Transférer un nom de domaine d'un Bureau d'Enregistrement à un autre
Première rédaction de cet article le 16 octobre 2025
Dans beaucoup de TLD, le ou la simple titulaire ne peut pas acheter directement un nom de domaine, il faut passer par un Bureau d'Enregistrement (BE). Le transfert, l'opération qui consiste à changer de bureau d'enregistrement, est parfois une opération frustrante. Je suis en train de transférer mes noms de domaine personnels (et ils sont tous signés avec DNSSEC) donc voici quelques notes, au cas où.
Dans le cas de .fr,
l'obligation de passer par un BE est dans
la loi : « L'attribution des noms de domaine est assurée par
les offices d'enregistrement [sic ; il s'agit des
registres], par l'intermédiaire des
bureaux d'enregistrement. » (article L45-4 du Code des
postes et des communications électroniques). Pour les TLD sous contrat avec
l'ICANN, cette obligation est dans le contrat
entre l'ICANN et le registre. Vous pouvez trouver le nom du BE via
les
différents outils d'accès à l'information, cette information
est publique.
Le choix d'un BE est une opération complexe, déroutante pour la ou le titulaire d'un nom de domaine. Et on peut être amené à changer de BE, par exemple pour des raisons tarifaires. Ainsi, je transfère en ce moment mes domaines personnels, l'ancien BE, qui était une entreprise indépendante, ayant été racheté par un grand groupe qui a immédiatement considérablement augmenté les tarifs. (Problème courant quand une petite entreprise est rachetée par un grand groupe : celui-ci se dépêche de supprimer tout ce qui faisait l'intérêt de la petite entreprise pour les clients. On a vu cela avec Capitaine Train, par exemple.) Ces noms de domaine ont deux particularités :
- L'hébergeur DNS, c'est moi. Je n'utilise pas, ni avant le transfert, ni après, les services d'hébergement DNS que fournissent la plupart des BE. Il n'y a donc pas de données DNS à transférer, les serveurs faisant autorité restent les mêmes.
- Les domaines sont signés avec DNSSEC.
Outre les contraintes techniques, le transfert est une opération délicate puisque les deux BE, le perdant et le gagnant, sont a priori des concurrents et que certains BE perdants font preuve d'une extrême mauvaise volonté, essayant de retenir de force leur client par tous les moyens. Le transfert est donc piloté par le BE gagnant, puisqu'il est le plus motivé à ce que l'opération réussisse. Et, pour compliquer encore la question, il faut noter qu'il y a un problème de sécurité : un transfert peut être malveillant, par exemple parce qu'un méchant essaie de détourner un nom de domaine à son profit.
Les règles qui encadrent le transfert d'un nom de domaine varient
selon les registres. Durant ma migration,
j'ai transféré du .org,
du .net et du
.fr.
Le cheminement normal est le suivant :
- Le ou la titulaire est prudent, teste qu'ielle a bien tous les éléments (mots de passe, etc) et ne commence pas le transfert la veille d'un jour où il faut absolument que le nom de domaine marche. N'attendez pas non plus le dernier moment avant l'expiration. Vouloir grapiller quelques euros peut vous coûter cher.
- La ou le titulaire du nom va sur l'interface Web du futur BE, le gagnant (ou bien utilise l'API de ce BE) et demande le transfert d'un nom. On paie ce transfert.
- Pour des raisons de sécurité évidentes, ce n'est pas fait immédiatement et automatiquement. Des mesures de sécurité sont appliquées.
- Une fois le transfert validé, le registre met à jour sa base de données, indiquant le nouveau BE, et le titulaire est prévenu (typiquement par courrier).
Voici la demande faite auprès d'un BE gagnant (ici, Netim) :
Ensuite, comme je l'ai dit, il faut s'assurer que la demande de
transfert n'est pas en fait une tentative de détournement du nom de
domaine. La principale mesure de sécurité est nommée, selon les BE,
code d'autorisation, clé d'autorisation, code de transfert,
auth code, authInfo… C'est un
mot de passe qui a été généré par l'ancien BE et transmis au
registre, et qui, indiqué par le titulaire au nouveau BE, permet de
vérifier que la demande est légitime. (Si vous êtes fana de
technique et de sécurité, le RFC 9154 propose
une technique alternative.) Voici ici l'obtention de ce
code sur l'ancien BE (ici, Gandi). Je vous rassure, le code affiché
n'est plus le bon : 
Il existe d'autres façons de transmettre ce mot de passe au titulaire, par exemple par courrier électronique, ce qui permet de valider l'adresse mais expose à pas mal de risques de sécurité. La sécurité, ce n'est de toute façon jamais simple et il faut rappeler que, s'il y a des BE qui tentent de gêner les transferts sortants, en invoquant la sécurité, il y a également des malveillants qui tentent de profiter d'une sécurité trop faible pour détourner un nom. Un compromis est donc nécessaire.
