Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Les abus sur les noms de domaine toujours plus nombreux et sophistiqués

Pasunearnaque-promis-juré-amendes.com

Les abus sur les noms de domaine toujours plus nombreux et sophistiqués

Sur Internet, des noms de domaines sont détournés et utilisés par des personnes malveillantes. Les techniques sont nombreuses – cybersquatting, phishing, spam… – et deviennent plus perfectionnées avec le temps. Gaël Mancec, juriste NTIC chez Germain Maureau, propose un tour d’horizon… qui incite à redoubler de vigilance.

Le 14 décembre 2023 à 12h12

Il y a quelques semaines, nous avons publié la première partie de notre dossier sur les noms de domaine. Nous avions notamment expliqué les différences importantes entre ceux avec deux lettres – qui appartiennent aux pays – et les autres, avec trois lettres ou plus.

Durant les « rencontres juridiques » de l’Afnic, un panorama a été dressé sur les nombreux types d’abus liés aux noms de domaine… un vaste et inquiétant sujet. Marianne Georgelin, directrice juridique de l’Afnic, ouvrait le bal.

Rappel des grands classiques : Vitale, Amendes, ANTS…

Elle a commencé par un rappel, qui ne surprendra personne : « On surveille les enregistrements, c'est une évidence. On s'intéresse à certains termes problématiques ». Il y a ainsi des tendances de fond autour des thématiques comme la carte vitale, l’ANTS (Agence nationale des titres sécurisés), les amendes et l’URSSAF.

On retrouve aussi « du gouv, bien sûr », même si depuis longtemps les noms de domaines en « -gouv.fr » ne sont plus autorisés. Une protection d’autant plus utile que le gouvernement recentre ses services officiels vers des noms de domaine en *.gouv.fr.

Du côté des marques, les grands classiques sont toujours plus ou moins les mêmes : Chronopost, La Poste, Colis, les différentes banques, Disney, Netflix, Amazon… et finalement « toutes les plateformes qui vont nécessiter de se connecter avec des codes et des moyens de paiements… C’est à foison ». De nombreuses procédures concernant les abus passent par Syreli (ou une procédure UDRP), ajoute Marianne Georgelin.

« L’usage email est aujourd'hui quasiment plus fort en termes d'abus que l’usage web »

Gaël Mancec, juriste NTIC chez Germain Maureau, prend la parole pour un tour d’horizon des abus auxquels il a été confronté. Il commence par rappeler qu’un nom de domaine, ce n’est pas uniquement un site internet, c’est également une adresse email. « C'est d'autant vrai que l'usage email est aujourd'hui quasiment plus fort en termes d'abus que l'usage web, c'est-à-dire le site internet du nom de domaine ».

L’image ci-dessous regroupe les différents types d’abus que l’on peut rencontrer.

[caption id="attachment_120307" align="aligncenter" width="800"] Crédits : Gaël Mancec, Germain Maureau Conseils - Les rencontres juridiques de l'Afnic 2023[/caption]

Le cybersquatting, « est de moins en moins présent par rapport aux autres types d'abus », affirme Gaël Mancec. Situation inverse pour le phishing : « C'est vraiment aujourd'hui le gros sujet sur les noms de domaine. Les demandes qui arrivent sont désormais principalement liées à des problématiques de phishing ».

Autre point noir, le spam : « malgré tous les protocoles mis en place […] ce sont des choses qui existent encore aujourd'hui »… et massivement, pourrait-on préciser. Quant aux différents protocoles SPF, DKIM et DMARC, ils n’étaient pas tous implémentés par les quatre fournisseurs d’accès à Internet nationaux lors de notre tour de table (en mars de cette année).

Enfin, les logiciels malveillants et botnets ne sont pas dans le champ d’action du juriste. Cela concerne davantage des solutions de sécurité.

Des attaques qui passent IRL avec les codes QR

« La petite nouveauté, et c'est un des effets secondaires du covid, est que l'on a eu beaucoup de codes QR […] Un code QR, c'est un petit peu la même logique qu'un raccourcisseur d'URL. On ne sait pas vraiment sur quoi on va arriver ». Et c’est toujours problématique sur Internet de ne pas savoir sur quel site on est redirigé, on risque de tomber sur une contrefaçon (plus ou moins bien faite).

