémoires et références ne sont pas effacés.
 
Ces enveloppes évidées peuvent être récoltées et réanimées par toute personne désireuse et capable de payer le prix de l’enregistrement. Ces charognards profitent alors du trafic toujours acheminé vers le domaine ou de la réputation encore rattachée à la vie antérieure du domaine, souvent juste pour monétiser ce trafic, parfois pour profiter d’anciens propriétaires de domaine désespérés, et en de rares occasions pour détourner le trafic ou renverser la réputation du domaine pour des activités moins éthiques voire illégales.
 
Voici notre guide de l’au-delà des noms de domaine.
 

Que se passe-t-il lorsqu’un domaine expire ?

La première étape de la fin de vie d’un domaine est l’expiration. Les domaines sont enregistrés par tranches annuelles, et une fois que l’enregistrement est terminé, le domaine expire.
 
L’ICANN – l’organisation à but non lucratif chargée d’administrer Internet, y compris le niveau supérieur du système des noms de domaine – a depuis longtemps mis en place des mesures pour empêcher que des domaines expirent et soient réenregistrés contre la volonté de leurs propriétaires.
 
Les bureaux d’enregistrement sont tenus d’informer les propriétaires de domaine à quatre reprises : deux mois, un mois et quinze jours avant la date d’expiration d’un nom de domaine, puis une nouvelle fois un jour après l’expiration du nom de domaine.
 
Il y a d’autres moyens de savoir si un domaine expire bientôt, bien sûr, comme le compte utilisateur du bureau d’enregistrement de domaine, ce qui rend généralement ces informations visibles.
 
Dans le cadre du processus que l’ICANN exige pour l’expiration d’un nom de domaine, la première chose qu’un nom de domaine fait lorsqu’il expire est de rester là où il est. L’agent d’enregistrement le met en  » hold  » pendant 45 jours. Avec un domaine en « hold« , le propriétaire reste le même mais le DNS cesse de se résoudre. En d’autres termes, le domaine ne fonctionne plus.
 
A ce stade, le propriétaire peut encore faire revivre son nom de domaine. Il leur suffit de renouveler leur nom de domaine auprès de leur bureau d’enregistrement. Au terme de ces 45 jours, le nom de domaine est supprimé de la base de données de l’agent d’enregistrement et passe dans le « redemption grace period« , soit 30 jours supplémentaires pendant lesquels le domaine reste dans la base de données du registre. Pendant cette « redemption grace period« , les propriétaires de domaines peuvent restaurer leurs domaines pour un prix plus élevé qu’un renouvellement normal.
 
En dépit de cette grande opportunité pour les propriétaires de ramener leurs domaines d’entre les morts, il arrive parfois que des domaines soient « abandonnés », ce qui signifie qu’ils expirent pour de bon et retournent dans le pool des noms de domaine disponibles et non-enregistrés.
 

Pourquoi les domaines expirent-ils et sont abandonnés ?

La plupart du temps, quand un domaine expire, c’est parce que le propriétaire du domaine voulait qu’il expire. Lorsque les propriétaires de domaines ne veulent légitimement plus de leurs domaines, ils les laissent expirer, ne les renouvellent pas, ne les restaurent pas et les laissent passer en disponibilité générale.
 
Mais les domaines expirent toujours et peuvent même être abandonnés par inadvertance. Si un domaine n’a pas de renouvellement automatique activé, lorsqu’un propriétaire de domaine manque une notification de renouvellement, le domaine peut expirer sans qu’il s’en rende compte. Cela peut se produire pour plusieurs raisons.
 
Premièrement, des informations de contact inexactes ou invalides sur un domaine peuvent signifier que des notifications d’expiration de nom de domaine sont envoyées à la mauvaise adresse e-mail ou même à une adresse e-mail inexistante. C’est pourquoi il est important pour les propriétaires de domaines de s’assurer qu’ils utilisent une adresse e-mail à laquelle ils peuvent être joints pour enregistrer leurs noms de domaine.
 
