>
PhishDestroy En direct
Retour aux actualités
 Partager : Message Télégramme
● DERNIÈRE MINUTEMis à jour le 2 juillet 2026 — Dossier ICANN n° 1479 déposé
Enquête

NameSilo A assuré la défense d'un escroc spécialisé dans les cryptomonnaies, impliqué dans un détournement de 100 millions de dollars
— Alors Nous avons désactivé notre compte Twitter

Un bureau d'enregistrement accrédité par l'ICANN a publié 4 mensonges avérés pour protéger une opération de vol de Monero qui durait depuis 10 ans, a proposé d'effacer son historique sur VirusTotal alors que le drainer était encore actif, puis a utilisé un X Gold Checkmark payant pour bloquer les chercheurs qui avaient démontré qu'ils avaient tort. Leur ingénieur DevOps : ancien responsable informatique d'une pyramide financière russe depuis une décennie.

1er avril 2026 — Mis à jour le 2 juillet 2026 Recherche PhishDestroy 10 min de lecture 61 fichiers dont la validité a été vérifiée à l'aide de l'algorithme SHA-256
$0M+ Vol présumé
0 an(s) Opération « Lifespan »
0 Mensonges avérés
0k Pages désindexées par Bing
0+ Avis supprimés
0 Fichiers de preuves SHA-256
Lire l'enquête complète sur phishdestroy.eth.limo

Cet article est un aperçu. Vous trouverez l'intégralité des éléments de preuve, les archives IPFS et tous les documents sources en cliquant sur le lien ci-dessus.

Contexte : qu'est-ce que xmrwallet.com exactement ?

xmrwallet.com n'est pas une page de hameçonnage. Il s'agit d'un portefeuille Monero entièrement fonctionnel comportant une porte dérobée côté serveur mis en place en 2018 et fonctionnant jusqu'en mai 2026 — soit près d'une décennie. Le dépôt GitHub n'est qu'une façade publique. Le code malveillant n'existe que sur le serveur de production ; il n'a jamais été validé ni audité.

Chaque interaction de l'utilisateur envoie la clé de visualisation privée aux serveurs de l'opérateur via une requête POST, encodée en Base64 dans une variable nommée session_key — environ 40 transmissions par session. La transaction côté client est explicitement annulée (raw_tx_and_hash.raw = 0); le serveur génère le sien à l'aide des clés volées.

L'« audit de sécurité » de 2018 qui n'a rien couvert

L'audit de NewAlchemy a recueilli 67 « upvotes » sur Reddit et a servi de gage de confiance pendant des années. Son champ d'application explicite : « JavaScript côté client uniquement. » Explicitement hors du champ d'application : « de nombreux points de terminaison de l'API PHP. » Ces points d'accès constituent le véritable mécanisme de vol. L'audit était structurellement incapable de détecter la porte dérobée.

Ce vol est délibérément sélectif. Les petits dépôts ne sont pas touchés pendant des années, ce qui permet d’instaurer un climat de confiance et de générer des avis légitimes. Les montants importants sont volés en quelques minutes. Une victime identifiée avait déposé 590 XMR — une somme qui a disparu en deux jours. Total estimatif pour plus de 15 victimes identifiées : Entre 5 000 et plus de 50 000 XMR volés (entre 1,5 et plus de 15 millions de dollars, aux cours historiques). 60 % des publications des victimes ont fait l'objet de signalements en masse et ont été supprimées avant que les preuves ne puissent être saisies.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: session_key = base64_encode(wallet_address + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
Porte dérobée xmrwallet — La façade publique sur GitHub redirige correctement, tandis que le serveur de production caché exfiltre la clé de session (session_key)
Le vol en un schéma : vert = dépôt public GitHub (propre, audité, fiable). Rouge = serveur de production — jamais inclus dans aucun commit, jamais audité, source d'exfiltration session_key à l'opérateur à chaque session.
 Démonstration en direct — Nous avons recréé l'exploit
Observez comment la clé de session est exfiltrée dans votre navigateur

Nous avons reproduit l'exfiltration de clés via gtag dans une démo en environnement sandbox. Ouvrez DevTools → onglet Réseau → interagissez avec le portefeuille. Regardez session_key Les requêtes POST se déclenchent en temps réel. C'est ce qui a fonctionné pendant 10 ans. C'est ce que l'« audit de sécurité » n'a jamais examiné. C'est ce que NameSilo a défendu publiquement.

Ouvrir la démo interactive

La phrase qui a expliqué NameSilo

La preuve irréfutable : un marteau de juge fissuré et des guillemets lumineux
17 février 2026. Une seule phrase. Une décennie de confiance envers son registraire.

