Jan Bayer

Le système de nom de domaine (DNS) est un acteur indispensable de l’Internet, car il permet entre autres de trouver la correspondance entre les noms de domaine, lisibles par l’Homme, et les adresses IP, exprimés en binaire. Or, suite à son expansion continue, l’Internet est devenu in-

évitablement enclin à l’abus de noms de domaine. L’abus composé d’un large panel d’activités malveillantes exploitant l’infrastructure DNS. Cette thèse traite de manière exhaustive l’abus de noms de domaine, via trois contributions distinctives.

Premièrement, cette recherche évalue l’étendue et l’ampleur des abus de noms de domaine. Via l’analyse des résultats de nos mesures accomplis sur plus de 251 millions de noms de domaine accompagnées de données provenant de listes de blocage réputées, nous avons produit

des métriques liées à la réputation des domaines de premier niveau (TLD), des bureaux d’enregistrements et des fournisseurs d’hébergement ainsi que l’analyse temporelle d’atténuation des abus, en réponsses aux incidents.

Dans un second temps, cette thèse répond au besoin d’un outil de classification pratique et opérationnel de distinction entre un nom de domaine compromis ou enregistrés à des fins malicieuses dans le cadre d’hameçonnage, pouvant facilement être déployé de manière pragma-

tique par différents acteurs de l’écosystème. Nous avons alors proposé une approche nouvelle permettant de palier les lacunes des systèmes déjà existants. Les deux principales avancées de cette contribution concernent une méthode automatisée de construction du jeu de données cor-

respondant à la réalité du terrain ainsi que la résilience du classificateur à l’absence de certaines valeurs. Cette résilience garantit la fiabilité et l’utilisation du classificateur dans un contexte opérationel, un défi important lors de l’utilisation de sources de données publiques et de mesures

actives.

Enfin, nous concevons un système de création d’une liste blanche de noms de domaine. Elle est méticuleusement établie afin d’y inclure seulement les domaines présentant des caractéristiques suggérant une faible probabilité de participation à des activités d’hameçonnage. Ces do-

maines proviennent de quatre sources accessibles publiquement : les enregistrements DNS, les informations relatives à l’enregistrement des domaines, les certificats de domaines et les rapports de litiges relatifs aux noms de domaine. La création d’une telle liste blanche vise à améliorer la pré-

cision des listes de blocage existantes, en favorisant une approche plus nuancée et plus complète de la lutte contre les abus de noms de domaine.

L’ensemble de cette œuvre, via ces contributions, aspire apporter une meilleure compréhension de l’abus des noms de domains, sa prévalence, et l’efficacité des stratégies d’atténuations des risques. Par ailleurs, les outils et ressources introduites dans le cadre de ce manuscrit permettent

d’apporter des moyens d’actions aux acteurs de l’Internet dans leurs efforts continus pour sauvegarder l’intégrité et la sécurité de l’écosystème de noms de domaine