Comme j'avais posé la question sur LinkedIn il y a quelques années, j'aurais bien voulu savoir combien d'entreprises, surtout les plus grandes, ont-elles le contrôle sur leurs noms de domaine publics ?
Aussi, j'aurais voulu savoir si les Directions Marketing, Informatique et Sécurité collaborent pour se partager les responsabilités afin de bien gérer leurs noms de domaine.
Ne pouvant pas obtenir une réponse à l'échelle internationale, je transforme la question en suggestion, voire en recommandation : Les Responsables Sécurité devraient s'assurer que les noms de domaine sont bien sécurisés et sous contrôle effectif de leur organisation.
En effet, il est fréquent que la personne ayant acheté le nom de domaine de l'organisation ne travaille plus pour ou avec celle-ci. Cela peut concerner un ancien collaborateur de l'entité marketing ou informatique, un ancien prestataire externe, etc. Par conséquent, l'adresse email utilisée lors de l'achat, souvent une adresse personnelle, peut rester ou non sous le contrôle de ce dernier. Dans les deux cas, une faille de sécurité pour l'organisation est ouverte.
Le risque est là !
L'absence de contrôle d'un nom de domaine présente un risque de sécurité pouvant impacter négativement l'organisation, l'entreprise, la marque (votre réputation) ou encore les données...
L'absence de contrôle d'un nom de domaine présente un risque de sécurité pouvant impacter négativement l'organisation, l'entreprise, la marque (votre réputation) ou encore les données...
L'objectif de ce texte est donc de pousser les organisations à prendre des mesures adéquates afin d'éviter l'exploitation de cette vulnérabilité par des individus malintentionnés : anciens employés (et même employés en poste), pirates informatiques, concurrents, etc.
De façon courante, les personnes qui achètent les noms de domaine de l'entreprise utilisent des adresses emails personnelles des services Gmail, Hotmail (actuel Outlook.com), Yahoo et consort qu'ils ne contrôlent forcément plus avec le temps pour diverses raisons : abandon, partage des accès avec d'autres, piratage, etc. Je pense au piratage de Yahoo d'il y a quelques années lors duquel plusieurs comptes avaient été compromis.
Dès qu'un employé quitte votre entreprise pour x raisons (démission, licenciement, débauchage, etc.), il devient une menace potentielle car détenant des informations pouvant être utilisées contre l'employeur.
Pour vous donner une idée du risque lorsque vous n'avez plus le contrôle sur votre nom domaine public, je vous liste les pouvoirs qu'a l'adresse email (de la personne) qui le contrôle. La personne qui contrôle votre nom de domaine public a souvent les pouvoirs suivants :
Pour vous donner une idée du risque lorsque vous n'avez plus le contrôle sur votre nom domaine public, je vous liste les pouvoirs qu'a l'adresse email (de la personne) qui le contrôle. La personne qui contrôle votre nom de domaine public a souvent les pouvoirs suivants :
- d'activer le transfert du nom de domaine (pour libérer le nom de domaine ou changer le propriétaire par exemple),
- de créer et modifier des enregistrements de la zone DNS,
- de créer ou supprimer des sous domaines,
- activer un service de messagerie et créer des adresses emails pour ce nom de domaine,
- de créer des comptes d'administration,
- de commander d'autres services associés au nom de domaine de l'entreprise.
- etc.
Puisque qu'il s'agit de service en ligne, commandés et achetés sur Internet chez les registraires de noms de domaine, les validations, notifications, factures, ainsi que plusieurs autres communications sont, de coutume, envoyées sur cette adresse email. Il suffit d'une carte bancaire pour payer ces services...
Toute plateforme Web fiable de e-commerce ou qui traite des informations sensibles devrait se soucier de garantir aux utilisateurs les critères de sécurité et de confiance numérique : l'intégrité, la confidentialité, la disponibilité, la traçabilité, la non-répudiation..., et il ne faudrait surtout pas oublié de prendre en compte le contrôle de votre ou vos noms de domaine. Négliger ce point peut compromettre les mesures de sécurité mises en œuvre autour du nom de domaine et aussi faciliter l'usurpation des identités de l'entreprise et de ses agents...
En conclusion, non seulement il est important d'avoir le contrôle sur ses noms de domaine pour des raisons de sécurité, mais aussi contrôler ses noms de domaine facilite l'acquisition de certains services pour la sécurité des plateformes liées aux noms de domaine. Par exemple, lors de l'achat d'un Certificat SSL/TLS qui permet de prouver l'identité de votre site ou application Web à vos visiteurs, clients, et les internautes, il est essentiel d'avoir le contrôle sur votre domaine, sinon un individu contrôlant l'adresse email, expliquée ci-dessus, pourrait demander ce même service à votre place : exemple un certificat SSL/TLS de classe 1, de type Domain Validation dans le but d'usurper l'identité de vos plateformes.
Les organisations sont obligées de prouver aux PSCE, par des moyens fiables, qu'elles sont bien Propriétaire de leurs noms de domaine avant de bénéficier de certificats SSL/TLS reconnus par les éditeurs comme Google, Mozilla, Apple ou encore Microsoft, etc.
---
Précision pour mes grands parents :-) :
- google.com, seneweb.com, facebook.com, leral.net, lesoleil.com sont des exemples de noms de domaine. Un nom de domaine est une adresse d'un "site Internet" qui permet de visiter ce dernier...
- Les registraires de noms de domaine ou bureaux d'enregistrement qui sont les sociétés ou des associations gérant la réservation de noms de domaine Internet.
- PSCE signifie Prestataire de Services de Certification Electronique (Exemple : DigiCert, GlobalSign, Let's Encrypt, etc.)
CAKM
Aucun commentaire:
Enregistrer un commentaire
Pour vos avis, suggestions ou demandes de services, merci de laisser un commentaire.