Le Whois, un outil à connaître absolument pour éviter les arnaques

Il existe un moyen peu connu pour savoir si un site internet présente des risques d’arnaques : l’analyse du Whois. Les geeks connaissent bien cet outil mais c’est rarement le cas des internautes moins aguerris qui peuvent se demander à quoi il correspond… Eh bien, rompons tout de suite le suspens. Le Whois est la carte d’identité d’un site internet. Comme nous allons le voir ici, sa lecture et son analyse peuvent permettre de détecter de nombreuses choses… et notamment les risques d’arnaques. Suivez le guide !

Qu’est-ce que le Whois ?

Définition

Le Whois (contraction de l’anglais signifiant « qui est ? ») est un service qui permet d’afficher des informations liées à un nom de domaine (« identifiant » permettant d’accéder à un site internet. Ex : wikipedia.org, amazon.com… sont des noms de domaine). De manière analogue à une carte d’identité, il permet d’obtenir des informations diverses et variées comme les informations du propriétaire, sa date de création, le pays rattaché…

Les informations sont publiques et sont communiquées par ce que l’on appelle communément des registrars (en français : des bureaux d’enregistrements). En France, un des plus connus est OVH qui permet à quiconque d’acheter un nom de domaine.

Exemple

A quoi ça ressemble ? A ça (exemple avec le Whois de Google.com) :

Domain Name: google.com
Registry Domain ID: 2138514_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.markmonitor.com
Registrar URL: http://www.markmonitor.com
Updated Date: 2018-02-21T10:45:07-0800
Creation Date: 1997-09-15T00:00:00-0700
Registrar Registration Expiration Date: 2020-09-13T21:00:00-0700
Registrar: MarkMonitor, Inc.
Registrar IANA ID: 292
Registrar Abuse Contact Email: abusecomplaints@markmonitor.com
Registrar Abuse Contact Phone: +1.2083895740
Domain Status: clientUpdateProhibited (https://www.icann.org/epp#clientUpdateProhibited)
Domain Status: clientTransferProhibited (https://www.icann.org/epp#clientTransferProhibited)
Domain Status: clientDeleteProhibited (https://www.icann.org/epp#clientDeleteProhibited)
Domain Status: serverUpdateProhibited (https://www.icann.org/epp#serverUpdateProhibited)
Domain Status: serverTransferProhibited (https://www.icann.org/epp#serverTransferProhibited)
Domain Status: serverDeleteProhibited (https://www.icann.org/epp#serverDeleteProhibited)
Registrant Organization: Google LLC
Registrant State/Province: CA
Registrant Country: US
Admin Organization: Google LLC
Admin State/Province: CA
Admin Country: US
Tech Organization: Google LLC
Tech State/Province: CA
Tech Country: US
Name Server: ns3.google.com
Name Server: ns2.google.com
Name Server: ns1.google.com
Name Server: ns4.google.com
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2019-01-18T02:36:09-0800 <<<

For more information on WHOIS status codes, please visit:
  https://www.icann.org/resources/pages/epp-status-codes

If you wish to contact this domain’s Registrant, Administrative, or Technical
contact, and such email address is not visible above, you may do so via our web
form, pursuant to ICANN’s Temporary Specification. To verify that you are not a
robot, please enter your email address to receive a link to a page that
facilitates email communication with the relevant contact(s).

Web-based WHOIS:
  https://domains.markmonitor.com/whois

If you have a legitimate interest in viewing the non-public WHOIS details, send
your request and the reasons for your request to whoisrequest@markmonitor.com
and specify the domain name in the subject line. We will review that request and
may ask for supporting documentation and explanation.

The data in MarkMonitor’s WHOIS database is provided for information purposes,
and to assist persons in obtaining information about or related to a domain
name’s registration record. While MarkMonitor believes the data to be accurate,
the data is provided "as is" with no guarantee or warranties regarding its
accuracy.

By submitting a WHOIS query, you agree that you will use this data only for
lawful purposes and that, under no circumstances will you use this data to:
  (1) allow, enable, or otherwise support the transmission by email, telephone,
or facsimile of mass, unsolicited, commercial advertising, or spam; or
  (2) enable high volume, automated, or electronic processes that send queries,
data, or email to MarkMonitor (or its systems) or the domain name contacts (or
its systems).

MarkMonitor.com reserves the right to modify these terms at any time.

By submitting this query, you agree to abide by this policy.

MarkMonitor is the Global Leader in Online Brand Protection.

