Quand les signalements d'abus restent sans suite : comment les bureaux d'enregistrement deviennent des complices silencieux de la cybercriminalité
Nous envoyons des rapports d'abus étayés par des preuves — détections de VirusTotal, captures d'écran, données de listes noires, analyses antivirus. Les bureaux d'enregistrement les reçoivent sans rien faire. Certains domaines de phishing continuent d'exister 1 788 heures et 13 rapports distincts. Il ne s'agit pas d'une défaillance du système, mais d'un choix de conception. Voici les données.
Un système défaillant
Chaque signalement d'abus que nous envoyons suit un protocole précis : URL du domaine, catégorie (hameçonnage, crypto-drainer, faux casino), nombre de détections sur VirusTotal, captures d'écran à l'appui et statut sur la liste noire. Il ne s'agit pas de simples plaintes vagues, mais de dossiers d'enquête complets. Et pourtant, les domaines restent en ligne les uns après les autres pendant semaines et mois après le premier rapport.
Il n'existe aucune norme universelle régissant la manière dont les bureaux d'enregistrement doivent traiter les signalements d'abus. Pas de contrat de niveau de service (SLA). Pas de délai de réponse obligatoire. Pas d'indicateur de responsabilité. Chaque bureau d'enregistrement décide de son propre chef de la suite à donner à un domaine signalé par 16 moteurs antivirus mérite qu'on s'y intéresse — ou une réponse type et un ticket clôturé.
Qui surpasse les 16 moteurs antivirus ?
C'est la question à laquelle aucun registraire ne souhaite répondre. Quand Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data et dix autres fournisseurs de solutions de sécurité signalent un domaine comme malveillant sur VirusTotal — et l'équipe chargée des abus du registraire décide « Aucune action requise » — Qui a pris cette décision, au juste ?
Imaginez l'absurdité : un seul analyste des abus chez un registraire passe outre l'ensemble des renseignements sur les menaces fournis par 16 moteurs antivirus indépendants, chacun disposant de milliards de points de données, de laboratoires de recherche spécialisés et de plusieurs décennies d'expérience. Sur quelle base ? De quelle infrastructure d'analyse l'équipe chargée de la lutte contre les abus chez NiceNIC ou GlobalDomainGroup dispose-t-elle pour surpasser celle de Kaspersky ?
La réponse est simple : aucun. Ils ne vérifient pas. Ils ne contrôlent pas. Soit ils ne jettent même pas un œil au rapport, soit ils se basent sur un simple calcul financier : un domaine actif génère des revenus; un domaine suspendu n'en génère pas.
Soyons clairs sur ce que cela signifie : un employé du bureau d'enregistrement a examiné les preuves fournies par 13 fournisseurs de sécurité indépendants et 13 rapports d'abus distincts — et a décidé que son propre jugement primait. Ce n'est pas une erreur. C'est une politique.
Aucune autorité qu'ils respectent
Citez-moi un seul éditeur d'antivirus que les bureaux d'enregistrement considèrent comme une référence. Vous ne pouvez pas — car il n'y en a pas.
- Kaspersky — détecte-t-il le domaine ? Ignoré.
- ESET — le signale comme une tentative d'hameçonnage ? Ignoré.
- Fortinet — le bloque-t-il au niveau du réseau ? Ignoré.
- BitDefender — met en garde des millions d'utilisateurs ? Personne n'en tient compte.
- Navigation sécurisée de Google — le plus grand système de sécurité en ligne au monde ? On continue de l'ignorer.
Il y a pas de seuil de détection dans ce cas, le registraire est tenu d'agir. Pas 5 moteurs. Pas 10. Pas 16. Un domaine peut être signalé par tous les éditeurs d'antivirus sur VirusTotal, figurer sur plusieurs listes noires et faire l'objet d'une douzaine de signalements d'abus — et le registraire n'est soumis à aucune obligation contraignante de prendre des mesures.
