Signalement et collecte d’information sur des menaces à la sécurité des noms de domaine (DNSTICR)
Le projet DNSTICR est une initiative du Bureau du directeur de la technologie de l'ICANN (OCTO) destinée à analyser des enregistrements en rapport avec la pandémie de COVID-19 afin de rechercher des preuves de toute activité liée à la distribution de logiciels malveillants ou à l'hameçonnage. Lorsque des preuves suffisantes d'activité malveillante sont recueillies, l'organisation l'ICANN les signale à l'opérateur de registre ou au bureau d'enregistrement concerné afin que celui-ci puisse déterminer la marche à suivre (par exemple, la suspension ou la suppression du nom de domaine).
Souhaitez-vous en savoir plus sur le projet de signalement et de collecte d'information sur des menaces à la sécurité des noms de domaine (DNSTICR) ? Cliquez ici pour accéder à une brochure explicative.
Pour de plus amples informations, n'hésitez pas à lire nos billets les plus récents consacrés à ce projet :
Bilan après 18 mois du projet DNSTICR de l'ICANN
Signalement de domaines potentiellement liés à la pandémie
La réponse multidimensionnelle de l'organisation ICANN face aux abus du DNS
Foire aux questions (FAQ)
Dans quel contexte le projet a-t-il été créé ?
Pour répondre aux signalements de menaces à la sécurité du système des noms de domaine (DNS) liées à la COVID-19, l'ICANN a commencé à étudier les enregistrements de domaines en rapport avec la COVID-19 et à identifier les cas les plus évidents d'utilisation de domaines à des fins d'hameçonnage ou de distribution de logiciels malveillants. L'ICANN produit ensuite des rapports pour chaque nom de domaine identifié. Chaque rapport contient des preuves concernant des campagnes d'hameçonnage ou de distribution de logiciels malveillants ainsi que d'autres informations générales qui peuvent aider les parties concernées (principalement les bureaux d'enregistrement ou les opérateurs de registre) à déterminer la marche à suivre. Ces rapports sont ensuite adressés aux parties responsables afin qu'elles déterminent les mesures à prendre, par exemple suspendre ou supprimer le nom de domaine.
Il est important de préciser que l'ICANN utilise une approche basée sur des preuves, qui recense des noms liés à la pandémie de COVID-19 qui semblent avoir été utilisés à des fins malveillantes. Un grand nombre de rapports publiés dans la presse grand public et ailleurs font état de noms qui contiennent des termes liés à la COVID-19 et sont par conséquent considérés à risque. C'est pour cette raison que le nombre de cas d'abus de noms de domaine indiqué dans ces rapports est nettement supérieur à celui que nous avons observé et concerne de nombreux noms qui sont peut-être utilisés à des fins légitimes. Certains rapports répertorient également des centaines de milliers de cas supplémentaires par rapport aux quelques milliers pour lesquels l'ICANN a trouvé des preuves d'utilisation malveillante. En général, le nombre de signalements étayés par des preuves que fait l'ICANN dépasse rarement une centaine de cas. En outre, le rapport DNSTICR se concentre exclusivement sur l'hameçonnage et la distribution de logiciels malveillants, tandis que d'autres rapports incluent d'autres domaines utilisés pour des activités de spam, de fraude et d'autres problèmes liés au contenu. C'est pourquoi ces rapports afficheront probablement des chiffres plus élevés.
Pourquoi cette problématique est-elle importante pour l'ICANN ?
Les menaces liées à la sécurité du DNS, telles que les campagnes d'hameçonnage et de distribution de logiciels malveillants, ont été identifiées comme faisant partie des attributions et du domaine de compétence de l'ICANN. Des projets tels que DNSTICR permettent non seulement d'atténuer ces problèmes, mais aussi de fournir à l'ICANN des informations factuelles sur la manière dont ces menaces se produisent et à quel niveau. L'ICANN estime que les analyses et les informations factuelles sont essentielles aux processus d'élaboration de politiques et à la réduction des préjudices causés par les menaces à la sécurité du DNS.
Quels sont les termes/mots qui font actuellement l'objet d'une veille ?
Actuellement, l'OCTO surveille de nouveaux termes liés à la COVID, aux aides financières, au confinement, à des vaccins et traitements proposés, ainsi qu'à différentes sociétés pharmaceutiques. Lorsque cela a été jugé utile, nous avons traduit des termes et inclus leurs versions de noms de domaine internationalisés (IDN). Bien que nous ayons ajouté de nouveaux termes au fur et à mesure de l'évolution de la situation, il est fort possible que quelques-uns nous aient échappé.
Quelle est l'ampleur du problème ?
Depuis mai 2020, date à laquelle nous avons commencé à recueillir régulièrement des données à jour, nous avons identifié 210 939 domaines qui correspondent à un ou à plusieurs de nos mots clés. La plupart de ces domaines sont sans danger ou ont une réputation neutre (par exemple, ils ne sont pas utilisés). Une ou plusieurs sources provenant de tierces parties contenaient des preuves concernant 12 860 (6,1%) de ces domaines filtrés, mais ce chiffre inclut des rapports de faible qualité. Si l'on se limite à des éléments de preuve indépendants très fiables ou multiples, 3 791 (1,8 %) des domaines ont fait l'objet d'un signalement.
Qui puis-je contacter si j'ai d'autres questions sur cette initiative ?
N'hésitez pas à contacter l'équipe d'OCTO à l'adresse OCTO@icann.org si vous avez des réflexions ou des commentaires à propos de cette initiative.