Après 3 ans d’existence et plus de 20 500 adresses, le .PARIS change de site internet et rafraichit son logo.
Pour rappel, le .PARIS est ouvert à tous, sans condition !
Votre activité à un lien avec la ville de Paris et vous souhaitez le valoriser ?
Mettez Paris en avant pour vous différencier de vos concurrents.
Enregistrez votre .PARIS au tarif de 48 € HT/an sur www.namebay.com
Dans cet article de fond, Maître François Coupez et Maître David-Irving Tayer, du Cabinet ATIPIC Avocat, nous livrent leur analyse sur les implications du Règlement Général sur la Protection des Données ainsi que sur la problématique des bases Whois dans son application.
Le cabinet ATIPIC Avocat est dédié aux droits de l’IT/IP.
Cet article est en deux parties. La première présente le GDPR/RGPD dans ses grandes lignes afin de poser les bases de la discussion qui aura lieu dans la partie 2, GDPR vs. Whois.
GDPR, quatre lettres qui secouent le monde du droit des nouvelles technologies depuis quelques années déjà, mais qui sont maintenant reconnues bien au-delà, faisant trembler les Comex à la hauteur des conséquences de l’application de ce nouveau texte européen.
Le General Data Protection Regulation, ou Règlement Général sur la Protection des Données (RGPD en français), est un règlement européen[2] adopté le 27 avril 2016, mais dont la date d’entrée en application a été repoussée au 25 mai 2018 compte tenu de son impact sur la façon même dont les entreprises traitent les données à caractère personnel. Il remplace la directive 1995/46 du 24 octobre 1995 qui n’a pas réussi à prévoir un cadre véritablement unifié sur le sujet au sein des pays de l’Union européenne et qui n’était plus armée pour encadrer les nouvelles pratiques.
Commençons par quelques éléments de contexte concernant ce RGPD :
– il s’applique aux « données à caractère personnel », définies comme toute donnée permettant, directement ou indirectement, l’identification d’une personne physique. La notion est donc très large et vise des données que beaucoup ont considéré à tort comme non concernées (fichiers d’entreprises clientes à partir du moment où apparaissent les données des personnes physiques qui les représentent, annuaire interne, données de clients, données codées qui n’ont pas été irrémédiablement anonymisées, etc.) ;
– il s’applique à tout type de traitement de données (collecte, classement, stockage, etc.) sauf quelques rares exceptions, telles que les traitements réalisés par une personne physique dans le cadre d’une activité strictement personnelle ou domestique, ou ceux mis en œuvre à des fins de prévention et de détection des infractions pénales, au bénéfice d’enquêtes et de poursuites en la matière, ou de l’exécution de sanctions pénales. Surtout, il s’applique aux traitements papier comme aux traitements numériques, sans distinction ;
– contrairement à certains pays anglo-saxons comme les USA, le choix fait par le droit européen est de ne pas permettre la patrimonialisation des données. Le droit intègre ainsi la protection des données à caractère personnel dans le cadre des droits dits « de la personnalité », inhérents à chaque citoyen : par exemple, même si la personne concernée a donné son contentement (et obtenu une contrepartie !), il peut donc revenir à tout moment dessus, ou demander l’effacement des données à tout tiers amené à les traiter (et qui les aurait obtenues en achetant des bases de données par exemple).
Ce texte s’applique à un grand nombre d’entreprises dans le monde, bien plus que les seules entreprises européennes : il a justement été conçu dans ce but. Trois hypothèses sont ainsi couvertes, outre les cas classiques de traitement en Europe par une entreprise d’un pays de l’UE :
Le RGPD révolutionne en effet les relations avec les sous-traitants, en imposant une sévère mise à niveau de leur conformité avec obligation de résultat : si des données personnelles sont concernées, l’entreprise doit « uniquement » faire « appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». En résumé et comme le montrent d’autres articles du texte, les sous-traitants doivent respecter eux-mêmes le RGPD s’ils veulent continuer à faire du business avec leurs entreprises clientes, ce que doivent vérifier leurs entreprises clientes. De plus, ces prestataires deviennent directement responsables juridiquement de leur non-conformité vis-à-vis des régulateurs, alors que jusqu’à présent seul le responsable de traitement – c’est-à-dire leur client – pouvait l’être.
Mais la pression ne va pas que dans un sens : le sous-traitant doit lui-même s’inquiéter de la conformité RGPD de ses clients : « le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement »… Entreprise cliente et entreprise sous-traitante se contrôlent donc mutuellement pour faire progresser ensemble la conformité de la protection des données à caractère personnel.
