La sécurité sur Internet est l'un des principaux objectifs de DNS Belgium. Cela implique de trouver un équilibre entre la rapidité de l'enregistrement des noms de domaine .be et le contrôle strict des demandes qui semblent suspectes. Pour relever ce défi, DNS Belgium a développé un outil qui évalue automatiquement si un nouvel enregistrement présente des caractéristiques suspectes.
RegCheck a pour objectif de prédire, sur la base des données d'enregistrement historiques, si un nouvel enregistrement de nom de domaine est suspect. Cet outil d'apprentissage automatique a été développé par DNS Belgium, en collaboration avec son homologue néerlandais SIDN.
Entre-temps, un article scientifique évalué par des pair, qui a également été présenté récemment lors de la conférence KDD 2025 (Knowledge Discovery and Data Mining) à Toronto. C'est l'occasion idéale d'approfondir le fonctionnement de RegCheck et la manière dont cet outil a vu le jour. Pour ce faire, nous nous entretenons avec Maarten Bosteels, responsable R&D chez DNS Belgium, et Thomas Daniels, ingénieur de recherche au sein de l'équipe R&D de DNS Belgium.
Comment RegCheck a-t-il vu le jour ?
Maarten Bosteels : Tout est parti de l'hypothèse qu'il existait des schémas récurrents dans les enregistrements frauduleux et que l'apprentissage automatique serait capable de reconnaître ces schémas.
Nous avons soumis ce sujet comme proposition de thèse au département d'informatique de la KU Leuven au cours de l'année universitaire 2019-2020. Les premiers résultats n'étaient pas exploitables, mais ils étaient prometteurs. Ensuite, à partir de 2021, un proof-of-concept (PoC) a été développé par un chercheur de la KU Leuven, Pieter Robberechts. Il connaissait également nos activités spécifiques, car il avait déjà rédigé sa thèse chez DNS Belgium.
Lors d'un atelier CENTR R&D en 2022, nous avons remarqué que SIDN avait un projet similaire et avons décidé d'unir nos forces. Nous avons échangé du code et des concepts et avons réfléchi ensemble aux fonctionnalités que nous pouvions imaginer. Ces fonctionnalités sont les champs de saisie sur lesquels le modèle d'apprentissage automatique se base pour calculer le risque d'un enregistrement.
C'est à cette époque que Thomas Daniels s'est également impliqué dans le projet en tant que chercheur. Il avait également rédigé sa thèse chez DNS Belgium, et c'est là qu'est née l'idée d'un doctorat. Dans le cadre d'un mandat Baekeland chez VLAIO, il travaille ici sur différents projets visant à rendre l'internet plus sûr en Belgique. RegCheck est ainsi le premier projet de son doctorat.
L'enregistrement d'un nom de domaine se déroule plus facilement. Parallèlement, notre service d'assistance peut travailler de manière beaucoup plus ciblée.
Dans quel domaine RegCheck fonctionne-t-il mieux que l'ancienne méthode ?
Thomas Daniels : RegCheck est opérationnel depuis mars 2024. Avant cela, il existait un système de règles qui devaient être mises à jour manuellement. Dans notre article, nous démontrons donc que le modèle d'apprentissage automatique est plus performant.
Bosteels : La plupart des règles sont désormais reprises sous forme de variables. Mais nous avons aujourd'hui plus de variables (données spécifiques prises en compte pour le score de risque) qu'il n'y avait de règles auparavant.
Avant, vous attribuiez vous-même une pondération de 1 à 3 à chaque règle. Aujourd'hui, RegCheck utilise l'apprentissage automatique pour examiner la combinaison de toutes les variables au lieu de simplement additionner les règles « enfreintes ».
Peut-on ajuster la sévérité d'un tel système ?
Daniels : Le modèle peut être plus ou moins sévère selon vos préférences. Il indique le risque de fraude, mais vous pouvez ajuster vous-même l'importance de ce risque.
Cela signifie-t-il que cet outil permet de réduire les effectifs ou de licencier du personnel parce que l'apprentissage automatique fait le travail à votre place ?
Bosteels : RegCheck nous permet d'effectuer des vérifications beaucoup plus ciblées, ce qui présente deux avantages : l'enregistrement d'un nom de domaine se déroule plus facilement. Parallèlement, notre service d'assistance peut travailler de manière beaucoup plus ciblée, car RegCheck lui indique les enregistrements potentiellement suspects.
RegCheck n'a pas été conçu pour réduire les effectifs, mais pour augmenter les chances de bloquer préventivement les enregistrements suspects. Cela permet aux personnes impliquées dans ce processus de contrôler de manière beaucoup plus ciblée les enregistrements suspects. Sans ce filtre, elles passeraient beaucoup plus de temps à contrôler des enregistrements qui ne sont pas suspects, ce qui leur laisserait moins de temps pour suivre les enregistrements suspects.
Daniels : RegCheck nous permet donc de rendre l'internet belge plus sûr, car nous contrôlons de manière plus ciblée les enregistrements suspects et utilisons ainsi nos ressources de manière plus efficace.
