Protection WHOIS : ce qu'elle cache et ce qu'elle ne cache pas
La protection WHOIS remplace vos coordonnées par un service proxy. Voici ce qu'elle masque, ce qu'elle ne peut pas masquer et comment l'activer.
La protection WHOIS (aussi appelée domain privacy ou proxy registration) remplace les coordonnées personnelles d'un propriétaire de domaine par celles d'un service proxy géré par le registrar. Au lieu de votre nom, adresse, email et téléphone apparaissant publiquement, l'enregistrement affiche quelque chose comme "WhoisGuard, Inc." ou les coordonnées du service proxy d'OVHcloud. Depuis l'entrée en vigueur du RGPD en 2018, la plupart des registrars européens redactent ces données par défaut, même sans option payante. En dehors de l'Europe, la protection doit généralement être activée explicitement.
Ce que fait la protection WHOIS
Sans protection, les coordonnées personnelles du registrant sont visibles par toute personne qui interroge le WHOIS :
| Champ | Sans protection | Avec protection |
|---|---|---|
| Nom du registrant | Votre vrai nom | Nom du service proxy |
| Email du registrant | Votre vrai email | Adresse de redirection proxy |
| Adresse du registrant | Votre vraie adresse | Adresse du service proxy |
| Registrar | Visible | Visible |
| Dates de création / expiration | Visibles | Visibles |
| Serveurs de noms | Visibles | Visibles |
| Statuts EPP | Visibles | Visibles |
Le registrar conserve vos vraies coordonnées et peut les communiquer aux parties légitimes (forces de l'ordre, conformité ICANN, demandes légales vérifiées) sur requête appropriée. Le service proxy ne vous rend pas anonyme ; il retire simplement vos données de la vue publique.
Pourquoi la protection WHOIS existe
Trois facteurs ont conduit à son adoption généralisée :
Le spam. Les adresses email présentes dans les enregistrements WHOIS ont été aspirées à grande échelle dès le début des années 2000. Enregistrer un domaine signifiait recevoir des centaines de spams par semaine en quelques jours. Le problème n'a pas disparu, il s'est aggravé à mesure que les outils de scraping se sont améliorés.
Le harcèlement et la sécurité personnelle. Des particuliers qui enregistraient un domaine pour un blog ou une petite entreprise publiaient sans le savoir leur adresse personnelle dans une base de données publique mondiale. Des risques concrets, pas théoriques.
Le RGPD. Le Règlement général sur la protection des données a rendu problématique pour les registrars la publication de données personnelles sans base légale. En 2018, l'ICANN a publié une Temporary Specification autorisant (et dans de nombreux cas imposant) aux registrars de redacter les champs personnels du registrant. Cette spécification temporaire est depuis devenue la pratique standard.
Ce que la protection ne peut pas cacher
C'est la partie que la plupart des guides esquivent. Que la protection WHOIS soit activée ou non, plusieurs champs restent toujours visibles :
- Le registrar (exigé par la politique ICANN)
- La date de création, la date de mise à jour et la date d'expiration
- Les serveurs de noms
- Les codes EPP (
clientTransferProhibited,pendingDelete, etc.) - Le fait même que la protection est active, le champ registrant affiche clairement un nom de service proxy
Pour la surveillance de domaines, ces champs contiennent toutes les informations qui comptent. Une date d'expiration qui approche, un changement de nameservers, ou un changement de statut EPP de ok vers serverHold, tous ces événements sont détectables même quand l'identité du registrant est entièrement redactée.
Domaine avec protection activée ? Domain Sentinel surveille quand même les dates d'expiration, les changements de nameservers et les statuts EPP, les champs qui comptent pour la surveillance ne sont jamais redactés.
Comment activer la protection WHOIS
La plupart des registrars proposent la protection dans le tableau de bord de gestion du domaine, sous une rubrique "Confidentialité" ou "Protection WHOIS". L'expérience varie :
| Registrar | Prix de la protection |
|---|---|
| Cloudflare Registrar | Gratuit (inclus par défaut) |
| Namecheap | Gratuit (WhoisGuard inclus) |
| Porkbun | Gratuit (inclus) |
| OVHcloud | Gratuit (inclus) |
| GoDaddy | ~10 €/an |
| Network Solutions | ~10 €/an |
Le conseil pratique : choisir un registrar qui inclut la protection gratuitement. Il n'y a aucun avantage technique à la payer. Cloudflare Registrar, Namecheap, Porkbun et OVHcloud l'intègrent sans supplément depuis plusieurs années.
Un détail à ne pas négliger : chez certains registrars, la protection de la vie privée est liée au cycle de renouvellement. Si le renouvellement du domaine échoue (carte expirée, paiement manqué) certains registrars désactivent automatiquement la protection en même temps que l'enregistrement. Activez le renouvellement automatique et maintenez vos coordonnées de paiement à jour.
RGPD et redaction automatique
Il vaut la peine de distinguer deux mécanismes qui semblent identiques de l'extérieur :
Service proxy : les champs du registrant sont remplacés par les coordonnées d'une entreprise tierce (ex : WhoisGuard). L'enregistrement du domaine affiche activement de fausses coordonnées de contact.
Redaction RGPD : les champs du registrant sont laissés vides ou marqués "REDACTED FOR PRIVACY." Aucun contact proxy n'est substitué. C'est ce que font les registrars pour les registrants personnels européens, sans produit de protection séparé.
Certains registres de ccTLD (notamment l'Afnic pour .fr) redactent par défaut les données du registrant pour les personnes physiques, indépendamment de tout paramètre de confidentialité. L'effet pour quelqu'un qui interroge le WHOIS est identique, mais le mécanisme est différent.
Protection WHOIS et surveillance de domaines
Si vous surveillez des domaines avec la protection active, vous pouvez quand même faire une surveillance utile. Les champs techniques qui changent quand quelque chose d'important se produit (date d'expiration, nameservers, statuts EPP) ne sont jamais redactés. Un domaine d'entreprise qui passe soudainement au statut serverHold, ou un domaine concurrent dont les nameservers passent du jour au lendemain de Cloudflare vers un prestataire inconnu, ces deux événements sont détectables que les coordonnées du registrant soient publiques ou non.
Domain Sentinel surveille tous ces champs et envoie des alertes quand ils changent, y compris pour les domaines avec protection. Le fait que le registrant soit masqué ne réduit pas ce que vous pouvez surveiller.
Activer la protection WHOIS est une bonne pratique par défaut pour tout particulier ou petite entreprise qui enregistre un domaine. Cela supprime le spam, réduit les risques, et n'a aucun effet sur le fonctionnement réel du domaine. Rendez-vous dans le tableau de bord de votre registrar et activez-la si ce n'est pas déjà fait. Puis ajoutez le domaine dans Domain Sentinel pour recevoir des alertes d'expiration et de statut, quels que soient vos paramètres de confidentialité.
Commencez par un domaine qui vous importe
Recherchez-le gratuitement. Pour recevoir des alertes sur les changements de statut ou l'expiration, créez un compte. Ça prend 30 secondes.