Ce n'est pas une faille du système. Voici le système. Le secteur de l'enregistrement de noms de domaine a réussi à échapper à toute norme contraignante qui l'obligerait à tenir compte des conclusions des chercheurs en sécurité, des éditeurs d'antivirus ou des plateformes de renseignements sur les menaces. Lorsque 16 moteurs sur 70 détectent un domaine, il ne s'agit pas d'une simple « possibilité ». C'est un consensus. Et l'équipe chargée de la lutte contre les abus du registraire, qui ne dispose d'aucune infrastructure d'analyse et a tout intérêt, d'un point de vue financier, à maintenir le domaine en service, passe outre ce consensus.
L'incitation financière
Les bureaux d'enregistrement de noms de domaine facturent des frais annuels pour chaque nom de domaine. Chaque suspension représente une perte de revenus. Chaque suppression comporte un risque de remboursement. Il existe donc une incitation financière directe et mesurable à maintenir les noms de domaine actifs — et aucune sanction financière n'est prévue en cas de non-prise en compte des signalements d'abus.
Ce n'est pas le cas pour tous les fournisseurs d'infrastructures. Cloudflare, par exemple, traite efficacement les signalements d'abus et ne tire pas de revenus de l'enregistrement de noms de domaine de la même manière. Cette distinction est importante : lorsque l'entreprise qui traite votre signalement tire profit du fait que le nom de domaine reste en ligne, le conflit d'intérêts est structurel.
Les faits : données en temps réel issues de nos rapports
Vous trouverez ci-dessous un extrait de notre journal d'escalade des abus de mars 2026. Chaque entrée correspond à un domaine de phishing réel qui a été toujours en activité au moment de la rédaction du rapport, malgré des informations antérieures et des cas confirmés.
| Domaine | Rapports | Actif (heures) | VT | BL | Abus de la part d'un registraire |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | mille sept cent quatre-vingt-huit heures | 16 | — | Tucows |
| 6chicken9[.]top | 4 | 1 783 heures | 4 | 1 | Endurance |
| apphyena[.]trade | 2 | 1 781 heures | 3 | — | NiceNIC |
| airdrop[.]autos | 3 | mille trois cent soixante-quatre heures | 4 | 1 | Gname |
| amlstats[.]com | 7 | mille trois cent soixante-trois heures | 14 | 1 | Tucows |
| amlscore[.]info | 7 | mille trois cent soixante-trois heures | 9 | 1 | Tucows |
| multi-wallets.io | 4 | mille trois cent soixante-trois heures | 10 | 1 | nic.io |
| aavleaderboard[.]assetavenue[.]capital | 2 | mille trois cent cinquante-neuf heures | 1 | — | Identité numérique |
| airdropchime.com | 2 | mille trois cent cinquante-neuf heures | 1 | — | NameCheap |
| farewex[.]com | 13 | 1,352h | 13 | — | apiname.com |
| app[.]whitewhalesmeme[.]com | 4 | mille trois cent trente | 14 | — | Verisign |
| zordex.us | 3 | mille trois cent quatorze heures | 14 | — | apiname.com |
| alhpatrademarket[.]com | 2 | mille deux cent soixante-huit heures | 15 | — | GlobalDomainGroup |
| angelferno[.]com | 2 | mille deux cent soixante-huit heures | 7 | 1 | NiceNIC |
| ansol[.]cc | 4 | mille deux cent soixante-huit heures | 4 | 1 | NiceNIC |
| amltrackerbot[.]com | 2 | mille deux cent soixante-huit heures | 6 | 1 | Tucows |
| amlstatement[.]info | 4 | mille deux cent vingt-huit heures | 16 | — | Porkbun |
| a8vx.top | 2 | 1 049 heures | 16 | — | Dynadot |
| amlinfo maintenant | 2 | 1 033 heures | 2 | — | Porkbun |
| winner.cc | 4 | mille deux cent vingt-six heures | 14 | — | GlobalDomainGroup |
