Renouvellement de domaine : attention aux détournements

Oublier de renouveler son nom de domaine est dans 95% des cas l’assurance de retrouver des malveillants du marketing dans la place. Exemple avec des boutiques françaises, dont Auchan.

Vol d’url, un problème trop souvent ignoré ! Un nom de domaine, faut-il le rappeler, n’est pas votre propriété définitive.

Vous louez cette adresse web. Lors de l’enregistrement de cette « url », vous pouvez demander à votre bureau d’enregistrement des noms de domaine (registar) de verrouiller votre adresse. Mission, éviter le transfert sans votre autorisation (vente, …).

Cette sécurité est efficace… dans la condition ou un pirate ne passe pas dans l’administration de votre domaine.

Je pourrai vous conseiller d’enregistrer votre nom de domaine sur du très long terme mais le danger est d’oublier son renouvellement, surtout si vous programmez le prochain paiement dans 5 ans !

Des centaines d’entreprises françaises impactées chaque année par le vol d’url

Depuis le 1er mars 2019, je comptabilise les noms de domaines d’entreprises françaises impactées par un détournement de leur nom de domaine. Des malveillants marketing sautent sur l’occasion du nom renouvellement pour vendre du viagra pas cher ; des Nikes et autres Mauboussin de contrefaçon.

L’idée de ces « pirates » : profiter d’une adresse web existante et donc de son référencement.

Parmi les victimes recensées, j’ai choisi de cibler deux groupes de black marketeurs sous surveillance depuis plusieurs mois (Chinois, Turcs, …). Je n’expliquerai pas comment, mais des erreurs permettent de les suivre sans trop de mal 🙂

Vol d’url : contrefaçons et escorts girls.

Comme expliqué, les pme/pmi sont des victimes faciles pour les margoulins 2.0. Services (serratureservice.com, serratureservice.com, habitatmultiservices31.fr, serrurier-pauillac-33.fr, agiradomicile.fr, satnampro-lpa.fr, e2s-isite.fr); plombier (mtplomberie-chauffage.fr, eak-services-paca.fr); fleuriste (galanthe-fleuriste.fr); animalerie (cactusanimal.com); batiment (paviroca.fr, charpente-eccf.fr, domotique-electricite-lambert.fr, fortin-fils.fr, viadelys.fr); graphiste (kappgraphic.fr, creative-cars85.fr, pumpkindesign.fr); assureur (axa-assurance-guedoit.fr); culture (sarlatvacances.fr, galeriestmichel.fr); high-tech (kphone.fr, fmultimedia.fr, lecafedigital.fr, asiatech62.fr); restauration (creperie-theatre-cusset.fr, brasseriedesalpes.fr, leadelices.fr); religion (scofa-carmel-de-lisieux.fr); santé (yoga-et-nature.fr, journees-du-dos.fr); commune (le-quercy-turenne.fr) …

Bref, je suis à plus de 1 500 petites et moyennes entreprises françaises concernées. Pour rappel, je ne me suis concentré que sur des .fr ciblés par un seul black marketeur. Imaginez les .com, .net, …

Black seo

Le second black marketeur de cet article s’intéresse à la promotion d’escorts girls. Dans son cas, c’est le groupe Auchan qui se prend une vague de noms de domaines détournés. Recensés :   noyelles.auchandrive.fr ; beaumont2.auchandrive.fr ; villefranche-sur-saone.auchandrive.fr ou encore st-germain-les-corbeil.auchandrive.fr. Un bien pour un mal. Imaginez si le pirate avait mis en place un faux drive Auchan pour intercepter les informations bancaires des clients !

Que s’est-il passé ? Le registrar du domaine, CSC, est un professionnel. Ce détournement n’a rien à voir avec un oubli de renouvellement du domaine. Il faut d’ailleurs savoir que tous les domaines CSC sont renouvelés automatiquement. Ce détournement n’est pas non plus un « domain shadowing ». Les clients sont en 2FA obligatoire. Dans de nombreux cas, même en IP validation. Sans parler du registry Lock.

Ici le problème semble relativement simple : Soit l’hébergement a été décommissionné chez l’hébergeur qui a réattribué l’IP a un site d’escorts. Et Auchan n’a pas pensé à mettre l’adresse IP à jour dans la zone du domaine, ou à supprimer le sous domaine. Soit l’hébergeur a subi une attaque sur ses machines d’hébergement et au lieu du site légitime, du contenu pirate est affiché.

Que faire face à un vol d’url ?

Pour récupérer le nom de domaine perdu, plusieurs choix. Ils sont tous sans résultats assurés.

Le premier, contacter le nouveau propriétaire. Je vais être honnête avec vous, la facture s’annonce salée pour le rachat. Certains « pirates » croisés par ZATAZ n’hésitent pas à réclamer des sommes affichant 5 zéros.

Seconde possibilité, alerter le service juridique de votre registrar. Des procédures d’urgence existent entre les registars en cas de transfert frauduleux (à la suite d’un piratage par exemple).

Troisièmement, vous pouvez contacter un avocat spécialisé dans le droit sur Internet, je peux vous conseiller Maître Rault ou encore le cabinet Desmarais. Le site de l’AFNIC sera aussi de bons conseils.

Pour finir, attention aussi au cybersquattage. Comme expliqué avec le cas des .com transformés en .co. Le typosquatting est un autre problème. Il permet de vous faire croire, par exemple, qu’un petit l est un i ; qu’un i majuscule est un l, etc … (ex: disneyIand.com). Pensez aussi aux domaines modifiés. Une démonstration l’exemple avec en-marche.fr, le site du groupe politique présidentiel français.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Valentin Reply

    Rectificatif dans le cas cité ce n’est pas un vol de domaine car le domaine « auchandrive.fr » est toujours la propriété de Auchan. Dans ce cas il s’agit d’une mauvaise redirection des sous domaines blabla.auchandrive.fr donc en moins de 5 minutes le soucis pourrait être réglés et pour 0€ …

  2. Fab Reply

    Le rachat de nom de domaine expiré n’est pas du vol!
    Transformer ensuite le contenu du site pour exploiter son ex notoriété est juste de l’opportunisme, du bons sens et … du commerce.

  3. CoolRaoul Reply

    Dans mon commentaire précédent je faisais bien entendu à « auchandrive.fr » qui appartient toujours à Auchan (« Auchan Holding ») et ne semble pas avoir été détourné (http://www.whois-raynette.fr/whois/auchandrive.fr)
    Comment est-il possible d’en avoir détourné des sous-domaines spécifique?

  4. raoularaison Reply

    Je suis d’accord avec Raoul, quel est la source qui prouve que auchandrive.fr a été détourné ?

    • Damien Bancal Reply

      Bonjour !
      Nous avons mis à jour l’article avec des informations concernant ce cas.

  5. Pingback: ZATAZ Fallout 76 : Le nom de domaine du jeu vidéo détourné - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.