Vol de nom de domaine : comment l’éviter et que faire si ça vous arrive

Comme promis, voici quelques éléments que j’aimerais partager avec vous suite à l’histoire du vol du nom de domaine webrankinfo.com. Je donne quelques idées pour vous protéger contre ce genre de problème ainsi que quelques pistes pour vous aider si jamais vous êtes confronté à la même situation…

Verrouiller un nom de domaine pour éviter le transfert

Comme d’autres registrars (bureaux d’enregistrement des noms de domaine, accrédités par l’ICANN), OVH propose au webmaster de verrouiller le nom de domaine pour éviter qu’il ne soit transféré sans l’accord de son propriétaire. C’est une bonne protection que je vous recommande bien entendu, mais qui dans mon cas n’avait pas suffi (tous mes domaines étaient et sont ainsi verrouillés). En effet, ayant eu accès au manager OVH, le pirate a pu demander le déverrouillage sans problème. Bien sûr, OVH envoie un mail dans ce cas mais ayant eu accès à mon compte Gmail, il a intercepté ce mail avant moi…

Masquer l’adresse email dans le WHOIS

Une des précautions les plus utiles, qui me semble évidente aujourd’hui, c’est d’utiliser les options du registrar qui consistent à masquer l’adresse email du contact qui apparaît dans la base WHOIS (tant qu’à faire autant masquer les adresses de tous les contacts). OVH propose OWO (qui signifie OVH Whois Obfuscateur) : ce service est gratuit et disponible pour les domaines se terminant par .com, .net, .org, .info et .biz. Je ne sais pas si ce service existait à l’époque où j’ai acheté mon nom de domaine…

Utiliser une adresse email sûre

Comme vous l’avez constaté en lisant mes explications, mon nom de domaine a pu être volé à cause d’une faille de sécurité dans Gmail. J’avais utilisé un mot de passe complexe, je me connectais en mode sécurisé HTTPS mais cela n’a pas suffi. Ca m’étonnerais que Google communique à ce sujet, mais nous savons que plusieurs failles ont été trouvées ces derniers temps.

Bien que c’était évident pour les mauvaises langues, il est clair que je n’aurais pas dû utiliser ce compte mail pour gérer ce nom de domaine. Il est conseillé d’éviter d’utiliser un compte mail fourni par un prestataire « grand public » (Gmail, Hotmail, Yahoo Mail, etc.) ou par les fournisseurs d’accès à Internet. Il vaut mieux utiliser un compte mail associé à un autre nom de domaine (géré ailleurs bien entendu…). Vous pouvez par exemple utiliser un compte mail dédié exclusivement à la gestion du nom de domaine, inconnu de tous vos contacts et jamais utilisé pour quoi que ce soit d’autre…

Si jamais une adresse mail secondaire doit être associée à votre compte de gestion des noms de domaine, appliquez les mêmes précautions.

Je vous invite à lire également les conseils de Martin Korolczuk. et ces réflexions sur la concentration des domaines d’activité de Google sur Internet. Si vous voulez de l’aide pour le choix d’un mot de passe, lisez cet article de Guillaume Bizet et testez votre mot de passe avec cet outil qui mesure le niveau de sécurité.

Renouveler le nom de domaine pour une grande durée

Une autre façon de perdre son nom de domaine, sans qu’il ne soit volé, c’est tout simplement d’oublier de le renouveler à temps. Si votre nom de domaine est de grande valeur, il est probable qu’en cas de non renouvellement il soit acheté par un tiers dans les heures qui suivent… Alors je vous conseille de renouveler dès maintenant vos noms de domaine pour une longue durée. S’il s’agit d’un nom de domaine stratégique pour vous, optez pour la plus longue durée ! Pour ma part j’avais renouvelé webrankinfo.com pour 10 ans l’année dernière (on ne peut pas faire plus…) mais malheureusement cela n’a pas empêché qu’il soit volé.

Que faire en cas de vol de nom de domaine ?