| xerowex[.]com | 6 | 1 h 21 | 14 | — | apiname.com |
| menty[.]sbs | 4 | neuf cent quatre-vingt-cinq heures | 16 | — | en général |
| perowex[.]com | 5 | neuf cent soixante et onze | 14 | — | apiname.com |
| amlbot[.]im | 4 | neuf cent soixante-cinq heures | 6 | — | rien.im |
| 3capitalstrading[.]com | 2 | Huit cent soixante-dix-neuf heures | 2 | — | GlobalDomainGroup |
| naebex[.]com | 5 | Huit cent vingt-six heures | 11 | — | Difficulté de conduite perçue |
| casbatle[.]com | 2 | 803h | 2 | — | NiceNIC |
| amlchecknow[.]digital | 2 | Sept cent cinquante et une heures | 6 | — | Difficulté de conduite perçue |
| sollfalare[.]top | 2 | sept heures et demie | 3 | — | Endurance |
| marketcsgo[.]net | 2 | 717h | 15 | — | GlobalDomainGroup |
| dinadrop[.]com | 2 | 717h | 6 | — | GlobalDomainGroup |
| dotabuff[.]org | 2 | six cent soixante-quatorze | 2 | — | Beaucoup |
| casesbattle[.]org | 2 | six cent cinquante-deux heures | 2 | — | Beaucoup |
| 763182819[.]top | 2 | six cent dix-huit heures | 15 | — | Gname |
| kahcas[.]com | 5 | cinq cent trente-neuf heures | 14 | — | Je ne vais pas |
| qizaro[.]cc | 5 | Cinq cent trente-cinq | 12 | — | GlobalDomainGroup |
| apexresolvefix[.]com | 2 | quatre cent quatre-vingt-seize heures | 3 | — | Cosmotown |
| amlriskscore[.]ru | 2 | 448h | 1 | — | domaine de premier niveau national |
| patricksstash[.]to | 2 | quatre cent vingt-sept heures | 2 | — | tonic.to |
| stashhpatrick[.]cc | 2 | quatre cent vingt-sept heures | 5 | — | NiceNIC |
| stake2win[.]me | 2 | quatre cent deux | 14 | — | domain.me |
| Wazbee.me | 2 | Trois cent quatre-vingt-huit heures | 16 | — | domain.me |
| dexscreener[.]at | 2 | 328 h | 16 | — | nic.at |
| 2fa[.]walletpinet[.]com | 1 | — | 16 | — | Verisign |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = Détections par VirusTotal sur environ 70 moteurs. « Actif » = nombre d'heures écoulées depuis la première détection au moment de l'escalade. Données : journal d'escalade des abus de PhishDestroy, du 19 au 21 mars 2026.
Les chiffres ne mentent pas
Temps d'activité moyen
Environ 39 jours en moyenne pour l'ensemble des domaines dont les heures d'activité sont connues
Durée maximale d'activité
payscrow[.]bet — 75 jours, 6 signalements, VT:16
Nombre total de rapports envoyés
Rapports combinés pour l'ensemble des domaines de cet échantillon uniquement
Domaines avec un VT ≥ 10
Près de la moitié de tous les domaines — confirmés comme malveillants par plus de dix moteurs antivirus — sont toujours actifs
Les récidivistes : analyse par bureau d'enregistrement
Tous les bureaux d'enregistrement ne se valent pas. Nos données révèlent des tendances claires : certains bureaux d'enregistrement apparaissent régulièrement parmi les moins performants.
apiname.com
- farewex[.]com — 1 352 h, 13 signalements, VT : 13
- zordex[.]us — 1 314 h, 3 signalements, VT : 14
- xerowex[.]com — 1 021 h, 6 signalements, VT:14
- perowex[.]com — 971 h, 5 signalements, VT:14
4 domaines. Au total : 4 658 heures consacrées à la lutte contre les infrastructures criminelles. 27 signalements ignorés.
GlobalDomainGroup
- xwinner[.]cc — 1 026 h, VT : 14
- marketcsgo[.]net — 717 h, VT : 15
- dinadrop[.]com — 717 h, VT : 6
- qizaro[.]cc — 535 h, VT : 12
- csgomy[.]com — 356 h, VT : 9
- tastdrop[.]com — 357 h, VT : 2
- casebatle[.]com — 327 h, VT : 6
- casebatltle[.]com — 327h, VT:2
- chestix[.]net — 293h, VT:1
- ggddrop[.]com — 365h, VT:1
10 domaines. Le plus grand groupe de notre ensemble de données. Une tendance, pas un hasard.
