mlab mlab Academy
Analyse réseau

Analyser un domaine suspect

Techniques pour évaluer si un domaine est légitime ou potentiellement malveillant.

1 Introduction

Sur Internet, chaque site web possède un nom de domaine : c'est l'adresse que vous tapez dans votre navigateur, comme google.com ou mabanque.fr. Les cybercriminels créent des domaines qui ressemblent à des sites légitimes pour piéger leurs victimes.

Imaginez que quelqu'un ouvre un magasin avec une enseigne presque identique à celle de votre banque, dans une rue que vous ne connaissez pas. De loin, tout semble normal. Mais en y regardant de plus près, des détails trahissent l'arnaque. C'est exactement ce qui se passe avec les domaines suspects sur Internet.

Pourquoi analyser un domaine ?

Quand vous recevez un lien par email, SMS ou sur les réseaux sociaux, vérifier le domaine est votre première ligne de défense. Un domaine suspect peut héberger du phishing, distribuer des malwares ou voler vos identifiants. Apprendre à repérer les signaux d'alerte vous protège au quotidien.

2 Comment ça marche

Testez un domaine avec l'analyseur ci-dessous. Il vérifie l'ancienneté, les enregistrements DNS et d'autres indicateurs.

Le Whois : la carte d'identité d'un domaine

Le Whois est un registre public qui contient les informations d'enregistrement d'un domaine : qui l'a créé, quand, et chez quel registrar. C'est comme le registre du commerce pour les entreprises. Quand ces informations sont masquées ou récentes, c'est un premier signal d'alerte.

Les techniques des attaquants

Les cybercriminels utilisent plusieurs méthodes pour créer des domaines trompeurs : le typosquatting (fautes de frappe volontaires), le combosquatting (ajout de mots comme "secure" ou "login"), et les homoglyphes (lettres visuellement identiques d'autres alphabets).

Exemples de domaines suspects vs légitimes

Légitime Suspect Technique
paypal.com paypa1.com Typosquatting (l remplacé par 1)
amazon.fr amazon-secure-login.com Combosquatting
google.com gooogle.com Ajout de lettre
apple.com аpple.com Homoglyphe (a cyrillique)

3 Analyse détaillée

Lire un enregistrement Whois

Quand vous consultez le Whois d'un domaine, voici les champs importants à examiner :

Creation Date Date de création du domaine. Un domaine créé il y a quelques jours ou semaines est très suspect.
Registrar L'entreprise chez qui le domaine a été acheté. Certains registrars bon marché sont souvent utilisés par les fraudeurs.
Registrant Le propriétaire du domaine. Souvent masqué par un service de protection de vie privée (ce qui n'est pas forcément malveillant).
Name Servers Les serveurs DNS utilisés. Des serveurs DNS gratuits ou inhabituels peuvent être un indice.

Les hébergements gratuits et jetables

Les attaquants utilisent souvent des services d'hébergement gratuits ou des sous-domaines de plateformes légitimes pour créer leurs pages de phishing. Par exemple, un site sur mabanque-verification.netlify.app ou connexion-securisee.000webhostapp.com devrait immédiatement éveiller vos soupçons. Une vraie banque a son propre domaine et ne vous demandera jamais de vous connecter via un sous-domaine gratuit.

L'ancienneté du domaine : un indicateur clé

La plupart des domaines utilisés pour le phishing ont moins de 30 jours. Les attaquants les créent juste avant une campagne et les abandonnent rapidement. Un site qui prétend être celui d'une entreprise établie mais dont le domaine a été créé la semaine dernière est presque certainement frauduleux. Par comparaison, google.com a été enregistré en 1997.

Essayez sur mlab.sh

Soumettez un domaine suspect pour obtenir son anciennete, ses enregistrements DNS, ses informations Whois et ses sous-domaines. Identifiez rapidement les signes de phishing ou de fraude.

Investiguer un domaine sur mlab.sh

4 Red Flags

Voici les principaux signaux d'alerte quand vous examinez un domaine :

Domaine créé récemment

Un domaine de moins de 30 jours qui prétend appartenir à une entreprise connue est presque toujours frauduleux.

Caractères aléatoires

Des domaines comme xk7f9z.com ou a3b-secure-8x.net sont générés automatiquement par des outils d'attaque.

Faute de frappe dans le nom

Des variations subtiles comme arnazon.com au lieu de amazon.com sont conçues pour tromper les lecteurs rapides.

Extension inhabituelle

Les extensions comme .xyz, .top, .buzz ou .click sont très bon marché et populaires auprès des fraudeurs.

Sous-domaine d'hébergement gratuit

Un site important hébergé sur *.github.io, *.netlify.app ou *.000webhostapp.com est suspect.

Whois masqué sur un site "officiel"

Les grandes entreprises affichent généralement leurs informations Whois. Si un site prétend être une banque mais cache son propriétaire, méfiance.

Propulsé par mlab.sh

Modules connexes

C'est quoi un domaine ?

Des noms lisibles pour les humains : comment les domaines traduisent des adresses IP en noms faciles à retenir.

C'est quoi le DNS ?

L'annuaire d'Internet : comprendre comment le DNS traduit les noms de domaine en adresses IP.

Reconnaître un lien de phishing

Les techniques pour détecter les URLs frauduleuses qui imitent des sites légitimes.