La vie après la mort d’un nom de domaine

8 Nov, 2019  - écrit par  dans Noms de domaine

Les domaines ont un cycle de vie. Ils sont créés, ils sont utilisés pendant un certain temps et ils expirent. Mais pour de nombreux domaines, la vie ne s’arrête pas là. Les noms de domaine peuvent être ravivés, ressuscités et réutilisés après avoir vécu une vie bien remplie et le cycle de vie se répète. Parfois, le propriétaire n’a aucune utilité pour un domaine et le laisse expirer. Mais souvent, lorsque les domaines expirent, ce n’est pas intentionnel, et le propriétaire n’a pas respecté la date limite de renouvellement.
 
Même s’ils ne sont pas réenregistrés, la mémoire d’un nom de domaine mort peut perdurer. Au cours de leur durée de vie, les domaines acquièrent une réputation, sont utilisés pour héberger des services et sont parfois utilisés pour confirmer une identité. Après leur expiration, ces services ne peuvent plus être actifs, mais les liens, mémoires et références ne sont pas effacés.
 
Ces enveloppes évidées peuvent être récoltées et réanimées par toute personne désireuse et capable de payer le prix de l’enregistrement. Ces charognards profitent alors du trafic toujours acheminé vers le domaine ou de la réputation encore rattachée à la vie antérieure du domaine, souvent juste pour monétiser ce trafic, parfois pour profiter d’anciens propriétaires de domaine désespérés, et en de rares occasions pour détourner le trafic ou renverser la réputation du domaine pour des activités moins éthiques voire illégales.
 
Voici notre guide de l’au-delà des noms de domaine.
 

Que se passe-t-il lorsqu’un domaine expire ?

La première étape de la fin de vie d’un domaine est l’expiration. Les domaines sont enregistrés par tranches annuelles, et une fois que l’enregistrement est terminé, le domaine expire.
 
L’ICANN – l’organisation à but non lucratif chargée d’administrer Internet, y compris le niveau supérieur du système des noms de domaine – a depuis longtemps mis en place des mesures pour empêcher que des domaines expirent et soient réenregistrés contre la volonté de leurs propriétaires.
 
Les bureaux d’enregistrement sont tenus d’informer les propriétaires de domaine à quatre reprises : deux mois, un mois et quinze jours avant la date d’expiration d’un nom de domaine, puis une nouvelle fois un jour après l’expiration du nom de domaine.
 
Il y a d’autres moyens de savoir si un domaine expire bientôt, bien sûr, comme le compte utilisateur du bureau d’enregistrement de domaine, ce qui rend généralement ces informations visibles.
 
Dans le cadre du processus que l’ICANN exige pour l’expiration d’un nom de domaine, la première chose qu’un nom de domaine fait lorsqu’il expire est de rester là où il est. L’agent d’enregistrement le met en  » hold  » pendant 45 jours. Avec un domaine en « hold« , le propriétaire reste le même mais le DNS cesse de se résoudre. En d’autres termes, le domaine ne fonctionne plus.
 
A ce stade, le propriétaire peut encore faire revivre son nom de domaine. Il leur suffit de renouveler leur nom de domaine auprès de leur bureau d’enregistrement. Au terme de ces 45 jours, le nom de domaine est supprimé de la base de données de l’agent d’enregistrement et passe dans le « redemption grace period« , soit 30 jours supplémentaires pendant lesquels le domaine reste dans la base de données du registre. Pendant cette « redemption grace period« , les propriétaires de domaines peuvent restaurer leurs domaines pour un prix plus élevé qu’un renouvellement normal.
 
En dépit de cette grande opportunité pour les propriétaires de ramener leurs domaines d’entre les morts, il arrive parfois que des domaines soient « abandonnés », ce qui signifie qu’ils expirent pour de bon et retournent dans le pool des noms de domaine disponibles et non-enregistrés.
 

Pourquoi les domaines expirent-ils et sont abandonnés ?

La plupart du temps, quand un domaine expire, c’est parce que le propriétaire du domaine voulait qu’il expire. Lorsque les propriétaires de domaines ne veulent légitimement plus de leurs domaines, ils les laissent expirer, ne les renouvellent pas, ne les restaurent pas et les laissent passer en disponibilité générale.
 