Typiquement, vous recevez une notification du BE perdant vous informant de la demande de transfert, ce qui peut permettre de s'y opposer, si elle n'était pas légitime. En effet, pour éviter qu'un BE de mauvaise volonté ne bloque le transfert indéfiniment en ne donnant pas accès au code d'autorisation, le transfert est typiquement effectué automatiquement au bout d'un certain temps. Faites donc bien attention aux messages de votre BE ! Et rappelez-vous qu'il y a autant de transferts légitimes retardés ou bloqués par des procédures kafkaïennes qu'il y a de domaines détournés parce que les procédures de sécurité étaient insuffisantes. J'en profite pour insister sur ce point : gérez vos noms de domaines. Que vous soyez particulier, profession libérale, association, petite entreprise, pensez à désigner plusieurs personnes responsables qui vont recevoir les messages du BE et les lire, et agir. Vous trouvez facilement en ligne d'innombrables témoignages de gens qui ont perdu leur nom de domaine par négligence.
Voici un exemple de message reçu de l'ancien BE (ici, Gandi) :
Subject: [GANDI] IMPORTANT: Transfert sortant vers un autre prestataire du domaine sources.org From: no-reply@gandi.net To: [Moi] Date: Mon, 01 Sep 2025 13:50:47 -0000 X-Mailer: Gandi Notification Mailer v1.2.12 Vous êtes contacté car vous êtes inscrit comme contact du nom de domaine suivant. A l'attention de : Stéphane Bortzmeyer Transfert du domaine: sources.org Registrar demandeur: <NETIM SARL> GANDI a été notifié d'une demande de transfert pour ce nom de domaine. GANDI a reçu à la date 2025-09-01 13:44:18Z une notification selon laquelle vous avez demandé le transfert de ce nom de domain vers un autre bureau d'enregistrement. Si vous souhaitez poursuivre le transfert, vous n'avez pas besoin de répondre à cette notification. Faute de réponse de votre part avant le 2025-09-06 13:44:18, le transfert sera automatiquement validé. Vous pouvez cependant accélérer ou refuser le transfert, en vous rendant à cette adresse avant le 2025-09-06 13:44:18: [URL où il faudra taper le code d'autorisation].
Vérifiez ensuite avec un RDDS que le domaine a bien été transféré. Ici, on va utiliser le classique client whois :
% whois cyberstructure.fr … domain: cyberstructure.fr status: ACTIVE … registrar: NETIM
Parfait, le domaine est bien passé chez Netim.
Revenons à la technique : pensez à vérifier (avec des outils
comme Zonemaster et DNSviz) le domaine après le
transfert. J'ai vu par exemple un BE qui, lors d'un transfert
entrant, limitait le nombre de serveurs faisant autorité à cinq et
supprimait silencieusement les autres. Un exemple avec
dig, où on interroge un des serveurs faisant
autorité pour .fr :
% dig @d.nic.fr cyberstructure.fr NS … ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18712 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 9, ADDITIONAL: 1 … ;; AUTHORITY SECTION: cyberstructure.fr. 3600 IN NS fns1.42.pl. cyberstructure.fr. 3600 IN NS ns4.bortzmeyer.org. cyberstructure.fr. 3600 IN NS fns2.42.pl. cyberstructure.fr. 3600 IN NS ns2.afraid.org. cyberstructure.fr. 3600 IN NS puck.nether.net. cyberstructure.fr. 3600 IN NS ns2.bortzmeyer.org. cyberstructure.fr. 3600 IN NS ns1.bortzmeyer.org.
Et vérifiez que la liste des serveurs faisant autorité pour votre
domaine est la bonne. (Attention, la mise à jour des serveurs du
domaine parent peut ne pas être immédiate ; pour
.fr, à l'heure actuelle, c'est toutes les dix minutes.)
Et DNSSEC ? Vous avez peut-être remarqué, sur l'image où le BE perdant affichait le code d'autorisation, un avertissement sur DNSSEC. La sécurité supplémentaire qu'apporte DNSSEC se paie d'une complication supplémentaire pendant le transfert : si on utilise le BE comme hébergeur (ce n'est pas mon cas), il faut, soit assurer le passage d'une clé DNSSEC à une autre (ce qui, étant donné le fait que les résolveurs DNS mémorisent des informations, va nécessiter la publication simultanée de deux clés, et une collaboration étroite entre les deux BE, dont je rappelle qu'ils sont concurrents), soit supprimer DNSSEC temporairement, ce que conseille ici le BE. Dans mon cas, comme je suis mon propre hébergeur, il n'y a pas trop de problèmes, à part qu'entre Gandi et Netim, l'enregistrement DS (Delegation Signer) a été supprimé lors du transfert (chaque BE dit que c'est de la faute de l'autre) et qu'il a donc fallu le rétablir ensuite (voyez ci-dessus le point sur l'importance d'un test technique après transfert).
Voilà, dans mon cas, les choses se sont plutôt bien passées, il
n'y a pas eu de blocage, et les transferts ont été bouclés en une
heure ou deux. Il me reste à transférer le domaine de ce blog
bortzmeyer.org, que j'ai gardé pour la fin ; la
méthode de bon sens est en effet de commencer par les domaines les
moins importants.
Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)
Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)