Tucows / IdentityDigital
- payscrow[.]bet — 1 788 h, 6 signalements, VT : 16
- amlstats[.]com — 1 363 h, 7 signalements, VT : 14, BL : 1
- amlscore[.]info — 1 363 h, 7 signalements, VT : 9, BL : 1
- amltrackerbot[.]com — 1 278 h, 2 signalements, VT : 6, BL : 1
Tucows : 22 signalements au total, soit 5 792 heures de fraude. amlstats a reçu 7 signalements — un par semaine — et les a tous traités.
NiceNIC (nicenic.net)
- apphyena[.]trade — 1 781 h, VT : 3
- angelferno[.]com — 1 278 h, VT : 7, BL : 1
- ansol[.]cc — 1 278 h, 4 signalements, VT : 4, BL : 1
- casbatle[.]com — 803h, VT:2
- stashhpatrick[.]cc — 427 h, VT : 5
- casebaetle[.]com — 310h, VT:2
- casebattle[.]info — premier rapport, VT:1
- appalmanak[.]live — premier compte rendu, VT:2
8 domaines. Plus de 5 877 heures au total. Déjà étudiés : Verdict de NiceNIC — Aucune utilisation légitime n'a été trouvée.
Porkbun
- amlstatement[.]info — 1 228 h, 4 signalements, VT:16
- amlinfo[.]now — 1 033 h, 2 rapports, VT:2
- amlspace[.]com — 712 h, 2 signalements, VT:1
amlstatement[.]info : 16 détections par des antivirus, 4 signalements et 51 jours en ligne. Qu'est-ce que l'équipe chargée des abus de Porkbun a jugé acceptable ?
Dynadot
- a8vx[.]top — 1 049 h, 2 signalements, VT:16
- aave[.]events — premier rapport, VT:2, BL:1
- aavetrading[.]net — premier rapport, VT:9
a8vx[.]top : 16 détections de trafic malveillant et 44 jours d'activité criminelle. Dynadot est un bureau d'enregistrement accrédité par l'ICANN.
domain.me
- wazbee[.]me — 388 h, VT : 16
- stake2win[.]me — 402h, VT:14
Ces deux domaines ont été détectés par 14 à 16 antivirus. Ils sont toujours actifs après le deuxième rapport.
Nombre total d'heures d'inactivité par greffier
Nombre total d'heures d'activité de tous les domaines signalés par registraire dans notre ensemble de données de mars 2026. Il ne s'agit pas du nombre total d'abus commis par les registraires, mais uniquement de ce que nous avons observé dans un échantillon.
Ce que nous leur envoyons vs ce qu'ils en font
Chaque signalement d'abus sur PhishDestroy comprend :
Notre rapport contient
- URL du domaine et données d'enregistrement
- Note VirusTotal avec les noms des éditeurs
- Capture d'écran en pleine page du site de hameçonnage
- Classification par catégorie (hameçonnage, arnaque au virement, casino frauduleux)
- Statut de liste noire provenant de plusieurs flux
- URLscan.io ou des résultats d'analyse similaires
- Historique des rapports antérieurs et chronologie
Réponse du registraire
- Aucune réaction (cas le plus fréquent)
- Confirmation de réception du modèle, aucune action requise
- « Nous allons examiner la question » — les semaines passent, le domaine reste
- « Nous ne pouvons pas vérifier cette affirmation » — malgré 16 détections de VT
- Ticket clôturé sans résolution
- Demande concernant des éléments de preuve déjà fournis
Face à l'inaction du registraire, nous portons l'affaire devant Conformité aux normes de l'ICANN ([email protected]). Dans tous les cas cités ci-dessus, l'ICANN a été mise en copie (CC) sur le deuxième rapport ou les suivants. Le résultat ? Tout aussi absent.
La norme de l'ICANN qui n'existe pas
ICANN Accord d'accréditation des bureaux d'enregistrement (RAA), section 3.18 oblige les bureaux d'enregistrement à désigner un interlocuteur chargé des signalements d'abus et à « prendre des mesures raisonnables et rapides pour enquêter et réagir de manière appropriée » aux signalements d'abus.