Mais les domaines expirent toujours et peuvent même être abandonnés par inadvertance. Si un domaine n’a pas de renouvellement automatique activé, lorsqu’un propriétaire de domaine manque une notification de renouvellement, le domaine peut expirer sans qu’il s’en rende compte. Cela peut se produire pour plusieurs raisons.
 
Premièrement, des informations de contact inexactes ou invalides sur un domaine peuvent signifier que des notifications d’expiration de nom de domaine sont envoyées à la mauvaise adresse e-mail ou même à une adresse e-mail inexistante. C’est pourquoi il est important pour les propriétaires de domaines de s’assurer qu’ils utilisent une adresse e-mail à laquelle ils peuvent être joints pour enregistrer leurs noms de domaine.
 
De même, puisqu’après l’expiration des noms de domaine, ils cessent de fonctionner, si un nom de domaine est « caché », c’est-à-dire qu’il a une adresse e-mail de contact qui est @ le nom de domaine en question, l’avertissement final du domaine ayant expiré pourrait ne pas être délivré.
 
Même si un propriétaire de domaine ne reçoit pas ou manque les notifications de renouvellement, il s’aperçoit généralement que son domaine a expiré car son site Web, son courriel ou un autre service ne fonctionne plus.
 
La raison principale pour laquelle les domaines sont abandonnés par inadvertance par les propriétaires de domaines après expiration est la simple négligence.
 
Manquer les notifications et ne pas remarquer dans une période de 75 jours qu’un nom de domaine – y compris les sites Web, les courriels ou autres services associés – ne fonctionne pas est difficile si le domaine est utilisé régulièrement, même si cela peut arriver et arrive effectivement.
 
C’est un peu plus facile à manquer, bien sûr, quand les domaines ne sont pas activement utilisés par leur propriétaire, qu’ils les conservent pour les vendre plus tard, ou qu’ils n’ont tout simplement pas pris le temps de les utiliser pour le projet pour lequel ils les ont enregistrés.
 

Ce qu’un domaine mort laisse derrière lui

Il est parfois difficile d’appréhender la myriade de façons dont l’ombre d’un nom de domaine s’étend sur le réseau jusqu’à ce que le domaine lui-même soit parti et qu’il ne reste que son empreinte.
 
Lorsqu’un nom de domaine meurt, son ancien propriétaire n’est pas le seul survivant, il survit aussi grâce aux liens et signets du navigateur, aux sites Web et aux comptes de courriel, aux logiciels et aux filtres anti-spam. Ceux-ci, à leur tour, envoient du trafic vers des domaines morts qui, bien que ne renvoyant jamais aucun signe de vie, peuvent s’attarder pendant un certain temps.
 

1. Sites web

De toute évidence, les domaines continuent à vivre comme les adresses enregistrées des sites Web.
 
Partout où un site Web est lié, le nom de domaine associé fait partie de ce lien. Cela comprend les profils et les articles sur les réseaux sociaux, les blogs, les e-mails ou même les cartes de visites et les panneaux publicitaires. Un domaine peut aussi être sauvegardé dans les signets du navigateur ou être particulièrement mémorable et coincé dans la tête des internautes.
 
Plus il y a de liens, plus il y a de trafic sur ce site, même après la mort du domaine. Tant que le domaine n’existe pas, la plupart des personnes essayant d’aller sur le domaine ne verra rien – uniquement un message d’erreur disant que leur domaine n’existe pas.
 
Les tiers capturent et monétisent souvent ce trafic pour eux-mêmes en enregistrant un nom de domaine déjà expiré.
 

 2. E-mail

Les noms de domaine ne sont pas seulement utilisés pour héberger des sites Web. Ils sont également utilisés pour héberger les e-mails. Un autre moyen pour un domaine de vivre après son expiration se trouve à travers les adresses e-mail @ de ce domaine.
 
Ces adresses e-mail peuvent ne pas appartenir au propriétaire du nom de domaine ou à son administrateur technique, de sorte qu’il peut être surprenant qu’un employé, un ami ou l’adresse e-mail d’un client cesse soudainement de fonctionner parce que le domaine a expiré.
 
