Domain Security & Recovery

Un guide pratique sur les cinq véritables méthodes utilisées par les attaquants pour s'emparer de domaines dans le monde réel — ingénierie sociale, compromission de compte registrar, prise de contrôle du fournisseur DNS, piratage de serveurs de noms (NS) et récupération de domaines expirés — et les contrôles spécifiques qui bloquent chacune d'elles.

En septembre 2015, un ancien employé de Google a acheté google.com via Google Domains pour 12 dollars et a détenu le contrôle administratif du domaine le plus précieux au monde pendant environ une minute. L'histoire de Sanmay Ved, la prime de 6 006,13 dollars, et ce qu'une minute de propriété révèle sur celui qui contrôle vraiment un domaine.

Le 15 juillet 2020, des attaquants ont infiltré Twitter par téléphone, détourné les comptes vérifiés d'Obama, Biden, Musk, Gates, Apple et Uber, et lancé une arnaque de doublement de Bitcoin — récoltant environ 118 000 dollars. Une analyse approfondie de la façon dont le contrôle d'une identité en ligne a été volé, et ce qu'elle enseigne sur la possession d'un nom.

En juillet 2024, une migration de registrar de Google Domains vers Squarespace a transformé une authentification par défaut trop faible en une surface d'attaque massive. Des attaquants ont détourné les domaines de projets crypto et DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — et les ont redirigés vers des sites de phishing vidant les portefeuilles. Voici comment une migration « transparente » a créé des centaines de portes d'entrée non verrouillées, et ce qu'elle enseigne sur la sécurité des registrars et l'authentification multifacteur.

En décembre 2021, des attaquants ont compromis le compte Cloudflare de BadgerDAO et injecté un seul script malveillant dans le front-end de son site web. Les contrats intelligents audités n'ont jamais été touchés — et pourtant, environ 120 millions de dollars sont partis via des approbations de portefeuilles signées à l'insu des utilisateurs. Une analyse approfondie expliquant pourquoi le site web fait partie de votre surface de sécurité.

En septembre 2021, Bitcoin.org — le site d'information de référence de Bitcoin, géré par l'opérateur pseudonyme Cobra — a été détourné au niveau de la couche DNS et transformé en un faux cadeau « doublez vos Bitcoin », permettant aux escrocs de soutirer environ 17 000 $ avant que le site ne soit mis hors ligne. Une analyse approfondie de Domain Mayday sur ce qui s'est passé, comment, et ce que cela nous apprend sur la dépendance de sites crypto-natifs envers le DNS.

En août 2022, les smart contracts de Curve Finance étaient intacts — mais des attaquants ont détourné le domaine curve.fi au niveau du registrar, cloné le site et siphonné environ 570 000 $ aux utilisateurs. Une analyse approfondie de l'attaque DNS sur une interface DeFi, et ce qu'elle nous enseigne sur la sécurité des noms de domaine.

Fin 2018, Cisco Talos a révélé DNSpionage — une campagne liée à des intérêts iraniens qui a réécrit des enregistrements DNS gouvernementaux, redirigé le trafic e-mail et VPN vers des serveurs attaquants, et émis des certificats TLS valides pour rester invisible. Elle a déclenché la première directive d'urgence de ce type de la part du gouvernement américain.

Le 21 octobre 2016, une attaque DDoS alimentée par le botnet IoT Mirai a frappé le fournisseur DNS Dyn en trois vagues, rendant Twitter, Netflix, Reddit, Spotify, GitHub, Airbnb et PayPal inaccessibles pendant des heures — une étude de cas Domain Mayday sur la concentration des fournisseurs DNS.

En septembre 2017, des attaquants se sont connectés au bureau d'enregistrement tiers de la société de sécurité néerlandaise Fox-IT, ont modifié ses DNS, obtenu frauduleusement un certificat TLS et ont effectué une attaque man-in-the-middle pendant 10 heures sur le trafic client — jusqu'à ce que Fox-IT le détecte et publie l'un des post-mortems les plus transparents du secteur.

Entre 2020 et 2022, un seul groupe de menaces a vécu à l'intérieur de l'infrastructure de GoDaddy — volant du code source, exposant 1,2 million de clients Managed WordPress, et redirigeant par intermittence des sites clients vers des destinations malveillantes. Une analyse approfondie du risque de concentration chez les registraires et des leçons sur les points uniques de défaillance.

Fin 2014, l'ICANN — l'organisme qui coordonne le système de noms de domaine Internet — a reconnu qu'un courriel de spear-phishing usurpant son propre domaine avait récolté les identifiants de membres du personnel et accordé aux attaquants un accès administrateur au Centralized Zone Data System. Une analyse approfondie de Domain Mayday sur la façon dont l'autorité DNS elle-même s'est fait hameçonner, ce qui a été exposé et pourquoi cela compte encore aujourd'hui.