Si jamais cela vous arrive, voici ce que je vous conseille :

  • Contactez immédiatement le service juridique de votre registrar afin de lui expliquer la situation.
    • Dans mon cas j’ai pu noter que le support technique ou commercial n’avait pas les connaissances nécessaires pour réagir comme il le fallait. C’est seulement au bout de 3 jours qu’OVH m’a contacté de façon efficace (mais je dois dire qu’à partir de ce moment-là je n’ai pas été déçu de leur façon de gérer l’affaire).
    • En théorie il existe des procédures spéciales pour les transferts frauduleux, qui impliquent directement les 2 registrars concernés. Demandez donc à votre registrar de s’en occuper, ça peut vous permettre de récupérer votre nom de domaine en 24h (et de retransférer immédiatement votre nom de domaine chez votre registrar).
  • Contactez immédiatement le support du registrar vers lequel votre nom de domaine a été transféré (le cas échéant).
    • Pour ma part il s’agissait de GoDaddy, ce qui n’a pas simplifié les choses (langue étrangère, gros décalage horaire).
    • Cherchez sur leur site quel formulaire il faut remplir dans ce cas. Pour ma part GoDaddy m’a demandé d’utiliser le formulaire « request for change of account / email update ». Dans ce cas, GoDaddy m’a fait créer un compte chez eux et le fomulaire m’a permis de transférer la propriété du nom de domaine du compte GoDaddy du « pirate » vers mon nouveau compte GoDaddy.
    • Vous aurez besoin d’envoyer des documents annexes qui permettront de prouver que vous êtes le propriétaire légitime (carte d’identité, passeport, permis de conduire, papiers officiels de l’entreprise, etc.).
    • Faites attention de scanner ces documents avec une bonne qualité, surtout la photo. Il faut absolument qu’elle reste visible même après envoi par fax (dans mon cas j’ai perdu 24h à cause de ça, alors que je ne vois pas en quoi ma photo pouvait leur prouver quoi que ce soit…).
    • Envoyez le tout à la fois par fax et par email.
    • Contactez le support pour savoir s’ils ont bien tout reçu et s’il manque quelque chose.
  • Sécurisez votre compte de gestion des noms de domaine
    • Vérifiez que tous les autres noms de domaine sont bien verrouillés pour empêcher tout transfert
    • Modifiez votre mot de passe
    • Vérifiez ou changez votre adresse email secondaire (le cas échéant).
  • Contactez un avocat spécialisé dans le droit sur Internet
    • Voyez avec lui ce qu’il faut lancer comme procédures juridiques, en fonction de la situation

Vous en déduirez que si vous êtes régulièrement en déplacement (c’est mon cas), ce n’est pas une mauvaise idée d’avoir quelques papiers officiels sur vous (des copies suffisent). Je fais référence notamment au K-bis ou à d’autres papiers qui vous aideront à prouver immédiatement que vous êtes responsable (ou salarié) de votre entreprise.

Autres idées

Je suis sûr que j’oublie plein de choses, alors je compte sur vous pour m’indiquer vos bonnes idées en commentaires !

Share Button

39 réflexions au sujet de « Vol de nom de domaine : comment l’éviter et que faire si ça vous arrive »

  1. Merci beaucoup Olivier pour ton retour d expérience. Bon ben j ai plus qu a appliquer tes conseils, pour éviter le pire.

  2. tu oublie de dire qu’il ne faut pas utiliser outlook pour ses mails pop, ya des failles aussi héhé.
    proteger ses mails qui sont dans le logiciel (en cas de virus, de bug ou de faille du logiciel).
    Ne pas laisser de mail contenant des mots de passe de rapelle. (au cas ou vos mails soit récupéré par une tiers personne).
    ne ma non plus oublier de renouveler le domaine du mail qui si trouve dans votre whois. (si vous n’utilisez plus de mails gratuit type hotmail, gmail, etc)
    Puis finalement, si c’est possible, mettre un mot de passe a votre logiciel mail + votre ordinateur car on se fait souvent trahir/volé par ses proches. (qui peuvent avoir accés au pc).

