6,8 millions de noms de domaine bloqués dans les nouvelles extensions internet (NewgTLDs)

Afin de garantir la sécurité et l’intégrité du système de nommage actuel, l’ICANN a mis en place des listes de termes bloqués à l’enregistrement au sein des nouvelles extensions à venir. Le nombre d’expressions bloquées varie selon le NewgTLD (exemple : 120 000 pour le .DELL). Plus inquiétant, plusieurs termes stratégiques pour les candidats sont également bloqués comme mairie.paris ou gouvernement.quebec ! Des noms de marques sont également indisponibles à l'enregistrement (ex : salomon.ski). Explications.

Avant d’étudier ce système de liste de blocage (collision list), il convient de rappeler brièvement le fonctionnement des noms de domaine  à l’origine de ces listes de collision. Les noms de domaine ont été mis en place afin de traduire en séquence alphanumérique aisément mémorisable par l’homme une suite de 4 nombres : l’adresse IP. Il est plus facile de retenir «http://www. google.fr » que «http:// 173.194.67.94 », qui redirigent pourtant vers une source identique.

Ce processus de « traduction » adresse IP/nom de domaine se fait dans le cadre du système des noms de domaine (DNS). Concrètement, lorsque vous souhaitez accéder à un site via son nom de domaine, des requêtes sont échangées entre votre navigateur et un index : le serveur DNS. Ce dernier se charge de convertir votre nom de domaine alphanumérique vers une adresse IP ; c’est la résolution de noms de domaine.

Ce système de nommage est commun à tous les réseaux informatiques, qu’il soit ouvert, comme internet, ou privé, comme un réseau d’entreprise.

Quand des requêtes DNS internes s’échappent vers des DNS publics

Il est courant que les sociétés disposent de leur propre serveur DNS interne leur permettant de tenir à jour un index de tous les périphériques connectés de la société et leur nom d’hôte respectif. Dans le cadre d’un réseau interne à une entreprise, il est possible de gérer pleinement son nommage et de créer ses propres extensions, par exemple http://masociete.mail ou http://masociete.intranet. Ces adresses ne sont valides qu’au sein du réseau interne de la société. Dans cette hypothèse, la résolution des noms de domaine (schéma ci-dessus) est censée s’opérer dans un espace clos, sans contact avec les serveurs DNS présents sur internet. Les ordinateurs de la société ne font que « discuter » avec le serveur DNS de la société qui dispose de toutes les informations nécessaires.

Il arrive pourtant que ces requêtes échappent au serveur DNS interne et soient traitées par un serveur DNS public. C’est le cas lorsqu’un utilisateur accède au réseau privé de son entreprise via une connexion VPN tout en utilisant les serveurs DNS de son fournisseur d’accès. Dans ce cas, un navigateur dirigé vers l’adresse privée http://masociete.mail interrogera un serveur DNS extérieur qui ne connaitra pas le nom de domaine et renverra le message « nom de domaine inexistant ». L’utilisateur alerté pourra modifier sa configuration réseau pour régler le problème.

Collision de nommage

Avec l’activation des nouvelles extensions, les serveurs DNS publics pourraient renvoyer des réponses valides en réponse aux requêtes accidentelles, normalement destinées aux serveurs DNS internes de l’entreprise. On désigne ce phénomène par le terme, « collision de nommage ». La discussion est alors faussée et les réponses envoyées par le serveur DNS externe sont erronées : l’ordinateur peut alors être mis en contact avec le mauvais périphérique (serveur, ordinateur, imprimante, etc…).

En plus des requêtes visibles telles que la résolution d’une adresse tapée dans un navigateur internet, le risque concerne également d’autres types de requêtes, plus critiques, comme la vérification des certificats servant à sécuriser les communications. Des pans d’infrastructures importants tels que les serveurs de messagerie ou les firewalls devront être adaptés afin d’éviter des conséquences fâcheuses telles que des emails externes non-délivrés, une messagerie interne routée vers des serveurs externes ou encore des connexions autorisées à tort par un firewall, etc…

Étude de risques par l'ICANN

L’ICANN a souhaité encadrer l’arrivée des nouvelles extensions dans le système de nommage actuel. L’organisation a commandité une étude sur les risques liés aux collisions de nommage, qui a été publiée le 5 août 2013. Le rapport évalue la fréquence des collisions liées aux nouvelles extension en se basant principalement sur l’historique des requêtes reçues par les serveurs DNS racines pendant 2 périodes de 3 jours en 2012 et en 2013. Ce jeu de donnée publique contient 94 milliards de requêtes DNS qui ont été analysées afin d’extraire celles qui concernent les nouvelles extensions.Cette analyse a permis de dresser une liste des termes les plus utilisés dans le cadre de nommage interne.