Le 16 février 2026, l'exploitant du site xmrwallet.com a envoyé un e-mail à PhishDestroy pour exiger le retrait d'un signalement. Il a signé sous le nom de « Nathalie Roy » — compte GitHub nathroy, n° d'identification 39167759. Nous avons répondu en fournissant une analyse technique détaillée et en adressant un avertissement écrit : « Ce qui va se passer ensuite dépend entièrement de la manière dont vous choisirez d'agir. »

Le lendemain, il nous a envoyé une phrase qui en disait long sur sa relation avec NameSilo :

« N’hésitez pas à demander au registraire du nom de domaine de vous communiquer mes coordonnées. »
— Administrateur de xmrwallet.com, 17 février 2026
Trois semaines avant que NameSilo ne le qualifie de victime

Personne n'utilise un siphon vieux de dix ans sur $550/mo bulletproof Belize hosting, qui se cache derrière le service russe DDoS-Guard, vous invite tranquillement à assigner son registraire à comparaître — à moins qu’il ne connaisse déjà la réponse. Trois autres registraires (PDR, WebNic, NICENIC) ont suspendu ses domaines quelques jours après avoir pris connaissance des mêmes preuves. NameSilo lui a rédigé un communiqué de presse et lui a proposé de rétablir sa réputation.

Alors que la faille de sécurité était encore active : xmrwallet a payé PR Newswire pour affirmer le contraire

21 janvier 2026 — xmrwallet a payé PR Newswire pour diffuser un communiqué de presse indiquant : « Les clés privées ne transitent jamais par des serveurs centraux. » Le session_key Des requêtes POST ont été envoyées à chaque session utilisateur vers le serveur de production tout au long de cette période. PR Newswire est un service de diffusion payant : les entreprises rédigent et financent elles-mêmes leurs communiqués, sans contrôle éditorial. Source : PR Newswire, 21 janvier 2026


Les quatre mensonges de NameSilo, officiellement

Le 13 mars 2026, le compte officiel de NameSilo a publié un message dans notre fil de discussion consacré à l'enquête. 11 300 vues avant la capture d'écran. Archivé définitivement à l'adresse ghostarchive.org/archive/CXXZ0. Chaque phrase est réfutée par des sources primaires :


Qui est NameSilo : une société d'externalisation informatique dont l'adresse postale se trouve aux États-Unis

NameSilo LLC est enregistrée à Phoenix, en Arizona. Cotée à la Bourse canadienne des valeurs mobilières sous le nom de Brisio Innovations (CSE : BZI), elle a déclaré un chiffre d'affaires de 65,5 millions de dollars canadiens en 2025. L'équipe d'ingénieurs proprement dite est répartie entre La Russie, la Biélorussie, l'Ukraine, la Serbie, l'Argentine et la Lettonie. Au moins 13 employés russophones ont été identifiés. La personne disposant d'un accès complet à l'infrastructure DevOps a passé dix ans à gérer le service informatique d'une pyramide financière russe avant de rejoindre NameSilo.

DevOps — Accès complet à l'infrastructure
Mikhaïl Tchoudinov
Argentine (déplacée)
Précédemment Responsable informatique chez SuperKopilka — Pyramide financière russe, 2007-2017. Dix ans à gérer l'infrastructure informatique d'un système de circulation monétaire jusqu'à son effondrement. Se décrit lui-même comme un « passionné de cryptomonnaies ». Chez NameSilo : accès DevOps complet à l'ensemble de l'infrastructure.
Ancien directeur informatique de Pyramid, 10 ans
Développeur backend PHP
Ivan Borzenkov
Bryansk, Russie (+7 920)
Développeur backend basé en Russie. GitHub : ivan1986. Accès direct via PHP au backend de NameSilo depuis la Russie.
🇷🇺 Accès au backend depuis la Russie
Chef de projet
Vladimir Voskov
Moscou, Russie
Précédemment Société Zyfra — Contrats d'automatisation industrielle pour le secteur public russe. Gestion, depuis Moscou, d'un registraire de noms de domaine enregistré aux États-Unis.
🇷🇺 Moscou — ancien prestataire de l'État
Chef de projet senior
Tatiana Labutina
Belgrade, Serbie
Précédemment ForexClub Libertex — Courtier russe spécialisé dans le Forex, faisant l'objet de multiples sanctions réglementaires de l'UE. Belgrade : principale destination d'expatriation pour les professionnels russes après 2022.
Anciennement ForexClub, désormais Libertex
Également identifiés

Aleksey Podashevskiy (Front-end) — Biélorussie, juridiction soumise à des sanctions, travaillant pour un registraire accrédité par l'ICANN et enregistré aux États-Unis. Plus de 13 employés russophones identifiés au total en Russie, en Biélorussie, en Serbie, en Argentine et en Lettonie. Aucun hébergement occidental dans la chaîne d'infrastructure de xmrwallet.

