Domaine .Eu : l'Eurid admet une faille de sécurité
La première faille équitable
Une faille a été révélée par l’Eurid sur son système de réservation de nom de domaine. L'Eurid, pour mémoire, est l’organisme accrédité par l'ICANN, en charge de cette extension. Depuis le 7 avril dernier, celle-ci est ouverte à tout le monde. Quiconque peut s’acheter un domaine .eu auprès d’un bureau d’enregistrement, l’intermédiaire entre le l’Eurid et le client. La procédure eut un certain succès puisque pas loin de 390 000 demandes furent déposées dans les 100 premières minutes de l’ouverture.
Le bug annoncé reposait sur une fonctionnalité réservée aux seuls bureaux d’enregistrement, celle qui leur permet de prendre connaissance des noms que ces sociétés ont enregistrés pour le compte des clients. Petit hic : « Cette fonctionnalité donnait plus d’informations que le strict nécessaire. » Spécialement, modifiant quelques variables, elle permettait à ces sociétés d’extraire des listes entières de noms sur des .Eu non encore déposés.
Un peu gêné l’Eurid jure que la possibilité « n’a pas affecté le système d’enregistrement en tant que tel ». Plus surprenant, l’organisme affirme que la faille « n’a pas compromis le caractère équitable [de la procédure] puisque tous les bureaux accrédités ont eu les mêmes possibilités » d’en profiter ! Ce à quoi nos confrères de Mailclub.info rétorquent non sans justesse : « C’est comme si le système antivol d’un supermarché ne fonctionnait pas et que le directeur du magasin proclamait : 'tout le monde pouvait voler, le système ne marchait pas'. »
L’événement intervient alors que, dès l’ouverture, plusieurs sociétés, surtout américaines, ont abusé du système d’enregistrement. Des structures furent montées spécialement pour l’occasion afin d’enregistrer des noms à la pelle, qu’on ne sera guère surpris de voir sur le marché de la revente dans quelque temps.
La faille signalée par l’Eurid est aujourd’hui colmatée.
Le bug annoncé reposait sur une fonctionnalité réservée aux seuls bureaux d’enregistrement, celle qui leur permet de prendre connaissance des noms que ces sociétés ont enregistrés pour le compte des clients. Petit hic : « Cette fonctionnalité donnait plus d’informations que le strict nécessaire. » Spécialement, modifiant quelques variables, elle permettait à ces sociétés d’extraire des listes entières de noms sur des .Eu non encore déposés.Un peu gêné l’Eurid jure que la possibilité « n’a pas affecté le système d’enregistrement en tant que tel ». Plus surprenant, l’organisme affirme que la faille « n’a pas compromis le caractère équitable [de la procédure] puisque tous les bureaux accrédités ont eu les mêmes possibilités » d’en profiter ! Ce à quoi nos confrères de Mailclub.info rétorquent non sans justesse : « C’est comme si le système antivol d’un supermarché ne fonctionnait pas et que le directeur du magasin proclamait : 'tout le monde pouvait voler, le système ne marchait pas'. »
L’événement intervient alors que, dès l’ouverture, plusieurs sociétés, surtout américaines, ont abusé du système d’enregistrement. Des structures furent montées spécialement pour l’occasion afin d’enregistrer des noms à la pelle, qu’on ne sera guère surpris de voir sur le marché de la revente dans quelque temps.
La faille signalée par l’Eurid est aujourd’hui colmatée.
Marc Rees
le 6 juillet 2006 à 10:17
(12 003
lectures)
Actualités et brèves relatives
- 13 / 06 / 2006 : Lastminute.eu : une seconde manquée et tout est dépeuplé
- 07 / 04 / 2006 : .Eu : 390 000 demandes dans les 100 premières minutes
- 07 / 04 / 2006 : Jour J : ouverture de l'extension .Eu à 11h
- 03 / 04 / 2006 : Ouverture complète du .EU dans moins d'une semaine
- 08 / 02 / 2006 : Domaines .Eu : l'ouverture de la chasse se poursuit
- 26 / 01 / 2006 : Premier conflit en .Eu et hausse de 20% du cybersquatting
- 08 / 12 / 2005 : Ouverture du domaine .eu : le sex.eu, très convoité
- 21 / 10 / 2005 : L'Europe interdit 1400 noms de domaine .Eu
