Whois : outil désormais encadré - toujours utile, à condition d’en connaitre les limites

À quoi servait le WHOIS – et que reste-t-il de cette promesse ?

Historiquement, une requête whois nom de domaine renvoyait à des éléments factuels : date de création d’un domaine, bureau d’enregistrement, serveurs DNS, parfois l’identité et les coordonnées du titulaire. Pourquoi était-ce précieux ? Parce qu’une banque « apparue » hier, ou un site d’administration dont le domaine a trois jours, déclenche, à bon droit, un signal d’alarme. Certes, ce réflexe reste pertinent, mais la portée des informations a changé : l’accès nominatif n’est plus la règle pour les personnes physiques, ce qui impose d’examiner davantage les attributs purement techniques.

La bascule RGPD : visibilité réduite, accès conditionnel

Depuis le 25 mai 2018, la plupart des registres masquent par défaut les données personnelles des titulaires particuliers. Faut-il y voir la fin de toute traçabilité ? Non : les registrar (bureau d’enregistrement), et les registres conservent les informations complètes et peuvent les communiquer sur motif légitime (enquête de sécurité, atteinte aux droits, décision judiciaire). Cela étant, pour le grand public, le WHOIS « à vue », n’affiche plus aisément un nom, une adresse ou un e-mail. On rencontre plutôt des mentions du type « Redacted for Privacy » ou des services de confidentialité agissant comme intermédiaires.

Sécurité et enquêtes : ce qui fonctionne encore, concrètement

Même avec des champs masqués, plusieurs indices restent exploitables : l’âge du domaine, les changements d’IP, la cohérence des serveurs DNS, la présence d’un enregistrement SPF/DMARC, ou la stabilité d’un registrar dans le temps. Est-ce suffisant pour qualifier un risque ? Souvent, oui : nombre d’attaques reposent sur des domaines très récents, des NS incohérents ou des infrastructures jetables. De fait, le WHOIS demeure un tremplin utile, à condition de le combiner avec d’autres signaux (certificat TLS, réputation d’IP, historique de résolutions). Et lorsqu’une procédure s’ouvre, l’accès encadré aux données complètes permet encore d’identifier un contact opérationnel ou de notifier formellement un titulaire.

Du WHOIS au RDAP : une transition assumée

Le mouvement de fond est clair : le RDAP (Registration Data Access Protocol) prend la relève technique du WHOIS. Pourquoi ce remplacement ? D’abord pour unifier l’accès, mieux gérer les contrôles d’autorisations et livrer des réponses structurées. En effet, dans un univers dépassant les 350 millions de noms de domaine et plus de 1 500 extensions, la standardisation des formats et des droits d’accès n’est plus un luxe. De ce fait, parler de « WHOIS » au quotidien reste commode, mais l’implémentation de référence devient, de plus en plus, le RDAP.

Marques et propriété intellectuelle : des leviers toujours actifs

Le WHOIS public n’étant plus aussi bavard, la veille anti-abus s’appuie désormais sur des combinaisons : historiques d’enregistrements, détection de variantes (typosquatting), cross-check DNS, et procédures administratives (type UDRP) lorsque la mauvaise foi se laisse documenter. Faut-il renoncer à des actions rapides ? Pas du tout : un signalement circonstancié au registrar, étayé par l’âge du domaine, la similarité de marque et l’usage manifestement trompeur, obtient encore des résultats tangibles.

Bonnes pratiques : vérifier un domaine sans données nominatives

Commencer par l’objectivable : date de création, registrar, DNS, cohérence du WHOIS avec le certificat TLS, enregistrements SPF/DMARC alignés avec l’expéditeur revendiqué. Poursuivre avec l’historique : le domaine a-t-il changé d’IP ou de serveurs récemment ? Enfin, confronter le tout à des faits simples : un site bancaire peut-il raisonnablement opérer depuis un domaine âgé de quelques jours ? Un site institutionnel sans politique de messagerie publiée inspire-t-il confiance ? Ainsi, l’absence d’identité publique n’empêche pas une appréciation rigoureuse du risque.