[caption id="attachment_120348" align="aligncenter" width="800"] Crédits : Gaël Mancec, Germain Maureau Conseils - Les rencontres juridiques de l'Afnic 2023[/caption]

« Ce sont des atteintes qui sont passées IRL (In Real Life). On est sur des impressions papier avec des faux avis de stationnement, des faux avis de passage et des contraventions distribués dans des boîtes ». Nous en parlions l’année dernière déjà. Et cela ne concerne évidemment pas que la France.

Toujours être prudent face aux codes QR que l’on peut trouver un peu partout, d’autant qu’ils peuvent rediriger vers le bon site, mais après une série de redirections « invisibles ». On en reparle un peu plus loin avec la fraude au clic.

Dans l’enfer des annonces sponsorisées

Les annonces sponsorisées pour des arnaques sont toujours très populaires, notamment dans le milieu des cryptos, explique Gaël Mancec, surtout « en période de fête ». Et il rappelle un fait que l’on a parfois tendance à oublier : « Google, avant d'être un moteur de recherche, c'est un annonceur. Et il discrimine de moins en moins les résultats naturels des résultats payants ».

Des attaquants vont en profiter pour « se positionner sur des domaines extrêmement similaires à des noms de domaine légitimes ». Ils vont mettre « un petit peu de budget » pour apparaitre en premier dans les recherches. Et comme les contenus publicitaires ont tendance à se fondre de plus en plus dans la masse, c’est d’autant plus simple d’attirer des visiteurs.

Le juriste explique que, d’un point de vue légal, le problème vient aussi de l'aspect pas toujours reproductible de ce type d’abus. La raison est simple : un annonceur sur Google peut cibler très précisément des requêtes ou des zones géographiques.

[caption id="attachment_120347" align="aligncenter" width="800"] Crédits : Gaël Mancec, Germain Maureau Conseils - Les rencontres juridiques de l'Afnic 2023[/caption]

Des robots chinois à fond sur les dépôts de marque

Durant la conférence, Gaël Mancec détaille une « combine » qu’il a découverte : « j'ai analysé tous les dépôts de marque réalisés auprès de l’EUIPO [Office de l’Union européenne pour la propriété intellectuelle, ndlr ] sur six mois. J’ai fait toutes les conversions en noms de domaine et je me suis rendu compte que des équipes asiatiques ont des robots qui surveillent les dépôts de marque USPTO [United States Patent and Trademark Office, ndlr] ou EUIPO et génèrent toutes les déclinaisons possibles des noms domaines en .com pour vérifier la disponibilité ». Si le nom de domaine est disponible, il le réserve dans le but de le revendre par la suite à la marque.

Il ajoute que ces équipes ont visiblement des moyens financiers pour réserver des milliers de noms de domaine (Gaël Mancec en a dénombré pas moins de 6 000 en six mois). Les attaquants se positionnent ensuite de « manière intelligente » niveau tarif.

Ils proposent généralement les noms de domaine juste en dessous du coût d’une procédure de type UDRP (que nous avons évoqué dans notre précédent article). Résultat des courses : « beaucoup de sociétés vont privilégier un rachat » car plus rapide et un peu moins coûteux.

Louper son renouvellement peut coûter cher, y compris aux contribuables

Via l’exemple de certaines collectivités territoriales, le juriste revient ensuite sur une petite erreur qui peut coûter cher et avoir de graves conséquences : oublier de renouveler des noms de domaine. Cela n’arrive d'ailleurs pas qu’aux autres, pensez à vérifier ce qu’il en est pour vous !

Les noms de domaines de nouveau disponibles sur le marché vont être « rachetés par des tiers qui vont mettre en place des faux sites administratifs ». Ils vont récupérer des informations et faire payer des dizaines d’euros des procédures normalement gratuites.

Cerise sur le pirate : les faux sites profitent d’un bon référencement et d’un trafic naturel acquis par l’ancien propriétaire, de quoi rendre l’arnaque encore plus rentable et rapidement. Que demander de plus ? Pensez à renouveler vos noms de domaines !

[caption id="attachment_120345" align="aligncenter" width="800"] Crédits : Gaël Mancec, Germain Maureau Conseils - Les rencontres juridiques de l'Afnic 2023[/caption]

Voilà les fake shops

Une nouveauté prend de l’ampleur cette année : les fake shops. Il n’est pas ici question de faire la promotion d’un produit ou d’un service contrefaisant. On parle bien de « sites qui se présentent comme des sites de contrefaçons, mais qui ne livrent absolument rien ». Après le dropshipping, voici donc le noshipping.