Portée de l'enquête

Plus de 5,18 millions de domaines analysés sur l'ensemble du portefeuille de NameSilo — chacun d'entre eux ayant fait l'objet d'une vérification croisée avec VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish et SURBL.

Backend PHP de xmrwallet entièrement reconstitué à partir de traces comportementales côté client — sans accès au serveur, sans code source, sans aucune coopération. Le mécanisme de vol a été mis en évidence uniquement à partir de schémas réseau observables.

13 membres de l'équipe corrélées à partir de données issues de LinkedIn, GitHub, HeadHunter, Telegram, des registres du commerce et des archives judiciaires de six pays. Tendances en matière de suppression sur Trustpilot suivi sur plusieurs mois afin d'identifier la fréquence systématique des suppressions. Rapports trimestriels CSE:BZI a été recoupée avec les données du portefeuille de domaines afin d'identifier l'anomalie au niveau du chiffre d'affaires. 5,18 millions de domaines analysées à la lumière de 6 sources d'informations sur les menaces. Toutes les données brutes sont accessibles au public à l'adresse github.com/phishdestroy/namesilo-evidence. Dépôt auprès de l'ICANN, des autorités de l'UE chargées de l'application de la loi et de trois unités nationales de lutte contre la cybercriminalité.


L'anomalie des domaines : 32,2 % n'ont jamais été activés — Un écran de fumée statistique

Nous avons extrait et analysé chaque domaine du portefeuille de NameSilo — soit un total de 5,18 millions. Chacun d'entre eux a été analysé à l'aide de VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish et SURBL. Les données brutes, la méthodologie et les résultats par domaine sont accessibles au public : github.com/phishdestroy/namesilo-evidence. Résultat : 32,2 % des noms de domaine n'ont jamais été activés — contre 14,7 à 22,8 % chez les bureaux d’enregistrement comparables. 10 000 à 17 000 enregistrements groupés en une seule journée (pic : 17 180 le 19 juillet 2025). 12 millions de dollars dépensés pour des domaines jamais activés ; un taux de consommation annuel de 3,2 millions de dollars pour des domaines qui ne servent à rien. En 2024, lorsque ShortDot, partenaire de NameSilo, a acquis de nouveaux TLD (.sbs, .cfd à environ 0,50 $ en gros, vendus 14,95 $ au détail = 22–31× majoration), les enregistrements de domaines inactifs ont connu une forte hausse 615% en une seule année.

Géographie et échelle des domaines de NameSilo — Entreprise de Phoenix (Arizona), équipe CIS, 5,18 millions de domaines
Enregistrés aux États-Unis. Gérés par la CEI. 5,18 millions de domaines, dont 32,2 % n'ont jamais été activés. L'équipe qui relie Phoenix, Moscou et Buenos Aires.

PrivacyGuardian masque l'identité de l'acheteur sur plus de 3 millions de domaines (enregistrés au nom de pw-{hex}@privacyguardian.org). Bitcoin accepté. Pas de vérification d'identité (KYC). Chaque domaine fantôme fait paraître le ratio « abus/total » plus faible.

0.43% contre 5,18 millions au total
« presque rien »
2.34% vs HTTP-alive
un site sur 43
40.9% par rapport aux véritables entreprises
1 tentative d'hameçonnage pour 2,5 tentatives légitimes
Anomalie financière : CSE : BZI

NameSilo annonce un chiffre d'affaires de 65,5 millions de dollars canadiens (2025). Ratio cours/bénéfice : 143,8× contre 21× pour le secteur. Chiffre d'affaires par domaine réel (actif) : 68 $ CA contre 10 à 15 $ dans le secteur. 95 bureaux d'enregistrement agréés par l'ICANN proposent le .com à un prix inférieur. Si des enregistrements massifs de domaines fantômes servent à blanchir des fonds — conversion de BTC en domaines avec une marge de 22 à 31 fois supérieure —, ceux-ci apparaissent comme des « revenus légitimes des bureaux d’enregistrement » dans les rapports trimestriels déposés auprès de la Bourse canadienne des valeurs mobilières. Ce schéma a été documenté et signalé aux autorités judiciaires.

