Pendant plus d'une semaine, Numerama a enquêté sur des centaines de sites nouvellement créés, potentiellement dangereux, et dont les noms de domaine contiennent des mots « covid » ou « coronavirus ». Cette vague d'achats, inédite par son envergure, nous a permis de mettre le doigt sur plusieurs pratiques, allant de la recherche du buzz aux entourloupes les plus troubles.

6 000 noms de domaine déposés par jour, en moyenne. C’est tout simplement inédit.
« Le 1er mars, la liste comprenait 3 000 noms. Une augmentation pareil en si peu de temps, c’est du jamais vu », explique Sean McNee, analyste chez DomainTools, un site spécialisé dans la cybersécurité. « Pour vous donner une idée, lors de gros événements sportifs comme la coupe du monde de football ou les Jeux olympiques, il y a entre 50 et 100 nouvelles adresses enregistrées par jour. Rien qui soit comparable à l’échelle que nous observons en ce moment ».

Le 23 mars, DomainTools a publié « Covid-19 Threat List », un document recensant de nombreuses URL achetées depuis le début du mois de janvier. Un critère les rassemble : elles contiennent toutes des mots clés liés au virus, avec ses variantes « c0vid » « c0v1d », ou encore « corrona ». Le document comportait, au 1er avril, plus de 70 000 noms de domaine potentiellement dangereux, classés en fonction de leur « risk score », soit la probabilité qu’ils soient malveillants. La grande majorité de ces sites utilisent un TDL (top level domain) en « .com ». La liste est mise à jour quotidiennement, et est disponible gratuitement. Elle comptait plus de 120 000 adresses le 8 avril.

Comment Numerama a travaillé

C’est à partir de ce document que nous avons enquêté. Parmi les noms de domaines répertoriés dans la liste, Numerama s’est focalisé sur ceux utilisant une adresse en « .fr », soit 731  site déposés entre fin janvier et fin mars. Une semaine plus tard, 8 avril, ils étaient 1 009, une hausse qui devrait perdurer.

Pendant une semaine, nous avons analysé chacun de ces sites, en nous rendant sur les URL afin de vérifier leur contenu, et en effectuant des recherches inversées pour remonter à leurs propriétaires. Ce long travail de vérification nous a permis d’identifier plusieurs problématiques et d’en tirer de nombreuses informations. Sur les 731 sites français répertoriés, nous avons réussi à en identifier 317. Pour les 414 autres, les sites n’étaient pas encore en ligne, ou les recherches Whois pour remonter jusqu’aux acheteurs n’étaient pas concluantes. Nous nous sommes donc concentrés sur ces près de 300 URL. Il est néanmoins possible que certaines adresses que nous n’avons pas pu analyser aient été réservées dans le but de les revendre, de monter des sites frauduleux, ou bien de rediriger vers d’autres sites afin d’en faire la publicité.

Retrouvez les quatre volets de cette enquête sur le site de Numerama :

Moins de 50 % des sites observés sont actifs

L’augmentation du nombre d’URL achetées observée par DomainTools est largement visible pour les domaines en « .fr ». Les chiffres s’emballent à partir du 10 mars, jour où l’Italie entière est passée en confinement. Ce sont en tout 640 noms de domaine en « .fr » qui ont été réservés en mars. Le pic a été enregistré le 17, le jour du début du confinement en France, avec 46 sites réservés.

Dépôts de nouveaux noms chaque jour // Source : Numerama/Aurore Gayte

Seuls 307 sites sont actifs à l’heure actuelle, soit moins de la moitié. Certains présentent une apparence soignée et publient du contenu, d’autres restent très rudimentaires et ne fournissent que très peu d’informations sur leur propriétaire.

Les autres adresses URL, au nombre de 421, apparaissent seulement comme « réservées », sans offrir plus d’information. Ces noms de domaine représentent la grande majorité des sites français que nous avons étudié (57 %). À l’international, ce chiffre est encore plus important. « Entre 80 % et 90 % des domaines repérés sont des sites de ‘parking’. Ils sont réservés, mais rien ne se passe dessus », explique Sean. Il n’est cependant pas exclu qu’ils hébergent un jour un site de vente en ligne, frauduleux ou non, ou qu’ils soient mis en vente.

Voilà ce qui s’affiche quand un nom de domaine a été déposé sur OVH, mais qu’il n’est pas en ligne. // Source : Capture d’écran Numerama

Nous avons cependant pu entrer en contact avec les propriétaires de certains de ces sites « parking », grâce à leurs informations Whois (un site qui permet d’obtenir des informations sur l’identité des personnes qui déposent des noms de domaine). Les 3 derniers sites ont été « supprimés » ou « bloqués », et étaient vraisemblablement des arnaques.

Répartition des sites en ligne/hors ligne // Source : Numerama/Aurore Gayte

6 % de sites certainement malveillants

Tant qu’il y aura des crises, il y aura des entourloupes. Le coronavirus n’échappe pas à cette règle officieuse du web, qui résume bien la propension des entrepreneurs (amateurs comme professionnels) à «  profiter de la peur des gens », comme le souligne Sean McNee. « Certains ont des intentions vraiment malveillantes, et se servent [de ces crises] pour dérober les données personnelles des gens, leurs informations bancaires aussi ».