D’abord parce que les sanctions ne sont plus anecdotiques, comme elles ont pu l’être en matière de protection des données à caractère personnel depuis près de 40 ans. Alors que la loi pour une République numérique[3] a multiplié par vingt l’année dernière les amendes administratives à la disposition de la CNIL (elles sont ainsi passées de 150 000 € à 3 millions €), le RGPD prévoit une augmentation jusqu’à 20 millions € ou « dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ».
De quoi intéresser pour une fois le Comex à la question de la protection des données à caractère personnel, alors que ce problème était en général relégué deux niveaux hiérarchiques en dessous, au minimum.
Surtout parce qu’une fois que le Comex s’intéresse à cette question, il se rend compte que la conformité à ce texte nécessitera pour beaucoup d’entreprises de repenser de fond en comble leur façon de concevoir la gestion de leurs données internes, quand ce n’est pas leur manière de faire du business.
Le RGPD prévoit tout d’abord d’abandonner le principe des formalités préalables aux traitements de données, pour le remplacer par la notion d’accountability, la conformité à tout moment du traitement qu’il va s’agir de prouver notamment du fait d’une traçabilité sans faille de tout ce qui est réalisé sur les données à caractère personnel collectées.
Il prévoit également la notion de Privacy by design imposant de concevoir la protection des données à caractère personnel dès l’origine de la conception d’un projet, d’un logiciel ou d’une fonctionnalité amenés à en traiter. Alliée avec un renforcement notable de l’information transmise aux personnes dont les données sont traitées (indication des informations classiques du type finalités, etc., mais également des destinataires, de la durée de conservation des données, etc.) et surtout avec un renforcement certain des droits de la personne concernée, les traitements deviennent nécessairement plus encadrés au sein de l’entreprise : le fait de prévoir la possibilité d’effacer les données à tout moment (droit à l’oubli) ou de prévoir dans certains cas la portabilité vers un autre fournisseur impose de penser ces processus dès l’origine.
Ce faisant, le RGPD impose la mise en place d’une cartographie non seulement des données à caractère personnel traitées dans l’entreprise, mais également des flux de ces données dans le système d’information élargi de l’entreprise (clients, partenaires, sous-traitants).
Pour y aider, le correspondant internet à la protection des données, appelé CIL en France, devient le Délégué à la Protection des Données (ou DPO) et sa nomination s’impose dans un plus grand nombre de cas (par exemple si le traitement est effectué par une autorité ou un organisme public, si les activités du responsable consistent en des traitements exigeant un suivi régulier et systématique des personnes concernées, etc.)
Si l’on pouvait croire que le Règlement allait imposer un droit unique au sein de tous les pays de l’Union européenne, ce n’est toutefois malheureusement pas le cas : pas moins de 57 domaines (sur les 99 articles que comptent le RGPD) peuvent donner lieu à des règles locales spécifiques, telles que les données liées aux ressources humaines, le traitement de données de mineurs entre 13 et 16 ans, le traitement de données génétiques, biométriques ou de santé, ou encore les systèmes de profilage : il va donc être très intéressant de suivre les différentes propositions de loi locales en cours d’apparition (projet allemand, projet belge, projet français, etc.) pour « transposer » ces nouvelles règles dans le cadre local existant[4] afin d’avoir une vision plus claire du droit/des droits applicable(s) sur le sujet dans les pays européens.
Par ailleurs, dans un grand nombre de cas (profilage, traitement à grande échelle de données sensibles, contrôle des salariés, etc.) le RGPD conduit à imposer à l’entreprise la mise en place d’Études d’impact sur la Vie Privée (ou Privacy Impact Assessments). Ces EIVP/PIA sont des analyses de risques qui ne s’intéressent pas aux risques pour l’entreprise si un tiers accède illicitement aux données, les détruit, etc., mais bien aux risques pour les personnes concernées… et aux solutions palliatives que l’entreprise doit mettre en œuvre.
Insistant sur la sécurité des traitements de données mis en œuvre, il impose la notification de toute atteinte à la confidentialité, mais également à l’intégrité ou encore à la disponibilité des données à caractère personnel traitées, qu’elles le soient sous forme papier ou numérique (c’est ce qu’il appelle « violation de données »). Cette notification se fait à la CNIL sous 72 heures, mais aussi auprès des personnes concernées si la violation de données a entraîné un risque élevé pour celles-ci.