De même, puisqu’après l’expiration des noms de domaine, ils cessent de fonctionner, si un nom de domaine est « caché », c’est-à-dire qu’il a une adresse e-mail de contact qui est @ le nom de domaine en question, l’avertissement final du domaine ayant expiré pourrait ne pas être délivré.
 
Même si un propriétaire de domaine ne reçoit pas ou manque les notifications de renouvellement, il s’aperçoit généralement que son domaine a expiré car son site Web, son courriel ou un autre service ne fonctionne plus.
 
La raison principale pour laquelle les domaines sont abandonnés par inadvertance par les propriétaires de domaines après expiration est la simple négligence.
 
Manquer les notifications et ne pas remarquer dans une période de 75 jours qu’un nom de domaine – y compris les sites Web, les courriels ou autres services associés – ne fonctionne pas est difficile si le domaine est utilisé régulièrement, même si cela peut arriver et arrive effectivement.
 
C’est un peu plus facile à manquer, bien sûr, quand les domaines ne sont pas activement utilisés par leur propriétaire, qu’ils les conservent pour les vendre plus tard, ou qu’ils n’ont tout simplement pas pris le temps de les utiliser pour le projet pour lequel ils les ont enregistrés.
 

Ce qu’un domaine mort laisse derrière lui

Il est parfois difficile d’appréhender la myriade de façons dont l’ombre d’un nom de domaine s’étend sur le net jusqu’à ce que le domaine lui-même disparaisse et qu’il ne reste que son empreinte.
 
Lorsqu’un nom de domaine meurt, son ancien propriétaire n’est pas le seul survivant : il survit aussi grâce aux liens et signets du navigateur, aux sites Web et aux comptes de messagerie, aux logiciels et aux filtres anti-spam. Ceux-ci, à leur tour, envoient du trafic vers des domaines morts qui, bien que ne renvoyant jamais aucun signe de vie, peuvent perdurer pendant un certain temps. 

1. Sites web

De toute évidence, les domaines continuent à vivre comme les adresses enregistrées des sites Web.

Partout où un site Web est lié, le nom de domaine associé fait partie de ce lien. Cela comprend les profils et les articles sur les réseaux sociaux, les blogs, les e-mails ou même les cartes de visites et les panneaux publicitaires. Un domaine peut aussi être sauvegardé dans les signets du navigateur ou être particulièrement mémorable et rester dans la tête des internautes.

Plus il y a de liens, plus il y a de trafic sur ce site, même après la mort du domaine. Tant que le domaine n’est pas réenregistré, les personnes essayant de se rendre sur le domaine tomberont sur un message d’erreur leur signalant que le domaine n’existe pas.

Des tiers en profitent pour capturer et monétiser le trafic pour eux-mêmes en enregistrant un nom de domaine déjà expiré.

 2. E-mail

Les noms de domaine ne sont pas seulement utilisés pour héberger des sites Web. Ils sont également utilisés pour héberger les e-mails. Un autre moyen pour un domaine de vivre après son expiration se trouve à travers les adresses e-mail @ de ce domaine.

Ces adresses e-mail n’appartiennent pas nécessairement au propriétaire du nom de domaine ou à son administrateur technique, de sorte qu’il peut être surprenant mais probable qu’un employé, un ami ou l’adresse e-mail d’un client cesse soudainement de fonctionner parce que le domaine a expiré.

Mais les adresses e-mail ne restent pas seulement dans la mémoire de leurs propriétaires. Les services en ligne utilisent fréquemment des adresses électroniques pour inscrire des utilisateurs.

Une nuit de mai 2003, un important entrepreneur de la défense américaine a perdu le contrôle d’un bloc d’adresses IP qu’il possédait pour l’utilisation dans son réseau. Il avait été piraté et était utilisé pour envoyer des spams et les adresses IP figuraient sur les listes noires de SpamHaus et de SPEWS.

