Sécurité de vos NDD

[kate]

Bonjour,

Cela fait un moment que je voulais poster ce topic. Le sujet 'devenir son propre registrar' est une bonne occasion

Depuis des années que je fréquente les forums domainer j'ai pu constater que le vol de NDD est malheureusement fréquent, et bien souvent les registrars ne coopèrent pas, sous prétexte que ou qu'ils ne veulent pas prendre parti dans ce qui pourrait être un litige privé. Le crime reste souvent impuni.

Il est évident que les noms de valeur et liquides comme les LLL.com seront particulièrement convoités.
Voilà le genre de mail que j'ai reçu il y a déjà quelque temps:

There was an attempt made to get your account password. Please note that many login names are similiar and someone may have made an error in their request, or were guessing at their login name.

This request came from 217.164.185.37

We do not have any additional information to provide you. If you are concerned about this attempt, you may want to change your password and/or the answer to your secret question on your account information page.

This is an automatically generated email, please do not reply.

Sincerely,
eNom, Inc.

C'est une adresse IP des UAE.


En général, le hack vient du fait que l'adresse E-mail du compte registrar ou contact administratif est compromise. On a déjà vu des cas ou le NDD de l'adresse en question avait expiré et pouvait être récupérée par une personne mal intentionnée.

Faisons le point ensemble sur les erreurs à éviter.
Quelques ébauches de conseils, je compte sur vous pour compléter:

1. Ne pas utiliser des comptes mail gratuits, utiliser plutôt un mail pro ou sous un NDD que vous contrôlez. Ne pas utiliser des comptes comme yahoo dont le mot de passe peut être facilement réinitialisé, Sarah Palin vous le confirmera :mocking:

2. Le choix du registrar importe aussi. Certains fournissent des options de sécurité qui ne sont pas disponibles partout. Par exemple, Enom offre des notifications comme celle ci-dessus.

3. Tenir le whois à jour. Je recommande généralement d'éviter le whois privacy. Cela peut rendre la traçabilité du nom plus difficile. Tenez compte du fait que Domaintools et consorts archivent le whois des NDD, cela constitue une base historique utile pour investiguer l'historique d'un NDD.

4. Conserver les factures, avis de renouvellement, tout ce qui peut permettre de prouver que vous êtes le titulaire en cas de vol. Evidemment il vaut mieux tout faire pour éviter que cela se produise.

5. Ne pas hésiter à utiliser des services de monitoring pour détecter rapidement tout changement de paramétrage.

Voilà déjà quelques idées :girl_wink:

 

[L@@K]

Perso j'ai fait un script qui 'monitore'* mes ndd, peut être une idée à suivre aussi...
Merci Kate, très instructif.

Par exemple, je suis si le ndd est bien locké, les dns non changés, le registrar tjrs le même, mes contacts, etc etc....
Il me sert aussi à mettre à jour les date d'expir', bref c'est assez utile.
Aucun des mes ndd risque le vol car mes noms sont tout pourris mais j'avais trouvé ça utile de scripter un p'tit truc quand même.

Edit: ah, je n'avais pas fait attention, c'est ton point numéro 5., bon on dira que les grands esprits se rencontrent... ,o)

 

[Nitaky1]

Merci Kate d'avoir penser à ouvrir ce sujet important!
Pour le moment, je n'ai pas de vrais noms Mais je pense que la bonne des choses est d'utiliser les email pro, de changer son mots de passe chaque mois, peut être chaque semaine! Et surtout jeter un coup d'oeil chaque matin sur sa liste

 

[tomsa]

Merci Kate, c'est une bonne idée de faire le point sur ce sujet

Voici ma pierre à l'édifice :

Utiliser une adresse email différente de celle du whois pour l'accès à votre registrar.

 

[DNSaure]

Et pour ceux qui voudraient protéger leurs noms avec un chien de garde, bergerallemand.com est malheureusement déjà pris

Blague à part, très bonne idée de topic. A noter que l'on a vu des actions UDRP faire suite à des vols de nom, actions qui se sont bien terminées pour la victime, par exemple DECISION

 

[RémySansDomaines]

Que de sain(t)es recommandations là-dedans.

Je retourne à mon bac à sable et à mes devoirs :smartass:

 

[hakita]

Utiliser une adresse email différente de celle du whois pour l'accès à votre registrar.

Tres bonne idée Tomsa ! , j'y avait pas pensé

 

[hakita]

Coucou

Je rajouterai qu'il ne faut pas utiliser d'email qui ajout l'IP de votre poste de travail dans les header d'émission d'email.
Gmail, a la difference de yahoo, cache l'IP source.
Cela evite que votre PC a la maison puisse être ciblé.

 

[L@@K]

Une solution ultime: n'autoriser que votre ip à accéder à vos comptes (mais peut être dangereux ou problématique)

 

[hakita]

Une solution ultime: n'autoriser que votre ip à accéder à vos comptes (mais peut être dangereux ou problématique)

Interessant, quel registrar propose cela ?

 

[L@@K]

Et bien, il y a name.com qui me revient à l'esprit mais je me demande si ovh, namecheap et enom ne le font pas aussi, je ne me rapelle plus.
Bref il faut fouiller ses options de securité chez son registrar.