Le RGPD rend tout d’abord possible la prise en compte de la protection des données à caractère personnel et la conformité des traitements les plus actuels tels que le Big Data, ce qui était très difficile avec l’ancienne réglementation.
Surtout :
– il donne un nouvel espoir aux citoyens en leur accordant un véritable empowerment sur leurs données à caractère personnel, grâce à l’information poussée qu’il impose et au consentement qu’il généralise ;
– il les guide vers les sociétés de confiance, en permettant d’une part aux entreprises vertueuses de bénéficier de labels européens sur le sujet, et obligeant d’autre part les entreprises ayant souffert de violations de données à le notifier. Le marché risque donc de s’autoréguler très vite en forçant les acteurs mêmes les plus récalcitrants à se mettre en conformité ;
– il impose une mise en conformité de tous les acteurs de la chaîne, par la responsabilisation des sous-traitants, puisque les sous-traitants qui ne seraient pas en conformité seront de facto exclus des marchés.
Cerise sur le gâteau : la cartographie précise des données traitées par l’entreprise que va entraîner la mise en conformité est un travail long et coûteux, mais nécessaire à tous points de vue et reporté depuis la nuit des temps au sein de la plupart des entreprises. Donnant une vision très précise du patrimoine informationnel de l’entreprise, elle permettra :
– d’optimiser sa protection à l’encontre des pirates comme des concurrents ;
– et surtout de maximiser l’exploitation des données client !
Certains espèrent encore, au vu de l’immensité des travaux restants à accomplir au sein de leur entreprise, que l’application du texte sera repoussée de quelques années. Le report est théoriquement imaginable, mais croire que cela exonérerait de tous risques pendant encore quelques années est une folie dont il convient de se prémunir : si le report de l’application des nouveaux droits (portabilité, etc.) peut en effet faciliter leur mise en œuvre, les règles de base prévues par le RGPD existent en droit français depuis presque… 40 ans (6 janvier 1978). Croire que les régulateurs tels que la CNIL ne sanctionneront pas des manquements à la transparence des traitements ou aux finalités par exemple est tout simplement illusoire.
Un registrar ou bureau d’enregistrement s’engage contractuellement vis-à-vis de l’ICANN[5] à tenir à jour une base de données dite « Whois » qui comporte diverses informations techniques, mais surtout des informations à caractère personnel relatives notamment aux titulaires de noms de domaines, tels que nom, prénom, adresses postale et électronique, ainsi que numéro de téléphone, ce qui permet à n’importe qui de les identifier. La loi française reconnaît d’ailleurs explicitement le rôle de « responsable de traitements » qu’endossent ces registrar au sens de la loi applicable[6].
Le service Whois, qui remonte à 1982, a au fil du temps pris une signification (voire une nécessité) toute particulière : il permet de faciliter la lutte contre de nombreux dommages en communiquant le point de contact auprès de qui il convient d’agir. On pense bien sûr aux titulaires de droits (auteurs, titulaires de marques, sociétés dont le nom commercial a été détourné, etc.), victimes des atteintes, qui peuvent ainsi agir, mais ce peut également être une autorité judiciaire, un groupement qui lutte contre le spam, etc.
L’arrivée du RGPD semble pourtant jeter un pavé dans la mare et troubler les bureaux d’enregistrement. Cette base de données à caractère personnel, librement accessible sur Internet, est en effet une cible de choix pour la réflexion plus globale sur l’application de ce texte. Si le fondement du traitement des données nous apparaît licite au sens de l’art. 6.1 du RGPD), des questions se posent, concernant notamment :
– l’information des personnes sujettes au traitement de données ;
– le rôle exact des chacun des acteurs concernés (responsable de traitements ? Coresponsable ? sous-traitant ?) ;
– les transferts s’opérant hors de l’Union européenne, le Whois étant accessible mondialement ;
– ou encore la durée de conservation des données.
Précisons tout d’abord un point important : que ces données soient en libre accès n’autorise en rien des sociétés à les traiter pour d’autres finalités, notamment commerciales. La publication d’une donnée à caractère personnel ne signifie pas qu’elle soit « disponible pour tout pillage » ou « libre de tout droit ». La décision de sanction de la CNIL dans l’affaire « pages jaunes », confirmée par le Conseil d’Etat le 12 mars 2014[7], l’a montré avec suffisamment de force, en rappelant que faute de « consentement explicite et éclairé des intéressés » la réutilisation de données publiées par eux était constitutive d’une « collecte déloyale et illicite. ». Le Conseil d’Etat a ainsi rappelé que la CNIL pouvait parfaitement sanctionner ce manquement… auparavant d’une amende maximale de 150 000 €, aujourd’hui de 3 millions €, et à partir du 25 mai 2018 jusqu’à 4 % du chiffre d’affaires !
