IANA 3765 · NiceNIC INTERNATIONAL GROUP CO., LIMITED · Hong Kong
9 minutes de lecture· Mise à jour mars 2026· PhishDestroy Intelligence
5,000+
Billets uniques ignorés
24,7 Mo
Publication d'un ensemble de données par domaine
0
Domaines légitimes détectés
100%
Domaines désormais signalés
Nous avons décidé de vérifier
Après que notre première enquête a révélé que NiceNIC, un bureau d'enregistrement accrédité par l'ICANN, était à l'origine d'une cybercriminalité à l'échelle mondiale, une question restait en suspens : est-ce vraiment TOUT noir ? Pourrait-il y avoir des entreprises légitimes enfouies sous cette montagne de hameçonnage, d'escroqueries liées aux cryptomonnaies et pire encore ?
Nous avons décidé de mener l'enquête. Nous avons passé au crible l'intégralité du portefeuille de domaines de NiceNIC : chaque enregistrement, chaque adresse IP, chaque élément de contenu auquel nous avons pu accéder. Le résultat : un ensemble de données de 24,7 Mo publié sur GitHub, que chacun peut vérifier de manière indépendante.
La conclusion a été unanime et sans équivoque.
Le résultat
Nous avons cherché N'IMPORTE QUEL cas d'utilisation légitime. Une simple entreprise sérieuse. Un blog personnel. Un site de portfolio. Nous n'en avons trouvé aucun.
Cette enquête s'appuie sur nos conclusions initiales. Pour en savoir plus, consultez le contexte complet :
Les noms de domaine enregistrés via NiceNIC relèvent clairement de catégories d'abus :
Catégorie
Prévalence
Remarques
Hameçonnage cryptographique et « drainers »
Dominant
Voleurs de portefeuilles, fausses plateformes d'échange, arnaques aux airdrops
Jeux d'argent et casinos fictifs
Élevé
En lien avec des opérations sur lesquelles nous avons déjà enquêté (OFEDREX, LuxardGambling)
Hameçonnage (généralités)
Élevé
Collecte d'identifiants, usurpation d'identité de marque
Diffusion de logiciels malveillants
Modéré
Téléchargements automatiques, faux logiciels
Contenu à caractère criminel non divulgué
Présent
Contenu enfreignant le droit pénal dans toutes les juridictions — dont la nature n'est délibérément pas précisée
Avertissement concernant le contenu
Certains contenus hébergés sur les domaines NiceNIC sont d'une nature si extrême que le simple fait de les décrire en détail serait en soi irresponsable. On y trouve des catégories qui enfreignent les codes pénaux partout dans le monde. Nous avons tout consigné. Nous ne publierons toutefois pas de détails.
La seule catégorie « limite » concernait les jeux d'argent — mais même celle-ci s'est effondrée sous le poids des vérifications. Les domaines liés aux jeux d'argent remontaient directement à de fausses opérations de casino sur lesquelles nous avions déjà enquêté : OFEDREX avec ses 383 victimes confirmées, LuxardGambling avec leurs publicités utilisant des « deepfakes » de célébrités. Ce ne sont pas des sites de jeux d'argent légitimes. Ce sont les mêmes arnaques qui se présentent sous différentes apparences.
Le lien avec le forum des hackers
Les liens entre NiceNIC et les cybercriminels vont bien au-delà d'une simple négligence passive. Le registraire participe activement à cet écosystème :
« NiceNIC est très présent sur BlackHatWorld, un forum tristement célèbre pour ses spams liés au référencement naturel (SEO), ses kits d'hameçonnage et ses services frauduleux. »
« Des e-mails promotionnels de NiceNIC ont été recensés, dans lesquels l'entreprise se vante d'avoir « moins de signalements d'abus » — un argumentaire marketing spécialement conçu pour attirer une clientèle mal intentionnée. »
« Lorsqu'un abus est signalé, NiceNIC transmet les coordonnées personnelles du plaignant — y compris son adresse e-mail — directement au propriétaire du domaine. Il ne s'agit pas d'une erreur. C'est une fonctionnalité conçue pour intimider les lanceurs d'alerte. »
Événements marquants
Infographie : 5 000 signalements d'abus envoyés à NiceNIC, aucune mesure prise — une montagne de signalements ignorés finissent à la poubelle
Incident sur BreachForums
NiceNIC a réactivé un nom de domaine À LA SUITE d'une demande de retrait émise par le FBI, puis aurait suspendu le compte du FBI lui-même afin d'empêcher toute nouvelle correspondance.
Telegram @NiceNIC_NET
Conversations consignées portant sur désactivation du service WHOIS et en fournissant des services à toute épreuve à des personnes soupçonnées d'actes criminels.
