Blog

Comment les domaines expirés mènent à des cyberattaques

Comment les domaines expirés mènent à des attaques de cybersécurité En 2018, British Airways a été attaquée par l'exploitation d'un package JavaScript tiers

Jul 08, 2024 • 9 min read

Simon Wijckmans Founder & CEO

How expired domains lead to cyber attacks — trusted origins handed to attackers

En 2018, British Airways a été attaquée par l'exploitation d'un package JavaScript tiers exécuté sur son site. Le script a été compromis, et les attaquants ont ajouté des lignes de code qui copiaient automatiquement tous les détails de cartes de crédit et de transactions des clients vers un nouveau domaine : baways.com. Ce domaine a été astucieusement acheté par les attaquants quelques jours avant l'opération.

cside possède actuellement baways.com. Si vous visitez le site, vous trouverez une explication de l'attaque entière du début à la fin. Le domaine est maintenant complètement sûr et sert à des fins éducatives.

Cependant, la question que nous posons est la suivante : Comment avons-nous pu obtenir un domaine précédemment utilisé dans une cyberattaque ?

Comment nous avons acquis baways.com

Lorsque l'attaque s'est produite, le domaine était hébergé en Roumanie par un fournisseur d'hébergement lituanien qui proposait des serveurs virtuels à des tarifs abordables.

Aujourd'hui, cside peut détecter de telles anomalies et prévenir des problèmes similaires. Malheureusement, nous n'étions pas disponibles à l'époque. Vous pouvez en savoir plus sur la façon dont cette attaque s'est produite en lisant l'article complet sur baways.com.

Le buzz autour de cette attaque s'est calmé après octobre 2020 lorsque British Airways a reçu une amende record pour violation de données. Initialement fixée à 183 millions de livres sterling, elle a ensuite été réduite à 20 millions de livres sterling. Après juillet 2021, ils ont conclu l'affaire en réglant la réclamation légale avec les clients affectés.

Alors que la couverture médiatique de l'incident s'est finalement arrêtée, le monde est passé à autre chose.

Alors, comment avons-nous réussi à acquérir le domaine utilisé dans la plus grande attaque de ce type à l'époque ?

Bien que nous aimerions partager un récit complexe de recherches dans des forums douteux et de négociations d'accords obscurs, la vérité est en fait plus troublante. Nous l'avons acheté sur un registre public.

Quelques semaines avant que cside ne soit officiellement établi, notre fondateur a tweeté ce qui suit :

Tweet du fondateur Simon Wijckmans annonçant l'achat du domaine impliqué dans la fuite British Airways

En parcourant les recherches pour ce qui allait finalement devenir cside, il a examiné des articles sur la violation de données de British Airways. Au cours de cette recherche, le domaine en question a attiré son attention. À son grand étonnement, il était disponible pour que quiconque puisse le réclamer.

Registre public indiquant que le domaine baways.com est disponible à l'achat

L'achat d'un domaine expiré qui a été impliqué dans une cyberattaque est préoccupant pour plusieurs raisons :

Accès aux données

Prendre le contrôle d'un domaine ayant une utilisation antérieure peut donner accès aux données les plus privées.

Inti De Ceukelaire, un expert en cybersécurité de Belgique, a partagé cet article de blog en mai 2024. Il avait acheté plusieurs domaines expirés précédemment détenus par des services de police locaux et des institutions sociales en Belgique.

Capture d'écran de domaines expirés acquis par le chercheur en sécurité Inti De Ceukelaire

Il a fini par acheter plus de 100 domaines et a rapporté ce qui suit :

« Pour les 848 adresses e-mail que j'ai pu identifier en une semaine, j'ai réussi à obtenir les e-mails de réinitialisation de mot de passe pour 80 comptes Dropbox, 142 comptes Google Drive, 57 comptes Microsoft / OneDrive / SharePoint, et une douzaine de comptes Smartschool et Doccle. J'ai réalisé qu'en achetant ces domaines, j'avais obtenu l'accès à des tonnes d'informations sensibles sur les citoyens stockées dans les comptes cloud liés à ces adresses e-mail. »

Ainsi que :

« Ce n'étaient pas les seuls e-mails que j'ai commencé à recevoir. De manière choquante, des années après que ces adresses e-mail ont été abandonnées, elles recevaient toujours des informations extrêmement sensibles […]. Des informations judiciaires confidentielles, des informations concernant des détenus libérés et des défenseurs publics, des rappels de paiement pour des personnes endettées, des e-mails liés à la santé ou à la situation sociale de personnes vulnérables, des invitations à des comités spéciaux, […] »

Vous pouvez lire son enquête complète ici.