  3. Tu n’es pas très causant sur les suites de l’affaire. As-tu engagé des poursuites ?

    Pour la photo, godaddy a sans doute demandé son avis à la CIA pour vérifier que tu n’étais pas fiché chez eux…

  4. -> BeeHuman : Par expérience, la première consigne que donne un avocat en pareille situation est en général : Blackout complet, aucune communication sur l’action judiciaire. Donc assez logique qu’Olivier ne soit pas très disert sur cet aspect.

  5. Article très bien rédigé, le whois anonyme est un minimum pour ses ndd « sensibles ».

    Merci Olivier d’avoir écrit et partagé cet article.

  6. Merci infiniment Olivier pour avoir pris le temps de nous faire ce retour d’expérience, j’ai tout appliqué à la lettre.
    J’avai une question conçernant le pirate, vous avez lané une action en justice ou il va passer comme ça?
    Merci encore.

  7. Merci pour le feedback.

    Je ne partage pas ton enthousiasme pour le whois anonyme. L’anonymat dans le whois est perçu par beaucoup comme non professionnel.

    Il me semble que, chez GoDaddy, ton compte est associé à une adresse email qui n’est jamais publiée. Rien n’oblige donc d’utiliser l’adresse email présente dans le whois pour accéder au panneau de contrôle de son registrar.

    Personnellement un site dont le whois contient des informations fausses ou cachées ne m’inspire aucune confiance.

    Bonne continuation en toute sécurité !

  8. Si un grand comme Olivier s’est fait avoir alors çà veut qu’il faut vraiment être très vigilant. La sécurité de son site doit être la première chose à apprendre lorsqu’on est Webmaster n’est-ce pas ? Merci Olivier pour tes superbes conseils.

  9. Joli retour d’expérience. Je sais ce qu’il me reste à améliorer.
    Sinon, un autre intérêt de masquer son mail dans le Whois, c’est tout simplement d’éviter le SPAM, la base Whois étant une belle pioche pour tous les spammeurs.

  10. Merci pour ce retour d’info tres utile et tres précieux.
    Reste maintenant à mettre tout cela en place afin de tout sécuriser.

  11. Même si c’est pas fait pour la sécurité, j’ai mon Thunderbird pour récupérer en quasi temps réel mes mails sur toutes les boites aux lettres, comme ca rien ne traine sur le serveur ou où que ce soit sur le net.

    Et pour tous les accès « admin » (interface admin,ssh,ftp) du serveur, le firewall bloque toute connexion autre qu’une certaine IP (différente de mon PC personnel), ca limite les possibilités (faut deja trouver le proxy en question, le pirater puis pirater le serveur principal, me reste plus qu’à creer un système de surveillance pour me prévenir quand une IP inhabituelle se connecte trop au proxy)

    Et niveau keylogger/spyware/… je pense être plutôt tranquille avec Ubuntu sur le poste de travail 🙂

  12. Il y a une mesure de protection simple et pourtant efficace que je n’ai pas vue proposée : toujours avoir au moins 2 contacts différents (avec 2 comptes email différents) dans ses enregistrements whois. Ainsi, toute demande de modification (transfert) sera envoyée par le registrar à 2 « destinataires » différents.

    Associé à une politique de mot de passe draconienne, cela vous protège contre les intrusions sur un de vos compte email (et des messages non reçus pour cause de filtrage antispam trop efficace…).

    Mes 5cents.

  13. Voila des solutions intéressantes à mettre en place, merci Olivier pour ce tuto de premier choix.
    Par contre quand tu dis :
    « Il est conseillé d’éviter d’utiliser un compte mail fourni par un prestataire “grand public” (Gmail, Hotmail, Yahoo Mail, etc.) ou par les fournisseurs d’accès à Internet. »

    Ok, mais alors qui ?
    Parce que dans ce cas il ne reste plus personne ??
    Merci

  14. j’ai indiqué « Il vaut mieux utiliser un compte mail associé à un autre nom de domaine (géré ailleurs bien entendu…) ». Par exemple tu réserves tototiti.com et tu utilises une adresse @tototiti.com pour gérer tes (autres) noms de domaine

  15. -> Olivier : Tototiti.com c’est un peu déplacer le problème, quelle adresse email indique t-on au registrar de tototiti.com ?

