Lorsqu’un domaine dispose de neuf ans d’historique de transparence des certificats, votre filtre de messagerie lui fait confiance. C’est le problème.
J’ai passé les deux dernières années à travailler sur la réponse aux incidents et les renseignements sur les menaces, et le modèle que je m’apprête à décrire est celui que je vois constamment apparaître dans des cas qui auraient dû être détectés au niveau de la passerelle de messagerie. Les familles de kits changent. Les modèles de leurres changent. La constante est que les opérateurs de phishing-as-a-service achètent d’anciens domaines légitimes et les redéployent pour voler les informations d’identification des entreprises et des gouvernements.
L’incident le plus récent sur lequel j’ai travaillé impliquait un déploiement de Sneaky2FA exécuté sur 117 serveurs d’origine à Kansas City, Missouri, répartis entre deux fournisseurs d’hébergement. L’opérateur utilise la même infrastructure depuis plus de deux ans et lance des appels contre un mélange de gouvernements britanniques et américains, de sociétés énergétiques et de PME américaines du secteur de la santé. Le métier de domaine ancien que je suis sur le point d’aborder est une façon pour cet opérateur de rester dans les environnements d’entreprise qui devraient les filtrer. Les journaux de transparence des certificats racontent toute l’histoire et expliquent pourquoi le classificateur de réputation ne l’a pas détecté.
Comment la réputation pondérée par l’âge est devenue un angle mort
La plupart des filtres de messagerie d’entreprise des principaux fournisseurs, notamment Microsoft Defender pour Office 365, Proofpoint, Mimecast et Cisco Talos, tiennent fortement compte de l’âge du domaine dans leurs décisions de classification. Un .com fraîchement enregistré déclenche des sanctions immédiates en matière de réputation. Un domaine avec des années d’hébergement stable, une émission de certificat cohérente et un historique DNS propre est traité comme à faible risque. Cette logique avait du sens il y a dix ans, lorsque les nouveaux domaines abusifs dominaient l’infrastructure de phishing et que les domaines anciens étaient généralement destinés aux petites entreprises établies.
Je travaille avec plusieurs environnements d’entreprise qui paient pour les niveaux de sécurité de messagerie les plus coûteux et je vois toujours des leurres de phishing atterrir dans les boîtes de réception des utilisateurs. Lorsque je retrace ces leurres jusqu’à leurs domaines parents, un pourcentage croissant montre le même schéma. Historique de certificat long et stable jusqu’en 2024 ou 2025. Un intervalle de plusieurs mois sans aucun nouveau certificat délivré. Ensuite, les certificats recommencent à apparaître pour les sous-domaines qui n’ont rien à voir avec la marque d’origine. Le score de réputation sur ces domaines est élevé. L’infrastructure derrière eux est criminelle. Le filtre ne fait pas la différence.
À quoi ressemble réellement l’acquisition de domaines anciens
Il existe deux manières raisonnables pour un opérateur d’acquérir un domaine ancien. Ils peuvent intercepter un enregistrement expiré ou détourner un enregistrement actif via le vol d’informations d’identification sur le compte du registraire du propriétaire. La capture de chutes est moins chère et présente moins de risques. Des services comme DropCatch, SnapNames et GoDaddy Auctions existent précisément pour acquérir des domaines au moment où ils expirent, et un opérateur déterminé peut payer entre 50 et 500 dollars pour un domaine avec une décennie d’historique vierge.
Le domaine que je souhaite parcourir est celui que j’ai documenté en détail lors de l’affaire Sneaky2FA : digitalscrapbookingfreebies.com. Le dossier de transparence du certificat montre la reprise dans son intégralité. De 2016 à juillet 2025, l’historique des certificats se lit comme un blog normal hébergé par cPanel pour petites entreprises. cPanel Inc. a émis des certificats ECC tous les 60 à 90 jours pour le cPanel., mail., webdisk standard. et la messagerie Web. sous-domaines. Let’s Encrypt R3 a émis des certificats pour l’apex et www. tous les 90 jours. Les sujets sont restés stables pendant neuf ans. Quelqu’un dirigeait un blog de loisirs proposant des ressources de scrapbooking gratuites à un petit public, et le modèle de certificat le reflète.
En avril 2025, les certificats GoDaddy apparaissent dans le dossier. Une nouvelle autorité de certification apparaissant après huit années ininterrompues de cPanel-plus-Let’s-Encrypt est le premier signal concret indiquant que quelque chose a changé au niveau du registraire ou de l’hébergement. D’ici juillet 2025, le dernier certificat de modèle légitime sera délivré. Puis six mois de silence, pas de nouveaux certificats, pas de renouvellements. En décembre 2025, de nouveaux certificats Let’s Encrypt R13 ont fait surface pour des sous-domaines que le blog d’origine n’avait jamais eu : beds, footboard, haushafin et locklear. En janvier 2026, un autre sous-domaine est apparu : nativems-mfl09093004.digitalscrapbookingfreebies.com. Ce sous-domaine est celui que j’ai découvert en train d’être activement utilisé dans le cadre d’un phishing contre une agence de santé publique américaine.
Le propriétaire initial du blog de scrapbooking est certainement également une victime. Ils ont probablement laissé l’enregistrement expirer, l’opérateur l’a récupéré et le domaine est entré dans une utilisation criminelle sous un WHOIS de confidentialité qui obscurcit la nouvelle propriété. Leurs neuf années de bonne volonté pour bâtir leur réputation servent désormais d’opération de vol d’informations d’identification.
