De DiscordApp.com à Discord.com : comment la suppression de « App » a fermé une porte que les hameçonneurs adoraient
Comment Discord a lancé en 2015 sur DiscordApp.com parce que Discord.com était pris, a discrètement acheté le nom exact, puis en 2020 a fait de discord.com son adresse principale — en partie pour des raisons de propreté de marque, en partie parce que la dualité « discordapp.com » vs « discord.com » était un cadeau pour les hameçonneurs et les diffuseurs de malwares.
- domains
- branding
- startups
- domain-upgrades
Avant que Discord ne devienne un verbe signifiant « rejoindre le serveur », il vivait à une adresse légèrement plus longue : DiscordApp.com.
Le « App » n'était pas un choix de marque. C'était un expédient. Lorsque Jason Citron et Stanislav Vishnevskiy ont lancé leur outil vocal et de chat en mai 2015, le domaine correspondant exactement au nom — Discord.com — appartenait déjà à quelqu'un d'autre, enregistré à l'aube du millénaire. Le produit a donc fait ses débuts sur le web avec un modificateur. D'après Wikipédia, Discord a été lancé publiquement en mai 2015 sous le nom de domaine discordapp.com. Un article sur les débuts de l'aventure le dit clairement : Discordapp.com était l'URL officielle de Discord pendant sa première année de lancement.
L'écart entre le nom qu'une entreprise souhaite et celui qu'elle peut obtenir est l'un des problèmes les plus courants dans l'image de marque des startups. Le produit s'appelait déjà Discord. Le monde ne pouvait simplement pas encore l'atteindre à Discord.com.
Ce qui distingue ce cas de l'habituelle histoire « achète ton exact-match » est la couture que l'expédient a laissée. Pendant cinq ans, Discord a fonctionné sur deux adresses simultanément — la marque qu'il utilisait (discordapp.com) et la marque qu'il voulait (discord.com) — et cette dualité de domaines s'est révélée être exactement le type d'ambiguïté dont se nourrissent les hameçonneurs, les escrocs et les diffuseurs de malwares. Voici l'histoire d'une mise à niveau de domaine qui relevait en partie de la propreté de la marque et en partie de la fermeture d'une faille de sécurité avec laquelle l'entreprise vivait depuis son lancement.
2015 : l'outil qui avait besoin d'un nom qu'il ne pouvait pas avoir
Discord n'a pas commencé comme un phénomène grand public. Il a commencé comme une solution à une frustration bien précise.
Citron y est arrivé avec de l'argent et des cicatrices. Il avait fondé le réseau social de jeux OpenFeint, et — comme le rapporte Wikipédia — l'a ensuite vendu à GREE en 2011 pour 104 millions de dollars, qu'il a utilisés pour fonder Hammer & Chisel, un studio de développement de jeux, en 2012. Le jeu du studio n'a pas décollé, mais l'outil de chat que l'équipe avait développé pour coordonner les raids, lui, si. La solution est devenue le produit.
Le nom a été choisi tôt, et pour des raisons ordinaires. Selon Wikipédia, le nom « Discord » a été choisi parce qu'il « sonne bien et a un lien avec la communication », était facile à dire, à épeler, à retenir, et était disponible pour le dépôt de marque et le site web. Notez la dernière clause — disponible pour le dépôt de marque et le site web. « Disponible » fait beaucoup de travail silencieux ici. La marque était libre. Le .com brut, non.
L'équipe a donc fait ce que d'innombrables startups font : elle a ajouté un modificateur et a lancé le produit. La marque « Discord » a été lancée sous l'adresse « DiscordApp ». Et ça a fonctionné. La base d'utilisateurs a rapidement pris de l'ampleur. Selon Wikipédia, en janvier 2016, Hammer & Chisel signalait que Discord avait été utilisé par 3 millions de personnes, avec une croissance d'un million par mois, atteignant 11 millions d'utilisateurs en juillet de la même année et 25 millions en fin d'année.
Cette courbe est le piège. Chacun de ces millions d'utilisateurs a appris la marque sous la forme « discordapp.com ». Chaque lien d'invitation, chaque capture d'écran partagée, chaque favori a ancré un peu plus profondément l'expédient. Plus un modificateur perdure, plus il devient coûteux à supprimer — non pas en argent, mais dans la mémoire musculaire d'un public qui a tapé le mauvais mot des centaines de fois.
