Une des missions de DNS Belgium est de garantir la sécurité d'Internet en Belgique. Nous travaillons sans relâche et prenons de nombreuses initiatives pour rendre les noms de domaine .be aussi sûrs que possible. A l'aube du Mois européen de la cybersécurité, nous avons pensé que ce ne serait pas une mauvaise idée de vérifier le niveau de sécurité des noms de domaine .be. Il s'avère que leur niveau de sécurité n'est pas trop mauvais, mais qu'il y a encore des progrès à faire.
42 pourcents utilisent le https
Le critère le plus connu pour déterminer si un site web est sécurisé est le https au début. Le "s" qui y figure fait référence à secure, le tout signifiant donc Hypertext Transfer Protocol Secure (protocole de transfert hypertexte sécurisé). Attention, https ne dit rien sur l'authenticité du site web lui-même. Il confirme seulement que la connexion que vous avez avec ce site est sécurisée.
Le crawler que nous avons développé pour les sites .be nous a permis de déterminer combien de sites .be utilisent le protocole https. Il s'avère que 42 % d'entre eux utilisent https. 38 % utilisent toujours le protocole non sécurisé (http). Et non, la somme des deux n'est pas égale à 100, car sur les 1 740 869 noms de domaine .be, il y en a 352 482, soit 20 %, auxquels aucun site web n'est lié.
Les 38 % qui utilisent encore le protocole http sont quelque peu inquiétants, mais nous pouvons heureusement nuancer ce pourcentage. À peine 9 % de ces 38 % sont des sites web activement utilisés. Les 29 % restants sont des sites à "faible contenu" : ils comportent généralement une page d'accueil vide. Si vous n'utilisez pas activement votre nom de domaine et votre site web, il importe peu que la connexion soit sécurisée ou non.
Il y a quelques mois, Microsoft a annoncé que Windows 11 ne prendrait plus en charge les protocoles TLS 1.0 et 1.1 à partir de septembre. TLS (Transport Layer Security) est une couche de sécurité qui fonctionne avec une clé publique et une clé secrète et qui crypte les données pendant le transfert.
Le fait que Microsoft cesse de proposer TLS1.0 et 1.1 n'est pas un problème pour la plupart des sites web, car ils utilisent déjà TLS1.2 ou une version plus récente. Pour en avoir le cœur net, nous avons examiné rapidement le nombre de noms de domaine .be concernés par cette décision. Il s'avère qu'il y en a 3 190.
1 613 d'entre eux sont à faible contenu. Cela signifie que 1 574 sites web avec un "vrai contenu" ne fonctionneront plus après la mise à jour.
Sécuriser son adresse mail
Un nom de domaine peut également comprendre des adresses mail. Pour protéger leur adresse mail contre l'usurpation et l'hameçonnage, les détenteurs de noms de domaine peuvent prendre diverses mesures. L'une d'entre elles est le Sender Policy Framework (SPF). Il s'agit d'une liste de serveurs approuvés qui sont autorisés à envoyer des courriels à partir de votre domaine. Sans SPF, quelqu'un de mal intentionné pourrait prétendre envoyer des courriels en votre nom. Les détenteurs de noms de domaine semblent bien conscients de l'importance du SPF : le SPF est utilisé pour 49,73 % des noms de domaine .be.
Si le SPF est une sorte de facteur vérifié, on pourrait dire que le DKIM (Domain Keys Identified Mail) est une étampe qui scelle l'enveloppe et confirme l'authenticité de l'expéditeur. Pour 37,2 % des noms de domaine .be, les signatures DKIM confirment l'authenticité des e-mails. Il est clair que cela peut encore être amélioré.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) complète la rangée d'acronymes imprononçables. Il s'agit d'un contrôle supplémentaire qui permet de s'assurer que rien ne passe à travers les failles des deux mesures précédentes et qui rend encore plus difficile pour les cybercriminels de se faire passer pour quelqu'un d'autre. À peine un cinquième des propriétaires de noms de domaines protègent leurs courriels avec DMARC.
Il est toujours possible de s’améliorer
Nous avons procédé à un échantillonnage statistique de 58 358 noms de domaine .be afin d'étudier certains des moyens les moins connus de sécuriser un site web. Il s'agit notamment des moyens d'ajouter des couches de sécurité supplémentaires à votre nom de domaine afin d'empêcher les hackers de modifier les données de votre site web, d'indiquer aux navigateurs d'utiliser automatiquement le protocole https lors de la prochaine visite et de savoir à quoi s'attendre sur votre site web. Pour les spécialistes : plus précisément, il s'agissait de CSP, HSTS, X-Frame-Options et X-Content-Type-Options.
L'échantillon montre clairement que nous devrions fortement encourager l'utilisation de ces possibilités, avec un maximum de 20 % des sites .be utilisant l'une d'entre elles (6 % pour CSP, 14,2 % pour HSTS, et 13,6 % et 19,7 % respectivement pour X-Frame-Options et X-Content-Type-Options).
La dernière méthode de sécurité que nous avons testée est DNSSEC (Domain Name System Security Extensions). Elle vous permet de vérifier si quelqu'un essaie de falsifier vos enregistrements DNS pour voler votre nom de domaine ou votre site web. Là encore, il y reste beaucoup à faire, car seuls 30 % des noms de domaine .be sont équipés de cette mesure de sécurité.
Est-ce que ça veut dire que les sites web .be ne sont pas sécurisés ?
Pas du tout. Tout d'abord, tous les sites web où des données importantes sont échangées, comme les sites des banques ou les portails gouvernementaux, sont très bien protégés dans la zone .be. Cela ne veut pas dire qu'il ne faut pas se méfier du phishing , par exemple.
Ce sont surtout les "petits" sites web, détenus par des particuliers, des clubs ou des associations, qui pourraient bénéficier d'une configuration plus correcte et plus sûre. Ce n'est qu'en les améliorant que nous pourrons empêcher l'utilisation d'un nom de domaine à des fins criminelles. Il s'agit d'un effort commun pour mettre en œuvre et affiner les protocoles de sécurité afin que tout le monde puisse être plus en sécurité en ligne.
Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.