Lorsque les attaquants ont fait un geste similaire en 2018 afin de détourner un site Web de cryptomonnaie, ils ont dû avoir accès à des routeurs BGP chez les principaux FAI. Dans le cas de ce gros entrepreneur de la défense américaine, les spammeurs ont obtenu cet accès par la porte d’entrée, pour ainsi dire.
 

Les blocs d’adresses IP sont enregistrés à l’aide d’adresses e-mail, et il suffisait de prouver l’accès à l’adresse e-mail utilisée pour enregistrer un bloc d’adresse IP pour que les FAI changent la route BGP vers eux.

Ils ont eu accès à cette adresse email en enregistrant simplement le nom de domaine auquel l’adresse email était attachée quand elle a expiré. Bien qu’il s’agisse d’un important entrepreneur de la défense, il a quand même fallu deux mois à l’entreprise pour récupérer son bloc d’adresses IP.

La même chose s’est produite chez un fournisseur d’accès Internet russe. La crise financière de 2008 avait conduit leur entreprise au bord de la faillite et, dans l’intervalle, leur domaine avait expiré. Puis, en 2011, un nouvel investisseur a sauvé l’entreprise du gouffre pour que les représentants de l’entreprise découvrent que l’ensemble du réseau du FAI avait été détourné.

Il s’est avéré que six heures seulement après l’expiration de l’enregistrement, quelqu’un avait réenregistré son nom de domaine et l’avait utilisé pour obtenir le contrôle total de son réseau en envoyant un autre FAI par e-mail à partir de l’adresse e-mail à laquelle le bloc IP était enregistré. Une fois le problème constaté, il a fallu trois mois au FAI pour se rétablir complètement.
 
Les adresses e-mail servent également à d’autres fins que l’enregistrement de blocs d’adresses IP.
 
Les profils des réseaux sociaux comme Facebook et Twitter sont liés aux adresses e-mail, tout comme certaines institutions financières. Outre les comptes personnels, les adresses électroniques peuvent être liées à des comptes qui gèrent des actifs en ligne tels que des noms de domaine (autres, non expirés).
 
Lorsqu’une personne ou un service en ligne tente d’envoyer un e-mail (parfois automatiquement) à un nom de domaine hébergé sur lui et que le domaine n’existe plus, l’e-mail rebondit.
 
Par conséquent, lorsqu’un nom de domaine expire, il devient également attractif pour l’email qui lui est potentiellement envoyé. Une adresse e-mail fourre-tout configurée sur un domaine expiré réenregistré peut capturer n’importe quel e-mail et donner accès à des profils de réseaux sociaux, de comptes bancaires, de noms de domaine et de blocs d’adresses IP.
 

 3. DNS

Les sites Web et les adresses e-mail ne sont pas les seuls services à pouvoir être hébergés sur un nom de domaine. Ils peuvent eux-mêmes être utilisés pour héberger des serveurs de noms de domaine. Un nom de domaine expirant qui est utilisé pour des serveurs de noms de domaine pourrait avoir un impact sur un autre nom de domaine en utilisant simplement ce domaine pour ses serveurs DNS.

En 2012, une Université catholique privée des Etats-Unis utilisait son propre domaine pour héberger des serveurs de noms DNS primaires tandis que ses serveurs de noms secondaires étaient hébergés sur un domaine .COM hors de leur contrôle. Les serveurs de noms DNS sont utilisés pour connecter un nom de domaine à un service, en particulier un site Web ou un courriel @ ce domaine.
 
Cependant, à la fin de l’automne de cette même année, le site web de l’université eu des comportements étranges : les visiteurs du site étaient dirigés par intermittence vers un site purement publicitaire qui n’avait rien à voir avec leur université. Pourtant, la plupart du temps, la page de l’université se chargeait correctement.
 
