L’univers des sous-domaines

L’univers des sous-domaines

Un nom de domaine web est le fondement de la propriété Internet puisqu’il permet à son propriétaire (le titulaire) de concevoir et d’héberger le site web qui y est associé. À partir d’un nom de domaine, le titulaire est également capable de créer autant de sous-domaines qu’il le souhaite. Ce processus technique s’effectue en configurant des enregistrements sur le serveur DNS (Système de noms de domaine) faisant autorité. Un nom de sous-domaine est la partie de l’URL située avant le nom de domaine et séparée de celui-ci par un point (par exemple, « blog » dans l’URL https://blog.cscglobal.com/). Les noms de sous-domaine peuvent servir à concevoir des adresses web pour divers objectifs, tels que la création de micro-sites individuels pour des sous-marques ou des campagnes, ou la production de sous-sites propres à une région ou à un thème particulier. Certains fournisseurs d’accès à Internet (FAI), connus sous le nom de registres de sous-domaines privés, proposent également la vente de sous-domaines standardisés de leur site, ce qui permet aux utilisateurs de créer leurs propres sites (par exemple, les noms de domaine de « second niveau » tels que blogspot.com, qui permettent aux utilisateurs d’enregistrer des URL sous la forme username.blogspot.com, pour la création d’un blog personnalisé dans ce cas précis).

L’abus de nom de sous-domaine dans le contenu Internet global

Du point de vue de la surveillance de marque, l’apparition d’un nom de marque ou d’un ou plusieurs autres mots clés dans le nom de sous-domaine d’une URL tierce peut être associée à divers types d’infractions de marque. Les domaines de préoccupation potentiels incluent notamment :

  • La redirection de trafic vers un contenu tiers par le biais de requêtes de moteurs de recherche mal orientées
  • La création de sites mentionnant de fausses déclarations d’affiliation avec la marque en question
  • Les dommages réputationnels – par exemple, via la création de sites contenant des informations, des commentaires de clients ou du contenu de nature militante appartenant à une marque particulière
  • La création d’une URL ressemblant de manière trompeuse à celle d’un site officiel de la marque (à des fins frauduleuses, de phishing ou de diffusion de logiciel malveillant, par exemple)

Les sous-domaines propres à une marque peuvent être une source de confusion pour les internautes, et donc devenir un vecteur de menace efficace, du fait de leur similitude avec des URL légitimes et familières. Ainsi, le nom de domaine hypothétique et non officiel cscglobal.blog.com pourrait être utilisé pour créer une fausse version convaincante du site officiel blog.cscglobal.com.

Ces derniers mois, on a relevé un certain nombre d’attaques de phishing (souvent via des SMS) mentionnant un nom de marque dans le nom du sous-domaine en vue de créer des URL très convaincantes et trompeuses[1],[2], comme le montre la figure 1.

Figure 1 : Exemple d’une attaque de phishing par SMS de 2021 visant les clients de HSBC

Dans cet exemple ciblant les clients de la banque au Royaume-Uni, l’URL de phishing fait référence à HSBC dans le nom du sous-domaine, et utilise un nom de domaine commençant par « uk- » (uk-account.help), pour créer une URL visuellement très similaire à l’URL authentique : « hsbc.co.uk/account-help. ». Le lien du site de phishing utilise également le protocole HTTPS, qui était traditionnellement un indicateur de fiabilité, mais qui est aujourd’hui utilisé par plus de 80 % des sites de phishing[3] suite à la haute disponibilité des certificats SSL (Secure Sockets Layer) auprès de fournisseurs gratuits. Cette approche est particulièrement efficace pour un certain nombre de raisons, notamment le fait qu’elle utilise une nouvelle extension de nom de domaine générique de premier niveau (gTLD) que certains utilisateurs peuvent ne pas connaître, et que les écrans d’appareils mobiles ont tendance à insérer des sauts de ligne après les traits d’union. L’analyse des fichiers de zone montre qu’il existe au moins plusieurs centaines de nouveaux gTLD enregistrés dont les noms ont un format similaire pouvant potentiellement être utilisés dans un but frauduleux. Les exemples incluent, entre autres : uk-authorization-online.support, uk-gov.tax, uk-insurance.claims, uk-border.agency et uk-lottery.win.