En pratique, l'expression «raisonnable et rapide» signifie ce que le greffier décide qu'elle signifie. Il existe :
- Pas de délai de réponse maximal — un registraire peut attendre des semaines et prétendre que c'était « raisonnable »
- Pas de seuil de suspension obligatoire — 16 détections de VT ne déclenchent pas automatiquement quoi que ce soit
- Aucune obligation de publication — les bureaux d'enregistrement ne sont pas tenus de publier le nombre de signalements qu'ils reçoivent ni de préciser les mesures qu'ils prennent à leur suite
- Aucune sanction significative — L'ICANN a rarement retiré une accréditation pour manquement à ses obligations en matière de lutte contre les abus
Résultat : les bureaux d'enregistrement considèrent la gestion des abus comme un poste de dépenses à réduire au minimum, et non comme une obligation de sécurité à respecter.
Ils luttent contre le typosquatting, mais pas contre le phishing
Voici ce qui rend la situation encore plus absurde. Certains de ces mêmes bureaux d'enregistrement, qui ignorent pendant des mois les signalements de hameçonnage, se montrent extrêmement efficaces face à un type précis d'abus : typosquatting — les noms de domaine qui prêtent à confusion en raison de leur similitude avec des marques établies.
Pourquoi ? Parce que le typosquatting vise entreprises disposant de budgets juridiques. Lorsque Google, Apple ou Microsoft dépose une plainte UDRP concernant un nom de domaine similaire, les bureaux d'enregistrement réagissent en quelques jours. La menace de poursuites judiciaires et de sanctions de l'ICANN pour utilisation abusive d'une marque est bien réelle et immédiate.
Mais quand un domaine de phishing vole de l'argent à des particuliers ? Quand un « crypto drainer » vide les économies d'une vie ? Quand un faux casino vole les données de carte de crédit des joueurs ? Pas de service juridique en interne. Pas de procédure UDRP. Pas d'urgence. Le service chargé des abus du bureau d'enregistrement applique un critère différent : dans ce cadre, la perte financière subie par la victime ne suscite pas la même réaction que les préoccupations d'une marque concernant ses droits de marque.
Rapport sur le typosquatting
- Le titulaire de la marque dépose une plainte UDRP
- Le registraire répond en quelques jours
- Domaine verrouillé/suspendu rapidement
- Conséquences juridiques de l'inaction
Signalement d'une tentative d'hameçonnage ou d'une arnaque
- Les victimes et les chercheurs déposent des signalements d'abus
- Le greffier reste sans réagir pendant des semaines, voire des mois
- Le domaine reste actif jusqu'à son expiration
- Aucune conséquence en cas d'inaction
Le message est clair : Les bureaux d'enregistrement protègent les marques, pas les personnes. Ils réagissent à l'autorité légale, et non aux preuves de préjudice. Nos rapports contiennent davantage d'éléments de preuve objectifs que n'importe quelle plainte déposée dans le cadre de l'UDRP — analyses VirusTotal, détections antivirus, confirmations de présence sur des listes noires, captures d'écran — et pourtant, ils restent sans réponse.
Nous faisons leur travail — gratuitement
PhishDestroy est un projet à but non lucratif mené par des bénévoles. Nous analysons les noms de domaine. Nous classons les menaces. Nous générons des rapports VirusTotal. Nous réalisons des captures d'écran. Nous rédigeons des rapports détaillés sur les abus et les envoyons aux bureaux d'enregistrement, aux registres et à l'ICANN. Nous nous chargeons des tâches de sécurité que les bureaux d'enregistrement devraient assumer eux-mêmes.
Et voici la vérité qui dérange : Certains bureaux d'enregistrement s'en chargent effectivement. Certains bureaux d'enregistrement gèrent leur propre infrastructure de surveillance des domaines, ont recours à des flux privés d'informations sur les menaces et suspendent de manière proactive les domaines malveillants avant même que quiconque ne les signale. Ils existent bel et bien. Ils prouvent que c'est possible.
Des registraires qui agissent
- Utiliser des outils d'analyse internes (privés, non accessibles au public)
- Suspendre de manière proactive les domaines présentant des signes évidents de fraude
- Répondre aux signalements d'abus en quelques heures
- Collaborer avec les chercheurs et les forces de l'ordre
- Accepter les données de VirusTotal et de la liste noire comme éléments de preuve
Ces bureaux d'enregistrement démontrent qu'une intervention rapide en cas d'abus est techniquement et économiquement viable.
