La surveillance de sous-domaines permet de détecter des abus parmi des noms de domaine ne reprenant pas systématiquement le nom de la marque surveillée.
C’est quoi un sous-domaine ?
Un nom de domaine est composé de niveaux. Ces niveaux sont généralement séparés par un point. Un sous-domaine est une subdivision d’un nom de domaine internet principal.
Pour bien comprendre ce concept, il est essentiel de saisir comment fonctionne l’organisation des adresses web.
Par exemple, considérons le nom de domaine « nomsdomaine.fr ». Dans ce nom de domaine, il est possible de créer des sous-domaines tels que « blog.nomsdomaine.fr » ou « marque.nomsdomaine.fr ».
Ces subdivisions permettent de structurer et d’organiser l’information associée au nom de domaine principal, souvent avec des finalités différentes.
https://extranet.solidnames.fr/ est par exemple le sous-domaine utilisé pour héberger l’extranet client des utilisateurs de Solidnames.
Les sous-domaines (parfois aussi appelés préfixes) répondent ainsi au besoin de segmenter un nom de domaine. Le plus connu d’entre eux est www pour « World Wide Web ». Ainsi, www.solidnames.fr est un sous-domaine du nom de domaine solidnames.fr.
Composition d’une adresse internet avec un sous-domaine
Ces sous-domaines peuvent être géographiquement répartis, hébergés sur des serveurs distincts. Ils peuvent également proposer des contenus totalement différents de ceux du nom de domaine principal. En substance, les sous-domaines sont des identifiants en ligne indépendants. Cependant, leur utilisation ne se limite pas à l’organisation interne d’un site web. Ils sont aussi être des outils puissants pour le « branding », le SEO ou le marketing digital.
Quels sont les abus parmi les sous-domaines ?
Malheureusement, l’utilisation des sous-domaines n’est pas toujours bien intentionnée. En effet, certains abus sont observables parmi ces sous-domaines.
Par exemple, il existe des cas de cybersquatting.
Des tiers enregistrent des sous-domaines contenant des marques notoires dans l’intention de tromper les consommateurs ou de nuire à la réputation de la marque.
Il existe également des techniques d’hameçonnage (phishing). Les fraudeurs créent des sous-domaines qui ressemblent à des sites légitimes pour tromper les utilisateurs et obtenir leurs informations personnelles.
Les sous-domaines peuvent également être utilisés pour la distribution de malwares ou le détournement de trafic.
Ils peuvent ainsi être utilisés dans le contenu de mails incitant les membres d’une organisation à cliquer sur des liens malveillants. Les malfaiteurs peuvent alors pénétrer dans le réseau de l’organisation.
De plus, un sous-domaine peut héberger un service de messagerie et tenter ainsi de tromper les mesures de sécurité contre la fraude par e-mail.
Enfin, des attaques de phishing via des SMS reprennent le nom d’une organisation dans le nom du sous-domaine pour créer des URL trompeuses.
Ainsi le terme « gouv » est utilisé comme sous-domaine du nom de domaine <recouvrementsms.com> dans l’attaque présentée ci-dessous.
Exemples de phishing par SMS utilisant un sous-domaine
Pourquoi surveiller une marque parmi les sous-domaines ?
Face à ces défis, surveiller une marque parmi les sous-domaines devient essentiel.
Cela permet notamment de protéger la réputation de la marque, d’assurer la sécurité des utilisateurs et de préserver la confiance des clients.
Une surveillance proactive des sous-domaines peut aider à détecter rapidement toute tentative de fraude ou d’usurpation. Cela peut conduire à une réponse rapide, minimisant ainsi les dégâts potentiels.
La surveillance de sous-domaines prévient aussi de cas de « Shadow It ». Des entités proches de la marque (ex : fournisseur, partenaire, client…) vont parfois enregistrer des sous-domaine sans objectif malveillant.
Exemple sous-domaine reprenant la marque LACOSTE sans autorisation
« Sub-Domains Alert » pour la surveillance des sous-domaines
Dans le cadre de la prestation de surveillance de marques parmi les sous-domaines, Solidnames propose un livrable typique, similaire à la surveillance de noms de domaine.
La surveillance de sous-domaine de Solidnames est quotidienne. L’utilisateur reçoit une alerte dès que le sous-domaine reprenant le signe surveillé est détecté par Solidnames.
Cette alerte comprend une analyse détaillée du sous-domaines associé à la marque du client incluant une capture d’écran et les enregistrements DNS typiques associés.
L’identification des sous-domaines suspects en présente ainsi des preuves concrètes.
Cependant, il est important de noter que « Sub-Domains Alert » se base principalement sur les « Certificate Transparency Logs » (CT logs).
Les CT logs sont une source fiable largement utilisée pour la détection des sous-domaines. Cependant, ils ont certaines limites. Par exemple, ils ne peuvent pas identifier les sous-domaines qui n’utilisent pas de certificats SSL/TLS. Parfois, ils peuvent aussi présenter des lacunes dues à la non-conformité des autorités de certification.
Combien coûte une surveillance de sous-domaines ?
Malgré ces limites, la surveillance des sous-domaines à partir des CT logs est un outil précieux pour la protection des marques en ligne.
Solidnames propose « Sub-Domains Alert » au tarif de 96 € HT / an par marque surveillée. Cette surveillance de sous-domaines peut s’ajouter au service de surveillance de noms de domaine de nouveaux dépôts « Brand Alert ».
« Brand Alert » compte ainsi plusieurs options de services complémentaires comme la détection de marque parmi les noms de domaine Web3 (« NFT Alert ») ou les noms de domaine expirés (« Redemption Alert »).
Enfin, il faut rappeler que le monitoring d’une adresse internet sensible est aussi possible pour un sous-domaine avec la solution « SecURL ».