Skip to main content

Vous avez un nom de domaine ? Ne tombez pas dans ce piège

Comme nous recevons régulièrement des questions sur ce sujet de la part de nos clients, il nous semble utile de faire un point sur les tentatives de hameçonnage liées au renouvellement des noms de domaine. Nous venons d'en recevoir une qui pourrait s'avérer dangereuse car elle est bien rédigée et pourrait ainsi déjouer un destinataire trop pressé ou mal informé. Voyons ceci plus en détails.

Le message

Afin de conserver la mise en page (un point toujours important avec les messages de phishing), voici une capture d'écran du message tel qui s'affiche dans notre logiciel d'email.

Contenu de l'email d'hameçonnage

Première remarque, le texte est écrit dans un français correct, avec même une salutation inclusive. La mise en page est claire et, à première vue, cela semble un message authentique. Il y a quand même une faute d'orthographe ("renouvelement" au lieu de "renouvellement") et une faute "de frappe" ("IMPORANT" au lieu de "IMPORTANT"). Dans un email "automatique", qui sera envoyé de nombreuses fois (seul le nom de domaine change), il est peu probable qu'un prestataire sérieux laisserait passer de telles erreurs.

Enfin, le saut de ligne entre "pourrait" et "être" semble aussi une erreur suspecte. Mais si on lit un peu rapidement le message ...

Voyons donc les autres détails.

Analyse du message

Comme pour tous les messages qui vous annoncent une suspension (imminente ou effective) d'un service, une action urgente à effectuer, ... vérifiez qui est l'expéditeur.

Avec un logiciel d'email (Thunderbird, Mail, Outlook,...), sur un ordinateur, il est très facile de faire cette vérification en consultant les informations au-dessus de la fenêtre contenant le texte de l'email. Dans Thunderbird, cela ressemble à ceci :

Informations sur l'email

L'expéditeur, OVHCloud, est plausible mais son adresse email l'est déjà beaucoup moins ! N'étant pas client chez eux, nous ne recevons pas d'emails de chez OVH mais il est certain qu'ils ne proviendraient pas de chez "Groupe Installux".

Ce point seul suffit à identifier le message comme étant frauduleux. Ne cliquez sur aucun lien et supprimez le message.

Néanmoins, les choses ne sont pas aussi simples si vous lisez vos emails uniquement sur votre téléphone parce que, sur ces appareils, le message ressemble à ceci :

 Email sur le téléphone portable

Ici, seul le nom de l'expéditeur est visible. On pourrait donc se laisser surprendre. Pour consulter les informations d'expédition, il faut cliquer sur l'icône avec les 3 petits points (en haut à droite) et sélectionner "Afficher les en-têtes". On obtient alors les données visibles sur l'image suivante, où on peut lire en premier l'adresse email de l'expéditeur. Cette donnée permet de détecter la fraude.

 En-têtes de l'email

Le fraudeur est démasqué ! Mais le contenu du message est intéressant car il permet de se remettre quelques points importants en mémoire.

Rappels importants

Gestionnaire de l'abonnement

Le message commencent par la phrase : "Votre nom de domaine betterweb.fr est en ce moment enregistré sur OVH."

Dans notre cas, c'est faux ! Il est enregistré chez un autre prestataire mais, vous, savez-vous chez qui est enregistré votre nom de domaine ? En tant que propriétaire, il est essentiel de connaître cette information, même si vous chargez un tiers de gérer le renouvellement de l'abonnement à votre place (ce que nous faisons pour beaucoup de nos clients). En cas de défaillance de votre gestionnaire, vous devrez peut-être, à juste titre cette fois, intervenir rapidement pour ne pas interrompre le service. Encore faut-il savoir à qui s'adresser !

Pour savoir chez qui votre nom de domaine est enregistré, le plus simple est encore de faire une "recherche WHOIS". Tapez cette requête dans votre moteur de recherche préféré, il vous indiquera plusieurs sites sur lesquels vous pourrez effectuer la recherche (ou consultez les ressources dans la barre latérale).

Dans les résultats qui s'affichent, cherchez la ligne "registrar", c'est elle qui indique le nom du prestataire qui a enregistré votre nom de domaine. Ses coordonnées figurent également dans cette page.

Résultats recherche whois

Vous pouvez en même temps vous assurer que l'abonnement est bien valide (avec le status : ACTIVE) et connaître la prochaine date d'expiration. Dans certains cas cependant, seule la date de dernière mise à jour figure. En général, les abonnements sont pris pour 1 an mais vous devriez malgré tout vérifier la date d'expiration réelle (dans la console de gestion du nom de domaine).

Important : cherchez la ligne "eppstatus" : vérifiez que la valeur indiquée correspond bien à "clientTransferProhibited". Si c'est le cas, il faut fournir un code de transfert, disponible dans votre interface de gestion chez votre "registrar", pour transférer la propriété d'un nom de domaine à un tiers. C'est une protection contre le vol de nom de domaine qui est possible si celui-ci n'est pas protégé. Si vous voyez une autre valeur pour ce paramètre, contactez votre gestionnaire ou activez vous-même cette protection sur votre interface de gestion. Ce sera une bonne occasion de vérifier que vous pouvez vous y connecter !