Au rang des profiteurs que nous avons identifiés, certains vont loin : des noms de domaine rachetés une poignée d’euros permettent à des Français se s’enrichir en vendant, à prix gonflés, des masques de protection ou gel hydroalcoolique, ou « markettent » des flacons d’huiles essentielles en mentant sur leurs vertus « protectrices » contre le coronavirus. D’autres créent des boutiques de vente de t-shirts en ligne et prétendent reverser les gains à des associations, alors qu’il n’en est rien. Et pour finir, des entrepreneurs en herbe s’essayent à la revente de masque chinois, avec des techniques de vente, telles que le dropshipping, qu’ils ne maîtrisent pas.

Sur les 317 sites en « .fr » aux résultats concluants, nous avons trouvé 45 sites malveillants, douteux ou qui cherchent à surfer sur la crise pour se faire de l’argent, soit 14 % du total. Rapporté au nombre total de sites en « .fr » déposés, il ne s’agit au final « que » de 6 % des URL analysées. Dans la majeure partie des cas, il convient de noter la rapidité des hébergeurs à suspendre les sites néfastes ; ceux-ci restent rarement plus d’une semaine en ligne avant de sauter.

Répartition des sites en fonction de leur but // Source : Numerama/Aurore Gayte

Jusqu’à 10 000 euros le nom de domaine lié au coronavirus

23 % des sites actifs que nous avons recherchés renvoient vers des propositions de vente du nom de domaine. Ces noms de domaines, achetés à l’origine pour une dizaine d’euros, se retrouvent désormais sur le marché pour plusieurs milliers d’euros. C’est une pratique courante : à chaque événement médiatique, les prix noms de domaines liés au thème s’envolent. C’est également vrai pour les crises sanitaires, avec notamment l’achat en 2014 d’« ebola.com » pour 200 000 euros.

La pandémie de Covid-19 n’échappe pas à la règle. Numerama a retrouvé de nombreuses adresses mises en vente, et a pu interroger leurs propriétaires. Si certains minimisent les faits en se présentant comme entrepreneurs, d’autres n’hésitent pas à le dire : ils ont acheté « pour spéculer ». Certaines personnes seraient également des « courtiers professionnels », des habitués exploitant le « buzz » et les « bonnes stratégies marketing ».

Les noms de domaines les plus populaires concernent les équipements médicaux, comme les masques, les tests, la chloroquine, ou encore les vaccinations. Ainsi, « masquescovid19.fr » est mis en vente aux enchères à partir de 790 euros, « tests-coronavirus.fr » à partir de 5 000 euros, « corona-vaccination.fr » à 9 000 euros, et « sarscov2.fr » pour 10 000 euros. La palme revient à « chomagepartiel.fr » et « chomage-partiel.fr », vendus chacun pour 100 000 euros.

Le dépositaire de corona-vaccination.fr mets son site en vente à 9 000 euros. // Source : Capture d’écran Numerama

Au milieu d’une masse de sites louches, quelques sites légitimes

Parmi les sites actifs, il faut différencier plusieurs types de propriétaires. On retrouve des sites légitimes, enregistrés par des hôpitaux ou des initiatives gouvernementales, inclus par erreur dans la liste. « Nous voyons aussi des noms de domaines achetés par des individus ‘normaux’, qui essaient d’éditer des sites d’entraides ou de partager les consignes du gouvernement de bonnes nouvelles », analyse Sean McNee. Ils ne représentent cependant qu’une infime partie des adresses repérées par DomainTools.

La plupart des noms de domaines que nous avons observés — 26,5 % des sites actifs — sont utilisés pour rediriger du trafic vers le site du propriétaire. Les dépositaires sont des entreprises de nettoyage qui s’improvisent désinfecteurs de coronavirus ; des organismes de santé en pleines campagnes d’appel au don ; ou encore des sociétés qui placent déjà leurs pions pour la fin du confinement. Et dans le lot, peu assument cette pratique pourtant parfaitement légale.

« Les gouvernements sont arrivés trop tard »

Même si les sites les plus néfastes sont rapidement suspendus, «  les mots utilisés pour les nouveaux noms de domaines sont en train de changer », note Sean McNee. Il faut ainsi sans cesse renouveler les paramètres de recherches. « De plus en plus d’URL utilisent des termes médicaux, ce qui ne se faisait pas trop au début, et sur les aides financières promises par les États ».

Sean regrette également que « les gouvernements soient arrivés trop tard ». « Les hackers et les arnaqueurs ont malheureusement été les premiers à se saisir du sujet en janvier. Ils en ont profité pour réserver les noms les plus intéressants et mettre en place des plateformes qui ressemblent beaucoup aux sites officiels ». C’est une des autres caractéristiques de cette crise : l’impréparation totale des organismes officiels. « Pour la tempête Katrina, les sites légitimes ont été les premiers à apparaître, bien avant les hackers. Cette fois, c’est l’opposé… »

Il existe malheureusement d’autres sites frauduleux et d’autres noms de domaine mis en vente, sur lesquels Numerama n’a pas pu enquêter. En effet, la liste sur laquelle nous nous sommes basés a été compilée en fonction du « risk score », calculé par Domain Tools. Ce score se base sur deux critères : « La probabilité qu’un domaine fasse partie d’une campagne d’attaque, calculée en fonction de sa proximité avec d’autres domaines connus comme malveillants » et le « threat profile », obtenu en « modélisant à quel point les propriétés du domaine ressemblent à celles d’autres URL utilisées pour des campagnes de spam, de phishing ou pour des logiciels malveillants ».

Cette liste n’est cependant pas sans erreurs, comme le reconnaît DomainTools. Quelques sites officiels se sont ainsi retrouvés dans la liste, mais on ne peut qu’imaginer le nombre de sites malveillants ayant échappé aux algorithmes de surveillance.

Partager sur les réseaux sociaux