Démarrer sur le web

La vie après la mort d’un nom de domaine expiré

Les noms de domaine ont un cycle de vie. Ils sont créés, utilisés pendant un certain temps et ils expirent. Mais pour de nombreux noms de domaine, la vie ne s’arrête pas là. Un nom de domaine expiré peut être ravivé, ressuscité et réutilisé après avoir vécu une vie bien remplie et le cycle de vie se répète. Parfois, le propriétaire n’utilise plus un nom de domaine et le laisse expirer. Mais souvent, lorsque un nom de domaine expire, ce n’est pas intentionnel, le propriétaire n’a juste pas respecté la date limite de renouvellement de nom de domaine.

Même s’il n’est pas réenregistré, la mémoire d’un nom de domaine expiré peut perdurer. Au cours de leur durée de vie, les noms de domaine acquièrent une réputation, sont utilisés pour héberger des services et sont parfois utilisés pour confirmer une identité. Après leur expiration, ces services ne peuvent plus être actifs, mais les liens, mémoires et références ne sont pas effacés.

Ces enveloppes vides peuvent être récoltées et réanimées par toute personne désireuse et capable de payer le prix de l’enregistrement. Ces charognards profitent alors du trafic toujours acheminé vers le nom de domaine ou de la réputation encore rattachée à sa vie antérieure, souvent juste pour monétiser ce trafic, parfois pour profiter des anciens propriétaires désespérés, et en de rares occasions pour détourner le trafic ou renverser la réputation du nom de domaine pour des activités moins éthiques voire illégales.

Voici notre guide de l’au-delà des noms de domaine.

Que se passe-t-il lorsqu’un nom de domaine expire ?

La première étape de la fin de vie d’un nom de domaine est son expiration. Les noms de domaine sont enregistrés par tranches annuelles, et, une fois que l’enregistrement est terminé, le nom de domaine expire.

L’ICANN, l’organisation à but non lucratif chargée d’administrer Internet, y compris le niveau supérieur du système des noms de domaine, a mis en place, depuis longtemps, des mesures pour empêcher qu’un nom de domaine expire et soit réenregistré contre la volonté de son propriétaire.

Les bureaux d’enregistrement sont tenus d’informer les propriétaires de noms de domaine à quatre reprises : deux mois, un mois et quinze jours avant la date d’expiration d’un nom de domaine, puis une nouvelle fois un jour après l’expiration du nom de domaine.

Il existe bien sûr d’autres moyens de savoir si un nom de domaine expire bientôt, comme par exemple le compte utilisateur du bureau d’enregistrement de domaine, ce qui rend généralement ces informations visibles.

Dans le cadre du processus exigé par l’ICANN pour l’expiration d’un nom de domaine, la première chose qu’n nom de domaine fait lorsqu’il expire est de rester là ou il est. L’agent d’enregistrement le met en « hold » (en attente) pendant 45 jours. Quand un nom de domaine est en « hold« , le propriétaire reste le même mais le DNS cesse de se résoudre. En d’autres termes, le nom de domaine ne fonctionne plus.

À ce stade, le propriétaire peut encore faire revivre son nom de domaine. Il lui suffit de le renouveler auprès de son bureau d’enregistrement. Au terme de ces 45 jours, le nom de domaine est supprimé de la base de données de l’agent d’enregistrement et passe en « redemption grace period » (la période de rédemption), soit 30 jours supplémentaires pendant lesquels le nom de domaine reste dans la base de données du registre. Pendant cette période, le propriétaire du nom de domaine peut le restaurer, mais pour un prix plus élevé qu’un renouvellement de nom de domaine normal.

Malgré cette opportunité pour les propriétaires de ramener leurs noms de domaine d’entre les morts, il arrive parfois que des noms de domaine soient « abandonnés », ce qui signifie qu’ils expirent pour de bon et redeviennent disponibles et non-enregistrés.

Pourquoi un nom de domaine expire et est-il abandonné ?

La plupart du temps, quand un nom de domaine expire, c’est parce que son propriétaire voulait qu’il expire. Lorsqu’un propriétaire ne veut plus de son nom de domaine, il le laisse expirer, ne renouvelle pas le nom de domaine, ne le restaure pas et le laisse repasser en disponibilité générale.

