Skip to main content
Blog
Blog

Risques liés aux domaines expirés : un exemple concret sur le site d'Oracle

Une référence à un domaine expiré suffit à un attaquant pour exécuter du phishing sous une origine de confiance. Ce blog examine un exemple tiré du code d'Oracle.

Nov 25, 2025 5 min read
Expired-domains-breakdown-an-example-from-oracle-website
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Chez cside, nous surveillons en permanence les sites web à la recherche de tout comportement suspect, afin de protéger les utilisateurs avant que les attaques ne surviennent. Récemment, nous avons repéré un cas intéressant impliquant un site bien connu : Oracle.

En examinant l'un des fichiers JavaScript publics d'Oracle, nous avons constaté qu'il contenait un lien vers un domaine expiré.

[https://www.oracle.com/asset/web/js/settings-v2.js](https://www.oracle.com/asset/web/js/settings-v2.js)

Ce blog met en lumière les risques liés aux domaines oubliés ou expirés dans le code côté client. Ce n'est pas un problème ancien ou rare : il peut toucher aussi bien les grandes que les petites entreprises, et ouvrir facilement la porte à une attaque de la chaîne d'approvisionnement.

Remarque : Notre équipe a signalé cette découverte à Oracle, qui y a remédié rapidement. L'objectif de ce blog est d'examiner les implications en matière de sécurité d'un point de vue défensif. Il ne doit pas être interprété comme un guide d'exploitation ou de développement de nouvelles techniques d'attaque.

Le domaine expiré en question

Certaines parties de cette section sont rédigées au présent, car elles sont tirées directement de conversations avec notre analyste en sécurité.

Le domaine expiré est :

ociforums.com

expired-domain-attack-breakdown-cside
Capture d'écran : identification d'un domaine expiré

Le visiter aujourd'hui redirige vers :

https://expireddomains.com/domain/ociforums.com

purchase-expired-domain-attack-example-oracle-cside
Capture d'écran : achat d'un domaine expiré

(la capture d'écran a été prise au moment de la découverte ; le problème a depuis été corrigé).

Dans le fichier JavaScript d'Oracle, on trouve une référence à :

http://ccc.ociforums.com/

expired-domain-vulnerability-detection-cside
Capture d'écran : domaine expiré dans le code d'Oracle (désormais corrigé)

Ce lien apparaît dans le code du site dans le cadre d'un message affiché aux utilisateurs lorsqu'aucun agent de chat en direct n'est disponible. Le domaine étant expiré et disponible à la vente, n'importe qui pourrait l'acheter et l'utiliser à des fins malveillantes.

Pourquoi ce domaine expiré représentait un risque de sécurité

Voici l'extrait exact du fichier :

ocFeedback: {
  en: "Sorry, no agents are available... post your question at <a href='http://ccc.ociforums.com/'>http://ccc.ociforums.com/</a>..."
}

Ce message est affiché aux utilisateurs qui cherchent déjà de l'aide. Ils sont donc plus enclins à faire confiance au lien, le percevant comme une page d'assistance Oracle légitime. Si un attaquant achetait le domaine, plusieurs risques pourraient en découler :

  1. Phishing : l'attaquant pourrait créer un faux forum imitant celui d'Oracle et inciter les utilisateurs à saisir leurs identifiants de connexion.
  2. Hébergement de malwares : le domaine pourrait distribuer des téléchargements malveillants ou exécuter des kits d'exploitation.
  3. Abus SEO : le domaine conservant potentiellement un bon référencement, il pourrait apparaître dans les recherches d'assistance Oracle et orienter les internautes vers le faux site.
  4. Atteinte à la marque : si des utilisateurs sont trompés, ils pourraient en tenir Oracle pour responsable et perdre confiance dans la marque.

Risque à long terme : le lien est codé en dur dans le JavaScript, ce qui signifie que chaque site utilisant ce widget devrait être mis à jour. Sans correctif rapide, l'exposition persiste.

Exemple de scénario d'attaque

  • Un utilisateur tente d'obtenir de l'aide auprès d'Oracle, mais aucun agent n'est disponible.
  • Le message l'invite à se rendre sur ccc.ociforums.com.
  • Le domaine appartient désormais à un attaquant.
  • L'utilisateur clique et est invité à se connecter avec ses identifiants Oracle.
  • L'attaquant récupère les identifiants et peut également distribuer des malwares ou lancer d'autres arnaques.

Ce qu'a fait l'équipe cside

Nous avons contacté Oracle et les avons informés du problème lié au domaine expiré. Ils ont agi très rapidement pour racheter le domaine et nous ont accordé un crédit dans leurs programmes de signalement de sécurité. Nous saluons la réactivité d'Oracle.

Cette situation illustre à quel point la complexité des sites web et leur exposition dans le temps peuvent devenir un défi, même pour des organisations remarquablement bien préparées face aux incidents de sécurité. La sécurité côté client est un domaine souvent négligé, et cela s'applique malheureusement aux entreprises de toutes tailles.

Qu'est-ce qui aurait pu prévenir une attaque par domaine expiré ?

Si l'on envisage le scénario où un attaquant aurait effectivement obtenu l'accès à ce domaine : la CSP et la SRI auraient toutes deux échoué à le détecter.

La CSP et la SRI auraient été insuffisantes :

La CSP (Content Security Policy) et la SRI (Sub Resource Integrity) sont des mécanismes de défense côté client couramment utilisés. La CSP valide l'origine des requêtes, mais pas si la destination est toujours sûre. Le navigateur autorisera la requête quel que soit le propriétaire actuel du domaine. La SRI garantit l'intégrité des fichiers uniquement lorsque le développeur contrôle la ressource. Dans ce cas, la référence était un hyperlien affiché dans l'interface utilisateur, et non une dépendance de script externe protégée par un hash.

La sécurité côté client détecte les signes d'une attaque par domaine expiré :

Une plateforme de sécurité côté client comme cside observe en permanence le comportement des scripts à l'exécution. Si un domaine commence soudainement à émettre des redirections, à collecter des frappes clavier, à servir du JavaScript inattendu ou à renvoyer des réponses inhabituelles, ce changement de comportement devient immédiatement un signal d'alerte. Une notification est alors déclenchée pour que les équipes de sécurité puissent procéder à une inspection.

Juan Combariza
Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude

FAQ

Frequently Asked Questions

cside surveille le comportement des scripts présents sur votre site. Si un domaine jusqu'alors inoffensif commence soudainement à servir du JavaScript suspect, à rediriger des utilisateurs ou à effectuer des appels réseau inattendus, cside signale ce changement de comportement en temps réel et alerte votre équipe pour qu'elle procède à une vérification.

Lorsqu'un domaine expire, n'importe qui — y compris des attaquants — peut l'acheter. Si votre site récupère du code depuis ce domaine via un script tiers, ce code peut être modifié et servi à vos utilisateurs depuis un « domaine de confiance ». Les attaquants peuvent également exploiter des domaines expirés à des fins d'abus SEO ou de redirections de phishing.

Non. La CSP ne bloquerait pas un domaine s'il est défini comme source « de confiance », même si un nouveau propriétaire en prend le contrôle.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Réserver une démonstration
Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité
Related Articles
Réserver une démonstration