@Work
Que faire d’un nom de domaine dont on n’a plus besoin ?
Par Laurent Delattre, publié le 17 décembre 2024
Le récent problème d’un nom de domaine gouvernemental correspondant à une organisation disparue, et qui a fait l’objet d’un détournement, a remis sur le tapis la question des noms de domaine dont on n’a plus besoin. Par exemple, une entreprise qui change de nom, un projet qui est terminé, un organisme public qui disparait… Quelles sont les bonnes pratiques ?
Par Stéphane Bortzmeyer, Ingénieur expert R&D à l’Afnic
Un nom de domaine n’est, en général, pas acquis pour l’éternité. Sa conservation est liée à la nécessité de payer chaque année un renouvellement [1]. On constate dans “.fr” qu’environ un tiers des noms de domaine disparaissent au bout d’un an, probablement parce qu’ils avaient été enregistrés « pour voir » et rapidement abandonnés. Au bout de deux ans, il reste un peu plus de la moitié. Ensuite, cela se calme : si un nom a survécu à sa difficile période initiale, c’est probablement qu’il a une valeur importante pour son titulaire, qui va le conserver plus longtemps. Néanmoins, on constate qu’un quart seulement des noms enregistrés avant 2003 n’ont pas été supprimés. Bref, les noms ne durent pas toujours.
Les risques
Que se passe-t-il lorsqu’un nom n’est plus « utile » ? Le premier choix est celui de non-décision. Un projet a été abandonné mais on garde le nom éternellement parce que personne n’ose décider d’une action. Si le nom a été enregistré auprès d’un registre de noms de domaine, cela signifie qu’on va continuer à payer [2], pour un nom inutilisé. Si le nom était un sous-domaine d’un domaine dont on est le titulaire, le coût financier direct est nul mais il y a d’autres risques, comme l’attaque du sous-domaine, citée plus loin. Et puis le principal risque associé à cette non-décision est que tout peut arriver à ce nom négligé. Par exemple, il est probable qu’il ne sera pas géré avec attention et il aura donc davantage de risques d’être détourné par un malveillant, ce qui a été le cas cité en introduction.
Donc, il faut prendre une décision. Chaque cas est évidemment particulier et il faudra faire une analyse spécifique. Voyons les critères possibles :
1 / Le domaine, si on le supprime, risque-t-il d’être enregistré par quelqu’un d’autre ?
S’il était un domaine enregistré sous un suffixe public, comme .fr ou .com, ce ré-enregistrement est un risque sérieux, avec des conséquences comme l’utilisation par un concurrent ou par un service avec lequel on ne veut pas être associé [3]. Si, par contre, il était un sous-domaine d’un domaine qu’on a enregistré, ou bien s’il était sous un domaine d’enregistrement avec des conditions strictes (comme fr ou comme la racine), le risque de ré-enregistrement est plus faible.
2 / Le domaine servait-il pour un hébergement Web, avec du contenu intéressant et pertinent, qu’il serait souhaitable de garder en ligne ?
Le Web souffre déjà du nombre de pages intéressantes qui deviennent introuvables [4], il ne faudrait pas rajouter d’autres 404 [5]. Certes, on peut toujours changer les liens internes mais certainement pas tous les liens, signets, marque-pages et autres mentions des adresses Web liées au domaine dont on n’a plus besoin [6][7].
3 / Même chose si le domaine était utilisé pour des services comme le courrier électronique.
De même qu’on ne peut pas espérer faire changer toutes les mentions des anciennes adresses Web éparpillées aux quatre coins de l’Internet, les références à des adresses de courrier sont trop nombreuses pour qu’on se permette de supprimer un domaine qui a été utilisé pour des adresses de courrier publiques [8]. Une erreur courante est de croire qu’on connait toutes les utilisations d’un domaine. C’est rarement le cas.
Le prix est évidemment un critère de décision. Notez que les noms de domaine sont souvent bon marché pour un budget d’entreprise ou d’État et que les conséquences d’une suppression irréfléchie peuvent nettement dépasser ce budget.
Bref, il n’y a pas de loi absolue, il faut étudier chaque cas.