Perte de confiance dans votre marque

La Royal Mail au Royaume-Uni utilise des domaines d'apparence inhabituelle qui peuvent nuire à la confiance. Cela est évident dans un autre tweet (post X) que nous avons publié après avoir rencontré ce problème nous-mêmes. Bien que nous soyons peut-être plus alertes à ce problème, nous sommes convaincus que nous ne sommes pas les seuls à être mal à l'aise en cliquant sur de tels liens.

Tweet du fondateur Simon Wijckmans à propos d'un domaine imitant Royal Mail

Ce qui a aggravé la situation, c'est que leur propre équipe d'assistance a répondu en déclarant qu'il s'agissait d'un SMS de phishing. Mais c'était incorrect. Un ancien tweet de Royal Mail ci-dessous utilisait le même domaine comme raccourcisseur d'URL. Cela nuit à la confiance des utilisateurs attentifs, démontrant clairement que les entreprises ont perdu la trace de leurs propres noms de domaine.

Ancien tweet Royal Mail réutilisant un domaine de raccourcisseur de liens désormais expiré

Nous utiliserons HubSpot comme dernier exemple. Ils ont des dizaines de domaines avec différents niveaux de structure. Ces domaines sont utilisés dans divers scripts et sur différentes plateformes :

hubspot.com
hs-scripts.com
hs-banner.com
hs-analytics.net
hubapi.com
hsforms.com
hscollectedforms.net
...

Le risque ici est que les gens puissent rencontrer ces domaines dans des scripts et ne pas leur faire confiance ou faciliter l'achat par un acteur malveillant d'un domaine qui semble légitime car il suit un format similaire aux autres domaines.

Les domaines sont utilisés dans d'anciens scripts tiers

Nous avons récemment rapporté l'attaque Polyfill. Un domaine qui était utilisé par un projet open-source a été acheté. Le domaine a ensuite été trouvé en train d'injecter du code malveillant. Ce code générait dynamiquement des charges utiles basées sur les en-têtes HTTP, s'activant uniquement sur des appareils spécifiques, échappant à la détection, évitant les utilisateurs administrateurs et retardant l'exécution.

Dans certains cas, les utilisateurs reçoivent des fichiers JavaScript altérés, qui incluent un domaine typosquatté googie-anaiytics[.]com/gtags.js. Ce lien redirige les utilisateurs vers divers sites de paris sportifs et pour adultes en fonction de leur région. Mais étant du JavaScript, il pourrait à tout moment introduire de nouvelles attaques comme le formjacking, le clickjacking et un vol de données plus large.

Dans l'attaque Polyfill, le service était obsolète et n'était plus nécessaire pour la plupart. Pourtant, le domaine est resté actif sur des milliers de sites Web.

Si ce n'est pas le domaine qui est acheté, les outils peuvent faire faillite, être abandonnés ou cesser de recevoir des mises à jour. Lorsque cela se produit, certains sites Web ne parviennent pas à supprimer les scripts obsolètes de leur code. Si l'ancien domaine ou script d'une entreprise défunte est ensuite acquis, il devient automatiquement intégré dans des milliers de sites Web, créant une voie facile pour les attaques.

Beaucoup d'outils de sécurité ne vérifient que les sources des scripts, ce qui dans ces cas mentionnés ne suffirait pas. Les attaques passeraient simplement inaperçues. En savoir plus sur ce problème ici.

La nécessité de surveiller vos scripts

C'est l'une des raisons pour lesquelles PCI DSS 4.0 exigera la surveillance et l'analyse des scripts sur les portails de paiement d'ici mars 2025. cside le fait automatiquement, sécurisant même les scripts tiers chaque fois qu'une page est chargée par un utilisateur. Cela se fait sur l'ensemble de votre site, pas seulement sur les portails de paiement, ce qui va même au-delà de leurs recommandations. Lisez ici pour comprendre pourquoi cela est essentiel pour la sécurité de votre site Web.

Comment résoudre la menace des domaines expirés

Il s'agit d'un problème multiforme. Simplement acheter un domaine expiré n'est pas illégal. Cependant, si un nom de domaine est une marque déposée, alors l'acheter (connu sous le nom de cybersquatting) pourrait potentiellement violer les lois sur le droit d'auteur. Mais cela ne dissuadera pas les attaquants qui restent généralement anonymes et inaperçus.

Obtenir l'accès aux e-mails envoyés à un domaine précédemment détenu par quelqu'un d'autre (ou une autre entreprise) est une zone grise légalement et éthiquement. Bien que certains pays aient des lois qui vous empêchent d'ouvrir du courrier physique adressé à quelqu'un d'autre, l'application de ces lois aux e-mails est souvent sujette à débat.

Les lois qui traitent de la communication électronique interdisent généralement l'interception de la communication entre des participants non consentants ou inconscients. Cependant, dans le cas d'e-mails envoyés à un domaine expiré, on pourrait soutenir que le destinataire est le propriétaire légitime du nom de domaine et donc le destinataire prévu.