Comment NameSilo fabrique de la « couverture médiatique » pour les investisseurs de CSE:BZI — 6 étapes
1
NameSilo rédige un communiqué de presse sur eux-mêmes. À la troisième personne. « NameSilo, le registraire qui connaît la plus forte croissance... »
3
PR Newswire le diffuse automatiquement vers Yahoo Finance, Morningstar, StockWatch, newswire.ca — pour tous ceux qui ont payé, aucune vérification éditoriale.
4
Yahoo Finance le publie en y ajoutant une petite légende : « Il s'agit d'un communiqué de presse payant. »
5
La page consacrée à l'action CSE:BZI sur NameSilo affiche désormais « la couverture médiatique ». « Yahoo Finance a parlé de nous. » « StockWatch a parlé de nous. »
!
Personne n'a écrit à leur sujet. C'est eux qui ont écrit sur eux-mêmes et qui ont payé pour que cela passe pour de l'information. Voici la rubrique « Couverture médiatique » de la page « Investisseurs » du site du CSE consacrée à une société dont le dépositaire a publiquement pris la défense d'un pirate actif de Monero.
 Un communiqué de presse payant à 805 $ ≠ journalisme indépendant. Investisseurs de CSE:BZI : lisez attentivement les informations fournies.

Ce qui s'est passé après la publication

Après la publication de notre reportage, une campagne coordonnée visant à faire reculer PhishDestroy par des moyens juridiques et par le biais des plateformes a ciblé tous les principaux espaces où PhishDestroy était présent. Trois mécanismes — chacun ayant été consigné, archivé et faisant désormais partie de la plainte n° 1479 déposée auprès de l'ICANN.

X / Twitter — Le compte @Phish_Destroy a été verrouillé. La coche dorée X offre aux abonnés un canal d'assistance prioritaire qui n'est pas accessible aux utilisateurs lambda. Ce canal a été utilisé pour déposer une plainte contre notre compte. Le système d'examen automatisé de X a traité le dossier, nous a innocentés par écrit et a confirmé l'absence de toute infraction. Le verrouillage est néanmoins resté en place. Nous avons publié la lettre de décharge avant même que le verrouillage ne soit levé — la prédiction horodatée de GhostArchive est incluse dans l’ICANN n° 1479.
Google — Demandes de suppression au titre du RGPD + plaintes au titre du DMCA. Des demandes européennes fondées sur le « droit à l'effacement » ont été déposées en vertu du RGPD afin de contraindre Google à retirer de ses résultats de recherche certaines pages spécifiques consacrées à l'enquête sur PhishDestroy. Parallèlement, des avis de retrait au titre du DMCA ont été envoyés, visant les URL liées à cette enquête. Ces deux mécanismes ont été mis en œuvre simultanément : une pression juridique via la législation européenne sur la protection de la vie privée, et une pression en matière de droits d'auteur via la législation américaine. Le contenu de l'enquête lui-même n'a jamais été contesté avec succès sur le fond.
Bing — 108 000 pages désindexées en une seule journée. L'intégralité du site phishdestroy.io — soit 108 000 pages indexées — a été supprimée des résultats de recherche Bing en une seule opération massive. Le timing était parfait : la désindexation a coïncidé exactement avec la publication de notre rapport sur NameSilo. Il ne s'agissait ni d'un problème d'exploration progressive, ni d'une erreur technique, mais d'une seule plainte groupée que Bing a traitée sans préavis.
IPFS — ils ont porté plainte. Rien n'a changé. Des demandes de retrait ont été déposées à l'encontre du domaine ENS et des services de passerelle. phishdestroy.eth.limo reste pleinement opérationnel. Le contenu IPFS est identifié par un hachage SHA-256 : il n’y a pas de serveur à fermer, pas de compte d’hébergement à suspendre, pas de registraire à mettre sous pression, pas de CDN à contacter. L’enquête est disponible simultanément sur Arweave, GhostArchive et Wayback Machine. La colère est proportionnelle au sentiment d’impuissance.
Campagne de censure sur les plateformes — Vérification « X Gold », RGPD de Google, désindexation par Bing
Une coche dorée. Trois mécanismes juridiques. 108 000 pages Bing. Toutes les plateformes ont été touchées après la même publication. Voilà à quoi ressemble la censure financée par les entreprises.
Nous l'avions prédit — archivé avec horodatage dans GhostArchive avant même que cela n'arrive

Avant que le verrou ne soit activé, nous avons publié un tweet prédisant que NameSilo allait recourir aux techniques de suppression utilisées par les escrocs, et nous l’avons horodaté sur GhostArchive. Ils ont fait exactement ce que nous avions annoncé, dans les délais prévus. Cette prédiction horodatée — qui prouve que nous avions anticipé cette tactique avant qu’elle ne soit mise en œuvre — figure dans la plainte déposée auprès de l’ICANN contre NameSilo (ICANN n° 1479).