Notez que, si on garde un nom de domaine qui pointait vers une adresse IP, et que cette adresse IP était chez un hébergeur public, et qu’on abandonne cette adresse IP (en gardant le nom, ce qui arrive souvent à la fin d’un projet), on est vulnérable à une attaque répandue, l’attaque du sous-domaine. Le principe ? L’attaquant écrit un programme qui, en utilisant l’API [9] de l’hébergeur public, réserve des adresses IP jusqu’à ce qu’il tombe [10] sur celle qu’on avait abandonnée. Il contrôle alors une machine qui est pointée par un nom de domaine à vous, ce qui peut lui permettre de placer ou de voler des cookies ou d’obtenir des certificats.
Les 3 recommandations clés
Recommandation n°1 : Bien se souvenir qu’un nom de domaine, une fois utilisé, est difficile à supprimer. Il faut réfléchir avec de « retirer l’échelle ». Le raisonnement « on n’en a plus besoin donc on le supprime » est souvent erroné. Pour la plupart des organisations, l’économie réalisée en supprimant le nom ne se justifie pas.
Recommandation n°2 : Si on garde le nom, il faut le gérer avec presque le même soin que les domaines toujours actifs. Les données sociales (nom et coordonnées du titulaire et des contacts) doivent être maintenues à jour [11]. Les informations permettant de se connecter à son bureau d’enregistrement (login, mot de passe, etc) doivent rester protégées [12].
Recommandation n°3 :Comme abandonner un nom dans un suffixe public est plus délicat (risque de ré-enregistrement), il faut réfléchir avant d’en acheter un. Si votre société a le domaine com, et crée une campagne sur un service nommé BonCafé, utiliser boncafé.example.com est souvent préférable à acheter un domaine boncafé.com. Pensez donc à utiliser plutôt des sous-domaines de vos domaines [13].
Conclusion
Si le « décollage » (créer un nom de domaine et l’exploiter) nécessite une réflexion soigneuse, il ne faut pas oublier que l’« atterrissage », la fin de vie du nom, nécessite également de l’attention, ce qui est parfois négligé.
[1] La règle exacte est plus complexe, et cet article est forcément un peu simplifié.
[2] Dans beaucoup d’organisations, la lourdeur des mécanismes de décision fait qu’il coûte moins cher de continuer à payer que de prendre la décision d’arrêter.
[3] Pornographie, par exemple.
[4] Signalons l’excellent service Internet Archive, qui archive une très grande partie du Web. C’est un service au public absolument essentiel. Au Portugal, le projet Renascer va plus loin, en réutilisant les noms de domaine lorsqu’ils sont abandonnés, pour les faire pointer vers l’archive Web. Mais un tel service n’existe pas partout.
[5] Le code de réponse normalisé d’un serveur HTTP lorsqu’on lui demande une page qui n’existe pas ou plus.
[6] D’où l’importante règle : un URL (adresse Web) doit toujours continuer à fonctionner.
[7] On peut connaitre – mais pas corriger ou supprimer – les liens publics avec un moteur de recherche qui accepte les requêtes de type « site:NOM-DE-DOMAINE ».
[8] Si on le fait, on est vulnérable à l’attaque dite « Flamant », où un attaquant enregistre un domaine supprimé, pour récupérer le courrier, ce qui peut permettre, entre autres, de se faire passer pour un contact d’un domaine qui utilisait les adresses du domaine supprimé.
[9] Interface de programmation.
[10] Avec beaucoup d’hébergeurs publics, le coût d’une telle recherche, où on abandonne tout de suite les adresses qui ne conviennent pas, peut être très faible.
[11] C’est une obligation des règles d’enregistrement, et c’est nécessaire pour éviter, par exemple, qu’une vérification des coordonnées n’aboutisse à la suspension du domaine.
[12] Le domaine gouvernemental mentionné plus haut a été piraté, sans doute par suite d’une fuite de ces informations de connexion.
[13] C’est également un bon conseil de sécurité informatique, puisque cela permet facilement de voir si un domaine est bien à vous, ce qui est utile contre le hameçonnage, notamment.
À LIRE AUSSI :
À LIRE AUSSI :