Toutefois, poursuivant ses efforts à limiter la diffusion de telles informations, la CNIL a demandé par courrier à l’AFNIC le 6 avril 2006 de systématiquement protéger les coordonnées des personnes physiques demandeurs à l’enregistrement d’un nom de domaine (il existe une procédure particulière de « levée d’anonymat »). Cela est comparable à ce que la CNIL avait fait quelques années auparavant via une délibération spécifique[8] concernant l’anonymisation des décisions de justice : sans motif légitime de protection des tiers, c’est la légitime protection des personnes physiques parties ou témoins au procès citées dans ces décisions et la volonté́ de prévenir la constitution de véritables fichiers de renseignement sur les personnes citées dans des décisions de justice qui prédominent.
La question pourrait à ce titre être posée de l’équilibre des droits institués à l’époque par la CNIL : ainsi, concernant les données à caractère personnel contenues dans le RCS cette fois-ci, la Cour de Justice de l’Union Européenne a mis en balance de façon différente la protection des associés d’une société et celle des tiers dans le cadre du droit des sociétés. Dans cette décision du 9 mars 2017, la CJUE a pris en compte l’importance pour les tiers justement de connaître les informations concernant les personnes physiques dirigeantes des entreprises. Pour elle, à ce titre, non seulement la publication de ces données n’a pas à être remise en cause, mais surtout le (nouveau) droit à l’oubli serait très limité, car il ne s’appliquerait pas aux données à caractère personnel contenues dans le RCS, sauf disposition légale nationale qui prévoirait que les personnes physiques « peuvent demander à l’autorité chargée de la tenue du registre de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données. »[9]
Il n’en reste pas moins que la profusion des informations publiées et leur exploitation illicite (cf. ci-dessus) a conduit un certain nombre d’offices étrangers à suivre l’exemple français et à proposer des procédures permettant l’anonymisation, ou en tout cas la pseudonymisation comme dirait le RGPD. Car en effet, la possibilité de pouvoir toujours revenir aux données à caractère personnel originelles disqualifie la notion d’anonymisation, qui nécessite qu’il n’y ait aucun retour possible. Les données pseudonymes sont donc des données à caractère personnel et sont protégées par le, RGPD.
Ces offices ont pu agir sur ce terrain, car ils sont en charge d’extensions nationales, et ne sont liés à l’ICANN que par un simple engagement de reconnaissance mutuelle. Pour tous les autres acteurs, les contrats ICANN empêchent encore à notre connaissance une telle pseudonymisation aussi aboutie.
La base Whois, dont l’opposition au principe même de « privacy by design » est si ostensible, pourrait dès lors vivre ses derniers mois en l’état.
Même si l’ICANN tient à faire appliquer ses règles contractuelles, c’est le RGPD qui, comme dans beaucoup d’autres domaines (contrats avec les prestataires de cloud, etc.), risque de faire bouger les lignes. En effet, avec le principe de coresponsabilité des traitements, un opérateur économique qui imposerait à un autre acteur de collecter des données et de les traiter d’une certaine manière (empêchant une pseudonymisation efficace) pourrait peut-être, même sur ce seul fondement, être considéré comme fixant les « finalités et moyens » du traitement et donc être directement responsable des manquements constatés. Notons à ce titre que si la sanction par le chiffre d’affaires n’apparaît pas possible, la seconde option proposée par le RGPD est une sanction de 20 millions € au maximum. Comme on l’a vu, le fait d’être un opérateur étranger ne permet en rien d’échapper à l’application du texte.
Un argument susceptible, d’ici mai 2018, de rouvrir le débat sur les modifications contractuelles nécessaires, mais également de régler la question de l’information claire, complète et transparente des personnes, ou encore de la durée de conservation ?
Pour conclure, le RGPD est une avancée pour la protection des données à caractère personnel et ne doit pas nécessairement être vu comme un frein au développement des activités sur Internet, au contraire.
Il ne doit pas non plus être perçu comme mettant en risque une entreprise et notamment un bureau d’enregistrement, sous réserve bien entendu que les bonnes pratiques soient mises en place et que les évolutions souhaitées puissent se faire dans le bon sens, de la même façon que les contrats proposés par des prestataires de cloud ont pu évoluer parfois de façon drastique ces derniers mois pour permettre à leurs clients entreprises de s’acheminer vers une conformité complète au RGPD.