Il faut considérer RegCheck comme un large filet que nous jetons. Il permet de bloquer environ 30 % des enregistrements et de détecter ainsi 80 % des enregistrements frauduleux.
Comment utiliser RegCheck de manière optimale ? Une approche trop stricte bloquera davantage d'enregistrements, une approche trop laxiste laissera passer davantage d'enregistrements frauduleux.
Bosteels : Malgré l'utilisation de RegCheck, tout n'est pas bloqué. On pourrait être plus strict et détecter ainsi davantage d'abus, mais on obtiendrait aussi beaucoup plus de faux positifs (enregistrements marqués comme suspects et qui s'avèrent innocents après coup). Cela nécessite davantage de contrôles humains, qui ne sont pas vraiment utiles. On peut donc certainement débattre du degré de « sévérité » qu'un tel système doit avoir.
Comment faire en sorte que l'apprentissage automatique détecte les éléments suspects sans pour autant réagir de manière excessive ?
Daniels : Pour classer les données, deux options s'offrent à vous : vous pouvez définir explicitement des variables (feature engineering) ou ne pas le faire (representation learning). Ici, nous avons choisi d'indiquer nous-mêmes les éléments auxquels l'algorithme doit prêter attention. Mais il faut alors veiller à ne signaler que les éléments utiles au modèle. Par exemple, vous pouvez indiquer « un chiffre à la fin d'un nom de domaine » et RegCheck y prêtera alors explicitement attention. Plusieurs facteurs combinés permettent ainsi d'obtenir un score de réputation.
Lors de la définition de ces variables, vous devez rester concentré. Vous effectuez des requêtes assez complexes dans la base de données, vous devez également avoir certaines connaissances en matière de noms de domaine pour bien le faire. Mais la formation et les tests comportent également quelques pièges.
Bosteels : Vous formez par exemple votre modèle à partir de données historiques. Si vous souhaitez ensuite tester son efficacité, vous devez le faire à partir d'autres données historiques. Vous devez donc veiller à ce que les tests ne soient pas effectués à partir des données sur lesquelles vous avez formé le modèle.
Un obstacle supplémentaire est que les enregistrements frauduleux ne sont pas tout noirs ou tout blancs. Il est tout à fait possible que quelqu'un enregistre un domaine qui ne pose aucun problème à ce moment-là, mais qui, quelques semaines plus tard, héberge une boutique en ligne frauduleuse. Si vous voulez reconnaître ce genre de choses, vous devez examiner les données de formation de manière beaucoup plus large que les seules données ou le comportement au moment de l'enregistrement.
Au cours des sept mois qui ont suivi le déploiement, le nombre d'enregistrements frauduleux a diminué de 30 % par rapport à la même période l'année dernière.
RegCheck fonctionne depuis quelque temps déjà chez DNS Belgium. Peut-on quantifier son efficacité ?
Daniels : Bien sûr, nous l'avons décrit en détail dans notre article. Au cours des sept mois qui ont suivi son déploiement, le nombre de cas d'abus (enregistrements frauduleux) a diminué de 30 % par rapport à la même période l'année dernière. Le modèle que nous avons développé parvient à attribuer une note plus élevée (c'est-à-dire moins bonne) aux enregistrements qui sont effectivement suspects.
Bosteels : Si RegCheck estime qu'un enregistrement est suspect, vous devez passer par un processus d'identification distinct. Nous évitons ainsi l'apparition de nombreux noms de domaine .be qui sont rapidement utilisés pour escroquer des personnes. Dans de nombreuses autres zones, ce contrôle n'est effectué qu'après la mise en service du nom de domaine.
Un nom de domaine bloqué pour vérification reste toutefois entre les mains du titulaire, mais celui-ci ne peut rien en faire tant que l'identification n'est pas terminée.
Il n'est pas prévu de le commercialiser ou de le proposer en open source, mais nous sommes heureux de partager le code du projet.
Cela ne rend-il pas plus difficile l'entraînement avec des données récentes, après que RegCheck ait déjà été activé ?
Bosteels : Au départ, cela constituait un obstacle à l'évaluation de RegCheck. En effet, RegCheck filtre déjà une partie des noms de domaine qui, sans cela, seraient mis en ligne. Lors de l'évaluation de votre modèle, vous avez retiré des domaines dont vous ne saurez finalement jamais s'ils se seraient avérés malveillants une fois mis en ligne.
Daniels : Nos sources pour l'apprentissage du système comprennent notamment des noms de domaine retirés dans le passé, des enregistrements malveillants que nous avons détectés nous-mêmes et des noms de domaine en attente de vérification depuis plus de 120 jours. Là aussi, nous avons étudié la meilleure façon de combiner ces sources.
Ce système a été développé au sein de DNS Belgium en collaboration avec SIDN. RegCheck est-il également utilisé ailleurs ?
Daniels : Avec RegCheck, nous voulons rendre l'internet dans son ensemble plus sûr, nous sommes donc tout à fait ouverts à cette possibilité. Nous n'avons pas l'intention de le proposer à des fins commerciales ou en open source, mais si d'autres registres sont intéressés, nous serons heureux de partager le code du projet et de mettre notre expertise à leur disposition.
Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.