Les bureaux d'enregistrement qui protègent les escrocs
- Aucune infrastructure de numérisation
- Attendez les rapports, puis ne tenez pas compte d'eux
- Réponses types, ticket clôturé, domaine actif
- Refuser de recevoir des rapports (modèle NameSilo)
- Contourner 16 moteurs antivirus sans laisser la moindre trace
Ces bureaux d'enregistrement ont privilégié le profit au détriment de la sécurité. Leur inaction est financée par la communauté de la sécurité, qui fait leur travail gratuitement.
La question n'est pas de savoir s'il est possible de réagir rapidement aux abus. C'est vrai. La question est de savoir pourquoi certains bureaux d'enregistrement choisissent de ne pas le faire. Et la réponse, à chaque fois, revient toujours à la même incitation structurelle : Les domaines actifs génèrent des revenus. Les domaines suspendus n'en génèrent pas.
Normes faisant autorité qui devraient s'appliquer
Le cadre permettant de demander des comptes aux bureaux d'enregistrement existe déjà — mais il n'est tout simplement pas appliqué :
ICANN RAA §3.18
Le Contrat d'accréditation de bureau d'enregistrement oblige les bureaux d'enregistrement à tenir à jour une liste de contacts chargés de traiter les signalements d'abus et à enquêter rapidement sur ces derniers. Dans les faits, cette obligation n'est pratiquement jamais appliquée.
Groupe de travail anti-hameçonnage
Le Groupe de travail sur la lutte contre le phishing publie des rapports trimestriels sur les tendances en matière d'hameçonnage qui mettent en évidence l'ampleur du problème. Les bureaux d'enregistrement font partie de l'APWG — mais continuent d'ignorer ces rapports.
FTC Actions
Le Lettre d'avertissement de la FTC adressée à NameSilo (décembre 2024) a explicitement dénoncé l'incapacité à lutter contre la fraude. L'ICANN elle-même Service de conformité reçoit nos signalements et ne donne aucune réponse.
DNSAI
Le Institut sur les abus liés au DNS (par le PIR) développe des outils tels que DAAR et promeut les meilleures pratiques. Pourtant, le registre du PIR héberge lui-même les sites dotabuff[.]org (674 h d'activité, VT:2) et casesbattle[.]org (652 h).
50 000 domaines et ce n'est pas fini
Les exemples ci-dessus sont un échantillon correspondant à une seule semaine. L'ampleur réelle est stupéfiante.
Notre flux d'informations sur les menaces, mis à jour en permanence, est disponible à l'adresse content_active.txt contient plus de 50 000 domaines signalés comme malveillants. Chacun d'entre eux a fait l'objet d'au moins un signalement d'abus. Beaucoup en ont reçu plusieurs. Les bureaux d'enregistrement ont reçu les preuves — les analyses VirusTotal, les captures d'écran, les confirmations de mise sur liste noire — et ont préféré défendre leurs clients au détriment de la sécurité du public.
Car c'est bien de ça qu'il s'agit : un choix. Le client du registraire, c'est celui qui a enregistré le domaine — l'escroc. Le client du registraire, ce n'est pas la grand-mère qui a perdu ses économies sur une fausse page bancaire, ni l'utilisateur de cryptomonnaie dont le portefeuille a été vidé, ni le joueur dont le compte Steam a été piraté. C'est le registraire qui a choisi l'escroc. À chaque fois.
Du signalement aux victimes : chaque heure compte
Dès que nous envoyons un signalement d'abus, le compte à rebours commence. À partir de ce moment, le registraire est officiellement informé qu'un domaine dont ils ont la gestion est utilisé à des fins frauduleuses. Chaque heure d'inaction qui suit cette notification est une heure de complicité éclairée.
De nombreux domaines de notre ensemble de données ne survivent pas seulement à quelques signalements : ils survivent jusqu'à ce que leur la période d'inscription prend fin. Ils suivent tout le processus : enregistrement, escroquerie, signalement, nouveau signalement, saisine de l'ICANN, poursuite de l'escroquerie, expiration naturelle. Le bureau d'enregistrement a encaissé les frais d'enregistrement. L'escroc a empoché les fonds volés. Les victimes n'ont rien reçu.