Mais les noms de domaine expirent, et peuvent parfois êtres abandonnés par inadvertance. Si le propriétaire n’a pas activé le renouvellement de nom de domaine automatique, lorsqu’il rate une notification de renouvellement de nom de domaine, le nom de domaine peut expirer sans qu’il sans rende compte. Cela peut se produire pour plusieurs raisons.

Premièrement, si les informations de contact sont inexactes ou invalides, les notifications d’expiration de nom de domaine sont envoyées à la mauvaise adresse e-mail ou même à une adresse e-mail inexistante. C’est pourquoi il est important pour les propriétaires de noms de domaine de s’assurer qu’ils utilisent une adresse e-mail à laquelle ils peuvent être joints pour enregistrer leurs noms de domaine.

De même, puisqu’un nom de domaine cesse de fonctionner après son expiration, si un nom de domaine est caché, c’est-à-dire qu’il a une adresse e-mail de contact dont le @ est le nom de domaine en question, l’avertissement final prévenant que le nom de domaine a expiré pourrait ne pas être délivré.

Même si un propriétaire de nom de domaine ne reçoit pas ou rate les notifications de renouvellement de nom de domaine, il s’aperçoit généralement que son nom de domaine a expiré car son site web, son mail et autres services ne fonctionnent plus.

La principale raison pour laquelle les noms de domaine sont abandonnés par inadvertance par les propriétaires après expiration est la simple négligence. Rater les notifications et ne pas remarquer dans une période de 75 jours qu’un nom de domaine, y compris les sites web, mails et autres services associés, ne fonctionnent pas est difficile si le domaine est utilisé régulièrement, même si cela peut arriver.

Néanmoins, c’est un peu plus facile à rater quand les noms de domaine ne sont pas activement utilisés par leur propriétaires, qu’ils les conservent pour les revendre plus tard, ou qu’ils n’ont tout simplement pas pris le temps de les utiliser.

Ce qu’un nom de domaine expiré et abandonné laisse derrière lui

Il est parfois difficile de savoir tout ce que laisse un nom de domaine derrière lui sur internet avant que celui-ci disparaisse et ne laisse que son emprunte.

Lorsqu’un nom de domaine meurt, son ancien propriétaire n’est pas le seul survivant : il survit aussi grâce aux liens et signets du navigateur, aux sites web et au comptes de messagerie, logiciels et filtres anti-spam. Ceux-ci envoient à leur tour du trafic vers des noms de domaine morts qui, bien que ne renvoyant aucun signe de vie, peuvent perdurer pendant un certain temps.

1. Sites web

De toute évidence, les noms de domaine continuent à vivre comme les adresses enregistrées dans des sites web. Partout où un site web est lié, le nom de domaine associé fait partie de ce lien. Cela comprend les profils et les articles sur les réseaux sociaux, les blogs, les e-mails ou même les cartes de visite et les panneaux publicitaires. Un nom de domaine expiré peut aussi être sauvegardé dans les signets du navigateur ou être particulièrement mémorable et reste dans la tête des internautes.

Plus il y a de liens, plus il y a de trafic sur ce site, même une fois le nom de domaine expiré et mort. Tant que celui-ci n’est pas réenregistré, les personnes essayant de se rendre sur le nom de domaine tomberont sur un message d’erreur leur signalant qu’il n’existe pas.

Des tiers en profitent pour capturer et monétiser le trafic pour eux-mêmes en enregistrant un nom de domaine expiré.

2. E-mails

Les noms de domaine ne sont pas seulement utilisés pour héberger des sites web, mais aussi pour héberger les e-mails. Un autre moyen pour un nom de domaine de vivre après son expiration est, à travers les adresses e-mail @ de ce nom de domaine.

Ces adresses e-mail n’appartiennent pas nécessairement au propriétaire du nom de domaine ou à son administrateur technique. Il est donc parfois surprenant mais probable qu’un employé, un ami ou l’adresse e-mail d’un client cesse soudainement de fonctionner car le nom de domaine à expiré.