À ce sujet d’ailleurs, même si les bureaux d’enregistrement ont le regard attiré vers la problématique du Whois, il convient de garder en tête que la conformité RGPD est une trajectoire globale, tous les traitements (RH, clients, prospects, etc.) et tous les prestataires de l’entreprise traitant des données à caractère personnel devant être scrutés : l’arbre, fût-il immense, ne doit pas cacher la forêt…
Par François Coupez,
Avocat à la Cour,
Associé du cabinet ATIPIC Avocat,
Titulaire du certificat de spécialisation en droit des nouvelles technologies
Chargé d’enseignement à l’Université Paris II Panthéon-Assas, au CELSA et à l’Institut Léonard de Vinci
Et
David-Irving Tayer
Avocat à la Cour,
Associé du cabinet ATIPIC Avocat,
Membre de l’IPC de l’ICANN
Chargé d’enseignement à l’EDC Paris business School, au CELSA et à l’Institut Léonard de Vinci
[1] Le lecteur avisé aura reconnu la phrase amicale d’introduction des Borgs issus de l’univers Star Trek
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[3] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique
https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=5D7EBC2C90DE02921F7E0477F9B13A6C.tplgfr33s_3?cidTexte=JORFTEXT000033202746&categorieLien=id
[4] Juridiquement, le règlement européen s’impose tel que et annule et remplace toute règle contraire dès sa mise en application. Il n’a donc pas besoin d’être transposé en droit local comme une directive. Mais les législateurs locaux ont déjà prévu d’ajouter des règles dans les domaines que le règlement ne couvre pas (ex : les données à caractère personnel des personnes décédées en France depuis la loi pour une République numérique) et en même temps de conserver leur loi locale pour des raisons de référence historique. C’est le cas de loi du 6 janvier 1978 en France dont la référence subsistera même si son contenu changera de façon assez importante.
[5] Internet Corporation for Assigned Names and Numbers, Association à but non lucratif de droit américain qui, sous contrat, assure la gestion de la racine de l’internet et la délégation des extensions.
[6] Article L. 45-5 du Code des Postes et Communications Electroniques (CPCE) : « Ils collectent les données nécessaires à l’identification des personnes physiques ou morales titulaires de noms et sont responsables du traitement de ces données au regard de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ».
[7] https://www.legalis.net/actualite/les-pages-jaunes-le-conseil-detat-valide-la-sanction-de-la-cnil/
[8] Cf. Délibération n°01-057 du 29 novembre 2001 portant Recommandation de la Commission nationale de l’informatique et des libertés du 29 novembre 2001 sur la diffusion de données personnelles sur Internet par les banques de données de jurisprudence.
[9] https://www.legalis.net/actualite/pas-de-droit-a-loubli-pour-des-donnees-personnelles-dans-un-registre-des-societes
Décision retentissante depuis quelques mois dans le milieu des nouvelles technologies : Google a décidé de bloquer certains certificats de sécurité sur son navigateur Chrome.
Ainsi, au cours des 12 prochains mois, certains certificats ne seront plus gages de confiance pour Google et les sites, bien qu’en httpS:// seront identifiés comme « malveillants ».
Rassurez-vous, la gamme de certificats offerte par Namebay n’est pas concernée. En effet, nous faisons confiance à notre partenaire GlobalSign depuis de nombreuses années.
Vous ne savez pas si le site de votre Entreprise est concerné par ce problème ? Vous avez un doute ?
Pour être sûr de ne pas voir s’afficher sur votre site une alerte de sécurité, faisant fuir vos internautes, transférez dès maintenant votre certificat auprès d’une autorité de certification qui a toute la confiance de Google.
Conscient des contraintes que peut poser cette démarche, nous avons mis en place un dispositif spécial afin de vous faciliter au maximum le transfert :
Si vous transférez un certificat en cours de validité depuis un concurrent, nous rajoutons le temps restant sur votre certificat à votre nouveau certificat GlobalSign. Nous prolongerons également de 30 jours sa durée.
De plus, du 11 octobre au 30 novembre, vous bénéficierez d’une remise de 30% sur notre gamme de certificats SSL (hors options SAN & Wilcard).
A compter du 8 septembre 2017, le Registre Uniregistry va (beaucoup!) augmenter ses prix. En effet, certaines extensions vont voir leur prix se multiplier par plus de 10 !
Le Registre ne nous a pas précisé ce qui l’a conduit à prendre cette mesure pour les 18 extensions concernées.
