Le danger des extensions de domaine exotiques
Sous-titre : comprendre les TLD et pourquoi le boîtier Cerbère de 3WConseils les bloque pour votre sécurité
1. Pourquoi les pirates aiment les « TLD exotiques »
Un TLD est un Top-Level Domain, c’est-à-dire une extension de nom de domaine. Exemples classiques : .fr, .com, .org.
Aujourd’hui, il existe environ 1 400 TLD approuvés par l’ICANN. Beaucoup sont parfaitement légitimes (.bank, .paris, .alsace, etc.), mais une partie est massivement utilisée par des cybercriminels, car :
- ils sont très peu chers (parfois quelques centimes par an) ;
- ils sont disponibles en grande quantité, même via des achats automatisés ;
- ils ne sont soumis à presque aucun contrôle d’identité ;
- ils peuvent être ré-enregistrés immédiatement après un bannissement.
Les cybercriminels les utilisent pour :
- héberger des pages de phishing (hameçonnage) ;
- diffuser des malwares (virus, ransomwares, chevaux de Troie) ;
- envoyer du spam massif ;
- monter des escroqueries éphémères (faux investissements, pseudo banques, fausses loteries, etc.).
Parmi ces TLD considérés comme à haut risque, on retrouve par exemple : .xyz, .top, .click, .live, .loan, .download, .bid, .men, .party, .mov, .zip, mais aussi des extensions de pays comme .cc, .cn, .ru, etc.
Le système de cybersécurité Cerbère, développé et géré par 3WConseils à Lisieux (Calvados), bloque automatiquement ce type d’extensions afin de couper les liens les plus utilisés par les pirates.
2. Quelques TLD exotiques fréquemment exploités par les cybercriminels
Voici quelques exemples de TLD régulièrement employés dans des campagnes malveillantes, avec leur signification et l’équivalent français.
| TLD | Signification anglaise | Équivalent / sens en français |
|---|---|---|
| .adult | adult | « adulte » (contenus explicites) |
| .bet | bet | « pari » (jeux d’argent, paris en ligne) |
| .bid | bid | « enchère » |
| .bond | bond | « obligation financière » |
| .casino | casino | « casino » |
| .click | click | « clic » (incitation à cliquer) |
| .date | date | « rendez-vous / rencontre » |
| .dev | developer | « développeur » |
| .download | download | « téléchargement » (souvent de fichiers infectés) |
| .loan | loan | « prêt financier » |
| .loans | loans | « prêts » |
| .mov | movie | « film », vidéos, streaming |
| .online | online | « en ligne » |
| .party | party | « fête » |
| .review | review | « avis / critique » |
| .science | science | « science » |
| .sex / .sexy / .porn | sex | contenus à caractère sexuel |
| .site | site | « site » (générique, peu contrôlé) |
| .su | Soviet Union | ancienne URSS, très utilisé pour des usages douteux |
| .trade | trade | « commerce » |
| .win | win | « gagner » (faux gains, loteries, casinos) |
| .work | work | « travail » |
| .xyz | xyz | extension générique, sans signification précise |
| .zip | zip | utilise le même suffixe que les archives .zip, souvent détourné pour le phishing |
| .cc / .cf / .ga / .gq / .ml | Country codes | codes pays (Afrique / Océanie), très surreprésentés dans la cybercriminalité |
| .cn | China | Chine |
| .ru | Russia | Russie |
Ces extensions sont surreprésentées dans les campagnes de phishing, car elles sont peu régulées et extrêmement bon marché. Cerbère en bloque plus d’une cinquantaine par défaut, en complément d’autres mécanismes de défense.
3. Comment Cerbère bloque efficacement l’hameçonnage
3.1. Le mail de phishing arrive… mais son lien devient inoffensif
Même avec une protection avancée, il est normal que le mail lui-même puisse arriver dans votre boîte. Ce que Cerbère neutralise, c’est le lien malveillant contenu dans le message.
Grâce au serveur DNS privé AdGuard intégré dans Cerbère :
- les domaines utilisant les TLD exotiques les plus utilisés par les pirates sont entièrement bloqués ;
- les liens contenus dans les mails ne s’ouvrent tout simplement pas ;
- l’utilisateur ne peut donc pas être redirigé vers la page frauduleuse.
Cette approche réduit drastiquement le risque d’hameçonnage, même si l’utilisateur clique par erreur.
4. Blocage par pays et par IP dangereuses
Cerbère ne se contente pas de filtrer par TLD. Le boîtier / routeur de sécurité Cerbère mis en place par 3WConseils bloque également :
- la plupart des pays réputés à haut risque en matière de cybercriminalité ;
- la quasi-totalité du trafic issu d’infrastructures identifiées comme dangereuses ;
- les IP criminelles répertoriées dans les grandes bases de menaces mondiales.