Mais les adresses e-mail ne restent pas seulement dans la mémoire de leurs propriétaires. Les services en ligne utilisent fréquemment des adresses électroniques pour inscrire des utilisateurs.
 
Une nuit de mai 2003, un important entrepreneur de la défense américaine a perdu le contrôle d’un bloc d’adresses IP qu’il possédait pour l’utilisation dans son réseau. Il avait été piraté et était utilisé pour envoyer des spams et les adresses IP figuraient sur les listes noires de SpamHaus et de SPEWS.
 
Lorsque les attaquants ont fait un geste similaire en 2018 afin de détourner un site Web de cryptomonnaie, ils ont dû avoir accès à des routeurs BGP chez les principaux FAI. Dans le cas de ce gros entrepreneur de la défense américaine, les spammeurs ont obtenu cet accès par la porte d’entrée, pour ainsi dire.
 
Les blocs d’adresses IP sont enregistrés à l’aide d’adresses e-mail, et il suffisait de prouver l’accès à l’adresse e-mail utilisée pour enregistrer un bloc d’adresse IP pour que les FAI changent la route BGP sur eux.
 
Ils ont eu accès à cette adresse email en enregistrant simplement le nom de domaine auquel l’adresse email était attachée quand elle a expiré. Bien qu’il s’agisse d’un important entrepreneur de la défense, il a quand même fallu deux mois à l’entreprise pour récupérer son bloc d’adresses IP.
 
La même chose s’est produite chez un fournisseur d’accès Internet russe. La crise financière de 2008 avait conduit leur entreprise au bord de la faillite et, dans l’intervalle, leur domaine avait expiré. Puis, en 2011, un nouvel investisseur a sauvé l’entreprise du gouffre pour que les représentants de l’entreprise découvrent que l’ensemble du réseau du FAI avait été détourné.
 
Il s’est avéré que six heures seulement après l’expiration de l’enregistrement, quelqu’un avait réenregistré son nom de domaine et l’avait utilisé pour obtenir le contrôle total de son réseau en envoyant un autre FAI par e-mail à partir de l’adresse e-mail à laquelle le bloc IP était enregistré. Une fois le problème constaté, il a fallu trois mois au FAI pour se rétablir complètement.
 
Les adresses e-mail ne servent pas seulement à enregistrer des blocs d’adresses IP, mais aussi à d’autres fins.
 
Les profils des réseaux sociaux comme Facebook et Twitter sont liés aux adresses e-mail, tout comme certaines institutions financières. Outre les comptes personnels, les adresses électroniques peuvent être liées à des comptes qui gèrent des actifs en ligne tels que des noms de domaine (autres, non expirés).
 
Lorsqu’une personne ou un service en ligne tente d’envoyer un e-mail (parfois automatiquement) à un nom de domaine hébergé sur lui et que le domaine n’existe plus, l’e-mail rebondit.
 
Par conséquent, lorsqu’un nom de domaine expire, il devient également attractif pour l’email qui lui est potentiellement envoyé. Une adresse e-mail fourre-tout configurée sur un domaine expiré réenregistré peut capturer n’importe quel e-mail et donner accès à des profils de réseaux sociaux, de comptes bancaires, de noms de domaine et de blocs d’adresses IP.
 

 3. DNS

Les sites Web et les adresses e-mail ne sont pas les seuls services qui peuvent être hébergés sur un nom de domaine. Les noms de domaine peuvent eux-mêmes être utilisés pour héberger des serveurs de noms de domaine. Un nom de domaine expirant qui est utilisé pour des serveurs de noms de domaine pourrait avoir un impact sur un autre nom de domaine en utilisant simplement ce domaine pour ses serveurs DNS.
 
En 2012, une Université catholique privée de premier plan des Etats-Unis utilisait son propre domaine pour héberger des serveurs de noms DNS primaires tandis que ses serveurs de noms secondaires étaient hébergés sur un domaine .COM hors de leur contrôle. Les serveurs de noms DNS sont utilisés pour connecter un nom de domaine à un service, en particulier un site Web ou un courriel @ ce domaine.
 
Cependant, à la fin de l’automne de cette année-là, quelque chose d’étrange se produisait lorsque les gens essayaient d’accéder au site Web de l’Université : les visiteurs du site Web étaient dirigés par intermittence vers un site purement publicitaire qui n’avait rien à voir avec leur Université. Pourtant, la plupart du temps, la page Web de l’Université chargeait comme d’habitude.
 