Nous vous conseillons aux détenteurs de noms de domaine de renouveler avant le 8 septembre ceux-ci afin de ne pas être impacté par cette hausse.
Les noms de domaine sont renouvelables pour une durée de 1 à 10 ans.
Si vous avez pour projet d’enregistrer un nom de domaine dans l’une des extensions concernée, n’attendez plus !
Pour tout besoin d’assistance ou de conseil, n’hésitez pas à nous contacter à l’adresse contact@namebay.com !
A partir du 1er septembre 2017, Namebay répercutera à ses clients l’augmentation de tarif prévue par le Registre du .XXX soit +6 € HT pour les nouveaux enregistrements, transferts et renouvellements de noms de domaine.
Pour rappel, le .XXX est réservé à la communauté du divertissement pour adultes.
Le Registre DotAsia assouplie les règles d’enregistrement du .ASIA puisque depuis le 15 juillet 2017, les personnes morales et physiques peuvent enregistrer un .ASIA sans présence locale. 
Cela signifie que le .ASIA est désormais ouverte à tous et sans condition à l’enregistrement. Le .ASIA vous permet de communiquer au travers d’une seule extension auprès des 73 pays d’Asie.
« Depuis l’Asie / Pour l’Asie a été notre philosophie depuis le début. Nous avons toujours cru que l’extension .ASIA a une même valeur pour ceux qui viennent d’Asie que pour ceux qui recherchent l’Asie. » a déclaré Edmon Chung, CEO de DotAsia « Le nouveau processus d’enregistrement complète notre mandat pour service la communauté mondiale qui recherche à se connecter à l’Asie, et correspond à notre nouvel appel au monde #RiseWithAsia. Que vous soyez un restaurant asiatique en Europe ou une association Américaine Asiatique aux Etats-Unis, vous pouvez maintenant enregistrer un nom de domaine en .ASIA qui parle de votre marque. »
En 2016, plus de 80% des enregistrements en .ASIA venait de l’Asie Pacifique avec en tête la Chine, l’Inde, le Japon et l’Asie du Sud-Est. L’extension compte à ce jour environ 220 300 enregistrements.
Vous pouvez enregistrer dès à présent votre .ASIA sur www.namebay.com
Le Registry Lock permet de verrouiller ses noms de domaine sensibles au niveau du Registre contre les cybertattaques liées à des détournements de noms de domaine. Un détournement permet à l’assaillant de prendre le contrôle du nom de domaine et d’y mettre les données de son choix.
Il peut par exemple y mettre l’IP d’un site Internet qu’il contrôle.
Ce type d’attaque vise les acteurs du système d’enregistrement : registre, bureau d’enregistrement, hébergeur.
Plusieurs attaques d’importance ont eu lieu ces dernières années (Google.com.bd, nytimes.com, lenovo.com entre autres…). Les gestionnaires de noms de domaine doivent prendre conscience de ces enjeux et se prémunir au mieux des problèmes de sécurité.
Le .FR Lock reste aujourd’hui encore confidentiel alors qu’il représente pourtant un rempart efficace contre ce type d’attaques.
En verrouillant le domaine au niveau du registre, les opérations et mises à jour pouvant affecter la résolution d’un domaine sont empêchées. Le changement de bureau d’enregistrement, le changement de titulaire, ainsi que la mise à jour des serveurs de noms ne peuvent être faits à l’insu du propriétaire du nom de domaine.
Ces modifications entrainent une demande de déverrouillage auprès de l’AFNIC, validée par un processus d’authentification et de vérification.
Namebay fait partie des 20 bureaux d’enregistrement (sur 400 bureaux accrédités AFNIC) à avoir signé le contrat spécifique pour offrir ce service à nos clients.
Pour en savoir plus, l’AFNIC diffuse ce jour un document sur le Registry Lock :
Nos experts sont bien entendu à votre disposition pour vous donner tout renseignement utile sur le Registry Lock à l’adresse : contact@namebay.com.
À la suite des modifications des exigences de base du CA/B Forum, Namebay et son partenaire GlobalSign doivent mettre à jour sa politique et ses procédures relatives aux certificats SSL afin de se conformer aux deux obligations importantes indiquées ci-dessous.
1) À compter du 1er mars 2018, la période de validité de tous les certificats SSL sera limitée à 825 jours (27 mois) maximum.
Par conséquent, à partir du 20 avril 2017, nous ne proposerons plus de certificats avec une période de validité de 3 ans afin de limiter l’incidence de cette exigence sur ses clients après le 1er mars 2018. Nous proposons une date un peu antérieure à celle du CA/B Forum pour éviter les périodes de validité de certificat tronquées en cas de réémission de certificats de trois ans.
