BookMyName, l’un des bureaux d’enregistrement de noms de domaine de Scaleway (groupe iliad) a temporairement suspendu ses services (web et API) mardi 5 mai en raison d’une activité suspecte détectée au niveau de son système d’information.

« Certains clients ont pu constater une modification de leurs informations de contact associées à leurs noms de domaine, a alerté le service en début de journée. En conséquence, nous avons décidé de suspendre l’ensemble des accès publics à BookMyName le temps de mener les investigations nécessaires. »

Vers 17 heures, le bureau a publié un point d’étape affirmant que les informations de contact modifiées avaient été restaurées et que le service était considéré comme sécurisé, annonçant au passage prendre en charge gracieusement le renouvellement des noms de domaine arrivant à échéance dans les 72 heures.

Le rétablissement du service est finalement intervenu mardi 5 mai vers 22 heures, amputé de certaines fonctionnalités secondaires, dont la récupération de mots de passe.

« Compte tenu du rétablissement effectif du service ce jour, les renouvellements automatiques seront assurés sans interruption. Par conséquent, et contrairement à ce qui a pu être communiqué précédemment, nous ne procéderons pas au renouvellement gracieux des domaines arrivant à échéance ce 5 mai 2026. Ces derniers seront traités selon vos modalités de facturation habituelles », a publié à cette occasion le service.

BookMyName a publié dès mercredi 6 mai le post mortem de l’incident. D’après ce rapport, l’intrusion a permis à l’assaillant de modifier les informations de contact associées à 1 868 comptes clients. « L’adresse e-mail, le prénom, le nom, le mot de passe et le pays ont été modifiés », décrit le bureau d’enregistrement, selon qui aucune opération de transfert non sollicitée n’a été constatée.

« L’incident a été causé par une erreur de logique dans le contrôle d’autorisation du point de terminaison de modification des contacts. Cette faille a permis à un attaquant de modifier n’importe quel champ lié aux contacts en ciblant n’importe quel identifiant de compte en manipulant des paramètres de requête HTTP. Il s’agissait principalement d’une attaque à l’aveugle : aucun compte n’était spécifiquement ciblé », décrit le service sur un volet plus technique.

• [Offert] On analyse les 10 millions de noms de domaines en .fr

À peine lancé, le Steam Controller semble avoir été victime de son succès. Valve a en effet annoncé mardi 5 mai, au lendemain de la disponibilité générale de sa nouvelle manette de jeu, avoir écoulé la totalité de ses stocks. Les joueurs intéressés devront donc attendre un réapprovisionnement dont le calendrier n’a pas encore été précisé.

En attendant, les bidouilleurs pourront commencer à envisager leurs travaux de personnalisation ou de création d’accessoires : Valve a publié mardi les fichiers de CAO de la coque extérieure (topologie de surface) du Steam Controller et du Puck (le support qui assure la liaison sans fil à faible latence et la recharge). Les fichiers proposés « incluent un modèle STP, un modèle STL et un dessin technique qui met en évidence les éléments critiques et les zones d’exclusion des deux appareils ».

Valve a fait le choix de la licence Creative Commons dans sa version « Attribution – Utilisation non commerciale – Partage dans les mêmes conditions » (by-nc-sa 4.0). Le fabricant de claviers mécaniques Keychron a lui aussi récemment procédé à une démarche d’ouverture similaire en publiant les modèles 3D et certains plans de son catalogue de produits.