Concrètement, Cerbère s’appuie sur des listes de blocage ASN (fournisseurs d’accès, hébergeurs, etc.) et utilise des IPsets comme : bogon, country, debl, drop, dshield, feodo, firehol1, firehol2, firehol3, threat, whitelist.
Au total, cela représente 11 IPsets regroupant environ 87 037 IPs / préfixes, soit de l’ordre de 500 000 adresses IP criminelles bloquées de manière proactive.
5. Détail des principales listes de blocage utilisées par Cerbère
1. Bogon
La liste bogon regroupe les IP « invalides » ou non allouées. Elles ne devraient jamais apparaître sur Internet. Lorsqu’elles sont vues dans le trafic, c’est très souvent le signe d’une activité suspecte (usurpation, scan, tentative d’intrusion). Cerbère bloque ce trafic par défaut.
2. Country
La liste country permet de filtrer les IP par pays. Elle est utilisée pour bloquer totalement le trafic issu de certaines régions géographiques particulièrement actives dans la cybercriminalité. Cela réduit fortement la surface d’attaque.
3. DEBL (DShield Evil Block List)
DEBL (souvent liée à DShield) rassemble des IP qui ont été observées en train de mener des attaques réelles (scan de ports, brute-force, tentatives d’intrusion, etc.). Cette liste est maintenue par des organismes de sécurité et des chercheurs qui collectent des logs partout dans le monde.
4. DROP (Spamhaus DROP & EDROP)
DROP (« Don’t Route Or Peer ») est une famille de listes publiée notamment par Spamhaus. Elle recense des plages IP attribuées à des organisations cybercriminelles actives. Ces IP sont utilisées pour du spam massif, des attaques, du phishing ou des botnets. Cerbère bloque ces plages automatiquement.
5. DShield
DShield est un projet collaboratif qui collecte les journaux de pare-feux partout sur la planète. Les IP fréquemment vues comme sources d’attaque sont ajoutées à la liste. Cerbère coupe ainsi le trafic provenant de ces adresses notoirement malveillantes.
6. Feodo Tracker (Feodo / Cridex / Dridex)
La liste Feodo (ou Feodo Tracker) cible les infrastructures associées à des botnets bancaires tels que Feodo, Cridex ou Dridex. Ces malwares visent les identifiants bancaires, les données de paiement et les mots de passe. En bloquant ces IP, Cerbère coupe les communications avec les serveurs de commande et contrôle des botnets.
7. FireHOL Level 1
La liste FireHOL level 1 regroupe des IP confirmées comme malveillantes et actives, croisées avec plusieurs sources réputées. Elle est conçue pour avoir très peu de faux positifs, tout en offrant une protection solide contre les menaces courantes.
8. FireHOL Level 2
FireHOL level 2 élargit la protection à des IP considérées comme potentiellement dangereuses, vues dans des campagnes d’attaques récentes. C’est un niveau de sécurité intermédiaire, plus agressif que le level 1.
9. FireHOL Level 3
FireHOL level 3 agrège encore plus de sources et couvre des plages d’adresses signalées par de nombreux chercheurs et projets de sécurité. Il vise les menaces plus « bruyantes », au prix d’un filtrage plus large, adapté à un boîtier de sécurité comme Cerbère.
10. Threat
La liste threat agrège des IP identifiées dans des campagnes d’attaque actives : ransomwares, botnets, scans massifs, attaques DDoS, etc. Elle est régulièrement mise à jour pour bloquer les infrastructures criminelles dès leur détection.
11. Whitelist
La whitelist (liste blanche) est la contrepartie indispensable à toutes ces listes de blocage. Elle permet d’autoriser explicitement certains services ou partenaires légitimes, même si leurs IP se retrouvent dans une liste de menace. Cela évite les blocages intempestifs et garantit la continuité de service.
6. Une barrière multi-couches contre l’hameçonnage
L’efficacité de Cerbère repose sur un ensemble cohérent de mécanismes complémentaires :
- Blocage DNS de dizaines de TLD exotiques très utilisés par les pirates : les liens malveillants ne résolvent pas.
- Filtrage géographique des pays à haut risque : une grande partie des infrastructures criminelles est coupée.
- Blocage ASN via 11 listes de menaces : environ 500 000 IP malveillantes neutralisées.
- Serveur DNS privé AdGuard : la résolution DNS est maîtrisée, les données restent locales.
- Boîtier / routeur Cerbère conçu, paramétré et maintenu par 3WConseils à Lisieux, prestataire informatique de proximité.
Résultat : même si un mail de phishing arrive dans votre messagerie, il devient dans la plupart des cas inopérant, car :
- le site malveillant est inaccessible (TLD bloqué) ;
- ou son serveur est déjà filtré (IP ou pays dangereux bloqués) ;
- ou encore son hébergeur figure dans les listes ASN criminelles.
Avec le système Cerbère, vous disposez d’une protection professionnelle, locale et pragmatique : empêcher les menaces d’entrer ou de sortir avant qu’elles ne deviennent dangereuses.