Il s’avère que le nom de domaine .COM utilisé comme serveur de nom secondaire sur le domaine avait expiré. Le serveur de noms principal fonctionnait toujours bien, cependant, et comme le domaine .COM était en période de renouvellement tardif et de rédemption, aucun changement n’avait été remarqué, le DNS étant suffisamment robuste pour atténuer les effets des pannes temporaires.
 
Ce n’est que lorsqu’une société de référencement a réenregistré le domaine .COM en tant que domaine repris qu’elle a mis un enregistrement de caractères génériques dans le fichier de zone .COM et a fini par rediriger une partie du trafic de l’infrastructure de l’Université entière – incluant potentiellement les connexions des étudiants, le courrier électronique et autres données légalement sensibles – vers ses propres serveurs que le problème a été soulevé.
 
Si un domaine servant à accueillir des serveurs DNS arrive à expiration et qu’un autre utilisateur l’enregistre, ils peuvent commencer à servir des zones de données arbitraires à des domaines qui dépendent de ces serveurs. Si les domaines concernés n’utilisent pas de DNSSEC, le trafic vers les services de ces derniers pourrait être détourné.
 
Plus récemment, en 2016, Matt Bryant, un chercheur en sécurité, qui a également signalé quelques vulnérabilités non liées, a pu trouver un nom de domaine .INT rare – normalement réservé aux organisations conventionnelles internationales – avec des serveurs de noms attribués à un nom de domaine .BE expiré.
 
Il a écrit un script appelé TrustTrees qui produit des graphiques de confiance DNS et permet de vérifier si les noms de domaine utilisés pour les serveurs sont disponibles pour l’enregistrement. 
 
En 2018, ce script l’a averti que quatre des sept domaines utilisés pour les serveurs de noms faisant autorité pour le domaine .IO ont expiré et étaient disponibles pour enregistrement. A sa grande surprise, il a pu réenregistrer les domaines de serveurs de noms expirés, ce qui lui aurait permis de prendre le contrôle de l’ensemble du TLD .IO (il a rapidement signalé le problème au Registre et les enregistrements de domaines ont été annulés par leur partenaire Registrar). 
 

 4. Certificats SSL 

Les certificats SSL sont la pierre angulaire de la sécurité Web. Ils sont utilisés pour lier le matériel cryptographique à une organisation de confiance, afin de s’assurer qu’un site Web est légitime et que son trafic est correctement chiffré et confidentiel. Chaque fois que ‘HTTPS’ apparaît devant une adresse web, cela signifie que la page utilise un certificat SSL. 

Le problème est qu’un certificat SSL peut être acheté pour des périodes de temps indépendantes de l’enregistrement du nom de domaine. L’acheteur ne doit prouver qu’il possède et contrôle un nom de domaine qu’au moment de l’émission du certificat. Il est donc tout à fait possible qu’un certificat SSL survive plus longtemps que le nom de domaine auquel il est associé. Ce type de certificat SSL s’appelle BygoneSSL
 

En 2010, quand un processeur de paiement populaire a été lancé, il a acquis son nom de domaine d’un service de Domain Parking. Le domaine a changé de propriétaire sans problème, mais l’année précédente, en 2009, le service de Domain Parking avait acheté un certificat SSL de deux ans couvrant le domaine jusqu’en 2011. Celui-ci n’avait pas été révoqué pendant l’année où il était encore valide. L’ancien propriétaire du nom de domaine aurait pu utiliser ce certificat pour intercepter le trafic du site Web sans que personne aurait pu en être avisé.

Le même risque s’applique aux noms de domaine expirés, mais il est possible pour les propriétaires de demander aux autorités de certification de révoquer les certificats antérieurs liés aux noms de domaine qu’ils achètent, que la propriété ait été transférée ou simplement que le domaine ait expiré et ait été réenregistrée, ce qui complique encore davantage les choses, car les certificats peuvent être émis pour plus d’un nom de domaine. 