Une suspension de nom de domaine effectuée en temps opportun n'est pas seulement une mesure administrative. Ce n'est pas simplement « un désagrément pour le titulaire du nom de domaine ». C'est une opération de sauvetage. Chaque nom de domaine suspendu à temps, c'est un portefeuille épargné, des identifiants préservés, un compte d'épargne qui n'est pas vidé. Les bureaux d'enregistrement qui qualifient ces suspensions de « censure » ou de « perturbation des activités » ne font que révéler au grand jour les intérêts qu'ils servent.
Les bureaux d'enregistrement devraient-ils indemniser les victimes ?
Voici la question que l'ensemble du secteur de l'enregistrement de noms de domaine refuse d'aborder :
Réfléchissez-y. Une fois que le registraire a reçu le rapport, il qui n'est plus dans l'ignorance. Ils ont été informés, preuves à l'appui, qu'un domaine sous leur contrôle est utilisé pour détourner de l'argent, des identifiants et des identités. À partir de ce moment-là, le fait de ne pas agir n'est plus de la négligence — c'est un choix délibéré pour permettre qu'un préjudice soit causé.
- Le registraire est-il disposé à assumer la responsabilité ? pour chaque dollar volé via un domaine dont ils avaient été avertis ?
- Le registraire est-il prêt à indemniser les victimes ? qui a subi des pertes financières après que la plainte pour abus a été déposée et ignorée ?
- L'équipe juridique du registraire Vous comprenez bien que dire « nous avons vérifié et n'avons trouvé aucun problème » — alors que 16 moteurs antivirus ne sont pas d'accord — n'est pas une position tenable ?
Si la réponse à ces trois questions est « non », il n'y a alors aucune raison valable de maintenir le domaine actif. Suspendre d'abord, enquêter ensuite. C'est ainsi que fonctionnent les fournisseurs d'infrastructures responsables. C'est ainsi que fonctionne Cloudflare. C'est ainsi que fonctionnent de plus en plus les hébergeurs comme Hetzner et OVH. Seuls les bureaux d'enregistrement de noms de domaine s'accrochent à un modèle où la commodité de l'escroc prime sur la sécurité de la victime.
Qui en fait les frais ?
Chaque heure pendant laquelle un domaine de hameçonnage reste en ligne se traduit directement par de nouvelles victimes :
- Crypto drainer domains (farewex, perowex, xerowex, naebex) — des portefeuilles vidés en quelques secondes. Les 4 658 heures cumulées des domaines d'apiname.com représentent des milliers de risques de vidage de portefeuille.
- Faux casinos / Arnaques liées à CS:GO (casebattle variants, csgomy, ggddrop, tastdrop) — fraude à la carte bancaire, usurpation d'identité et manipulation des résultats visant les joueurs.
- Usurpation d'identité d'un service (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — usurpation d'identité de marques entraînant le vol d'identifiants et des pertes financières.
- Infrastructure de cardage (patricksstash, stashhpatrick) — vente de données de paiement volées à d'autres criminels.
Ce qui doit changer
Le modèle actuel est défaillant de par sa conception. Les bureaux d'enregistrement tirent profit du maintien des noms de domaine en activité. L'ICANN ne dispose d'aucun moyen de contrainte. Les victimes n'ont aucun recours. Voici ce qu'il faudrait pour y remédier :
- Accord de niveau de service (SLA) obligatoire pour la gestion des signalements d'abus : Accusé de réception sous 24 heures, première intervention sous 72 heures, procédure d'escalade sous 7 jours. Mesurable. Vérifiable.
- Seuil de suspension automatique : Tout domaine présentant au moins 10 détections sur VirusTotal et au moins deux rapports indépendants doit être suspendu en attendant un examen — et non l'inverse.
- Rapports publics sur la transparence en matière d'abus : Chaque bureau d'enregistrement accrédité par l'ICANN doit publier chaque trimestre : les rapports reçus, le délai de réponse moyen, les mesures prises et les domaines suspendus.