Il s’avère que le nom de domaine .COM utilisé comme serveur de nom secondaire sur le domaine a expiré. Le serveur de noms principal fonctionnait toujours bien, cependant, et comme le domaine .COM avait traversé la période de grâce de renouvellement tardif et la période de grâce de remboursement, aucun changement n’a été remarqué, le DNS est suffisamment robuste pour atténuer les effets des pannes temporaires.
 
Ce n’est que lorsqu’une société de référencement a réenregistré le domaine .COM en tant que domaine repris qu’elle a mis un enregistrement de caractères génériques dans le fichier de zone .COM et a fini par rediriger une partie du trafic de l’infrastructure de l’Université entière – incluant potentiellement les connexions des étudiants, le courrier électronique et autres données légalement sensibles – vers ses propres serveurs que quiconque a commencé à prendre connaissance de ce qui s’est passé.
 
Si un domaine arrive à expiration et qu’il sert à accueillir des serveurs DNS et qu’un autre utilisateur enregistre, ils peuvent commencer à servir des zones de données arbitraires à des domaines qui dépendent de ces serveurs.
 
Plus récemment, en 2016, Matt Bryant, un chercheur en sécurité, qui nous a également signalé quelques vulnérabilités non liées, a pu trouver un nom de domaine .INT rare – normalement réservé aux organisations conventionnelles internationales – avec des serveurs de noms attribués à un nom de domaine .BE expiré. [lien en anglais]
 
Il a écrit un script appelé TrustTrees [lien en anglais] qui produit des graphiques de confiance DNS et peut vérifier si les noms de domaine utilisés pour les serveurs de noms de registres entiers sont disponibles pour l’enregistrement. 
 
En 2018, ce script l’a averti que quatre des sept domaines utilisés pour les serveurs de noms faisant autorité pour le domaine de premier niveau (TLD) .IO entier ont expiré et étaient disponibles pour enregistrement. A sa grande surprise, il a pu réenregistrer les domaines de serveurs de noms expirés, ce qui lui aurait permis de prendre le contrôle de l’ensemble du TLD .IO [lien en anglais] (il a rapidement signalé le problème au registre et les enregistrements de domaines ont été annulés par leur partenaire registrar).
 

 4. Certificats SSL 

Les certificats SSL sont la pierre angulaire de la sécurité Web. Ils sont utilisés pour lier le matériel cryptographique à une organisation de confiance, afin de s’assurer qu’un site Web est légitime et que son trafic est correctement chiffré et confidentiel. Chaque fois que HTTPS apparaît devant une adresse web, la page utilise un certificat SSL. 
 
Le problème est qu’un certificat SSL peut être acheté pour des périodes de temps indépendantes de l’enregistrement du nom de domaine. L’acheteur ne doit prouver qu’il possède et contrôle un nom de domaine qu’au moment de l’émission du certificat. Il est donc tout à fait possible qu’un certificat SSL survive plus longtemps que le nom de domaine auquel il est associé. Ce type de certificat SSL s’appelle BygoneSSL. [lien en anglais]
 
En 2010, quand un processeur de paiement populaire a été lancé, il a acquis son nom de domaine d’un service de parking de domaines. Le domaine a changé de propriétaire sans problème, mais l’année précédente, en 2009, le service de stationnement de domaine avait acheté un certificat SSL de deux ans couvrant le domaine jusqu’en 2011 qui n’avait pas été révoqué pendant l’année où il était encore valide. L’ancien propriétaire du nom de domaine aurait pu utiliser ce certificat pour intercepter le trafic du site Web et personne n’en aurait été plus avisé.
 
Le même risque s’applique aux noms de domaine expirés, mais il est possible pour les propriétaires de noms de domaine de demander aux autorités de certification de révoquer les certificats antérieurs pour les noms de domaine qu’ils achètent, que la propriété soit transférée ou simplement expirée et réenregistrée, ce qui complique encore davantage les choses, car les certificats peuvent être émis pour plus d’un nom de domaine. 
 