Les archives sont intouchables

Tout est prêt IPFS (phishdestroy.eth), Arweave, GhostArchive et Wayback Machine. 61 captures d'écran vérifiées par SHA-256. Aucune contestation juridique aboutie concernant aucune allégation. Aucune réfutation technique de la part de l'opérateur ou de NameSilo. Aucune réponse factuelle — uniquement des menaces juridiques, des attaques ad hominem et des tweets supprimés. L'enquête complète, comprenant les données brutes, le dossier de l'équipe, l'analyse du blanchiment et les ressources destinées aux victimes, est disponible à l'adresse phishdestroy.eth.limo — répliqué sur IPFS, Arweave, GhostArchive et Wayback Machine. Aucun d'entre eux ne bénéficie de la coche dorée.


Réseau « Escape Domain » : préparé plusieurs mois avant son démantèlement

Début 4 février 2026 — la même semaine où l'opérateur a contacté PhishDestroy pour la première fois —, il a commencé à enregistrer en secret des domaines de secours auprès de quatre bureaux d'enregistrement différents, en les prépayant pour une durée de 5 à 10 ans chacun. L'infrastructure avait été conçue pour résister à n'importe quelle mesure de suppression ponctuelle. Elle n'a pas résisté à l'enquête.

Analyse technique préliminaire accompagnée de toutes les pièces justificatives : github.com/phishdestroy/NE-PAS-UTILISER-xmrwallet-com

Domaines « Escape » — Enregistrés après le début de l'enquête
Domaine Secrétaire général Prépayé IP Statut
xmrwallet.cc Registre du domaine public 8 ans 185.129.100.248 SUSPENDU
xmrwallet.biz WebNic.cc 5 ans 190.115.31.40 SUSPENDU
xmrwallet.net NICENIC International 10 ans 190.115.31.40 ← DNS HORS SERVICE
xmrwallet.me Key-Systems GmbH 10 ans 185.129.100.248 ← ACTIF — abus signalé

Regroupement d'adresses IP : 185.129.100.248 partagé par .cc et .me — même hébergeur. 190.115.31.40 partagés entre .biz et .net — même hébergeur. Quatre bureaux d'enregistrement, deux groupes d'adresses IP. 33 ans d'enregistrement prépayé. Tous enregistrés en secret après un premier contact avec les enquêteurs.


Une réputation achetée : Wikipédia, Forbes et plus de 15 articles sponsorisés

La réputation publique de NameSilo est artificielle. Wikipédia : mention « contenu payant/promotionnel ». Forbes : mention d'affiliation « Nous percevons une commission ». SmartCustomer : 1,8/5 — sans aucun résultat négatif sur Google.

Wikipédia — Signalé comme « promotionnel » par les rédacteurs

Il existe un article Wikipédia sur NameSilo — signalé par la rédaction comme un article sponsorisé/promotionnel, et non une couverture rédactionnelle neutre. Historique des modifications (archivé) : en.wikipedia.org/w/index.php?title=NameSilo&action;=history

Forbes Advisor — Informations relatives aux commissions d'affiliation

NameSilo figure sur Forbes Advisor avec une mention explicite de son programme d'affiliation : « Forbes Advisor respecte des normes rigoureuses en matière d'intégrité éditoriale… Nous percevons une commission. » Forbes Advisor perçoit une rémunération lorsque les utilisateurs s'inscrivent via ses liens, ce qui crée une incitation financière directe à publier des articles élogieux. Source : forbes.com/advisor/business/software/namesilo-review/

SmartCustomer : 1,8/5 — Aucun résultat négatif sur Google

NameSilo détient un Note de 1,8/5 sur SmartCustomer — source : smartcustomer.com/avis/namesilo.com. Malgré des dizaines d'avis négatifs répertoriés, une recherche sur Google ne donne aucun résultat négatif — il s'agit d'une censure active utilisant les mêmes outils du RGPD et du DMCA que ceux utilisés contre notre enquête.

PR Newswire — Auto-publié, payant, sans vérification éditoriale

NameSilo Technologies Corp. (CSE : BZI / OTC : URLOF — société mère cotée en bourse de NameSilo LLC) utilise PR Newswire pour diffuser ses communiqués d'entreprise. PR Newswire est un service de diffusion payant : la société rédige le texte et paie pour sa publication. Exemples de communiqués de presse payants de NameSilo Technologies :

Le même mécanisme : le 21 janvier 2026, xmrwallet a utilisé PR Newswire pour publier son article à la une (« Les clés privées n'atteignent jamais les serveurs centraux ») alors que la porte dérobée était active. Il s'agissait d'une diffusion payante présentant un texte rédigé par l'opérateur comme un contenu d'actualité.


