Business

N'abandonnez pas vos vieux noms de domaine !

Le consultant en sécurité Gabor Szathmari a récupéré sans difficulté de nombreuses données confidentielles en renouvelant un domaine échu.

Le renouvellement d'un nom de domaine obsolète n'est pas très coûteux. Ne pas le faire ouvre la voie à des fraudes avertit CSO Etats-Unis. Des personnes mal intentionnées récupèrent les noms de domaine échus pour accéder à des données sensibles.

PublicitéVotre adresse de courrier électronique est la clé de vos données. Tous vos mots de passe sont réinitialisés par courrier électronique. L'abandon d'un ancien nom de domaine permet donc à des personnes mal intentionnées de réenregistrer votre ancien domaine et de récupérer vos fichiers en recréant l'adresse adéquate.

Le problème est particulièrement grave pour les cabinets d'avocats où les compagnies se forment, se dissolvent et fusionnent souvent, comme le souligne le chercheur en sécurité Gabor Szathmari. Une fusion ou une acquisition implique souvent une nouvelle marque pour l'entreprise créée, avec un nouveau nom de domaine correspondant. Dans d'autres cas, l'entreprise acquise abandonne son ancienne marque et son nom de domaine. Mais laisser ses anciens domaines expirer est dangereux.

Laisser ces anciens domaines expirer est dangereux.

« Aux États-Unis, 2017 a été une année record pour les fusions de cabinets d'avocats de premier plan avec 102 fusions ou acquisitions au cours de l'année », relève Gabor Szathmari.

Pour tester à quel point le problème est grave, Gabor Szathmari a réenregistré d'anciens noms de domaine pour plusieurs cabinets d'avocats qui avaient fusionné. Il a alors simplement créé un serveur de messagerie et, sans rien pirater, il a reçu un flux régulier d'informations confidentielles, y compris de la correspondance bancaire, factures d'autres cabinets d'avocats, documents juridiques sensibles de clients et mises à jour de LinkedIn. Gabor Szathmari a déclaré qu'il était en train de restituer les noms de domaine concernés à leurs propriétaires d'origine.

Utiliser des noms de domaine abandonnés pour commettre une fraude

La même technique, dit-il, pourrait facilement être utilisée pour commettre une fraude. « En réinstallant une boutique en ligne qui fonctionnait auparavant sur un nom de domaine abandonné », écrit-il dans un courrier électronique adressé à CSO, « les acteurs mal intentionnés peuvent télécharger les pages Web originales à partir d'archive.org. »

« Si l'ancienne boutique en ligne avait un CRM ou un service de mail exécutant des campagnes marketing », ajoute-t-il, « les criminels pourraient accéder à la liste des anciens clients en reprenant ces comptes avec un code de réinitialisation obtenu par courrier électronique. Il suffit ensuite d'encourager ces anciens clients à repasser une commande avec un code promotionnel, commandes qui ne seraient jamais livrées. Les escrocs n'ont plus alors de limite. »

Les noms de domaine expirants sont publiés quotidiennement par les registres de noms de domaine sous la forme de listes de dépôt de noms de domaine. Il n'est pas nécessaire d'être un génie du crime pour télécharger ces listes quotidiennement et les recouper avec les informations sur les fusions et acquisitions disponibles, ou simplement de réenregistrer tout nom de domaine qui les intéresse.

PublicitéGabor Szathmari a également pu utiliser les noms de domaine réenregistrés pour accéder à des mots de passe tiers en violation de droits en utilisant HaveIBeenPwned.com et SpyCloud.com. Les deux services nécessitent une vérification du nom de domaine, une défense facilement contournée une fois que vous êtes propriétaire du domaine en question. Comme la réutilisation des mots de passe reste monnaie courante, Gabor Szathmari écrit qu'il aurait facilement pu utiliser ces mots de passe de services tiers pour compromettre les comptes des employés concernés, aussi bien dans leur vie professionnelle que personnelle.

Combien de temps devez-vous conserver ces anciens domaines?

Mieux vaut prévenir que guérir. Les noms de domaine ne sont pas chers, et conserver les anciens domaines en votre possession est la police d'assurance de la cybersécurité la moins chère que vous puissiez acheter.

Gabor Szathmari recommande de mettre en place un service de messagerie électronique attrayant qui redirige tout le courrier entrant vers un administrateur de confiance, une personne capable de consulter les anciens et actuels membres du personnel, et de réinitialiser les mots de passe pour les services en ligne.

Article de J.M. Porup / CSO USA (Adapté et traduit par Bertrand Lemaire)