  16. Merci de ce feed back.
    Le 6 mars, de 10h à 12h, je faisais une intervention l’IUT, à Nancy, pour parler du référencement de sites internet.
    Et quel ne fut pas ma surprise de ne plus pouvoir accéder à webrankinfo… Que je comptais utiliser comme site de ressources…
    Ca a été l’occasion de parler un peu de la vigilence à avoir dans la gestion au quotidien d’un site internet.
    Eh bien, il ne reste plus qu’à appliquer ces conseils!!!

  17. Eh oui! Le problème de Tototiti c’est l’histoire du serpent qui se mort la queue.
    Si on créé un nouveau ndd pour gérer uniquement son e-mail, il faut bien indiquer une adresse e-mail déjà créée, à son registrar ?!
    Cette histoire aura au moins eu le mérite de soulever le problème de l’insécurité des services e-mail …
    Merci pour ces infos très utiles, Olivier.

  18. Oui … La meilleure solution me semble comme Olivier le préconise de masquer l’email de contact du domaine. Je n’avais jamais voulu par le passé utiliser cette fonctionalité par envie de transparence mais cette fois je crois que je vais l’utiliser.

  19. J’ai été confronté au même problème il y a quelque mois.

    Depuis j’ai transferé mes domaines chez Netissime.com , il ne delivre pas de AUTH ID sans un courrier ou un fax signé, qu’on recupere sur son interface client. Des qu’il le recoive ils appelent pour savoir si c bien nous qui faisons la demande.

    C’est drastique mais vu que le but c’est pas a chaque fois de changer de registrar je trouve cela plus sur et plus sécurisé. David B.

  20. je ne savais pas que l’on pouvait se faire voler un nom de domaine mais pour moi la solution c’est non plus un contact par mail niveau visiteur mais par forum ce que je fait sans avoir penser au vol car cela oblige la personne à s’inscrire sur le forum et si on détecte des mauvaise intention il et facile de le blakeriser par son adresse ip je ne sais pas si c’est très efficace mais une chose sure on augmente la difficulté

  21. Je suis aussi chez Netissime et c’est vrai qu’ils prennent toutes les précautions au niveau sécurité. J’ai un nom de domaine assez réputé, c’est vrai ke j’ai eu bcp de personnes qui voulaient me le racheter mais jamais eu de pb.

  22. Oui bien sûr (impact négatif), et aujourd’hui encore je ne suis pas tout à fait revenu au niveau de trafic où j’étais avant cette histoire…

    Ca pourrait d’ailleurs faire l’objet d’un autre post, car c’est pas si fréquent qu’on s’amuse à mettre 250.000 pages en erreur 404 pendant plusieurs jours de suite !

  23. Est ce que le Hacker ta contacté ou ta demandé une « rançon » pour ton domaine ?
    David

  24. Bonjour,
    Lors de la création du site d’une romanciere nous nous somme confrontés au fait qu’une « fan » avait réalisé un site web prenant le nom de domaine le plus explicit possible…nous avons du rajouter -officiel et dans le référencement ca n’aide pas.

    J’aimerais connaitre l’hebergeur du site de la fan, comment puis-je faire ?

    Merci beaucoup.

    MM

  25. Merci Olivier,
    Et toujours bon courage pour la suite.
    Tu as écrit : »Je ne sais pas si ce service existait à l’époque où j’ai acheté mon nom de domaine… » en parlant d’OWO.
    Persuadé que cela n’existait pas non plus quand nous avons acheté le notre, j’ai préféré en être sûr :
    http://forum.ovh.com/showthread.php?t=19049
    ce post est en date du 03/08/2007, 19h10

    A mel : Pour le site web de la fan, la première chose à faire serait peut-être de prendre contact avec elle ! En tant que fan de TB elle ne pourra que s’en sentir flatter et certainement prête à collaborer.