Ce qui a rendu ce cas généralisable, c’est que le même opérateur gère également un domaine leurre de deuxième niveau 2 acquis grâce à un nouvel enregistrement. Les deux stratégies servent des profils de ciblage différents. L’opérateur utilise de nouveaux enregistrements lorsque le sous-domaine lui-même peut être crédible, comme un sous-domaine sur le thème SSO imitant un point de terminaison d’authentification d’entreprise où le domaine parent ne fait pas beaucoup de travail. L’opérateur utilise des acquisitions de domaines âgés lorsque la réputation du domaine elle-même doit faire le travail, lorsque l’attrait passe par un filtre de messagerie d’entreprise qui évalue en fonction de l’âge. La sélection est contextuelle.
Pourquoi votre classificateur de réputation ne détecte pas cela
L’évaluation de la réputation suppose que l’historique du domaine reflète la propriété du domaine. Lorsque la propriété est transférée par drop-catch ou détournement, cette hypothèse est brisée. Le score ne se réinitialise pas. Le nouvel opérateur hérite de la confiance sans hériter du travail qui l’a construite. La plupart des systèmes de réputation accordent également plus d’importance à la durée de l’histoire propre qu’aux changements récents dans les modèles de propriété, ce qui aggrave le problème. Un domaine vieux de neuf ans qui change discrètement de mains reste marqué comme un domaine vieux de neuf ans.
Les signaux qui détecteraient réellement le rachat (un changement d’émetteur CA, un écart de certificat de six mois, une liste soudaine de nouveaux sous-domaines qui n’ont rien à voir avec la marque d’origine) ne sont pas présents dans la plupart des classificateurs pondérés par âge.
Une meilleure approche de détection doit prendre en compte la stabilité du modèle d’hébergement. Un domaine dont l’infrastructure d’hébergement change brusquement est plus suspect qu’un domaine dont le modèle se poursuit sans interruption, et les événements sur lesquels vous souhaitez déclencher sont concrets : une nouvelle autorité de certification apparaissant après des années d’émission stable, une interruption dans les renouvellements de certificats suivie d’une nouvelle émission ou un changement de CDN sans raison légitime de propriété. La plupart des systèmes de réputation ne suivent rien de tout cela car le score est un chiffre unique plutôt qu’une mesure de stabilité.
L’anomalie de la liste de mots du sous-domaine est le deuxième axe. Lorsqu’un domaine stable de longue date sur le scrapbooking émet soudainement des certificats pour un sous-domaine nommé nativems-mfl09093004, la déconnexion entre la marque d’origine et le nouveau nom est détectable sur le plan comportemental, même lorsque tous les autres signaux échouent.
Le troisième élément est la surveillance de la transparence des certificats. Les journaux CT sont publics, interrogeables et mis à jour en quelques heures. J’ai reconstruit l’intégralité de la chronologie du rachat de digitalscrapbookingfreebies.com à partir des seules données publiques CT. Aucun flux de menace commerciale n’était requis. Les équipes de sécurité qui s’abonnent aux flux de journaux CT pour leurs candidats à la liste de blocage peuvent faire apparaître les sous-domaines déployés par les opérateurs dans les heures suivant leur émission, ce qui est souvent bien avant qu’ils n’apparaissent dans un flux de menaces commerciales.
Si je devais gérer la sécurité de la messagerie d’entreprise demain, la première chose que je changerais serait d’arrêter de traiter l’âge du domaine comme un signal principal. L’acquisition de domaines anciens est désormais un métier documenté. Sekoia l’a fait ressortir. Centripète l’a fait surface. Mes propres recherches sur ce cas Sneaky2FA ajoutent un autre exemple. Tout système de réputation qui pondère fortement l’âge a un contournement connu, ce qui signifie que l’âge doit être un signal parmi plusieurs, et non le signal dominant.
La logique de détection qui fonctionne est celle que j’ai décrite ci-dessus : stabilité du modèle d’hébergement, anomalie de la liste de mots de sous-domaine et surveillance des journaux CT. Un blog amateur vieux de neuf ans hébergeant soudainement des pages d’authentification sur le thème de Microsoft est détectable sur le plan comportemental, même lorsque l’âge du domaine fait défaut à l’analyste. Plusieurs fournisseurs de CTI commencent à considérer cette fonctionnalité comme une fonctionnalité. Demandez aux vôtres où ils se trouvent et obtenez une vraie réponse, pas une réponse marketing. La surveillance des journaux CT est peu coûteuse et fait apparaître l’infrastructure de l’opérateur dans les heures qui suivent son émission, ce qui constitue l’une des mesures les plus efficaces qu’une petite équipe de sécurité puisse prendre.
Les opérateurs ont compris l’angle mort. Ils continueront à acheter des domaines anciens aussi longtemps que ces domaines continueront à fonctionner. Combler l’écart ne nécessite pas une nouvelle gamme de produits. Il faut traiter les signaux que nous collectons déjà avec le poids approprié.
La recherche complète du cas Sneaky2FA, y compris la méthodologie, les IOC et les règles de détection que j’ai écrites, est disponible sur mon GitHub.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