Le passage à Discord.com
Discord n'avait pas besoin de renommer quoi que ce soit. Le produit s'est toujours appelé Discord. Il lui suffisait de changer d'adresse — de DiscordApp.com à Discord.com — et pour ce faire, il devait d'abord posséder Discord.com.
Il l'a fait, discrètement, des années avant de l'utiliser. Le domaine avait été enregistré en 2000, bien avant que l'entreprise n'existe. Selon des analyses du secteur des noms de domaine, l'entreprise a acquis le domaine Discord.com dès 2017 — mais n'a pas effectué la transition. Pendant un moment, le .com était une redirection vers le domaine discordapp.com qu'ils utilisaient depuis le début. L'entreprise possédait le nom propre mais continuait à pointer vers l'expédient.
Le vrai basculement s'est produit en 2020. Comme le note une analyse de domaine, bien que certaines sources situent l'achat en 2017, le seul fait avéré est que le passage au nouveau domaine a eu lieu le 4 mai 2020. Discord a fait de discord.com son adresse principale et — judicieusement — a décidé de maintenir l'ancien domaine actif en tant que redirection, afin de ne pas casser les liens existants. Les identifiants de réseaux sociaux ont suivi l'adresse : l'entreprise a changé ses pseudos sur les réseaux sociaux de @discordapp à @discord uniquement.
Le changement n'était pas non plus purement cosmétique — il a touché jusqu'aux fondations techniques. Les développeurs de bots et de bibliothèques ont dû réorienter leur code, car l'API elle-même déménageait. Les mainteneurs de la populaire bibliothèque discord.py ont ouvert un ticket de suivi indiquant que Discord passe de discordapp.com à discord.com, avec une date limite ferme : si le domaine utilisé pour se connecter aux serveurs Discord n'est pas modifié avant le 7 novembre 2020, les clients utilisant la bibliothèque ne pourront plus se connecter. Une « mise à niveau » de domaine que la plupart des utilisateurs n'ont pas remarquée était, pour l'écosystème des développeurs, une échéance incontournable.
Le contexte : pourquoi la dualité de domaines est un cadeau pour les hameçonneurs
Voici la partie qui fait de ce cas bien plus qu'une jolie histoire de marque.
Lorsqu'une entreprise fonctionne sous deux domaines quasi-identiques pendant des années, elle entraîne ses propres utilisateurs à accepter les deux comme légitimes. « discordapp.com est-il le vrai Discord, ou est-ce discord.com ? » La plupart des gens ne pourraient pas répondre avec certitude — et cette incertitude est précisément le terreau dans lequel pousse l'hameçonnage. Si les utilisateurs font confiance à deux domaines officiels, ils feront confiance à un troisième qui leur ressemble presque. De légères variations du nom — une lettre supplémentaire ici, un mot échangé là — deviennent de faciles déguisements, parce que l'article original se présentait déjà sous plus d'une forme.
Ce risque n'était pas hypothétique pour Discord, et il a une longue traîne. Le réseau de diffusion de contenu de Discord réside toujours sur l'ancien nom, à cdn.discordapp.com — et ce domaine est devenu l'un des endroits préférés d'Internet pour héberger des malwares, précisément parce qu'il paraît digne de confiance. La société de sécurité Zscaler a documenté comment un attaquant peut téléverser un fichier malveillant sur un canal Discord et partager son lien public avec d'autres — même des non-utilisateurs de Discord peuvent le télécharger. Pire encore, ils ont constaté que un fichier envoyé depuis Discord y reste indéfiniment, donc même si un attaquant supprime un fichier dans Discord, son lien peut toujours être utilisé pour télécharger le fichier malveillant.
La société de renseignement sur les menaces Intel 471 a expliqué pourquoi le domaine lui-même est l'arme. Une fois qu'un fichier est téléversé, un lien direct est généré par la plateforme, et les attaquants peuvent ensuite choisir de diffuser ces liens par e-mails d'hameçonnage, réseaux sociaux ou autres canaux. Le lien suit le format https://cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name} — un vrai domaine Discord, avec un vrai certificat TLS, qui passe à travers les filtres parce que si le domaine Discord n'est pas bloqué par les contrôles de sécurité, c'est un moyen efficace de diffuser des contenus nuisibles. L'équipe de recherche de Malwarebytes a suivi le même schéma, avertissant d'une nouvelle campagne d'hameçonnage utilisant Discord pour la diffusion de charges utiles malveillantes et notant que les criminels abusent de Discord pour héberger des malwares en raison de son infrastructure CDN robuste.