  26. Merci pour ces précieuses informations que j’ai lu avec plaisir. Ton expérience nous sert grandement à sécuriser nos noms de domaine.

  27. bonjour, je me suis fait piquer mon nom de domaine par manque de renouvellement à temps – cela fait trois mois que ca dure et que j’essaye de faire quelque chose mais mon ancien prestataire me demande 400 euros pour l’action juridique + le rachat environ 300 ou 400 $ minimum (ca peut etre plus) et le renouvellement chez namebay (ca ca peut aller… mais bon)
    je ne sais que faire – c’est vraiment du vol, auriez vous des conseils – merci d’avance.

  28. David .. Un domaine non renouvellé à temps n’est pas « volé » s’il est repris pas une autre personne. Aussi détestables que soient ces pratiques et les individus qui en vivent elles font parties de la vie du réseau, et ne sont pas illégales. Seule possibilité tenter de racheter à un « bon prix » ton ancien domaine.

  29. Dans un autre registre tout aussi peu sympathique, le cybersquatting, qui consiste à se faire piquer un nom de domaine très proche, afin de détourner la clientèle.

    Par exemple, lorsqu’on orthographie mal l’adresse de mon site web http://www.trouvtoo-voyages.com et qu’on met à la place http://www.trouvetoo-voyages.com (avec un e en plus) on se retrouve chez un géant du voyage a bas prix, alors que je vends du sur mesure haut de gamme 🙁

  30. le plus simple est de choisir le bon registrar, le mien offre le domaine unlock avec la date de naissance c’est sécuriser je pense lol car un domaine locké ne sert à rien pour le voleur

  31. Quelle histoire de fou !
    Merci pour tes conseils. Nous pour des raisons perso on est parti plusieurs mois sans acces internet. On avait notre addresse depuis plusieurs années. On avait oublié qu’il allait se finir. En rentrant on voulait le relancer, on avait plein de projet d’activité… et non il était arrivé à terme et avait été acheté et mis en vente!! Tout à refaire, ça remet même en question l’activité professionnelle…
    Donc payer pour 10 ans, oui c’est un bon conseil. Je vais sûrement le suivre.

  32. pour ma part j’ai des noms de domaines chez netissimes depuis qq temps déja , et j’ai voulu changer de registrar et netissime comme le dise plus haut demande un courrier pour obtenir l’autocode de transfert.. cela n’a rien de plus de sécurité n’importe qui peut faire un papier envoyé par la poste.. je dirai même au contraire . de plus cela prends du temps.
    le vol de nom de domaine est courant il y a même pire, c’est que votre nom de domaine soit bel et bien chez un registrar a vous mais que certain s’en serve tout simplement ( modif de dns , redirection etc.. moi ca marrive que certain nom de domaine je vois des pages affiché de portail de redicrection alors que mon nom domaine doit normalement etre sur les serveur de mon hebergeur qui ne pratique pas cela lui

  33. Bonjour,

    Je suis Registrar et je peux donc vous donner quelques conseils utiles pour éviter ces désagréments :

    1 – choisissez un Registrar Icann qui utilise véritablement son accréditation (Vérifiez le whois du nom de domaine .com du Registrar). Si ce n’est pas son nom, c’est qu’il est uniquement revendeur, donc passez votre chemin ;

    2 – choisissez un Registrar qui n’autorise pas les transferts sortants en ligne, mais uniquement à l’aide d’une procédure par courrier ;

    3 – choisissez un Registrar avec qui vous pouvez passer un contrat de prestation, ne vous contentez pas des conditions générales ;

    4 – choisissez un Registrar qui ne laisse pas retomber votre nom, même si vous oubliez de le renouveler.

    Voilà pour les conseils de sécurité. Un nom de domaine est important, il faut essayer de le protéger au maximum. Je ne laisse pas mon nom, comme ça on ne peut pas dire que je me fais de la publicité 🙂

Les commentaires sont fermés.