Certains certificats – souvent émis par les CDN (réseaux de diffusion de contenu) – peuvent avoir des centaines de domaines complètement indépendants les uns des autres. Si un seul de ces noms de domaine expire, quelqu’un pourrait le réenregistrer et demander légitimement la révocation du certificat multi-domaine, brisant HTTPS sur des centaines de sites potentiels.
 

 5. Logiciels

Une autre façon de vivre un nom de domaine, même après qu’il soit parti, c’est dans diverses références faites à lui dans le logiciel.
 
Par exemple, les fabricants de routeurs Internet et d’autres appareils connectés à Internet utilisent généralement les noms de domaine qu’ils possèdent pour accéder à la page de configuration d’un appareil. Cela facilite la publication d’instructions de configuration en disant aux utilisateurs d’aller vers un nom de domaine particulier qui peut être résolu grâce à la configuration interne de l’appareil avant même qu’il ne dispose d’une connexion Internet et être utilisé pour modifier la configuration de l’appareil ultérieurement.
 
Si ce nom de domaine expire, il pourrait toujours fonctionner sans problème lorsqu’un appareil n’a pas de connexion Internet, mais lorsqu’il a une connexion, il peut utiliser le DNS pour résoudre le problème du nom de domaine de configuration qui peut avoir été enregistré au nom d’une autre personne.
 
En 2016, deux domaines appartenant à un fabricant populaire de routeurs Internet à domicile qui étaient à un moment donné utilisés à cette fin ont expiré et ont été réenregistrés par un tiers inconnu,[lien en anglais]  qui les a mis aux enchères à 2,5 millions $.
 
Alors que l’entreprise avait cessé d’utiliser les domaines pour de nouveaux produits depuis 2014, l’un des deux domaines en question recevait encore près de 4,5 millions de visiteurs par mois. Au cours des trois années qui ont suivi, en septembre 2019, le nombre de visiteurs est passé à un peu plus de 550 000 par mois. Entre-temps, les pressions étaient apparemment trop fortes et le fabricant du routeur a depuis racheté le domaine.
 
Un autre exemple est celui des inclusions JavaScript « périmées ». Certains sites Web incluent des scripts JavaScript distants sur les noms de domaine qui ne sont pas directement liés à leur propre site. Évidemment, il est préférable que les administrateurs de sites vérifient régulièrement leurs sites pour détecter les erreurs, ce qui permettrait d’attraper de telles instances, mais même sur certains des sites Web les plus populaires de l’Internet, les scripts JavaScript à distance aux domaines expirés sont inclus. C’est ce qu’on appelle des « inclusions périmées ».
 
En 2012, une étude a révélé que 47 des 10 000 meilleurs sites Web d’Alexa comprenaient des scripts JavaScript pour des domaines qui étaient expirés au moment de l’étude [lien en anglais]. C’est une petite proportion mais ces domaines pourraient être ressuscités pour exécuter des scripts JavaScript malveillants sur ces sites.
 
Le W3C recommande maintenant l’utilisation de l’intégrité des sous-ressources (ISR) [lien en anglais]. SRI assure l’intégrité des scripts et ressources injectés. L’utilisation de l’ISR protège non seulement contre la grande majorité des inclusions périmées, mais aussi contre les menaces telles que la prise de contrôle du CDN.
 
Cela dit, la plupart des scripts tiers ne sont qu’une passerelle vers des scripts inclus dynamiquement et régulièrement mis à jour, ce qui peut ne pas s’appliquer à de nombreux scénarios.
 
De même, la politique de sécurité du contenu (CSP) [lien en anglais] garantit que le script ou la ressource en question est chargé par des sources fiables.
 
CSP peut être plus facile à mettre en œuvre, à condition que les scripts et les ressources de tiers ne chargent pas de contenu pour changer ou des origines inconnues dans le cadre de leur fonctionnement normal.
 
Mais ce n’est pas seulement dans les scripts JavaScript que les noms de domaine expirés survivent dans le logiciel. Les plugins installés dans les navigateurs Internet chargeront leurs paramètres et leur contenu en référençant les noms de domaine et lorsque ces noms de domaine expireront, ces plugins de navigateur pourront continuer à essayer de les contacter automatiquement lorsque les navigateurs démarreront.
 