Trois postes. Une seule entreprise. Aucun d'entre eux ne résiste au contact avec les autres.

NameSilo n'a pas tenu un discours cohérent. L'entreprise a adopté successivement trois positions incompatibles entre elles — celle de l'expert sûr de lui, celle de la victime menacée et celle du fonctionnaire humble — en fonction du risque juridique auquel elle était exposée à chaque instant.

1
Mars 2026 — Le poste d’expert sûr de lui
L'équipe chargée de la lutte contre les abus de NameSilo a définitivement établi Le domaine a été piraté. Ils ont mené une enquête sur cette attaque. Ils savent que le titulaire du nom de domaine est la victime. Ils sont l'aider à supprimer les détections de VirusTotal — ce qui, selon leur propre logique, signifie qu’ils font davantage autorité que tous les éditeurs d’antivirus qui ont signalé ce domaine. Niveau de confiance : absolu.
2
Phase 2 — La menace juridique (tweet public, 11 mai 2026)
@namesilo — Compte officiel avec la coche dorée — 11 mai 2026 · 417 vues · 107 réponses

« Vos allégations sont fausses, diffamatoires et calomnieuses. NameSilo prend les mesures qui s'imposent et examine tous les signalements d'abus qui nous sont transmis. Si vous avez des cas de ce type à signaler, veuillez les envoyer à abuse@namesilo.com. Sinon, veuillez contacter directement l'hébergeur du site web ou le titulaire du nom de domaine. Et cessez de diffuser des mensonges à notre sujet, sinon nous serons contraints d'engager des poursuites judiciaires. »

L'expert sûr de lui qui avait enquêté sur le piratage, identifié le titulaire du nom de domaine comme étant la victime et l'aidait à supprimer les détections de VirusTotal… n'est plus aujourd'hui qu'une simple boîte de réception dédiée aux signalements d'abus. L'enquête s'est évaporée. L'expertise s'est évaporée. Seule la menace juridique subsiste.
3
Réponse de l'ICANN — La position de « l'humble processeur »
Désormais, ils traitent les signalements. Désormais, ils ne sont plus en mesure de détecter les tentatives d'hameçonnage. Désormais, ils s'en remettent aux hébergeurs. L'équipe qui a surpassé tous les principaux éditeurs d'antivirus, ce qui a permis de conclure que le domaine était sain est désormais trop modeste pour passer un coup de fil. Ce n'est pas de l'incompétence. L'incompétence, c'est quelque chose de constant. Il s'agit là d'une attitude choisie en fonction de chaque public.
La contradiction fondamentale — Faites votre choix, NameSilo

Si votre équipe chargée des cas de maltraitance avait les compétences nécessaires pour procéder à un examen approfondi et exhaustif, déterminer que le domaine a été piraté, identifier le titulaire du nom de domaine comme étant la victime, et commencer à l'aider à supprimer les détections de VirusTotal — alors vous affirmez explicitement que vous faites autorité et que vous disposez de compétences techniques supérieures à celles de tous les éditeurs d'antivirus qui ont signalé ce domaine comme malveillant.

Vous ne pourrez pas prétendre par la suite que vous traiter simplement les rapports et ne disposent pas de l'expertise nécessaire pour détecter les tentatives d'hameçonnage. La plainte déposée auprès de l'ICANN ne vous reproche pas de ne pas posséder les compétences requises. Elle vous demande pourquoi vous avez utilisé les compétences dont vous disposez manifestement pour aider l'escroc, et non les victimes.


Trustpilot : des fermes de bots en concurrence avec d'autres fermes de bots

Exemple : « Patty Johnson » — Profil américain, 2 avis au total

Une note de 5 étoiles pour NameSilo (janvier 2026) : « Leonid nous a beaucoup aidés… 5 étoiles ! » L'autre avis : concernant Otrium — une entreprise faisant l'objet d'avis alléguant une fraude et un détournement de fonds. Un compte de bot, deux entreprises soupçonnées d'escroquerie. Schéma récurrent : des agents d'assistance nommément cités, des délais de réponse salués, des réponses formatées. Les véritables acheteurs de domaines évaluent les prix et l'expérience utilisateur du panel. Les avis générés par des bots font l'éloge de « Leonid ».

