L’Unit42 détecte des domaines parqués depuis plus de neuf ans. Entre mars et septembre 2020, l’unité de recherches a identifié 5 millions de nouveaux domaines parqués. Dans le même laps de temps, elle a observé que 6 millions de domaines parqués étaient passés dans d’autres catégories. Parmi ces domaines parqués qui avaient changé de catégories, 1 % avait basculé dans des catégories malveillantes (par exemple hameçonnage ou malware) ; 2,6 % avaient basculé dans des catégories « not safe for work » (contenus adultes ou jeux de hasard) ; 30,6 % avaient basculé dans des catégories suspectes (par exemple douteuses ou à haut risque). Par rapport à un domaine inoffensif (par exemple fournissant des informations informatiques ou Internet ou un d’achats en ligne), un domaine parqué a huit fois plus de chances de basculer dans l’une des catégories malveillantes ci-dessus.

Dans cette analayse, l’Unit42 étudie plus en détail l’écosystème du parking de domaines et présente différents types de détournements, notamment :

• Le détournement d’enregistrement de domaine : L’Unit42 a observé le cycle de vie malveillant du domaine valleymedicalandsurgicalclinic[.]com, qui n’est aujourd’hui plus actif, dans le cadre d’une campagne mondiale du malware Emotet. Emotet est l’une des familles de malwares les plus répandues, et elle est distribuée par le biais d’emails d’hameçonnage. Au cours de cette campagne, Palo Alto Networks a pu observer des attaques contre des entreprises de différents secteurs d’activité (par exemple l’éducation, les agences gouvernementales, l’énergie, la fabrication, le BTP, les télécommunications) dans le monde entier, notamment aux États-Unis, au Royaume-Uni, en France, au Japon, en Corée et en Italie. L’attaque ciblant les entreprises françaises avait en outre exploité la pandémie de COVID-19 en mentionnant le mot Covid19 dans la ligne objet de l’e-mail de hameçonnage. Aucune de ces attaques n’a réussi.

• Détournement d’annonce publicitaire : L’Unit42 a observé le détournement du domaine peoplesvote[.]uk, en lien avec la prochaine élection présidentielle américaine. Lorsqu’ils visitent peoplesvote[.]uk, les internautes voient s’afficher une page d’annonce publicitaire la plupart du temps. Cependant, les visiteurs étaient parfois d’abord redirigés vers 0redira[.]com/jr.php, qui héberge un kit d’exploit, puis ils étaient de nouveau redirigés vers un site Web de sondage qui les invitait à indiquer s’ils voteraient pour Joe Biden ou pour Donald Trump. Le kit d’exploit hébergé sur 0redira[.]com/jr.phpprend les empreintes numériques du navigateur à l’insu des internautes pour pister l’activité de ces derniers sur le Web. Il masque les adresses URL d’arrivée pour empêcher les organismes de sécurité et les chercheurs de les analyser et de les bloquer. Ces pages sont toujours actives à l’heure où l’Unit42 publie cette recherche.

L’Unit42 a en outre observé un domaine, xifinity[.]com, qui imite xfinity[.]com. Lorsqu’un internaute tente de visiter le site Web Xfinity mais tape par erreur un "i" supplémentaire, il est alors dirigé vers xifinity[.]com puis redirigé vers une page d’accueil détournée, antivirus-protection[.]com-123[.]xyz. Ces deux domaines sont toujours actifs à l’heure actuelle. La page d’accueil tente de faire croire aux visiteurs que leur machine est infectée et que leur abonnement à McAfee est arrivé à expiration. Lorsqu’ils cliquent sur le bouton « Proceed » (Poursuivre), les internautes sont dirigés vers une page de téléchargement McAfee authentique qui propose un abonnement à un antivirus. Les pirates détournent le programme d’affiliation de McAfee pour voler les recettes générées par les annonces publicitaires.

La meilleure pratique en matière de sécurité pour les entreprises consiste à assurer un suivi sérieux des domaines parqués. De leur côté, les internautes doivent vérifier qu’ils ont tapé correctement les noms de domaine et s’assurer que les propriétaires des domaines sont fiables avant d’accéder à un site.

Le parking de domaines : pourquoi et comment

Les utilisateurs et les entreprises doivent s’acquitter auprès des revendeurs de domaines accrédités par l’ICANN, d’une redevance annuelle pour acheter des noms de domaines et devenir des propriétaires de domaines. Si les propriétaires de domaines ne possèdent pas de contenus ou de services vers lesquels leurs domaines peuvent pointer dans l’immédiat, ils peuvent utiliser des services de parking de domaines pour monétiser le trafic visiteur. La configuration d’un service de parking est simple. Il suffit aux propriétaires des domaines de pointer leurs enregistrements de serveur de nom (NS) vers le service de parking. En échange, les services de parking présentent une liste d’annonces publicitaires aux visiteurs, ou redirigent automatiquement les internautes vers les pages Web des annonceurs. Dans le premier cas, les propriétaires de domaines et les services de parking perçoivent un paiement lorsqu’un utilisateur clique sur une annonce. Dans le second cas, ils sont payés en fonction du nombre de visites. Certains propriétaires de domaines achètent de grandes quantités de noms de domaines en guise d’investissement, en vue de les revendre ultérieurement pour en tirer profit ou pour monétiser le trafic visiteur. Comme le montrent des études antérieures ainsi que cette analyse, les domaines parqués peuvent représenter une menace non négligeable pour les utilisateurs finaux. Pour cette raison, outre que leur utilité est douteuse, il peut être préférable de bloquer les domaines parqués.