2) La vérification de l’organisation et du domaine doit être effectuée dans les 825 jours (27 mois) précédant l’émission ou la réémission du certificat (auparavant, cette période était de 39 mois).
Remarque : ces exigences n’ont aucune incidence pour les clients qui commandent de nouveaux certificats. Cependant, si des certificats sont réémis ou si des SANs sont ajoutés ou supprimés, les informations relatives à l’organisation et au domaine ne devront pas dater de plus de 27 mois. Ces modifications, qui jouent sur la capacité de nos clients à réémettre des certificats, est décrite plus en détail ci-dessous.
Dépréciation des certificats SSL à validation de domaine d’une validité de 3 ans
GlobalSign dépréciera les certificats SSL à validation de domaine d’une validité de 3 ans (y compris DomainSSL et AlphaSSL) pour éviter les scénarios ci-dessous :
Dépréciation des certificats SSL à validation d’organisation d’une validité de 3 ans
GlobalSign dépréciera les certificats SSL à validation d’organisation d’une validité de 3 ans pour éviter le scénario ci-dessous :
Dépréciation de la réémission des certificats SSL à validation d’organisation
Pour se conformer aux exigences de base du CA/B Forum, nous avons décidé de désactiver provisoirement la réémission des certificats SSL à validation d’organisation.
Conclusion
Nous sommes convaincus que vous comprendrez qu’il s’agit là d’obligations imposées par le CA/B Forum auxquelles nous sommes tenus de nous conformer.
Nous vous invitons à nous contacter pour toute question à l’adresse tech@namebay.com
Entre mars 2016 et mars 2017, Let’s Encrypt a émis 15 270 certificats SSL contenant le terme « PayPal » ; 14 766 d’entre eux ont été émis pour des domaines menant vers des sites de phishing. C’est le résultat de la récente analyse menée par Vincent Lynch, expert SSL.
Lynch s’est intéressé de près à ce cas à la suite d’un article très intéressant publié par Eric Lawrence (Google Chrome Security Team) en janvier 2017, le visuel ci-dessus est tiré de cet article, dénommé « Certified Malice » qui dénonçait les certificats SSL frauduleux et dénombrait alors « seulement » 709 cas pour Paypal, et bien d’autres sur toutes les plus grandes marques américaines : BankOfAmerica, Apple, Amazon, American Express, Chase Bank, Microsoft, Google…
En Janvier 2017 Google et Mozilla ont mis à jour leur navigateur avec Chrome 56 et Firefox 51, et un changement majeur est intervenu pour les internautes, l’apparition des termes « Sécurisé » ou « Non sécurisé » dans la barre d’adresse.
En 2015, l’initiative Let’sEncrypt, supportée par les grands noms de l’internet (EFF, Mozilla, Cisco, Akamaï…) voyait le jour avec pour objectif de diffuser en masse et gratuitement des certificats SSL au monde entier. Un an et demi plus tard Let’sEncrypt a délivré des millions de certificats, et d’autres initiatives de ce type ont suivi.
Qui dit gratuit, dit peu ou pas de vérification pour délivrer les certificats, et toute une armée de cyber-criminels qui se sont rués vers ceux-ci pour sécuriser leurs contenus illicites : phishing, malware… et afficher le terme « Sécurisé » eux aussi dans la barre d’adresse. Comment l’internaute lambda peut-il facilement différencier le vrai du faux !
Pour mémoire il existe trois niveaux de vérification lors de l’émission des certificats permettant d’afficher HTTPS : Domain Validation (DV) considéré comme de l’authentification faible, Organization Validation (OV) à authentification forte et Extended Validation (EV) à authentification renforcée. Les certificats gratuits sont des DV, et représentent près de 90% des certificats la plupart du temps sur des « petits » sites web. Les certificats OV (9%) et EV (1%) sont peu nombreux mais protègent la quasi-totalité des sites web à très fort trafic. Les GAFA sont tous en OV ou EV par exemple.
Le problème pour l’internaute est l’absence de différenciation dans les navigateurs entre les certificats DV et OV. Ces deux types sont affichés de la même manière étant comme « Sécurisé » alors que les certificats EV affichent le nom du titulaire dans la barre d’adresse.
En reprenant le visuel du début de cet article on comprend aisément l’intérêt du EV pour Paypal pour permettre de distinguer facilement le vrai du faux, et c’est la raison pour laquelle Nameshield conseillera systématiquement l’emploi du EV pour les sites vitrines, en particulier pour ses clients exposés au cybersquatting, phishing ou encore contre-façon.