Analyse des données — 2 280 avis sur NameSilo contre 2 480 avis sur Namecheap

Système métrique NameSilo Namecheap
Avis 5 étoiles88.9%74.0%
Avis 1 étoile7.2%16.7%
Comptes à évaluation unique62.4%59.6%
Pas d'avatar (comptes nouvellement créés)67.3%51.5%
Avis sur l'assistance/le service70.0%60.2%
Avis sur le rapport qualité-prix9.8%37.5%
Agent codinommé « Leonid »5.7%0.0%
Géolocalisation aux États-Unis35.1%26.5%
L'anomalie des Léonides

Leonid a fait son apparition le 13 avril 2025. Il n'avait jamais été mentionné auparavant. Puis il a reçu 65 avis au cours de ses deux premiers mois. Mai 2025 : 106 avis (5 fois plus que d'habitude), 95 % d'avis cinq étoiles, aucun avis une étoile. Pas un seul client mécontent parmi les 106 avis concernant un registraire classé 96e en termes de tarifs pour les domaines .com.

43 % des commentaires sur Leonid comptent moins de 80 caractères. Quatre d'entre eux ne comportent que le titre « Leonid ». Encore trois : « Leonid nous a beaucoup aidés. » Parmi les commentateurs : « Satoshi Nakamoto », « Auteur », « Виктор - », « Anna Koroleva », « Boris Martin », « Andrei Dobrescu », côtoyant « Brad », « LaToya » et « Patty Johnson ». Un générateur de noms qui passe d’un continent à l’autre. Le prénom Leonid est russe.

Hong Kong : 57 avis. 57 sur 57 : cinq étoiles. Statistiquement impossible.

Aucune note à quatre étoiles. Aucune note à trois étoiles. Aucune autre note. 91 % de comptes n'ayant laissé qu'un seul avis. Sur une période de plus de 7 ans. Chine : 94 % de notes à cinq étoiles, 80 % de comptes n'ayant laissé qu'un seul avis. Singapour : 95 % de notes à cinq étoiles. Au total, 168 avis provenant des marchés sinophones — presque tous fabriqués de toutes pièces.

Pourquoi la Chine ? NameSilo y mène une campagne de marketing active : namesilo-china.com, bcbay.com/namesilo, des articles de blog chinois rémunérés, un article de Wikipédia en chinois. Lorsque les enquêteurs se demandent « qui achète 4,22 millions de domaines inactifs ? », NameSilo pointe du doigt la Chine. Les données de Trustpilot montrent qu’ils construisent cet alibi depuis 2019, un faux avis à la fois.

Analyse judiciaire indépendante de l'API Claude — Test à l'aveugle

2 480 avis Trustpilot concernant NameSilo et 2 480 concernant Namecheap ont été transmis à l'API Claude, après avoir été anonymisés sous les noms « Entreprise A » (NameSilo) et « Entreprise B » (Namecheap). L'IA ne savait pas laquelle correspondait à laquelle.

Indicateur médico-légal NameSilo (A) Namecheap (B)
Moyenne de 5 étoiles89.1%74.0%
pourcentage d'évaluations à 1 étoile7.1%16.7%
Comptes jetables ayant reçu 5 étoiles92%~65%
Avis mentionnant le prix11.2%39.2%
Cité comme seul acteur dans les critiquesLeonid : 168aucun
Diversité du vocabulaire 5 étoiles (TTR)0.073~0.15
HK : 100 % cinq étoiles57/57n/a
Pic de mai-juin 2025 (5 fois la normale)215 avisaucun
Verdict concernant la manipulation par l'IA92%15%
Conclusion de l'expertise judiciaire en IA — Transcription mot pour mot

« La société A présente des preuves abondantes et multidimensionnelles d’une manipulation systématique des revues scientifiques par le biais d’une production artificielle coordonnée. La probabilité que ces schémas se produisent de manière spontanée est quasi nulle. »

Analyse complète : phishdestroy.eth.limo/namesilo-trustpilot.html · Données brutes : trustpilot-forensic-report-final.txt


Bilan de l'enquête

xmrwallet.com — Service fermé

À la suite de l'enquête et de la publication de PhishDestroy, xmrwallet.com a cessé ses activités. L'opérateur a envoyé un message d'adieu — et, fait notable, il ne l'a plus signé « Nathalie Roy ». L'identité qui avait été le visage public de xmrwallet pendant des années a été discrètement abandonnée. Aucune explication n'a été fournie.