Certains certificats – souvent émis par les CDN (réseaux de diffusion de contenu) – peuvent avoir des centaines de domaines complètement indépendants les uns des autres. Si un seul de ces noms de domaine expire, quelqu’un pourrait le réenregistrer et demander légitimement la révocation du certificat multi-domaine, brisant ainsi la sécurité HTTPS sur des centaines de sites potentiels.

 5. Logiciels

Un nom de domaine peut également perdurer via diverses références faites à lui dans le logiciel.
 
Par exemple, les fabricants de routeurs Internet et d’autres appareils connectés à Internet utilisent généralement les noms de domaine qu’ils possèdent pour accéder à la page de configuration d’un appareil. Cela facilite la publication d’instructions de configuration en invitant les utilisateurs à visiter un nom de domaine particulier, consultable grâce à la configuration interne de l’appareil avant même qu’il ne dispose d’une connexion Internet.
 
Si ce nom de domaine expire, il pourrait toujours fonctionner sans problème lorsqu’un appareil n’a pas de connexion Internet. Mais dès lors qu’une connexion est détectée, il peut utiliser le DNS pour résoudre le problème de configuration du nom de domaine qui peut avoir été enregistré au nom d’une autre personne.
 
En 2016, deux domaines appartenant à un fabricant populaire de routeurs Internet domestiques utilisés à cette fin ont expiré et ont été réenregistrés par un tiers inconnu, qui les a mis aux enchères à 2,5 millions $.
 
Alors que l’entreprise avait cessé d’utiliser les domaines pour de nouveaux produits depuis 2014, l’un des deux domaines en question recevait encore près de 4,5 millions de visiteurs par mois. Au cours des trois années qui ont suivi, en septembre 2019, le nombre de visiteurs est passé à un peu plus de 550 000 par mois. Entre-temps, les pressions étaient apparemment trop fortes et le fabricant du routeur a depuis racheté le domaine.

Un autre exemple est celui des inclusions JavaScript « périmées ». Certains sites Web incluent des scripts JavaScript distants sur les noms de domaine qui ne sont pas directement liés à leur propre site. Évidemment, il est préférable que les administrateurs de sites vérifient régulièrement leurs sites pour détecter les erreurs, ce qui permettrait d’attraper de telles instances, mais même sur certains des sites Web les plus populaires de l’Internet, les scripts JavaScript à distance aux domaines expirés sont inclus. C’est ce qu’on appelle des « inclusions périmées ».

En 2012, une étude a révélé que 47 des 10 000 meilleurs sites Web d’Alexa comprenaient des scripts JavaScript pour des domaines qui étaient expirés au moment de l’étude. C’est une petite proportion mais ces domaines pourraient être ressuscités pour exécuter des scripts JavaScript malveillants sur ces sites.
 
Le W3C recommande maintenant l’utilisation de l’intégrité des sous-ressources (ISR). SRI assure l’intégrité des scripts et ressources injectés. L’utilisation de l’ISR protège non seulement contre la grande majorité des inclusions périmées, mais aussi contre les menaces telles que la prise de contrôle du CDN.
 
Cela dit, la plupart des scripts tiers ne sont qu’une passerelle vers des scripts inclus dynamiquement et régulièrement mis à jour, ce qui limite le nombre de scénarios.
 
De même, la politique de sécurité du contenu (CSP) garantit que le script ou la ressource en question est chargé par des sources fiables.
 
CSP peut être plus facile à mettre en œuvre, à condition que les scripts et les ressources de tiers ne chargent pas de contenu pour changer ou des origines inconnues dans le cadre de leur fonctionnement normal.
 
Mais ce n’est pas seulement dans les scripts JavaScript que les noms de domaine expirés survivent dans le logiciel. Les plugins installés dans les navigateurs Internet chargeront leurs paramètres et leur contenu en référençant les noms de domaine et lorsque ces noms de domaine expireront, ces plugins de navigateur pourront continuer à essayer de les contacter automatiquement lorsque les navigateurs démarreront.
 
De même, cela permettrait à quelqu’un qui enregistre un domaine expiré d’influer à distance sur les paramètres du navigateur sur les ordinateurs des utilisateurs.
 