Deux forces qui s’opposent pour l’avenir du HTTPS
Malheureusement les choses ne sont pas aussi simples et là où la logique voudrait qu’on différencie clairement les 3 types de certificat, ou en tout cas au moins deux types (DV/OV), Google ne l’entend pas de cette oreille et souhaite à l’inverse supprimer cette notion d’affichage EV. Chris Palmer (Senior Software Engineer pour Chrome) le confirme à demi-mot dans son article (fort intéressant au demeurant) paru ici.
Nous sommes donc aujourd’hui dans une situation où les Autorités de Certification historiques, Microsoft et dans une moindre mesure Apple font face à Google, Mozilla et Lets’Encrypt dans une vision que l’on peut résumer comme suit :
| Vision de Google/Mozilla/Let’sEncrypt :
HTTP = Non Sécurisé HTTPS = Sécurisé |
Vision des AC historiques/Microsoft/Apple :
HTTP = Non Sécurisé HTTPS DV = pas d’indicateur dans la barre d’adresse HTTPS OV = Sécurisé HTTPS EV = Nom de la société dans la barre d’adresse |
La discussion est ouverte en ce moment même au sein de l’instance supérieure du SSL qu’est le CAB/forum. On peut facilement comprendre que les Autorités de Certification voient d’un très mauvais œil la fin de la différenciation visuelle entre DV/OV/EV dans les navigateurs, c’est leur raison d’être que de délivrer des certificats à authentification forte, mais est-ce seulement un tort ? Il s’agit quand même de rassurer l’internaute en lui garantissant l’identité du site qu’il visite.
A l’inverse Google et Let’sEncrypt n’hésitent pas à dire que les notions de phishing et de garantie de contenu des sites web ne sont pas du ressort des Autorités de Certification, et que d’autres systèmes existent (par exemple Google Safe Browsing), et qu’en conséquence il faut avoir une vision binaire : les échanges sont cryptés et inviolables (= HTTPS = Sécurisé) ou ils ne le sont pas (= HTTP = Non sécurisé). On peut simplement se demander si au travers de cette vision qui se défend également, ce n’est pas plutôt un problème de sémantique du terme employé : Sécurisé.
Que veut dire « Sécurisé » pour l’internaute ? Est-ce qu’en voyant « Sécurisé » dans sa barre d’adresse il sera enclin à entrer ses login/password ou son numéro de carte bancaire ? On peut penser que oui et dans ce cas le risque actuel est bien présent. Kirk Hall (Director Policy and Compliance – SSL, Entrust) a fait une intervention remarquée à la dernière conference RSA sur ce sujet, si vous avez un peu de temps, l’enregistrement est ici.
Enfin il ne faut pas négliger le poids de l’industrie financière ni des grandes marques qui voient d’un très mauvais œil l’augmentation du risque de fraude en ligne et que ne peut décemment pas totalement ignorer Google.
Comment rassurer l’internaute ?
Pour le moment nous ne pouvons que vous encourager à opter pour les certificats Extended Validation pour vos sites vitrine et ou de e-commerce afin de faciliter la tâche des internautes et à rester à l’écoute de ce qui se passe sur le web ; Rassurer et éduquer également les internautes en n’hésitant pas à mentionner sur vos sites les choix que vous faites en termes de sécurité et d’authentification ;
Au même titre que vous surveillez certainement les dépôts de nom de domaine sur vos marques, vous pouvez aujourd’hui également surveiller les enregistrements de certificats, et ce pour réagir rapidement.
Et en tant qu’internaute, lorsque le terme « sécurisé » et mentionné dans la barre d’adresse, systématiquement contrôler les détails du certificat pour voir qui en est le titulaire.
Christophe Gérard
Business Development Expert SSL – Nameshield group
Le Centre de Coordination pour l’extension .RU/.РФ a annoncé qu’une augmentation conséquente serait réalisée sur les tarifs d’enregistrement, renouvellement et transfert à compter du 1er juillet prochain.
Discutée depuis 2012 en interne, cette augmentation devrait être de l’ordre de 71% !
Le sondage réalisée par le Registre sur cette augmentation a montré que cela ne devrait pas impacter le nombre de noms de domaine enregistrés.
Titulaires de .RU, nous vous invitons à renouveler vos noms de domaine sur www.namebay.com avant la date butoire afin de ne pas être touché par la hausse cette année.