De même, cela permettrait à quelqu’un qui enregistre un domaine expiré d’influer à distance sur les paramètres du navigateur sur les ordinateurs des utilisateurs.
 
Debian est un système d’exploitation libre et open-source populaire pour PC et un développeur indépendant utilisé pour publier un référentiel de paquets multimédia à utiliser avec Debian sur le nom de domaine debian-multimedia.org. Bien qu’il n’ait pas été officiellement associé à Debian, c’était un entrepôt populaire auquel beaucoup de blogs et d’articles pratiques et de nombreux utilisateurs de Debian avaient ajouté debian-multimedia.org dans leur version du fichier que le gestionnaire de paquets Debian utilise pour installer ou supprimer automatiquement le logiciel. Lorsque le propriétaire du dépôt l’a ensuite déplacé vers deb-multimedia.org, l’ancien domaine (debian-multimedia.org) a expiré et a été enregistré par un tiers inconnu.
 
Les responsables Debian ont fait leur devoir de diligence et ont incité les utilisateurs Debian à supprimer debian-multimedia.org. Les paquets Debian sont signés cryptographiquement par les responsables, donc une installation Debian normale ne devrait pas se fier uniquement aux domaines.
 
En 2015, un incident moins grave s’est produit lorsque le nom de domaine d’un outil d’édition d’images open source populaire a expiré. Les utilisateurs de l’outil ont alerté les propriétaires du domaine avant qu’il ne soit trop tard pour récupérer le nom de domaine, mais s’il avait expiré et avait été réenregistré, le nouveau propriétaire aurait pu potentiellement pousser les versions corrompues de l’outil comme mises à jour aux utilisateurs non avertis. Comme dans le cas de Debian ci-dessus, les utilisateurs qui n’acceptaient pas les paquets non signés (ce qui est standard) n’étaient pas à risque.
 

6. Réputation du domaine

 
Enfin, un nom de domaine n’est pas seulement mémorisé pour son utilisation, mais aussi pour la façon dont il a été utilisé. Les noms de domaine ont une réputation qui est utilisée soit pour effacer le trafic à destination et en provenance d’eux, soit pour le bloquer. La liste noire des noms de domaine est un outil qui est utilisé pour arrêter la propagation du spam sur Internet. Les domaines connus pour leurs comportements abusifs ou spammeurs sont ajoutés aux listes noires afin d’empêcher les utilisateurs d’être victimisés.
 
L’inverse de la liste noire des noms de domaine est la liste blanche des noms de domaine, où les courriels provenant de certains domaines contournent les filtres anti-spam et sont livrés quoi qu’il arrive.
 
Les domaines expirés qui sont sur les listes blanches sont évidemment attrayants pour les spammeurs de se réenregistrer, car cela leur donnerait une porte dérobée autour des filtres anti-spam.
 
Comme mentionné ci-dessus, les liens et les redirections vers un nom de domaine restent dispersés sur Internet. La force et la pertinence de ces liens construisent le référencement d’un site au cours de sa vie, et que le référencement peut se prolonger dans la vie suivante. Des services comme Domcop [lien en anglais] permettent aux utilisateurs de rechercher des domaines expirés avec un bon classement SEO. En juillet 2018, l’industrie du référencement était une industrie de près de 80 milliards de dollars. [lien en anglais]
 
L’enregistrement d’un domaine qui a déjà eu le dur labeur d’optimiser le classement dans les moteurs de recherche peut être un raccourci utile.
 
Toutes ces différentes façons dont un domaine vit après l’expiration, à son tour, peut faire de ces domaines morts des candidats attrayants pour les ramener à la vie.
 

La vie après la mort du nom de domaine

Les noms de domaine peuvent expirer et expirent effectivement, et malgré tous les efforts déployés par les bureaux d’enregistrement, les registres et l’ICANN pour l’éviter, ils peuvent aussi finir par être complètement supprimés. Mais ce à quoi ils ont servi dans la vie peut encore avoir un impact – et peut même être un moyen de compromettre des ressources clés – même après que le domaine ait disparu.
 
Rendez-vous la semaine prochaine pour un prochain article. Nous continuerons notre voyage à travers le royaume des domaines morts et aborderons des moyens d’éviter la perte accidentelle de votre nom de domaine !