La quasi-totalité des 1 409 NewgTLDs distincts apparait dans au moins une requête (1 345 en  2012 et 1 367 en  2013). Dans le classement des extensions par nombre de requêtes, le .HOME se trouve en 5ème position, juste derrière le .ORG et le .CORP arrive en 23ème position, entre le .PL et le .NL. Concernant le .HOME et le .CORP, l’ICANN a tout simplement décidé de ne jamais déléguer ces nouvelles extensions dans le DNS. Les porteurs de ces projets ont certainement apprécié.

Blocage permanent ou temporaire ?

Pour chacune des extensions, la liste des termes potentiellement risqués a été établie. Ces termes sont utilisés comme nom de domaine, ce sont les « second-level domains » ou SLDs. L’ICANN propose de fournir à chaque registre sa liste de termes risqués ainsi qu’une recommandation d’action à appliquer, basée sur le niveau de risque. Les actions vont du blocage permanent au blocage temporaire en passant par l’attribution du nom de domaine à l’entité qui génère les collisions. De plus, un délai de 120 jours doit être respecté entre la signature du contrat de registre et l’activation des noms dans le DNS, afin de permettre aux autorités de certification de révoquer les certificats privés (X.509) correspondant à un NewgTLD.

En attendant que l’ICANN analyse et fournisse à chaque registre sa liste de recommandation d’action, il est possible que les opérateurs commencent à activer des noms de domaine 120 jours après la signature de leur contrat s’ils choisissent de bloquer la totalité des noms figurant sur leur liste de termes risqués : il s’agit de l’ « alternate path to delegation ». L’opérateur de registre pourra ensuite demander à l’ICANN de lui fournir la liste de recommandation, pour exploiter les nombreux noms de domaine premium que contiennent les listes de blocage.

L’ICANN prévoit en plus un recours possible de la part d’une entité qui serait victime de collisions de noms graves. La conséquence d’un tel recours peut aller jusqu’au blocage pour au plus 2 ans du nom de domaine conflictuel.

Pas de accor.hotel, musee.paris ou renault.auto !

Cette étude entraine le blocage de 6,8 millions de noms de domaine. Le nombre de termes bloqués varie selon les extensions. Le .HOTEL ne peut actuellement pas compter sur 100 000 noms de domaine comme accor.hotel, booking.hotel, hilton.hotel, london.hotel ou sydney.hotel. Ubuesque !

Le très attendu .PARIS a reçu une liste de 18 767 termes bloqués parmi lesquels des noms comme association, autolib, bourse, carrefour, casino, chanel, clarins, culture, disneyland, fashionweek, flunch, gaumont, hotel, internet, kiabi, laposte, louisvuitton, mairie, metro, musee, parfums, printemps, seine, seloger, sephora, velo… Il est inimaginable que l’ICANN persiste dans le blocage de noms de domaine à si grande valeur ajoutée.

La prise en compte nécessaire du risque que représentent les collisions de noms constitue également un risque économique pour les opérateurs de registre et les futurs titulaires de ces noms : termes premium inutilisables (ex : paris.voyage), blocage d’un nom de domaine postérieur à son exploitation par le titulaire…

Le sujet complexe techniquement fait débat et les conséquences pourront être désastreuses pour les porteurs de projets. L’ICANN a publié le 3 décembre 2013 une FAQ dédiée à cette problématique qui va enflammer les discussions dans les semaines à venir.

Les titulaires de marques peuvent contacter ProDomaines pour vérifier si leur nom n’est pas bloqué dans certaines nouvelles extensions et adapter leur stratégie de nommage dans les NewgTLDs.