MarkMonitor Domain Management(TM)
MarkMonitor Brand Protection(TM)
MarkMonitor AntiCounterfeiting(TM)
MarkMonitor AntiPiracy(TM)
MarkMonitor AntiFraud(TM)
Professional and Managed Services

Visit MarkMonitor at https://www.markmonitor.com
Contact us at +1.8007459229
In Europe, at +44.02032062220

Ne vous piquez pas les yeux à décrypter le contenu, comme nous allons le voir plus loin, il y a des outils qui font ça très bien…

A quoi ça sert ?

A plusieurs choses : S’informer sur « l’environnement » d’un nom de domaine, nous verrons plus loin les détails… c’est particulièrement utile pour vérifier la cohérence des mentions légales inscrites sur le site ! Autre intérêt non négligeable : Il permet de récupérer les contacts nécessaires pour reporter des abus directement au bureau d’enregistrement qui possède le nom de domaine.

Comment le trouver ?

De nombreux sites permettent de récupérer le Whois d’un nom de domaine, voici une liste non exhaustive :

• ScamDoc : Ce site possède une double fonction. Premièrement il vous communique le Whois des sites que vous recherchez via une simple barre de recherche. Parallèlement, il réalise une analyse de fiabilité en fonction des éléments qu’il récupère. Bref, il fait l’analyse à votre place 😉 : le top !
• Raynette : Incontestablement resté mon grand coup de cœur avant l’arrivée de ScamDoc… Lors de recherches, il a plusieurs fois récupéré des informations que d’autres n’arrivaient pas à fournir !
• Whois OVH : Nous en avons parlé plus haut, OVH est un bureau d’enregistrement qui offre une fonctionnalité de recherche fonctionnelle mais « un peu lourde »… il est nécessaire de remplir un Recaptcha pour toute recherche.

Il en existe pleins d’autres, n’hésitez pas à utiliser les commentaires en bas d’article pour en ajouter d’autres si vous êtes un habitué de cette fonctionnalité.

Quelles informations intéressantes peut-on trouver dans un Whois ?

Les coordonnées du propriétaire

Les informations sur le propriétaire sont une vraie mine d’or ! L’absence d’information aussi d’ailleurs (vous allez bientôt comprendre cette remarque…).

Retrouver cette information n’est pas toujours simple dans un fichier Whois mais si vous utilisez le premier site dont je vous ai parlé, cela ne sera pas un problème puisqu’il le fait à votre place en affichant les informations de manière claire.

Voici un exemple d’informations concernant un propriétaire de site :

nic-hdl:     SB42807-FRNIC
type:        ORGANIZATION
contact:     Scary-box
address:     Avenue De Beaulieu
address:     1004 LAUSANNE
country:     CH
phone:       +41.782739212
e-mail:      teamscarybox@gmail.com
registrar:   EPAG Domainservices GmbH
changed:     2019-01-10T11:14:15Z nic@nic.fr
anonymous:   NO
obsoleted:   NO
eligstatus:  ok
eligsource:  REGISTRAR
eligdate:    2019-01-10T11:21:01Z
reachmedia:  email
reachstatus: ok
reachsource: REGISTRAR
reachdate:   2019-01-10T11:21:01Z
source:      FRNIC

Nous retrouvons ici les coordonnées de la société ou de la personne qui possède le nom de domaine du site internet qui vous intéresse. C’est particulièrement utile lorsque le site n’affiche pas de mentions légales (pour rappel c’est illégal pour un site d’e-commerce…).

D’autres données sont intéressantes et capitales ! Décortiquons les cas les plus intéressants.

L’adresse email d’un propriétaire de nom de domaine

L’adresse mail du propriétaire d’un nom de domaine est très utile pour lui écrire, certes, mais pas que… Elle permet d’identifier le type d’individu qui possède le site. Les adresses mail issues de messageries gratuites comme Gmail, Hotmail, Outlook… sont moins crédibles que celles qui se réfèrent à un nom de site ou d’entreprise.

Elles peuvent faire référence à un particulier, une très petite société ou encore un arnaqueur qui passe son temps à acheter des sites. Les grandes entités ont systématiquement une adresse de type « professionnel ».

Imaginez par exemple qu’une grosse société comme EDF affiche un mail de type edf@gmail.com, vous en penseriez quoi ??? Pas de panique pour ce cas, ils sont cleans 😉

nic-hdl:     EDF546-FRNIC
type:        ORGANIZATION
contact:     ELECTRICITE DE FRANCE
address:     ELECTRICITE DE FRANCE
address:     22-30, avenue de Wagram
address:     75008 Paris
country:     FR
phone:       +33 1 40 42 22 22
e-mail:      marques@edf.fr <-- Adresse "professionnelle", pas edf@gmail.com...