Mais les adresses e-mail ne restent pas seulement dans la mémoire de leurs propriétaires. Les services en ligne utilisent fréquemment des adresses e-mail pour inscrire ses utilisateurs.

Une nuit de mai 2003, un important entrepreneur de la défense américaine a perdu le contrôle d’un bloc d’adresses IP qu’il possédait pour l’utilisation dans son réseau. Il avait été piraté et était utilisé pour envoyer des spams et les adresses IP figuraient sur les listes noires de SpamHaus et de SPEWS.

Lorsque les attaquants ont fait un geste similaire en 2018 afin de détourner un site Web de cryptomonnaie, ils ont dû avoir accès à des routeurs BGP chez les principaux FAI. Dans le cas de ce gros entrepreneur de la défense américaine, les spammeurs ont obtenu cet accès par la porte d’entrée, pour ainsi dire.

Les blocs d’adresses IP sont enregistrés à l’aide d’adresses e-mail, et il suffisait de prouver l’accès à l’adresse e-mail utilisée pour enregistrer un bloc d’adresse IP pour que les FAI changent la route BGP vers eux.

Ils ont eu accès à cette adresse e-mail en enregistrant simplement le nom de domaine auquel l’adresse email était attachée quand elle a expiré. Bien qu’il s’agisse d’un important entrepreneur de la défense, il a quand même fallu deux mois à l’entreprise pour récupérer son bloc d’adresses IP.

La même chose s’est produite chez un fournisseur d’accès Internet russe. La crise financière de 2008 avait conduit leur entreprise au bord de la faillite et, dans l’intervalle, leur nom de domaine avait expiré. Puis, en 2011, un nouvel investisseur a sauvé l’entreprise du gouffre pour que les représentants de l’entreprise découvrent que l’ensemble du réseau du FAI avait été détourné.

Il s’est avéré que six heures seulement après l’expiration de l’enregistrement, quelqu’un avait réenregistré son nom de domaine et l’avait utilisé pour obtenir le contrôle total de son réseau en envoyant un autre FAI par e-mail à partir de l’adresse e-mail à laquelle le bloc IP était enregistré. Une fois le problème constaté, il a fallu trois mois au FAI pour se rétablir complètement.

Les adresses e-mail servent également à d’autres fins que l’enregistrement de blocs d’adresses IP.

Les profils des réseaux sociaux comme Facebook et Twitter sont liés aux adresses e-mail, tout comme certaines institutions financières. Outre les comptes personnels, les adresses e-mail peuvent être liées à des comptes qui gèrent des actifs en ligne tels que des noms de domaine (autres, non expirés).

Lorsqu’une personne ou un service en ligne tente d’envoyer un e-mail (parfois automatiquement) à un nom de domaine hébergé sur lui et que le domaine n’existe plus, l’e-mail rebondit.

Par conséquent, lorsqu’un nom de domaine expire, il devient également attractif pour l’email qui lui est potentiellement envoyé. Une adresse e-mail fourre-tout configurée sur un nom de domaine expiré réenregistré peut capturer n’importe quel e-mail et donner accès à des profils de réseaux sociaux, de comptes bancaires, de noms de domaine et de blocs d’adresses IP.

3. DNS

Les sites Web et les adresses e-mail ne sont pas les seuls services à pouvoir être hébergés sur un nom de domaine. Ils peuvent eux-mêmes être utilisés pour héberger des serveurs de noms de domaine. Un nom de domaine expiré qui est utilisé pour des serveurs de noms de domaine pourrait avoir un impact sur un autre nom de domaine en utilisant simplement ce domaine pour ses serveurs DNS.

En 2012, une Université catholique privée des Etats-Unis utilisait son propre nom de domaine pour héberger des serveurs de noms DNS primaires tandis que ses serveurs de noms secondaires étaient hébergés sur un nom de domaine en .COM hors de leur contrôle. Les serveurs de noms DNS sont utilisés pour connecter un nom de domaine à un service, en particulier un site web ou un e-mail @ ce domaine.