Concentrer la marque visible par les utilisateurs sur une seule porte d'entrée canonique — discord.com — ne résout pas les abus du CDN. Mais cela fait ce que la marque peut faire pour la sécurité : donner une réponse en un seul mot à la question « à quoi ressemble le vrai Discord ? ». Moins une marque a d'orthographes officielles, moins les attaquants ont de déguisements derrière lesquels se cacher.
L'argent avait une autre valeur à l'époque
Il est tentant de considérer l'achat de Discord.com par Discord comme évident — bien sûr, l'entreprise finit par posséder son propre nom. Mais les décisions ont été prises dans le brouillard, pas avec le recul.
Regardez la chronologie. L'équipe a acquis Discord.com en 2017, quand Discord était une application de chat pour joueurs en pleine croissance mais non éprouvée, loin de son omniprésence à l'ère de la pandémie et de sa valorisation à plusieurs milliards de dollars. Puis elle a conservé le domaine propre comme simple redirection pendant environ trois ans avant de basculer en 2020. Cette patience est la partie intéressante. Discord possédait la meilleure adresse et choisissait, à plusieurs reprises, de ne pas perturber un produit fonctionnel pour l'utiliser.
C'est là le véritable calcul du coût d'une mise à niveau de domaine, et il s'agit rarement du prix d'achat. La partie difficile est la migration : réorienter les applications, les API, les scopes OAuth, les mots de passe enregistrés, les autorisations du navigateur, les liens profonds et un vaste écosystème de bots tiers — sans casser le service en direct qu'utilisent des millions de personnes chaque jour. Discord pouvait se permettre d'acheter Discord.com bien avant de pouvoir se permettre d'y migrer. L'achat de 2017 a sécurisé l'option ; le basculement de 2020 l'a exercée, une fois le produit suffisamment stable pour absorber la perturbation et une fois que l'échéance de novembre 2020 pour les développeurs pouvait être appliquée.
Pourquoi la suppression de « App » était importante
La distance entre DiscordApp.com et Discord.com est de trois lettres. Stratégiquement, c'est la distance entre l'application et le lieu.
DiscordApp.com désigne un logiciel — quelque chose que l'on télécharge, une application parmi d'autres. Discord.com désigne une destination — un endroit où l'on se rend, une communauté à laquelle on appartient, un verbe que les gens utilisent sans y penser. L'un désigne un produit. L'autre est simplement la marque. Et au fur et à mesure que Discord s'est développé au-delà du jeu vidéo pour devenir quelque chose que les gens utilisent pour des clubs, des cours et des groupes d'amis, « App » a commencé à sembler être un vestige de la façon dont l'entreprise s'était d'abord décrite.
| Avant | Après |
|---|---|
| DiscordApp.com | Discord.com |
| Désigne « l'appli » — un produit téléchargeable | Désigne la marque — un lieu et un verbe |
| Porte un modificateur-expédient | Ne porte rien d'autre que le mot |
| Deux orthographes officielles auxquelles les utilisateurs doivent faire confiance | Une seule porte d'entrée canonique |
| Laisse une couture que les hameçonneurs peuvent imiter | Ferme le gouffre « lequel est le vrai ? » |
C'est le schéma récurrent dans les mises à niveau de domaines : les noms précoces décrivent ou qualifient ; les grands noms s'approprient. Un modificateur comme « App », « HQ », « Cab » ou « The » est une rampe d'accès raisonnable lorsque le nom brut est pris. Il devient un frein — et, dans le cas de Discord, une petite vulnérabilité de sécurité — dès que l'entreprise est suffisamment grande pour que le mot nu devienne la destination.
La séquence : posséder d'abord, migrer quand c'est sûr
L'ordre des opérations mérite qu'on s'y attarde, car il inverse le conseil habituel aux startups : « passer à son exact-match le jour où on l'obtient ».
Discord ne l'a pas fait. La séquence était la suivante :
- Le nom a été choisi en premier — « Discord », retenu parce qu'il était mémorable et que la marque était disponible, même si le .com brut ne l'était pas.