Le pays où réside le propriétaire du nom de domaine

C’est une information essentielle ! Le pays du propriétaire est désigné par la balise « Country » et affiche un code à 2 chiffres. Elle permet de savoir dans quel pays il réside. Cette information est très importante car elle permet d’estimer vos chances de recours en cas de litiges.

Par exemple, si vous êtes un français et que vous commandez sur un site dont le propriétaire est Chinois ou Béninois, n’espérez pas pouvoir exercer une pression judiciaire si besoin…

Il existe une liste de pays « à éviter » lorsque l’on commande sur internet car par expérience, ils sont régulièrement utilisés à des fins frauduleuses… Même si ce n’est évidemment pas le cas dans 100 % des cas, tout reste une histoire de probabilités !

Les pays à risques les plus connus : Chine, Ukraine, Russie, Hong-Kong…

Remarque : Il arrive parfois que cette donnée ne soit pas présente dans les Whois. Sans rentrer dans les détails techniques, il est possible de déduire la nationalité probable du site : laissez les outils spécialisés se charger de cette tâche 😉 .

La date de création du nom de domaine

La date de création d’un nom de domaine est plutôt simple à trouver, il s’agit de la donnée « created_date ».

Il s’agit incontestablement de l’information la plus importante pour mesurer la crédibilité d’un site internet. Et pour cause ! La très grande majorité des sites d’arnaques affiche une date de création très récente car ils disposent de peu de temps pour commettre leurs méfaits avant d’être mis hors ligne.

Plus un site est récent (inférieur à 6 mois), plus la confiance que vous y accordez doit être limitée. A contrario, plus un site affiche de l’ancienneté, plus sa crédibilité peut être mise en avant.

L’espérance de vie d’un nom de domaine

Dans le Whois, il existe une autre donnée intéressante à exploiter : l’espérance de vie ! Il s’agit de la différence entre la date d’expiration et la date de création. Cette dernière dépend directement du montant payé pour réserver le nom de domaine… Plus vous réservez pour longtemps, plus c’est cher !

Pour les sites récents, elle est caractéristique ! En effet, il est très rare que les arnaqueurs réservent un nom de domaine pour une durée supérieure au minimum (1 an)… Trop cher.. 😉

Les limites du Whois

Voilà, vous venez de découvrir une super technique pour traquer les sites malveillants et pas clairs. Sur le papier, tout est clair ! Par contre, au fur et à mesure de vos essais, vous vous apercevrez que les réponses obtenues via le Whois diffèrent en fonction des sites. Pourquoi ? Voici quelques explications…

Les pays peu coopérants

Pour récupérer un Whois automatiquement, il est nécessaire de s’adresser à un serveur spécifique lié au pays qui gère le TLD (extension du nom comme .fr, .com, .es…). Lorsqu’on l’interroge, ce dernier renvoie vers le bureau d’enregistrement concerné afin d’obtenir des informations complémentaires.

Même si ce fonctionnement est globalement utilisé par la majorité des pays, certains affichent un fonctionnement plus archaïque qui nécessite une intervention manuelle et lourde : c’est notamment le cas de l’Espagne (extension .es) qui fournit peu d’informations lorsque l’on lui demande…

Les options d’anonymisation

Lorsqu’une personne réserve un nom de domaine auprès d’un bureau d’enregistrement, il arrive qu’un service d’anonymisation soit proposé gratuitement ! Cela dépend de l’extension du nom (TLD ou encore Top Level Domain).

Dans ce cas, les données affichées dans le Whois ne permettent plus d’identifier clairement les contacts. Même si cela pourrait aux premiers abords paraître gênant, il faut juste considérer qu’un site qui cache les informations de son propriétaire est globalement plus risqué à utiliser qu’un autre qui serait plus transparent sur ce point !

Le RGPD

Le règlement général sur la protection des données entré en vigueur en Mai 2018 impacte globalement les conditions d’accès aux informations du Whois. Il faut s’attendre à moyen terme que les données personnelles tendent à disparaître comme a pu l’initier la société OVH en France.

Voilà, je pense que nous avons fait le tour des principales informations importantes à trouver dans un Whois et surtout ce qu’elles peuvent nous apprendre, n’hésitez pas à ajouter un commentaire si vous avez des infos complémentaires à ce sujet !