Parmi d’autres exemples récents de noms de sous-domaine de marque utilisés dans des tentatives de phishing, citons hermes.online-parcel-reschedule.com (pour l’entreprise de logistique Hermes) et o2.billing9k7j.com (pour l’opérateur de téléphonie O2). Ce type d’attaque permet au fraudeur de contourner l’obligation d’enregistrer un nom de domaine spécifique à une marque (potentiellement plus facile à détecter par le titulaire d’une marque qui utilise un service élémentaire de surveillance de nom de domaine). Dans de nombreux cas, les enregistrements WHOIS des noms de domaine parents sont anonymisés, ce qui permet difficilement d’établir des liens entre plusieurs tentatives d’escroquerie. Ces noms de domaine sont également généralement enregistrés peu avant l’attaque et ne sont utilisés que pendant une courte durée afin de contourner les efforts de détection et de désactivation.

En général, les sous-domaines liés à une marque sur des sites tiers sont plus difficiles à détecter que les noms de domaine eux-mêmes, qui peuvent plus facilement être identifiés en effectuant des recherches par wildcard dans les fichiers de zone des registres. La méthode la plus simple pour identifier les sous-domaines consiste à utiliser un moteur de méta-recherche, à condition que les sous-domaines en question soient liés à d’autres sites et aient été indexés par les moteurs de recherche. Il est également possible de résoudre partiellement le problème en faisant appel à d’autres techniques : analyse détaillée des informations de configuration de la zone du nom de domaine (analyse de l’historique DNS, par exemple), analyse Certificate Transparency (CT) ou utilisation de requêtes explicites sur des noms de domaine particuliers pour détecter des noms de sous-domaines spécifiques.

D’autres problèmes portent sur les registres privés de sous-domaines, car ceux-ci ne sont pas nécessairement réglementés par l’ICANN (Internet Corporation of Assigned Names and Numbers) et peuvent donc ne pas proposer de procédure de résolution des litiges, de processus de signalement des abus ou d’enregistrements d’informations WHOIS.

Lorsque l’on envisage d’intervenir officiellement contre des sous-domaines en infraction, les options peuvent donc être relativement limitées, notamment comparativement aux diverses approches disponibles en matière de noms de domaine. Il est parfois possible d’obtenir un engagement de la part du registre, du registrar (bureau d’enregistrement), du fournisseur d’hébergement ou du fournisseur DNS, mais rien ne peut les obliger à s’y conformer. En outre, de nombreuses procédures de règlement des litiges établies, telles que les procédures UDRP (Uniform Domain-Name Dispute-Resolution Policy), ne s’appliquent pas nécessairement aux sous-domaines. On relève toutefois des exceptions dans certains cas, comme pour certains nouveaux gTLD où le nom de domaine hôte correspond à un code pays (par exemple, jp.com), ou d’autres circonstances limitées (par exemple, celles couvertes par le service pour le règlement des litiges [Dispute Resolution Service ou DRS] pour l’extension .NZ). Si aucune de ces options ne permet de résoudre le problème, une procédure en justice est souvent l’ultime recours[4].

Enfin, l’utilisation de noms de domaine frauduleux combinée à des enregistrements MX de type « wildcard » (qui permettent au titulaire du nom de domaine de recevoir des e-mails envoyés à tout sous-domaine du nom de domaine) peut également être un moyen très efficace pour les criminels d’intercepter des e-mails destinés à des entreprises de confiance et de récolter ainsi des informations sensibles. Cette tactique peut réussir dans les cas où l’adresse e-mail du destinataire a été mal saisie (c’est-à-dire avec un « . » supplémentaire inséré). Si le nom de domaine est soigneusement sélectionné, il peut faciliter les attaques contre une multitude d’organisations (par exemple, *.bank.[TLD] peut être utilisé pour récolter des e-mails mal libellés destinés à toute organisation ayant un nom de domaine officiel au format [brand]bank.[TLD]).

Les sous-domaines de noms de domaine officiels au sein du portefeuille du titulaire de la marque

Au vu de l’environnement de sécurité des noms de domaine, l’existence de sous-domaines associés aux noms de domaine appartenant au titulaire de la marque est une source de préoccupation majeure pour ce dernier.

Le détournement de sous-domaine

Les titulaires de marques peuvent utiliser les sous-domaines des sites officiels à des fins diverses, comme nous l’avons vu précédemment. Toutefois, lorsqu’ils enregistrent un grand nombre de sous-domaines (IBM® en compte environ 60 000 et Microsoft® plus de 120 000), leur gestion peut devenir une tâche herculéenne. Les risques associés permettent à des acteurs malveillants de prendre le contrôle des sous-domaines en exploitant des services d’hébergement expirés (un problème connu sous le nom d’enregistrement DNS flottant ou « Dangling DNS »), des erreurs de configuration du DNS ou des utilisateurs légitimes non fiables. La compromission peut également être obtenue au moyen d’attaques par pharming (empoisonnement du DNS), grâce auxquelles les enregistrements de sous-domaines sont modifiés pour rediriger le trafic vers une adresse IP frauduleuse. Cette tactique peut permettre aux fraudeurs de créer de faux sites, de charger du contenu, de surveiller le trafic ou de pirater les systèmes d’entreprises légitimes[5]. Une étude de 2021 a identifié plus de 1 500 sous-domaines vulnérables parmi 50 000 des plus importants sites web du monde[6].