- Le produit a été lancé avec un modificateur — discordapp.com, car Discord.com était occupé depuis un enregistrement datant de 2000.
- L'exact-match a été acquis mais conservé en réserve — Discord a acheté Discord.com en 2017 et l'a exploité comme une redirection, non comme un remplacement.
- Le basculement a eu lieu quand le produit pouvait l'absorber — le passage au nouveau domaine a eu lieu le 4 mai 2020, avec une date limite de basculement pour les développeurs au 7 novembre 2020.
La leçon n'est pas « retardez votre mise à niveau ». C'est que posséder le domaine propre et y migrer sont deux projets distincts avec deux profils de risque différents. Discord a sécurisé l'actif tôt et à moindre coût, puis a choisi soigneusement le moment de la migration — en maintenant l'ancienne adresse en tant que redirection afin que rien ne casse.
Le domaine est devenu une partie du système d'exploitation
Les domaines premium importent pour une raison peu glamour : la répétition.
Un domaine central apparaît partout où une entreprise ne peut pas tout contrôler — dans les liens d'invitation, les écrans de consentement OAuth, les adresses e-mail, la couverture presse, les barres de navigateur, les résultats de recherche et chaque « rejoins mon serveur » prononcé à voix haute. Chaque répétition ajoute soit de la friction, soit en retire. DiscordApp.com demandait à tout le monde de porter trois lettres supplémentaires à jamais, et apprenait discrètement aux utilisateurs que Discord existait sous deux orthographes officielles. Discord.com ne demandait rien et répondait à la question de confiance en un seul mot.
L'évolution de la marque a renforcé l'adresse. Quand Discord s'est officiellement repositionné en s'éloignant du jeu vidéo à mi-2020 — la même année où il a changé de domaine — il a déclaré à sa communauté, dans son propre billet de blog, nous lançons un nouveau site web avec un nouveau slogan : Your place to talk. Il a admis que la façon dont nous parlions de nous-mêmes envoyait le mauvais signal au monde. Un nom qui se désignait lui-même comme « App » envoyait un signal plus étroit qu'une entreprise qui voulait être plus accueillante, plus inclusive et plus digne de confiance. « Digne de confiance » est le mot opérationnel — et un seul domaine canonique fait partie de la façon dont une marque le mérite.
Ce que les fondateurs devraient apprendre de ce cas
La conclusion facile — « possède ton .com exact-match avant de lancer » — est la mauvaise, car Discord ne pouvait pas. Les leçons plus utiles portent sur les modificateurs, le timing et la sécurité :
- Un modificateur est une rampe d'accès convenable. « App » a permis à Discord de se lancer sous son vrai nom pendant que le mot brut était détenu par un registrant depuis 2000. Se lancer sur DiscordApp.com n'était pas un échec ; c'était une façon raisonnable de mettre le produit sur le marché.
- Acheter le domaine propre et y migrer sont des décisions différentes. Discord a acquis Discord.com en 2017 et n'a basculé qu'en 2020. Sécuriser l'actif a acheté une option ; l'exercer pouvait attendre un moment sûr.
- Comptez les coutures, pas seulement les lettres. Le coût de l'exploitation de deux domaines n'est pas seulement trois caractères supplémentaires — c'est l'ambiguïté. Deux orthographes officielles apprennent aux utilisateurs à faire confiance aux imitations, et les imitations sont ce que les hameçonneurs diffusent.
- Une seule porte d'entrée canonique est une fonctionnalité de sécurité. La consolidation sur discord.com n'a pas arrêté les abus du CDN sur cdn.discordapp.com, mais elle a fait de « à quoi ressemble le vrai Discord ? » une réponse en un seul mot — et cette clarté est quelque chose que les attaquants ne peuvent pas facilement contrefaire.
La mise à niveau du domaine n'a pas fait gagner Discord. Le produit, le timing, la pandémie et une communauté explosive ont fait bien plus. Mais discord.com a rendu la marque plus simple à taper, plus facile à faire confiance et plus difficile à usurper — ce qui, pour une plateforme construite sur des liens que des inconnus cliquent, n'est pas une petite chose.
L'angle Namefi
L'histoire de Discord est, sous l'angle de la marque, un problème de contrôle et de continuité.