Souvent, ce genre de boutique associe une marque à un pays (avec un tiret entre les deux par exemple). L’intervenant note tout de même un changement de comportement depuis le début de l’année. Les boutiques passent sur des noms de domaines génériques (c’est-à-dire sans être associées à des marques) et pour éviter de tomber sous le coup d’une procédure UDRP.

Préventivement, il est possible d’établir une stratégie SEO et prendre en compte les intentions de recherche, même si elles ne sont pas dans la cible des marques. Un exemple avec Louis Vuitton : « Ils ont fait quelque chose d'assez intéressant. Si vous cherchez "Louis Vuitton pas cher", ils ont fait une page dédiée qui apparaît en premier résultat ». La marque y rappelle sa politique de prix – « jamais de soldes, de promotion ou de réduction ». Cela évite de laisser un boulevard aux fake shops.

[caption id="attachment_120344" align="aligncenter" width="800"] Crédits : Gaël Mancec, Germain Maureau Conseils - Les rencontres juridiques de l'Afnic 2023[/caption]

Fraude au clic et à la redirection

Un autre type d’abus concerne le click fraud ou fraude au clic. Dans cette configuration, un nom de domaine n’est pas utilisé pour du phishing ou de la (fausse) vente de produits, mais redirige vers un site ayant pignon sur rue, Google (par exemple).

Sauf qu’avant d’arriver sur le moteur de recherche, on passe par plusieurs redirections avec des liens d’affiliation au passage. Ces redirections peuvent aussi générer des clics virtuels pour augmenter le coût de campagne publicitaires d’un concurrent par exemple.

[caption id="attachment_120343" align="aligncenter" width="800"] Crédits : Gaël Mancec, Germain Maureau Conseils - Les rencontres juridiques de l'Afnic 2023[/caption]

Profiter de l’absence d’une société sur Internet

D’autres abus consistent à scanner le registre du commerce avec des codes APE pour cibler certains types de marché (le bois, les granulés et les poêles en hiver par exemple). Si des sociétés n’ont pas de présence en ligne, cela laisse un « boulevard » à des attaquants pour monter une arnaque en se faisant passer pour une société réelle.
Sur ces sites, on retrouve donc des mentions légales, de vrais numéros de SIREN et TVA, la bonne adresse postale, etc. En cas de vérification par un client sur un site type societe.com ou pappers.fr, les informations correspondront. Seules différences : le numéro de téléphone et l’email (rattaché au nom de domaine qui appartient à l’attaquant). Si vous appelez, envoyez un email ou passez directement commande, vous tombez dans le piège.

[caption id="attachment_120342" align="aligncenter" width="800"] Crédits : Gaël Mancec, Germain Maureau Conseils - Les rencontres juridiques de l'Afnic 2023[/caption]

Gaël Mancec donne une petite « astuce » : vérifier si le numéro de téléphone mis en avant sur le site vient de l’opérateur virtuel Onoff : « Ça peut déclencher des alertes […]. C'est un opérateur de SIM virtuelles. C’est quelque chose de très légitime, mais très utilisé dans le milieu de la cybercriminalité  […] Même s’ils répondent plutôt bien aux réquisitions », explique Gaël Mancec.


L’Arcep permet pour rappel d’identifier un opérateur à partir des premiers chiffres du numéro (hors portabilité).

Pirater des boîtes email et rester dans l’ombre pendant des mois

Pour des attaques par email, des personnes mal intentionnées vont se servir de toutes les informations disponibles sur Internet.

Depuis 2019, les informations du registre du commerce et des sociétés sont en open data (gérées par l’INPI). Cela permet assez facilement de « récupérer des PV d’assemblées générales, donc des signatures et des tampons légitimes », ainsi que les trois derniers compte de résultats. Les pirates passent alors des commandes de palettes en se faisant passer pour légitimes. Ils profitent du paiement à+ 30/45 jours pour détourner la marchandise avant de disparaitre.

Le juriste passe à une attaque plus complexe, de « très très haut niveau ». Un pirate va compromettre une boite email et suivre les échanges (pendant des mois s’il le faut) jusqu’à ce qu’une transaction arrive. Il va remplacer les pièces jointes et le texte contenant les informations de paiement par d’autres éléments afin de récupérer les fonds (il mettra son RIB par exemple). Une attaque de type « man in the middle » avec beaucoup de patience.