Le domaine redirige désormais vers GitHub — après trois tentatives

xmrwallet.com a finalement été redirigé vers son dépôt GitHub — cette même façade publique qui a servi d'alibi « open source » pendant une décennie. Il a fallu trois tentatives. Le dépôt était inactif depuis 5 ans avant la redirection : pas de commits, pas de mises à jour, pas de maintenance — ce qui correspond à un projet dont le code réel résidait exclusivement sur un serveur de production non audité et n'était en aucun cas destiné à être examiné par le public.


Le transfert du domaine n'a pas mis fin à cette situation. Il l'a rendue définitive.

Le nom de domaine xmrwallet.com a été transféré vers Namecheap en mai 2026 ; il est enregistré jusqu'en 2036. NameSilo considère apparemment que cette affaire est réglée. Ce n'est pas le cas.

Vous pensiez que les experts capables de surpasser tous les éditeurs d'antivirus allaient s'arrêter lorsque le domaine a changé ? L'enquête est en cours sur IPFS. Elle est en cours sur Arweave. Elle fait l'objet d'une procédure officielle de plainte auprès de l'ICANN. Elle est entre les mains des autorités policières de l'UE. Elle est entre les mains de trois unités nationales de lutte contre la cybercriminalité. La menace juridique a ajouté un nouvel horodatage au dossier. Le transfert de domaine a ajouté une nouvelle pièce à conviction. Chaque mesure prise pour faire obstacle à cette enquête constitue en soi une preuve documentée du schéma que nous avons décrit.

Vous n'étiez pas les plus malins dans cette situation. Vous aviez simplement plus d'argent pendant un certain temps.

Lire l'enquête dans son intégralité phishdestroy.eth.limo Données disponibles sur GitHub Signaler un cas de victime
Avis concernant une enquête indépendante
PhishDestroy · Recherche en sécurité à but non commercial

Personne n'a payé pour ça. Cette enquête n'a bénéficié d'aucun financement, d'aucune orientation éditoriale ni d'aucun texte fourni par quelque partie que ce soit. Contrairement aux publications sur Forbes Advisor et PR Newswire, que NameSilo finance directement, l'auteur n'entretient aucune relation financière avec NameSilo — et n'a aucune obligation de présenter le point de vue souhaité par cette entreprise.

Tout est consigné. Chaque affirmation factuelle s'appuie sur des preuves vérifiables : réponses de serveurs, captures d'écran à des fins d'expertise, documents publics, signalements d'abus et sources primaires citées dans le texte. Rien n'est inventé. Les sources sont référencées par des liens. Les preuves sont archivées sur IPFS. Une vérification indépendante est encouragée.

« Cessez de répandre des mensonges à notre sujet, sinon nous serons contraints d’engager des poursuites judiciaires. » — NameSilo, en réponse à cette enquête

C'est terrifiant. Nous avons pu constater toute l'étendue des capacités opérationnelles de NameSilo : faire supprimer un compte Twitter/X, acheter un placement dans Forbes, rédiger ses propres avis sur Trustpilot, faire supprimer des détections sur VirusTotal et publier quatre allégations manifestement fausses dans un seul tweet.

Quant aux « mensonges »… tout ce qui est dit ici repose sur des faits. Si une couverture objective de votre produit constitue une diffamation, ouvrez votre propre tableau de bord — celui que vous omettez de mentionner dans tous vos articles payants. Il prouve à lui seul notre argument, sans que nous ayons besoin d’en dire plus.

Vous n'avez pas rémunéré cet auteur. Vous n'avez fourni aucun texte. Vous ne pouvez prétendre à aucune recherche indépendante. Vous avez toutefois des obligations — envers l'ICANN, envers vos titulaires de noms de domaine, et en vertu des lois régissant les bureaux d'enregistrement de noms de domaine. Celles-ci ne disparaissent pas sous prétexte qu'une couverture médiatique fidèle vous dérange.

Concernant les actions en justice : Cette enquête est archivée sur 5 à 7 nœuds IPFS. Étant donné que NameSilo a démontré sa maîtrise des procédures de suppression de contenu, nous vous suggérons de commencer par là. Vous savez comment cela fonctionne. On va attendre.

Pour plus de clarté — dans votre langue :

PhishDestroy est un projet de recherche à but non commercial. Nous ne prétendons ni à l'infaillibilité ni à une certitude absolue. Le ton de cette enquête peut paraître direct — nous en sommes conscients. Nous n'imposons aucun point de vue : nous vous recommandons d'examiner les documents et les sources primaires afin de vous forger votre propre opinion. La présomption d'innocence s'applique. Il s'agit de notre enquête, de nos observations et de notre comparaison subjective — à laquelle nous avons consacré un temps considérable.

Enquête complète avec l'ensemble des éléments de preuve et des archives IPFS : phishdestroy.eth.limo