En bref, la vérification du titulaire permet à DNS Belgium de réconcilier les coordonnées identitaires du titulaire avec les données utilisées par ce même titulaire lors de l'enregistrement d'un nom de domaine. Motif de cette vérification : il existe encore des cybercriminels qui utilisent de fausses données voire les données de tiers pour enregistrer un nom de domaine.
Le processus automatisé se fonde sur un ensemble de paramètres pour vérifier si les données du titulaire d'un nom de domaine sont correctes. La procédure s’effectue avant toute activation d’un nom de domaine. Si le système subodore que ce n'est pas le cas ou qu’il manque des données, nous contactons le titulaire du nom de domaine et son agent d'enregistrement, en les invitant à transmettre des informations correctes. A défaut, le nom de domaine reste inactivé.
Proactif et automatisé
Bien entendu, DNS Belgium n’a pas attendu la mise en place de la vérification du titulaire pour contrôler les enregistrements de noms de domaine. Avant 2000, les modalités d'enregistrement faisaient l’objet d’un contrôle très strict : il fallait prouver son identité et fournir des pièces justificatives suffisantes pour enregistrer un nom de domaine.
Avec l’an 2000 arrive le grand chambardement: tout est possible, tout est permis pour ainsi dire. Toutefois, du fait que DNS Belgium est censé préserver la sécurité de l'internet en Belgique, des initiatives ont rapidement vu le jour visant à optimiser la sécurité de la zone .be. Nous avons mis sur pied un contrôle actif des données d'enregistrement.
"S’agissant d’un internet sécurisé, DNS Belgium place la barre très haut."
Au départ, ce contrôle manuel intervenait généralement à la suite d’une plainte spécifique, avec pour but un contrôle plus proactif conjugué à l’automatisation du contrôle. En 2020, nous avons entrepris d’examiner les initiatives éventuelles de nos collègues étrangers en la matière.
Les Danois possédaient déjà leur propre système permettant de prouver leur identité lors de l'enregistrement d'un nom de domaine. Pour les ressortissants non danois, le contrôle était moins strict. On notera d'ailleurs que les contrôles des titulaires non danois s’effectuent toujours manuellement et non automatiquement comme chez nous. En Estonie, précurseur absolu en matière d'identité numérique, les Estoniens tout comme les non-Estoniens peuvent se prévaloir d’une preuve d’identité électronique pour enregistrer un nom de domaine. Ce sont les agents d'enregistrement qui se chargent de superviser la procédure.
La barre est placée très haut
S’agissant d’un internet sécurisé, DNS Belgium place la barre très haut. Notre ambition est de contrôler tous les nouveaux enregistrements, tant nationaux qu'étrangers, et d’assumer l’ensemble du processus par nos propres moyens.
Nous avons procédé à une première analyse à l’automne 2020. L'expérience acquise au fil des ans en matière de contrôle des enregistrements nous a permis de bien appréhender les modalités de fraude en la matière, et d’en distiller une série de règles.
Dans un premier temps, nous vérifions tous les enregistrements de noms de domaine suspects. A terme, toutefois, le but est de vérifier tous les nouveaux enregistrements de noms de domaine. Pour l'instant, nous ne sommes pas encore prêts par suite de l'intervention humaine encore trop importante, et bien sûr, des coûts supérieurs qui en découlent. Par ailleurs, il faut savoir que la technologie d'identification numérique n'est pas encore tout à fait au point à cet égard. C’est le volet hors Belgique qui s’avère particulièrement ardu.
Les chiffres le montrent : l’automatisation du contrôle actuel porte ses fruits. Si le contrôle se bornait avant 2020 à quelques enregistrements par jour, la formule de vérification touche aujourd’hui 15 à 20 % de tous les nouveaux enregistrements.
Pourquoi la vérification du titulaire est-elle importante ?
La vérification du titulaire fait obstacle aux enregistrements frauduleux. De fait, tout qui souhaite enregistrer des noms de domaine à des fins frauduleuses fournit souvent des données incorrectes lors de la demande et omet de répondre à nos demandes de données correctes. Il arrive également que les fraudeurs utilisent les données d'autres personnes ou entreprises pour enregistrer un nom de domaine. S’ils se mettent ainsi hors d’atteinte, leur réputation risque toutefois d’en pâtir. En empêchant la mise en ligne de sites web malveillants, nous intervenons préventivement avant qu'ils ne génèrent des dommages.
En agissant de la sorte, nous faisons droit à l’objet de notre mission qui consiste à optimiser la sécurité de la zone .be et à renforcer la confiance dans les noms de domaine .be. Le processus de vérification du titulaire a réduit le nombre de nos interventions réactives et des suppressions de noms de domaine enregistrés, illustrant ainsi le bien-fondé de notre approche . En outre, nous évitons ainsi que des cybercriminels enregistrent des noms de domaine à l’aide de données volées.
Les données historiques l’ont également montré, les personnes qui enregistrent un site web dans un but frauduleux avaient souvent tendance par le passé à utiliser des données anonymes et enregistraient par exemple un nom de domaine sous le nom de Mickey Mouse. Avec la vérification du titulaire, toute utilisation d’un nom de domaine est tout simplement impossible, fût-ce pour une très courte période. Impossible donc qu’ils puissent générer un quelconque préjudice. Avant la vérification du titulaire, les abus n’étaient souvent décelés que le jour ouvrable suivant.
Minutieuse et automatisée, la formule actuelle de contrôle des données d’enregistrement est unique en son genre. Néanmoins, nous voulons aller plus loin encore à l’avenir. A nos yeux, les opportunités sont multiples pour développer plus avant la vérification de titulaire.
Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.