Continuons à explorer le message.

Notifications et rappels

"Notre système de facturation a détecté l'expiration de ce service non renouvelé malgré les rappels que nous avons envoyés."

Effectivement, un registrar sérieux vous enverra des rappels à l'approche de l'expiration du nom de domaine. Nous ne savons pas s'ils procèdent tous de la même façon mais celui avec lequel nous travaillons depuis de nombreuses années, Gandi, envoie une notification 60, 30, 15, 7, 3 et 1 jours avant l'échéance. Normalement, vous ne devriez pas rater la date ! Dans le cas présent évidemment, aucun rappel n'a été envoyé avant le message "final".

Important : ces notifications sont envoyées, par email, au contact "Facturation" du site. Souvent il s'agit de la même personne que le propriétaire mais ce n'est pas forcément le cas. Vérifiez toujours que les adresses de contact enregistrées par votre registrar correspondent bien à des  boîtes aux lettres qui sont relevées régulièrement, surtout s'il s'agit de tierces personnes. Pour des raisons de confidentialité, ces adresses ne sont pas visibles dans le "WHOIS", vous devrez faire la vérification sur la console de gestion de votre nom de domaine. Chez Gandi, ces informations se trouvent dans l'onglet "Contacts Domaine".

Expiration du nom de domaine

"Votre nom de domaine a été donc suspendu."

De fait, passé la date d'expiration, tous les services associés au nom de domaine sont désactivés. En clair, ça signifie que votre site n'est plus accessible et qu'il n'est plus possible d'envoyer ou recevoir des emails. Le premier point peut être lourd de conséquences si vous dépendez de votre site pour vos affaires (boutique en ligne, services à la clientèle, ...), en termes de manque à gagner et d'image de marque, tandis que le second point peut se révéler problématique si vous avez oublié le mot de passe de connexion à la console de gestion et que l'email de réinitialisation est envoyé sur une boîte aux lettres appartenant au domaine bloqué ! Il est donc prudent d'avoir comme adresse email du contact "Propriétaire" un compte qui se trouve dans un autre domaine que celui dont il est le propriétaire. Mais il doit bien entendu s'agir d'une adresse active, sécurisée correctement et consultée régulièrement.

Renouvellement du nom de domaine

"Pour le réactiver, il vous suffit d'accéder à notre site et d'utiliser la commande de renouvelement :"

A part la faute d'orthographe, ce qui doit ici éveiller les soupçons c'est l'action qui découle de la phrase plus haut : le clic sur le bouton "Renouvelez-le dès maintenant". C'est ici que se trouve le piège.

Dans un logiciel de mail, le fait de survoler (ne cliquez pas !) le bouton fait apparaître la destination du lien. Dans le cas présent, le lien en question est "https :// ovhcom.page.link / FR" (les espaces sont ajoutés pour "désactiver" le lien dans cet article). Il faut être vigilant : au premier abord, on pourrait croire qu'il s'agit bien d'un lien vers la société OVH mais en réalité il s'agit d'une adresse dans un sous-domaine ("ovhcom") du site "page.link" (l'extension .link est une des très nombreuses extensions qui ont été ajoutées ces dernières années aux extensions "historiques" et régionales). On est donc bien sur un site qui n'a rien à voir avec OVH.

Important : sur un téléphone, la fonction "survol" n'existe pas. En cas de doute, ne cliquez sur rien et, si nécessaire, consultez le message sur un ordinateur, dans un logiciel qui vous permet de "lire" les liens sans cliquer dessus.

Déblocage du nom de domaine

 "En cas de non règlement dans un délai de 5 jours, votre domaine pourrait être définitivement supprimé."

Pour les distraits qui auraient raté la date d'échéance, tout n'est pas perdu : en tant que propriétaire du site, vous avez droit à une "période de grâce" pendant laquelle vous êtes prioritaire pour la réactivation de l'abonnement. Attention, cette période peut dépendre de plusieurs facteurs (registrar, type d'extension, ...) mais vous pouvez compter sur environ 30 jours pour "sauver" votre nom de domaine. N'oubliez pas cependant que tant que votre paiement n'a pas été enregistré, le site et les emails ne fonctionneront plus !

Passé cette période, le nom de domaine se retrouve en vente libre et n'importe qui peut le racheter. S'il est racheté, il sera difficile, coûteux voire impossible de le récupérer.

Enfin, notez aussi que le montant de la "restauration" du nom de domaine peut s'avérer (beaucoup) plus élevé que le renouvellement dans les délais. Une raison de plus de ne pas laisser passer la date.

Conclusion

Les fausses demandes de renouvellement de nom de domaine sont une arnaque courante mais en respectant les conseils ci-dessus vous devriez pouvoir les éviter très facilement. Si vous avez d'autres questions sur ce sujet, n'hésitez pas à nous contacter.

Ressources externes

Recherche WHOIS : whois.gandi.net/fr