Les lois sur la vie privée interdisent également le partage et le traitement des données des individus sans leur consentement. Ainsi, en envoyant du contenu à une adresse e-mail expirée, l'expéditeur peut en fait violer indirectement les droits à la vie privée du destinataire en raison d'un manque de diligence raisonnable sur l'adresse e-mail. Un tout autre problème en soi.

Comme vous pouvez le voir, c'est un problème qu'il vaut mieux éviter complètement si vous le pouvez.

En tant qu'entreprise ou propriétaire de site Web, essayez de conserver les domaines ayant une utilisation antérieure, en particulier ceux utilisés pour créer des comptes et transférer des données. Obtenir des domaines similaires et empêcher les attaquants de les utiliser (c'est ce qu'on appelle le cybersquatting) devrait également être envisagé. Même si cela pourrait potentiellement ajouter des coûts annuels indésirables.

Si vous ne le pouvez pas, ou lors du changement de domaines et d'adresses e-mail, il est important de prévoir une période d'ajustement raisonnable pour les personnes. Si possible, renforcez les mesures de sécurité et configurez des notifications de réponse automatique pour ceux qui tentent de prendre contact pendant et après cette transition.

Pour protéger votre site contre les actes malveillants causés par des scripts tiers et des domaines dans ces scripts, cside est là. Nous proxyfions tous les scripts tiers sur votre site et vérifions chaque session avant que le code ne soit rendu dans les navigateurs de vos utilisateurs.

Vous pouvez commencer gratuitement et trouver nos niveaux de tarification ici.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Quand une entreprise laisse expirer un domaine — même un raccourcisseur ou une URL de campagne — n'importe qui peut le réenregistrer. Le nouveau propriétaire hérite du trafic, des e-mails de réinitialisation de mot de passe et de la confiance qui continuent d'arriver vers ce domaine.

Nous avons acheté baways.com sur un registre public. Cet achat montre comment des attaquants peuvent prendre la main sur des domaines historiquement sensibles sans accès particulier et exploiter cette autorité héritée pour du phishing, du vol d'identifiants ou du skimming.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Détection du partage de compte : comment combler la lacune d'application que les limites de sessions simultanées manquent

Les limites de sessions simultanées signalent le cas évident.

Comment Bloquer Applebot-Extended sur Votre Site Web

Applebot-Extended est le crawler d'entraînement IA d'Apple qui alimente Apple Intelligence. Découvrez comment il diffère d'Applebot et comment vous désinscrire via robots.txt.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la surveillance des scripts tiers sur des domaines de casino

Comment surveiller les scripts tiers sur 100 domaines de casino ou plus

Guide pratique pour surveiller les scripts tiers sur 100+ domaines de casino : prolifération, alertes inter-domaines et mise à l'échelle de cside.

Risques de sécurité de l'IA agentique pour les sites web : confidentialité, conformité et détection

Les navigateurs d'IA agentique contournent le consentement aux cookies, exécutent de vrais scripts JavaScript et créent des lacunes de conformité RGPD invisibles pour la détection de bots au niveau CDN.

Illustration d'un système neuronal de détection de bots en deux étapes séparant les sessions de navigateur humaines et celles des bots

Attraper les bots qui ne veulent pas l'être : au cœur d'une pile de détection neuronale à deux étages

Comment une pile neuronale à deux étages attrape navigateurs furtifs, scrapers résidentiels et agents LLM qui déjouent l'empreinte, et ses limites.

Comment Bloquer DeepSeekBot sur Votre Site Web

DeepSeekBot explore votre site pour une entreprise d'IA chinoise. Découvrez comment le bloquer avec robots.txt, des règles d'IP, et les vrais risques de souveraineté des données qu'il pose.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la conformité des scripts auprès de la Malta Gaming Authority

Conformité Malta Gaming Authority et sécurité des scripts côté client : ce que les opérateurs agréés MGA doivent couvrir

Les règles MGA exigent une plateforme sécurisée et auditable. Le JavaScript tiers est une lacune que la plupart des opérateurs n'ont pas auditée.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les attaques de scripts tiers contre les plateformes iGaming

Attaques de scripts tiers sur les plateformes iGaming en 2026 : la nouvelle surface d'attaque que les opérateurs négligent

JavaScript tiers est la principale surface d'attaque non surveillée en iGaming. Les sept classes d'attaque et pourquoi les outils les manquent.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Conformité HIPAA et technologies de suivi web : le guide pour les établissements de santé

L'OCR du HHS a statué que les pixels de suivi et les scripts tiers sur les sites web de santé peuvent exposer des PHI. Ce que les entités couvertes doivent faire pour se conformer.