Lors de l’envoi des faux documents, le pirate utilise un nom de domaine très proche pour continuer les échanges. Son interlocuteur va continuer à répondre au même fil de discussion. Il ne va pas forcément se méfier et voir le changement.

Ce type d’arnaque est très lucratif : « Le préjudice moyen est à cinq, six, sept chiffres. On est vraiment sur des montants moyens de plusieurs centaines de milliers d'euros ».

[caption id="attachment_120339" align="aligncenter" width="800"] Crédits : Gaël Mancec, Germain Maureau Conseils - Les rencontres juridiques de l'Afnic 2023[/caption]

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
« La petite nouveauté, et c'est un des effets secondaires du covid, est que l'on a eu beaucoup de codes QR […] Un code QR, c'est un petit peu la même logique qu'un raccourcisseur d'URL. On ne sait pas vraiment sur quoi on va arriver ». Et c’est toujours problématique sur Internet de ne pas savoir sur quel site on est redirigé, on risque de tomber sur une contrefaçon (plus ou moins bien faite).
Toujours utiliser une appli qui affiche le lien du QR code, avant de l'ouvrir :chinois:
votre avatar
Sauf que pas mal de sociétés passent par un presta pour leur système de QRCode/redirection/stats et, de fait, le lien vers lequel il renvoie peut être totalement obscur
votre avatar
Concernant le vol de nom de noms de domaines non renouvelés, il me semble qu'OVH ne rend le nom de domaine disponible qu'un certain temps après le non renouvellement pour éviter ça (peut-être pas sur tous les tld cependant).
votre avatar
Sur un .fr c'est le cas. J'ai failli me faire avoir avec un nom de domaine.
votre avatar
7 jours de mémoire.
votre avatar
Je croyais que cette protection était pour tous les noms de domaine.

Je suis tombé sur ça qui correspond bien à ce que j'avais en tête. Mais je ne sais pas si ça dépend des prestataires ou si c'est obligatoire en fonction des extensions des noms de domaine.

" Vous disposez d’un délai d’environ 2 mois (variable suivant l’extension, et hors contrat de tacite reconduction) pour confirmer le renouvellement ou la résiliation de votre nom de domaine : 5 jours après la date d’expiration, votre domaine passe en période de grâce pendant 30 jours (variable suivant l’extension, et renouvelable sans frais), puis en période de rédemption pendant 30 jours, avec possibilité de renouvellement et frais de restauration, avant de retomber dans le domaine public. Durant cette période de 2 mois, il peut-être renouvelable sous 30 jours sans frais (variable suivant les extensions)."

https://support.safebrands.com/mon-nom-de-domaine-a-expire-comment-le-reactiver/
votre avatar
"At OVHcloud, we give customers 30 days to renew". ça semble donc bien dépendre des registrars.
votre avatar
Chez OVHcloud, il y a une période de grâce de 30 jours après expiration pour restaurer un nom de domaine. Des ingés de l'équipe "Noms de Domaine" chez OVHcloud avaient d'ailleurs écrit un article sur le sujet : https://blog.ovhcloud.com/domain-name-registration-gone-wrong/
votre avatar
Chez Infomaniak ils ont une Renewal Warranty. C’est payant mais c’est une poignée d’euros. Ça te laisse 280 jours pour renouveler et ils essaient de te contacter par tous les moyens (mail/tel/sms/courrier) pendant ce délai.