Debian est un système d’exploitation libre et open-source populaire pour PC. Un développeur indépendant avait l’habitude de publier un dépôt de paquets multimédia à utiliser avec Debian sur le nom de domaine debian-multimedia.org. Bien qu’il n’ait pas été officiellement associé à Debian, c’était un dépôt populaire auquel beaucoup de blogs et d’articles pratiques et de nombreux utilisateurs de Debian avaient ajouté debian-multimedia.org dans leur version du fichier que le gestionnaire de paquets Debian utilise pour installer ou supprimer automatiquement le logiciel. Lorsque le propriétaire du dépôt l’a ensuite déplacé vers deb-multimedia.org, l’ancien domaine (debian-multimedia.org) a expiré et a été enregistré par un tiers inconnu.
 
Les responsables Debian ont fait leur devoir de diligence et ont incité les utilisateurs Debian à supprimer debian-multimedia.org. Les paquets Debian sont signés cryptographiquement par les responsables, donc une installation Debian normale ne devrait pas se fier uniquement aux domaines.
 
En 2015, un incident moins grave s’est produit lorsque le nom de domaine d’un outil d’édition d’images open source populaire a expiré. Les utilisateurs de l’outil ont alerté les propriétaires du domaine avant qu’il ne soit trop tard pour récupérer le nom de domaine, mais s’il avait expiré et avait été réenregistré, le nouveau propriétaire aurait pu potentiellement pousser les versions corrompues de l’outil comme mises à jour aux utilisateurs non avertis. Comme dans le cas de Debian ci-dessus, les utilisateurs qui n’acceptaient pas les paquets non signés (ce qui est standard) n’étaient pas à risque.
 

6. Réputation du domaine

Enfin, un nom de domaine laisse une trace pas seulement pour son utilisation, mais aussi pour la façon dont il a été utilisé. Les noms de domaine ont une réputation qui est utilisée soit pour effacer le trafic à destination et en provenance d’eux, soit pour le bloquer. La liste noire des noms de domaine est un outil qui est utilisé pour arrêter la propagation du spam sur Internet. Les domaines connus pour leurs comportements abusifs ou spammeurs sont ajoutés aux listes noires afin d’empêcher les utilisateurs d’en être victimes.
 
Le contraire de la liste noire des noms de domaine est la liste blanche des noms de domaine, où les courriels provenant de certains domaines contournent les filtres anti-spam et sont livrés quoi qu’il arrive.
 
Les domaines expirés qui sont sur les listes blanches sont évidemment une option de réenregistrement attrayante pour les spammeurs, car cela leur ouvre une porte de secours autour des filtres anti-spam.
 
Comme mentionné ci-dessus, les liens et les redirections vers un nom de domaine restent dispersés sur Internet. La force et la pertinence de ces liens construisent le référencement d’un site au cours de sa vie, et que le référencement peut se prolonger dans la vie suivante. Des services comme Domcop permettent aux utilisateurs de rechercher des domaines expirés avec un bon classement SEO. En juillet 2018, l’industrie du référencement était une industrie de près de 80 milliards de dollars
 
L’enregistrement d’un domaine qui a déjà fait le nécessaire pour optimiser son classement dans les moteurs de recherche peut être une solution de facilité.
 
Toutes ces différentes façons dont un domaine vit après l’expiration, à son tour, peut faire de ces domaines morts des candidats attrayants pour les ramener à la vie.
 

La vie après la mort du nom de domaine

Les noms de domaine peuvent expirer et en effet certains expirent, et malgré tous les efforts déployés par les bureaux d’enregistrement, les Registres et l’ICANN pour l’éviter, ils peuvent aussi finir par être complètement supprimés. Mais l’utilité et la valeur ajoutée acquise durant leur vie peut encore avoir un impact – et peut même être un moyen de compromettre des ressources clés – même après que le domaine ait disparu.