 

[Nitaky1]

Pour ceux qui ont un IP non statique je ne pense pas que ce problème d'IP se pose, par contre si vous voulez cacher votre IP, vous pouvez utiliser le soft "Hide my IP" qui fonctionne en version démo durant 10j je pense, de cette façon, vous pouvez utiliser même un IP USA alors que ton ordinateur existe en Chine! Mais ce soft ralenti un peu la connexion ... votre FAI sait toujours se que tu fais même si tu hide ton IP ... par contre c'est super utile pour ne pas dévoiler son IP!

Sinon, chez Dynadot, avant de pouvroir editer la partie la plus importante dans son compte tel que transférer un domaine ailleurs, il faut entrer sa date de naissance et il y a d'autres mesures de sécurité par exemple d'ajouter l'option d'entrer aussi le code reçu par SMS qui renforce la sécurité du compte, en tout cas même si le priopriètaire est intélegent et prévoit tout, il y a malheuersement des voleurs plus intélegents que nous Dans ce cas seul Dieu qui peut protéger mes domaines par exemple de mon coté

 

[hakita]

Pour ceux qui ont un IP non statique je ne pense pas que ce problème d'IP se pose, par contre si vous voulez cacher votre IP, vous pouvez utiliser le soft "Hide my IP" qui fonctionne en version démo durant 10j je pense, de cette façon, vous pouvez utiliser même un IP USA alors que ton ordinateur existe en Chine! Mais ce soft ralenti un peu la connexion ... votre FAI sait toujours se que tu fais même si tu hide ton IP ... par contre c'est super utile pour ne pas dévoiler son IP!

Avec Vyprvpn, ton FAI na aucun moyen de savoir ce que tu fait

 

[kate]

Méfiez-vous si vous utilisez des proxies, VPN, réseau Wifi privatifs ou non sécurisés.
Toutes vos connections peuvent être loggées

Un exemple: si vous vous promenez avec un laptop dans le quartier de la gare du Nord à Paris, il y a plusieurs 'fake' hotspots probablement malveillants (le but étant de capturer votre trafic, mots de passe etc).

 

[Nitaky1]

Avec Vyprvpn, ton FAI na aucun moyen de savoir ce que tu fait

Merci Hakita pour l'info ... Sauf es que avec Vyprvpn aucun ne peut tracer se que tu fais même le gov, etc?

Sinon, d'utiliser un soft c'est encore de donner en exclusivité son identité à ce soft et par derrière à ses fondateurs! Alors encore des risques!

Un exemple du piratage des noms de domaine concerne le site du grand journal arabe eChorouk qui été piraté et transférer vers un autre registrar il y a qlqs petite semaines, plus de détails ...

 

[hakita]

Merci Hakita pour l'info ... Sauf es que avec Vyprvpn aucun ne peut tracer se que tu fais même le gov, etc?

Avec Vyprvpn , il faudrait une enquete international (terrorisme, vol massif de CB...) pour justifier le tracage. Sinon, personne en France ne peut savoir ce que tu fait avec.
C'est bien le probleme avec Hapopouf, tout le monde passe a l'encrypté deporté, et du coup, le travail des rg s'en retrouve beaucoup plus difficile.

Sinon, pour revenir a la securisation de portefeuille, il faut:
- segmenter ( decouper son portefeuille en plusieur registrar, avec email different, pas de question secrete identique ou trivial)
- chercher un registrar qui propose l'identification par secureID (genre de calculatrice (Un authentificateur pour WoW | Le Journal du Geek)
C'est fou qu'un acces wow soit beaucoup plus secure qu'un acces registrar

 

[RémySansDomaines]

Un authentificateur pour WoW | Le Journal du Geek[/url])
C'est fou qu'un acces wow soit beaucoup plus secure qu'un acces registrar

C'est marrant, j'y pensais justement l'autre jour en faisant mes comptes.

La plupart des banques suisses proposent (imposent, en fait) des objets de la sorte pour s'identifier sur leurs sites voire même pour effectuer un paiement sur des sites tiers (e-commerce). Un peu pénible de se trimballer en permanence avec ces machins pour pouvoir faire ses courses en ligne (certains ressemblent plus à des calculettes qu'à des porte-clés), mais assez rassurant in fine. Réputé inviolable.

Je pense que des registrars pourraient proposer ça en association avec des comptes "premium".

Mais bon, c'est toujours pareil, ça n'empêche pas les kidnapping, la torture et autres méthodes dont ruben saura mieux vous parler que moi.

 

[RémySansDomaines]

Quand on parle du loup...

Acro.net – Technology Rants & Raves by Acroplex® ? Blog Archive ? Review of the Fabulous Fob: Just how Secure can your Domains be?

Ca existe bien, donc. Peut-on pour autant penser que ce genre d'objet va se normaliser ? Je ne sais pas. Ca m'étonnerait toutefois qu'on trouve ce genre de bidules de sitôt chez les registrars français.

 

[tomsa]

Fabulous propose un système baptisé "Fabulous Security Key" sous la forme d'une clé usb qui transmet un code unique pour autoriser des modifications sur le compte et s'assurer que la requête provient du titulaire de la clé.

Plus dinfos : http://fabulous.com/informationcenter/index.htm?formdata[qid]=1194
EDIT : Arf grillé par rémy

 

[RémySansDomaines]

EDIT : Arf grillé par rémy

Je t'en prie, priorité aux anciens : tu peux effacer mon post si tu veux