GDPR / Violations de la vie privée
Partager les données des signalants avec les pirates — transformer le processus de signalement des abus en une arme contre les lanceurs d'alerte.
5 000 contraventions ignorées
Ce chiffre n'est pas une estimation. Il ne contient pas de doublons. Plus de 5 000 tickets de signalement de abus distincts ont été déposées à l'encontre de domaines NiceNIC — chacune accompagnée de nouveaux éléments de preuve, chacune concernant un domaine malveillant différent. Ce décompte exclut les signalements répétés, les signalements de suivi et les rapports faisant référence à d'autres signalements.
La réaction était toujours la même :
« Preuves insuffisantes » — Réponse automatique standard de NiceNIC aux fichiers PDF d'analyse forensic contenant des rapports VirusTotal avec plus de 15 détections par éditeur, des captures d'écran en pleine page de portails de hameçonnage actifs, des correspondances DNS et des métadonnées techniques.
Mécanismes de maltraitance
Délai de suspension de 48 heures : La politique interne de NiceNIC autorise les domaines signalés à rester actifs pendant 48 heures, ce qui laisse aux escrocs largement le temps de dépouiller leurs victimes
Manipulation des données WHOIS/RDAP : intentionnellement désactivé ou rendu inopérant pour certains clients à leur demande, ce qui enfreint les exigences de transparence prévues par le RAA de l'ICANN
Plaintes classées d'office : Les tickets envoyés à abuse@nicenic.net sont automatiquement transférés aux propriétaires de domaine et clôturés.
La décision commerciale
5 000 billets, ce n'est pas un manquement aux règles. C'est un choix commercial. Chaque ticket ignoré fait l'objet d'une protection des recettes.
Notre verdict
Au vu des éléments de preuve — l'analyse complète du domaine, les plus de 5 000 tickets ignorés, la présence sur des forums de hackers, l'incident impliquant le FBI, les intimidations à l'encontre du lanceur d'alerte et le taux confirmé d'utilisation légitime égal à zéro —, PhishDestroy a pris une décision définitive :
Dénomination officielle
Tous les noms de domaine enregistrés via NiceNIC (IANA 3765) sont désormais signalés comme potentiellement dangereux dans le système de veille sur les menaces de PhishDestroy. Cela s'applique à notre API, à nos listes de blocage, aux avertissements des navigateurs et à toutes les intégrations avec nos partenaires.
Il ne s'agit pas d'une sanction générale. C'est une conclusion statistique. Lorsque 100 % du contenu examiné est malveillant et que le registraire le facilite activement, le registraire CONSTITUE l'infrastructure criminelle.
Déclaration finale
Ce n'est pas de la négligence. Ce n'est pas de l'incompétence. C'est un modèle économique fondé sur la capacité à résister aux abus. Les dirigeants de NiceNIC INTERNATIONAL GROUP CO., LIMITED devraient engager leur responsabilité pénale — non pas pour avoir manqué à leur devoir, mais pour avoir délibérément choisi de ne pas agir. Nous attendons qu’ils rendent des comptes.
Le modèle économique est clair : facturer des noms de domaine aux criminels, ignorer tous les signalements d’abus, partager les données des lanceurs d’alerte avec les pirates, faire de la publicité sur les forums de hackers. Il ne s’agit pas d’une zone grise. Il s’agit d’une infrastructure organisée au service du crime organisé. Un précédent juridique dans ce domaine enverrait un message clair à tous les bureaux d’enregistrement « à l’épreuve des balles » opérant sous l’égide de l’ICANN.
Jouez le jeu : trouvez un nom de domaine valide
Nous rendons ce défi public. L'ensemble des données est publié dans son intégralité. Chaque domaine NiceNIC que nous avons examiné peut être téléchargé et faire l'objet d'une vérification indépendante.
Les règles sont simples : trouvez un seul nom de domaine valide enregistré via NiceNIC. Une véritable entreprise. Un site web personnel. Tout ce qui n'est pas du hameçonnage, une arnaque ou pire encore.
Si vous en trouvez un, dites-le-nous. Nous, on n'en a pas trouvé.
Grille de domaines NiceNIC — preuve visuelle de la concentration des tentatives d'hameçonnage
Le modèle économique de NiceNIC ne survit que grâce au silence. Chaque signalement, chaque blocage, chaque dénonciation publique augmente le coût de la complicité. Les données sont publiques. Les preuves sont accablantes. Agissez en conséquence.
Avis de transparence. PhishDestroy est un projet indépendant à but non lucratif. Nos recherches peuvent refléter un parti pris inhérent à l'encontre des infrastructures d'escroquerie et des services qui les facilitent. Nous encourageons les lecteurs à évaluer l'ensemble de ces informations de manière critique et indépendante. Consultez notre déclaration de transparence complète →