Le 25 février 2015, Lizard Squad a détourné Lenovo.com en compromettant le bureau d'enregistrement Webnic, redirigeant le domaine du plus grand fabricant de PC au monde vers un diaporama de webcam et interceptant ses e-mails — quelques jours après le scandale Superfish. Une analyse approfondie de Domain Mayday sur les raisons pour lesquelles le bureau d'enregistrement est votre véritable périmètre de sécurité.

En janvier 2015, Lizard Squad a détourné le DNS de malaysiaairlines.com et remplacé le site de la compagnie aérienne par un lézard en tuxedo et le message moqueur « 404 — Avion Introuvable ». Aucun serveur n'a été piraté — les attaquants ont simplement modifié la destination du nom de domaine. Une analyse approfondie Domain Mayday sur la façon dont le DNS est devenu la porte d'entrée la plus exposée de la compagnie.

Le 24 avril 2018, des attaquants ont détourné le routage Internet d'Amazon Route 53, empoisonné les réponses DNS pour myetherwallet.com, et servi un clone de phishing derrière un certificat auto-signé — vidant environ 150 000 $ en Ethereum. Une analyse approfondie Domain Mayday sur les raisons pour lesquelles DNS repose sur une couche de routage qui fait confiance par défaut.

En janvier 2005, panix.com — le domaine du plus ancien FAI commercial de New York — a été transféré frauduleusement vers un registraire en Australie à l'aide de cartes de crédit volées, coupant le web et la messagerie pendant plusieurs jours. Les règles de transfert inter-registraires à approbation automatique de l'époque ont rendu la chose possible, et le nettoyage a reconfiguré la politique de transfert de domaine.

Fin janvier 2021, perl.com — la maison historique de la communauté de programmation Perl — a été volé via une compromission de compte chez un registrar, transféré à travers la Chine, pointé vers une adresse IP liée à des logiciels malveillants, et mis en vente à 190 000 $. Voici comment cela s'est produit, comment le domaine a été récupéré, et ce que cela nous enseigne sur la sécurité des comptes registrar.

Comment « Sea Turtle », une campagne parrainée par un État révélée par Cisco Talos en 2019, a détourné le DNS en compromettant des bureaux d'enregistrement, des registres et des fournisseurs DNS — redirigeant gouvernements, ministères et entreprises énergétiques vers des serveurs contrôlés par les attaquants, forgeant des certificats valides, et allant jusqu'à s'introduire dans un registre national de TLD.

En 1995, un escroc nommé Stephen Cohen a volé sex.com à son propriétaire légitime Gary Kremen grâce à une seule lettre falsifiée envoyée à Network Solutions. La longue bataille pour le récupérer s'est soldée par un jugement de 65 millions de dollars, un fugitif au Mexique, et une décision historique établissant que les domaines sont une propriété.

En septembre 2021, un prestataire anonyme a glissé sa propre adresse de portefeuille dans le front-end du launchpad MISO de SushiSwap via un commit malveillant, détournant 864,8 ETH (~3 M$) de la vente aux enchères Jay Pegs Auto Mart. Un deep-dive Domain Mayday sur les chaînes d'approvisionnement logicielles, la confiance accordée aux front-ends, et ce que cela enseigne sur la propriété vérifiable.

Le 27 août 2013, l'Armée électronique syrienne a hameçonné un revendeur de Melbourne IT, réécrit les enregistrements DNS de nytimes.com et des domaines de Twitter, et mis le New York Times hors ligne pendant des heures. Une analyse approfondie de la façon dont un maillon faible dans la chaîne des registraires est devenu la faille d'entrée d'un grand journal — et ce qu'un verrouillage au niveau du registre aurait changé.

Les portefeuilles multisignatures sont largement considérés comme le modèle de conservation sécurisé par défaut dans les cryptomonnaies, mais la réponse à la question « améliorent-ils vraiment la sécurité ? » dépend entièrement du modèle de menace. Cet article explique ce que le multisig permet de contrer, ce qu'il ne peut pas faire, et dans quels cas il peut aggraver la situation.

Le DNS over HTTPS (DoH) protège la confidentialité des utilisateurs en chiffrant les requêtes DNS dans le protocole HTTPS. Le DNS split-horizon d'entreprise repose sur la capacité du réseau à voir ces requêtes. La collision entre les deux redéfinit la façon dont les réseaux d'entreprise, les navigateurs et les systèmes d'exploitation gèrent la résolution de noms.

Une perspective axée sur les opérations DNS et registrar concernant l'incident AWS du 20 octobre 2025, le fonctionnement réel du DNS, les raisons de la propagation de cette panne, et ce que les équipes internet résilientes peuvent faire.