Pour un nom de domaine important genre celui de ton business, je trouve ça vraiment bien. T’es jamais à l’abri d’un problème pendant que tu es en vacances/malade ou si t’as un employé qui gère ça mais qui oublie/n’est pas là …
votre avatar
On peut aussi (on devrait) superviser ses noms de domaines, pour être prévenu automatiquement. (Un exemple pour .fr : https://www.afnic.fr/observatoire-ressources/papier-expert/rdap-obtenir-des-informations-sur-un-nom-de-domaine/ )
On peut aussi (on devrait) activer l'auto-renouvellement ou bien prendre le nom pour plus d'une année.
Bref, il faut s'informer et se former quand on est responsable d'un portefeuille de noms.
votre avatar
À titre perso je me suis toujours demandé si prendre plus d’un an n’était un risque d’oublier… Là je sais que je dois y penser tous les ans. Si je prends cinq ans, j’suis pas sur d’y penser dans cinq ans justement :/
votre avatar
Oui, la question se pose en effet.
Il y a encore une autre solution, ultra-sophistiquée : mettre la date de renouvellement dans son agenda. Mais c'est de la high-tech :-)
votre avatar
C’est trop compliqué et technique, je pense pour moi… Il faudrait un tuto je pense ^^
Blague à part, j’ai assez de mal avec les agendas numériques, sans trop savoir pourquoi… Je suis assez agenda papier sur un mur, et je peux assez facilement gérer des récurrences annuelles, moins les multiples annuels.
votre avatar
Perso l'auto renouvellement est actif mais sur ma cb (j'ai toujours un bug quand je veux passer en virement SEPA, faut que je regarde ça avec eux vraiment), du coup j'ai déjà failli me faire avoir suite a un changement de cb ^^
votre avatar
Oui, d'où l'importance de la supervision.
votre avatar
"« astuce » : vérifier si le numéro de téléphone mis en avant sur le site vient de l’opérateur virtuel Onoff"
Comment faire ça ?
votre avatar
Juste en dessous du lien vers l'article du test de Onoff, il y a un autre lien vers l'ARCEP qui permet d'identifier l'opérateur avec le début d'un numéro.
votre avatar
À priori sur le site de l'ARCEP, il y a un annuaire où tu dois saisir le numéro de téléphone pour avoir le nom de l'opérateur. J'ai un peu cherché mais je n'ai pas trouvé de ressource avec un tableau des plages de numéros par opérateur.
Edit : Grillé, je n'avais point rafraichi les commentaires avant de répondre
votre avatar
merci à vous deux
votre avatar
Pour le coup j'ai essayé avec mon numéro de portable et il me sort : "Société française du radiotéléphone", SFR en gros.

Alors que je suis et ai toujours été chez Bouygues...
votre avatar
La question intéressante, se serait de savoir depuis quand ?

Car l'ARCEP le précise bien : les numéros portés ne sont pas pris en compte. Par exemple, le mien, que j'ai depuis plus de 20 ans, est bon (et n'a jamais été porté).

Mais il est tout à fait possible que ton numéro soit un numéro porté (avant que tu ne l'acquiers).
Ou sinon, mais je ne sais pas si c'est possible, il y a eu une réattribution de bloc au niveau des numéros (passant de Bouygues vers SFR), et les numéros existants ont automatiquement été porté vers Bouygues.
votre avatar
J'entend bien, mais du coup se pose la question de l'utilité du système.
Mon numéro à un peu plus de 15 ans chez Bouygues tout de même.
votre avatar
Rester dans l'ombre d'une boîte mail piratée... Avant de passer à l'attaque.
Cas vu plusieurs fois de mon côté. Au début, quand la personne m'a raconté ce qui c'était passé, je ne comprenais pas. En analysant un peu le système, j'en ai déduit qu'ils avaient eu accès au mail obligatoirement pour intercepter la facture originale, la modifier, et envoyer une fausse facture avec un faux IBAN.

Très difficile à détecter et vraiment efficace...
votre avatar
Tout ça parce qu'on refuse de partager les revenus des gains de productivité énormes de façon à ce que tout le monde ait à la fois un petit travail honnête (petit car il n'y a plus besoin d'y passer sa vie, grâce à cette productivité) et les moyens d'accéder aux produits pour vivre et occuper tout son temps libre.

Donc des gens se creusent la tête pour chercher un revenu, et l'arnaque est une possibilité.

Les abus sur les noms de domaine toujours plus nombreux et sophistiqués

  • Rappel des grands classiques : Vitale, Amendes, ANTS…

  • « L’usage email est aujourd'hui quasiment plus fort en termes d'abus que l’usage web »

  • Des attaques qui passent IRL avec les codes QR

  • Dans l’enfer des annonces sponsorisées

  • Des robots chinois à fond sur les dépôts de marque

  • Louper son renouvellement peut coûter cher, y compris aux contribuables

  • Voilà les fake shops

  • Fraude au clic et à la redirection

  • Profiter de l’absence d’une société sur Internet

  • Pirater des boîtes email et rester dans l’ombre pendant des mois

Fermer