Defaults.Exposed

Defaults.Exposed › Rapports

Le panthéon des erreurs de configuration : les enregistrements de sécurité les plus étranges du Web (2026)

Publié 2026-06-29

Chiffres au 2026-06-29 · méthodologie v7. Données agrégées du recensement portant sur 261 millions de domaines évalués. Chaque chiffre ci-dessous est un schéma réel et récurrent — pas un cas isolé. Voir comment nous évaluons.

La plupart des défaillances de sécurité sont ennuyeuses : un paramètre laissé désactivé. Quelques-unes sont vraiment drôles — l’équivalent numérique de livrer le bâtiment avec le panneau « INSÉRER NOM DU LOCATAIRE » encore dans la vitrine. Nous avons évalué 261 millions de domaines ; voici les records qui nous ont fait regarder à deux fois.

1. Le certificat que personne n’a renommé

Lorsque vous générez un certificat TLS avec les invites par défaut d’OpenSSL et que vous appuyez simplement sur Entrée, le nom de l’organisation devient un espace réservé. Ces espaces réservés sont censés être remplacés avant la mise en production. Ils ne l’ont pas été :

Nom « Émis par » sur le certificat en productionSites
Internet Widgits Pty Ltd244 468
MyCompany Inc.226 830
TRAEFIK DEFAULT CERT108 348
localhost106 086

« Internet Widgits Pty Ltd » est la valeur par défaut littérale dans la configuration d’exemple d’OpenSSL — et 244 468 sites publics servent un certificat estampillé de cette mention. Sur l’ensemble des noms d’espace réservé et par défaut évidents, 685 732 sites n’ont jamais changé le panneau. Chacun d’entre eux est également auto-signé, de sorte que les visiteurs reçoivent un avertissement du navigateur — ils servent l’espace réservé et l’erreur.

2. DMARC, perdu dans la traduction

Une politique DMARC ne fonctionne que si elle indique exactement p=none, p=quarantine ou p=reject. 48 648 domaines ont publié autre chose — le mot de la politique mal orthographié, ou rédigé entièrement dans une autre langue (les données en temps réel comprennent des versions espagnoles, françaises et portugaises de « none »). L’intention était bonne ; l’orthographe exacte ne l’était pas — et DMARC n’accepte que le mot-clé anglais, de sorte que tous ces domaines n’offrent aucune protection. (Liste complète et actuelle avec décomptes : les fautes de frappe DMARC les plus courantes d’internet.)

3. Le paillasson de bienvenue SPF

Le seul rôle de SPF est d’indiquer quels serveurs peuvent envoyer du courrier en votre nom. 36 014 domaines terminent leur enregistrement par +all — ce qui signifie exactement le contraire : « tout serveur sur internet est autorisé à envoyer en mon nom. » C’est l’équivalent, en matière de sécurité, de scotcher votre clé à la porte. 7 958 autres cassent discrètement leur SPF en dépassant la limite de 10 requêtes DNS, l’annulant entièrement. (Plus : le rapport sur les mauvaises configurations SPF.)

4. Mention honorable : les millions auto-signés

Au-delà des noms drôles, 3 378 080 sites servent un certificat auto-signé — un certificat qu’ils se sont délivré à eux-mêmes, et que les navigateurs rejettent. Généralement un routeur, une machine de test ou un outil interne qui s’est accidentellement retrouvé pointé vers l’internet public et n’a jamais reçu de véritable certificat.

Ce que les cas drôles ont en commun

Chaque entrée ici a la même cause racine que les défaillances ennuyeuses : une valeur par défaut laissée intacte, une étape sautée, un copier-coller non terminé. Le web n’échoue pas de façon dramatique — il échoue par inertie, un espace réservé non renommé à la fois. Le bon côté : chacun de ces cas est une correction de cinq minutes.

Foire aux questions

Pourquoi tant de certificats indiquent-ils « Internet Widgits Pty Ltd » ? C’est le nom d’organisation par défaut dans la configuration d’exemple d’OpenSSL. Lorsque quelqu’un génère un certificat et accepte les valeurs par défaut, cet espace réservé se retrouve sur le certificat en production. 244 468 sites publics ne l’ont jamais changé.

Une politique DMARC dans une autre langue fait-elle quelque chose ? Non. DMARC ne reconnaît que les mots-clés exacts none, quarantine et reject. Un enregistrement avec le mot de la politique mal orthographié ou rédigé dans une autre langue est invalide et ignoré — le domaine reste usurpable.

Que fait SPF +all ? Il autorise tous les serveurs d’internet à envoyer du courrier au nom de votre domaine — pire que de n’avoir aucun SPF. 36 014 domaines l’ont, presque toujours par erreur.

S’agit-il de cas rares et exceptionnels ? Non — chacun représente des centaines de milliers à des millions de domaines, retrouvés de façon constante dans un recensement de 261 millions de domaines. Ce sont des valeurs par défaut courantes, pas des accidents bizarres.

Vérifiez que votre domaine ne figurera pas dans la prochaine édition

La plupart de ces problèmes se corrigent en une ligne. Vérifiez votre domaine en privé et gratuitement — voyez votre certificat, votre DMARC et votre SPF exactement comme internet les voit.

Vérifiez votre domaine → · Fautes de frappe DMARC → · Rapport sur les mauvaises configurations SPF → · Le rapport sur les erreurs de certificat → · Données agrégées uniquement. Données stockées et traitées dans l’UE.