De multiples cas d’entreprises attaquées à l’aide de ces tactiques ont émergé ces dernières années, notamment des détournements de sous-domaines officiels d’entreprises utilisés pour dérouter les utilisateurs vers des contenus incluant des logiciels malveillants, de la pornographie et des jeux d’argent. En 2020, des sous-domaines du site web de Xerox, par exemple, ont été utilisés pour rediriger le trafic vers des sites vendant de faux produits, en profitant de la réputation de confiance du nom de domaine officiel de l’entreprise pour améliorer le classement du contenu malveillant dans les moteurs de recherche[7]. Dans une autre affaire datant de 2019, GoDaddy® ont dû fermer plus de 15 000 sous-domaines frauduleux qui alimentaient une campagne massive de spamming destinée à la vente de produits contrefaits[8].

Les titulaires de marques peuvent atténuer ces menaces en analysant leur propre portefeuille de noms de domaine et en portant une attention particulière à tous les sous-domaines qui pointent vers des adresses IP externes.

Le domain-shadowing

Un autre risque est la possibilité pour les criminels de créer de nouveaux sous-domaines non officiels de sites officiels en compromettant le DNS par une méthode telle que le phishing ou les attaques par dictionnaire, une pratique connue sous le nom de « domain-shadowing ». Cette approche peut également être utilisée pour rediriger les utilisateurs vers des contenus illicites, tout en bénéficiant des protections associées au fait d’être hébergé sur un site web de confiance (par exemple, pour contourner la liste des sites bloqués). Dans un exemple signalé de cette pratique, plusieurs noms de domaine (principalement enregistrés via GoDaddy) ont été compromis pour créer plus de 40 000 sous-domaines pointant vers des adresses IP russes hébergeant divers variants de logiciel malveillant[9],[10].

Ce type d’attaque peut être difficile à détecter, notamment parce qu’elle ne nécessite aucune modification sur le serveur web officiel de l’entreprise et que le contenu illicite est généralement hébergé à l’extérieur. Les dommages peuvent n’être découverts que suite à des plaintes d’utilisateurs ou à l’ajout du nom de domaine officiel à une liste de blocages du fait de l’activité malveillante. Des mesures de sécurité rigoureuses constituent la principale approche préventive, notamment l’utilisation de mots de passe forts et l’authentification à deux facteurs[11].

Un vecteur d’attaque similaire est l’utilisation d’enregistrements DNS de type « wildcard », qui peuvent permettre à tout nom de sous-domaine arbitraire d’être configuré pour rediriger les utilisateurs vers une adresse IP externe malveillante. Les acteurs malveillants peuvent utiliser des noms de sous-domaine aléatoires et changeants pour contourner les listes de blocage établies à partir du nom d’hôte (comme dans les campagnes de phishing coordonnées). Ce type d’attaque peut viser aussi bien des noms de domaine officiels (compromis) que des noms de domaine tiers (autonomes)[12].

Généralement, pour atténuer ces menaces, les titulaires de marques doivent combiner une stratégie solide de sécurité du nom de domaine et un programme complet de surveillance de marque et d’intervention.

Si vous souhaitez parler à l’un de nos spécialistes concernant la surveillance des noms de domaine et les options d’intervention, ou les services de lutte anti-fraude, merci d’utiliser notre formulaire de contact.


[1] cscdbs.com/blog/phishing-scams-how-to-spot-them/

[2] thewebisround.xyz/2021/06/28/the-reality-behind-the-smishers/

[3] docs.apwg.org/reports/apwg_trends_report_q2_2021.pdf

[4] worldtrademarkreview.com/enforcement-and-litigation/subdomains-and-online-brand-protection-what-you-need-know-long-read

[5] networkworld.com/article/3623949/don-t-let-subdomains-sink-your-security.html

[6] eurekalert.org/news-releases/698257

[7] theregister.com/2020/07/07/microsoft_azure_takeovers/

[8] techradar.com/news/godaddy-shuts-down-15k-subdomains-used-in-massive-spam-campaign

[9] domaintools.com/resources/blog/domaintools-101-dns-shadow-hack-attacked

[10] threatpost.com/40000-subdomains-tied-to-rig-exploit-kit-shut-down/126072/

[11] encyclopedia.kaspersky.com/glossary/domain-shadowing/

[12] phishlabs.com/blog/phishing-with-wildcard-dns-attacks-and-pharming/