Le choix stratégique n'a jamais fait de doute — bien sûr, une plateforme appelée Discord devrait résider à Discord.com. Le travail concernait tout ce qui entoure l'actif : acquérir un domaine premium enregistré deux décennies plus tôt, puis en prouver la propriété, le conserver en sécurité comme redirection, et finalement migrer un produit en direct — applications, API, OAuth, identifiants enregistrés et un écosystème de bots tiers — sans rien casser ni, surtout, ouvrir une fenêtre aux imposteurs pendant la migration. Ce dernier point est le fil de sécurité qui court à travers tout le cas : l'ambiguïté sur quel domaine vous appartient vraiment est exactement ce que les attaquants exploitent.
Namefi est construit autour de l'idée que les domaines devraient se comporter comme des actifs natifs d'Internet. La propriété tokenisée peut rendre le contrôle des domaines plus facile à vérifier, à transférer et à intégrer dans les flux de travail modernes tout en restant compatible avec le DNS — transformant les parties lentes et basées sur la confiance d'une transaction comme celle-ci (confirmer qui possède quoi, déplacer l'actif et maintenir la continuité pendant une migration) en quelque chose qui ressemble davantage à une transaction propre et auditable. Lorsque la propriété d'un nom est prouvable et portable, « est-ce le vrai Discord ? » devient plus facile à répondre — pour l'entreprise et pour tous ceux qui cliquent sur ses liens.
Discord.com paraît inévitable aujourd'hui parce que Discord est devenu énorme. Mais la leçon s'applique plus tôt : quand un nom va porter l'entreprise — et surtout quand un domaine-expédient laisse une couture que les escrocs peuvent exploiter — le domaine n'est pas une décoration. C'est la porte d'entrée, et vous n'en voulez qu'une seule.
Sources et lectures complémentaires
- Wikipedia — Discord (logiciel)
- The Domains — Discord utilise désormais Discord.com, le domaine n'est plus une simple redirection
- Domainer — Comment la vente du domaine Discord.com a transformé l'application
- GitHub (discord.py) — Changement de domaine Discord de discordapp.com à discord.com (Issue #4063)
- Discord Blog — Your Place to Talk
- Zscaler — Discord CDN : un choix populaire pour héberger des charges utiles malveillantes
- Intel 471 — Comment Discord est utilisé pour la cybercriminalité
- ThreatDown by Malwarebytes — Une nouvelle campagne d'hameçonnage utilise Discord pour diffuser des charges utiles malveillantes
- Remote Tools — Quand Discord a-t-il été créé ?
- Discord Support — Discordapp.com est désormais Discord.com
À propos de l’auteur·rice
Guides connexes
- De Box.net à Box.com : la mise à niveau à ~1 million de dollars qui a supprimé le « .net » pour acheter le nom exactComment Box a lancé son activité en 2005 sur Box.net parce que Box.com était pris, a pivoté du stockage grand public vers l'entreprise, puis a payé Digimedia près d'un million de dollars en 2011 pour obtenir l'exact-match Box.com — une mise à niveau .net vers .com réalisée au moment même où la société devenait simplement « Box ».
- De BufferApp.com à Buffer.com : l'acquisition de domaine en 624 jours, relevé bancaire ouvertComment Buffer a lancé en 2010 sur BufferApp.com parce que Buffer.com était déjà pris, puis a passé 624 jours à acquérir le domaine exact — en montrant même au vendeur son solde bancaire — et pourquoi une entreprise réputée pour sa transparence radicale est restée muette sur le seul chiffre que tout le monde voulait connaître : le prix.
- De Ctrip.com à Trip.com : comment le géant chinois du voyage a acheté un domaine de 1996 pour conquérir le mondeComment Ctrip, la plus grande agence de voyage en ligne de Chine, a acquis le domaine premium Trip.com en 2017 auprès d'une startup appelée Gogobot, a relancé sa marque mondiale autour de ce nom, puis en 2019 a rebaptisé l'ensemble de la société mère Trip.com Group pour s'étendre à l'international.
- De del.icio.us à Delicious.com : le hack de domaine le plus astucieux du Web — et pourquoi Yahoo l'a simplifiéComment le site pionnier de partage de favoris a été lancé en 2003 sous le célèbre hack de domaine « del.icio.us », pourquoi ces points sont devenus une taxe permanente sur chaque mention, et comment Yahoo l'a migré vers le plus simple Delicious.com en 2008.