Cependant, à la fin de l’automne de cette même année, le site web de l’université a eu des comportements étranges : les visiteurs du site étaient dirigés par intermittence vers un site purement publicitaire qui n’avait rien à voir avec leur université. Pourtant, la plupart du temps, la page de l’université se chargeait correctement.

Il s’avère que le nom de domaine en .COM, utilisé comme serveur de nom secondaire sur le nom de domaine, avait expiré. Cependant, le serveur de noms principal fonctionnait toujours bien, et comme le nom de domaine en .COM était en période de renouvellement de nom de domaine tardif et de rédemption, aucun changement n’avait été remarqué, le DNS étant suffisamment robuste pour atténuer les effets des pannes temporaires.

Ce n’est que lorsqu’une société de référencement a réenregistré le nom de domaine en .COM en tant que nom de domaine repris qu’elle a mis un enregistrement de caractères génériques dans le fichier de zone .COM et a fini par rediriger une partie du trafic de l’infrastructure de l’Université entière – incluant potentiellement les connexions des étudiants, la boîte mail et autres données légalement sensibles – vers ses propres serveurs que le problème a été soulevé.

Si un nom de domaine servant à accueillir des serveurs DNS arrive à expiration et qu’un autre utilisateur l’enregistre, ils peuvent commencer à servir des zones de données arbitraires à des noms de domaine qui dépendent de ces serveurs. Si les noms de domaine concernés n’utilisent pas de DNSSEC, le trafic vers les services de ces derniers pourrait être détourné.

Plus récemment, en 2016, Matt Bryant, un chercheur en sécurité, qui a également signalé quelques vulnérabilités non liées, a pu trouver un nom de domaine .INT rare, normalement réservé aux organisations conventionnelles internationales, avec des serveurs de noms attribués à un nom de domaine .BE expiré.

Il a écrit un script appelé TrustTrees qui produit des graphiques de confiance DNS et permet de vérifier si les noms de domaine utilisés pour les serveurs sont disponibles pour l’enregistrement. 

En 2018, ce script l’a averti que quatre des sept noms de domaine utilisés pour les serveurs de noms faisant autorité pour le domaine .IO ont expiré et étaient disponibles pour enregistrement. A sa grande surprise, il a pu réenregistrer les noms de domaine de serveurs de noms de domaine expirés, ce qui lui aurait permis de prendre le contrôle de l’ensemble du TLD .IO (il a rapidement signalé le problème au Registre et les enregistrements de noms de domaine ont été annulés par leur partenaire Registrar). 

4. Certificats SSL

Les certificats SSL sont la pierre angulaire de la sécurité web. Ils sont utilisés pour lier le matériel cryptographique à une organisation de confiance, afin de s’assurer qu’un site web est légitime et que son trafic est correctement chiffré et confidentiel. Chaque fois que ‘HTTPS’ apparaît devant une adresse web, cela signifie que la page utilise un certificat SSL. 

Le problème est qu’un certificat SSL peut être acheté pour des périodes de temps indépendantes de l’enregistrement du nom de domaine. L’acheteur ne doit prouver qu’il possède et contrôle un nom de domaine qu’au moment de l’émission du certificat. Il est donc tout à fait possible qu’un certificat SSL survive plus longtemps que le nom de domaine auquel il est associé. Ce type de certificat SSL s’appelle BygoneSSL.

En 2010, quand un processeur de paiement populaire a été lancé, il a acquis son nom de domaine d’un service de Domain Parking. Le nom de domaine a changé de propriétaire sans problème, mais l’année précédente, en 2009, le service de Domain Parking avait acheté un certificat SSL de deux ans couvrant le nom de domaine jusqu’en 2011. Celui-ci n’avait pas été révoqué pendant l’année où il était encore valide. L’ancien propriétaire du nom de domaine aurait pu utiliser ce certificat pour intercepter le trafic du site web sans que personne puisse en être avisé.

Le même risque s’applique pour un nom de domaine expiré, mais il est possible pour les propriétaires de demander aux autorités de certification de révoquer les certificats antérieurs liés aux noms de domaine qu’ils achètent, que la propriété ait été transférée ou simplement que le nom de domaine ait expiré et ait été réenregistrée, ce qui complique encore davantage les choses, car les certificats peuvent être émis pour plus d’un nom de domaine. 

Certains certificats, souvent émis par les CDN (réseaux de diffusion de contenu), peuvent avoir des centaines de noms de domaine complètement indépendants les uns des autres. Si, parmi eux, un seul nom de domaine expire, quelqu’un pourrait le réenregistrer et demander légitimement la révocation du certificat multi-domaine, brisant ainsi la sécurité HTTPS sur des centaines de sites potentiels.

5. Logiciels

Un nom de domaine expiré peut également perdurer via diverses références faites à lui dans le logiciel.

Par exemple, les fabricants de routeurs Internet et d’autres appareils connectés à Internet utilisent généralement les noms de domaine qu’ils possèdent pour accéder à la page de configuration d’un appareil. Cela facilite la publication d’instructions de configuration en invitant les utilisateurs à visiter un nom de domaine particulier, consultable grâce à la configuration interne de l’appareil avant même qu’il ne dispose d’une connexion Internet.

Si ce nom de domaine expire, il pourrait toujours fonctionner sans problème lorsqu’un appareil n’a pas de connexion Internet. Mais dès lors qu’une connexion est détectée, il peut utiliser le DNS pour résoudre le problème de configuration du nom de domaine qui peut avoir été enregistré au nom d’une autre personne.

En 2016, deux noms de domaine appartenant à un fabricant populaire de routeurs Internet domestiques utilisés à cette fin ont expiré et ont été réenregistrés par un tiers inconnu, qui les a mis aux enchères à 2,5 millions $.

Alors que l’entreprise avait cessé d’utiliser les noms de domaine pour de nouveaux produits depuis 2014, l’un des deux noms de domaine en question recevait encore près de 4,5 millions de visiteurs par mois. Au cours des trois années qui ont suivi, en septembre 2019, le nombre de visiteurs est passé à un peu plus de 550 000 par mois. Entre-temps, les pressions étaient apparemment trop fortes et le fabricant du routeur a depuis racheté le nom de domaine.

Un autre exemple est celui des inclusions JavaScript « périmées ». Certains sites web incluent des scripts JavaScript distants sur les noms de domaine qui ne sont pas directement liés à leur propre site. Évidemment, il est préférable que les administrateurs de sites vérifient régulièrement leurs sites pour détecter les erreurs, ce qui permettrait d’attraper de telles instances, mais même sur certains des sites web les plus populaires d’internet, les scripts JavaScript à distance aux noms de domaine expirés sont inclus. C’est ce qu’on appelle des « inclusions périmées ».

En 2012, une étude a révélé que 47 des 10 000 meilleurs sites Web d’Alexa comprenaient des scripts JavaScript pour des noms de domaine qui étaient expirés au moment de l’étude. C’est une petite proportion mais ce type de nom de domaine expiré pourrait être ressuscité pour exécuter des scripts JavaScript malveillants sur ces sites.

Le W3C recommande maintenant l’utilisation de l’intégrité des sous-ressources (ISR). SRI assure l’intégrité des scripts et ressources injectés. L’utilisation de l’ISR protège non seulement contre la grande majorité des inclusions périmées, mais aussi contre les menaces telles que la prise de contrôle du CDN.

Cela dit, la plupart des scripts tiers ne sont qu’une passerelle vers des scripts inclus dynamiquement et régulièrement mis à jour, ce qui limite le nombre de scénarios.

De même, la politique de sécurité du contenu (CSP) garantit que le script ou la ressource en question est chargé par des sources fiables.

CSP peut être plus facile à mettre en œuvre, à condition que les scripts et les ressources de tiers ne chargent pas de contenu pour changer ou des origines inconnues dans le cadre de leur fonctionnement normal.

Mais ce n’est pas seulement dans les scripts JavaScript qu’un nom de domaine expiré survit dans le logiciel. Les plugins installés dans les navigateurs Internet chargeront leurs paramètres et leur contenu en référençant les noms de domaine et lorsque ces noms de domaine expireront, ces plugins de navigateur pourront continuer à essayer de les contacter automatiquement lorsque les navigateurs démarreront.

De même, cela permettrait à quelqu’un qui enregistre un nom de domaine expiré d’influer à distance sur les paramètres du navigateur sur les ordinateurs des utilisateurs.

Debian est un système d’exploitation libre et open-source populaire pour PC. Un développeur indépendant avait l’habitude de publier un dépôt de paquets multimédia à utiliser avec Debian sur le nom de domaine debian-multimedia.org. Bien qu’il n’ait pas été officiellement associé à Debian, c’était un dépôt populaire, et beaucoup de blogs, d’articles et de nombreux utilisateurs de Debian avaient ajouté debian-multimedia.org dans leur version du fichier que le gestionnaire de paquets Debian utilise pour installer ou supprimer automatiquement le logiciel. Lorsque le propriétaire du dépôt l’a ensuite déplacé vers deb-multimedia.org, l’ancien nom de domaine (debian-multimedia.org) a expiré et a été enregistré par un tiers inconnu.

Les responsables Debian ont fait leur devoir de diligence et ont incité les utilisateurs Debian à supprimer debian-multimedia.org. Les paquets Debian sont signés cryptographiquement par les responsables, donc une installation Debian normale ne devrait pas se fier uniquement aux noms de domaine.

En 2015, un incident moins grave s’est produit lorsque le nom de domaine d’un outil d’édition d’images open source populaire a expiré. Les utilisateurs de l’outil ont alerté les propriétaires du nom de domaine avant qu’il ne soit trop tard pour le récupérer, mais s’il ce nom de domaine avait expiré et avait été réenregistré, le nouveau propriétaire aurait pu potentiellement pousser les versions corrompues de l’outil comme mises à jour aux utilisateurs non avertis. Comme dans le cas de Debian ci-dessus, les utilisateurs qui n’acceptaient pas les paquets non signés (ce qui est standard) n’étaient pas à risque.

6. Réputation du nom de domaine

Enfin, un nom de domaine laisse une trace, pas seulement pour son utilisation, mais aussi pour la façon dont il a été utilisé. Les noms de domaine ont une réputation qui est utilisée soit pour effacer le trafic à destination et en provenance d’eux, soit pour le bloquer. La liste noire des noms de domaine est un outil qui est utilisé pour arrêter la propagation du spam sur Internet. Les noms de domaine connus pour leurs comportements abusifs ou spammeurs sont ajoutés aux listes noires afin d’empêcher les utilisateurs d’en être victimes.

Le contraire de la liste noire des noms de domaine est la liste blanche des noms de domaine, où les e-mails provenant de certains noms de domaine contournent les filtres anti-spam et sont livrés quoi qu’il arrive.

Un nom de domaine expiré qui est sur les listes blanches est évidemment une option de réenregistrement attrayante pour les spammeurs, car cela leur ouvre une porte de secours autour des filtres anti-spam.

Comme mentionné ci-dessus, les liens et les redirections vers un nom de domaine restent dispersés sur Internet. La force et la pertinence de ces liens construisent le référencement d’un site au cours de sa vie, et le référencement peut se prolonger dans la vie suivante. Des services comme Domcop permettent aux utilisateurs de rechercher et trouver un nom de domaine expiré avec un bon classement SEO. En juillet 2018, l’industrie du référencement était une industrie de près de 80 milliards de dollars

L’enregistrement d’un nom de domaine expiré, qui a déjà fait le nécessaire pour optimiser son classement dans les moteurs de recherche, peut être une solution de facilité.

Toutes ces différentes façons dont un nom de domaine vit après son expiration, peuvent faire de ces noms de domaine morts, des candidats attrayants pour les ramener à la vie.

Un nom de domaine expiré : sa vie après la mort

Les noms de domaine peuvent expirer et en effet certains expirent, et malgré tous les efforts déployés par les bureaux d’enregistrement, les Registres et l’ICANN pour l’éviter, ils peuvent aussi finir par être complètement supprimés. Mais l’utilité et la valeur ajoutée acquise durant leur vie peut encore avoir un impact et peut même être un moyen de compromettre des ressources clés, même après que le nom de domaine ait expiré et disparaisse.