- Sanctions financières en cas de non-respect : Des amendes progressives pour les bureaux d'enregistrement qui manquent systématiquement à leurs obligations. Retrait de l'accréditation pour les récidivistes.
- Médiateur indépendant chargé des cas de maltraitance : Un organisme indépendant capable d'examiner les décisions des bureaux d'enregistrement, de remédier à leur inaction et d'accélérer les procédures de suspension en cas de menaces graves.
- Liste noire inter-registraires : Lorsqu'il est confirmé qu'un titulaire est un contrevenant récidiviste, tous les bureaux d'enregistrement agréés doivent en être informés. Finie la chasse aux domaines.
Ce que PhishDestroy a fait à ce sujet
Nous ne nous contentons pas de rédiger des rapports en attendant que le secteur se réforme de lui-même. Nous mettons en place des systèmes qui imposent la transparence et prévoient des sanctions en cas d'inaction.
Base de données publique sur les menaces
Nous avons créé et assurons la maintenance du liste de destruction — une base de données publique et mise à jour en permanence, contenant plus de 50 000 domaines malveillants. Chaque signalement d'abus que nous envoyons est désormais transmis au registraire : Ce domaine sera répertorié dans une base de données publique. Les victimes potentielles des domaines de leurs clients pourront voir quand la plainte a été déposée et combien de temps le bureau d'enregistrement l'a ignorée. Cela met les bureaux d'enregistrement dans une situation délicate — et c'est justement le but.
Pages consacrées aux menaces liées aux domaines
Chaque domaine que nous signalons dispose désormais d'une page dédiée à l'adresse phishdestroy.io/domain — avec une analyse complète, une description des menaces générée par l'IA et un Processus de gestion des menaces indiquant les étapes exactes du traitement : détection, envoi du rapport, escalade, notification à l'ICANN. Les statuts sont mis à jour en temps réel. Nous ajoutons désormais l'horodatage précis de chaque rapport de suivi pour une transparence totale. Tout le monde peut voir exactement quand le bureau d'enregistrement a été averti et combien de temps il a choisi de ne rien faire.
Système d'escalade — Ne pas signaler les inondations
Nous faisons pas inonder les bureaux d'enregistrement de rapports en double. Dans 98 % des cas, nous envoyons un seul rapport initial et ne le renvoyons pas — à la fois en raison des limites quotidiennes imposées aux e-mails et parce que nous estimons que la duplication massive n'est pas la bonne approche. Nous n'envoyons un rapport de suivi que lorsqu'un domaine est à nouveau détecté comme actif lors d'un nouveau scan. Si nous envoyions quotidiennement des messages indésirables à tous les domaines actifs, cela représenterait 50 000 e-mails par jour. Ce n'est pas ce que nous faisons. Notre système d'escalade génère des rapports de suivi (n° 2, n° 3, etc.) comprenant des résumés des menaces analysés par IA, les scores VirusTotal mis à jour et le nombre d'heures pendant lesquelles le registraire a ignoré la menace.
Outil de signalement communautaire
Sur notre bot Telegram @PhishDestroy_bot, les utilisateurs peuvent désormais soumettre nouveaux rapports pour les domaines qu'ils ont constatés comme étant toujours actifs après notre premier signalement. Étant donné que trop de bureaux d'enregistrement laissent les escrocs agir en toute impunité et ferment les yeux sur les dégâts catastrophiques qu'ils causent, nous donnons la parole à la communauté. Si un bureau d'enregistrement ne veut pas nous écouter, peut-être qu'il prêtera attention à la multitude de signalements indépendants émanant d'utilisateurs réels.
PhishDestroy — nous ne protégeons pas les marques. Nous ne défendons pas les victimes. Nous démantelons les infrastructures utilisées pour le phishing et les escroqueries.
Conclusion
Quand seize moteurs antivirus signalent qu'un domaine est malveillant et qu'un registraire répond « aucune mesure », ce n'est pas qu'il fait preuve de discernement : il protège ses revenus. Quand treize signalements distincts d'abus restent sans réponse et qu'un domaine reste actif pendant 1 352 heures, ce n'est pas que le registraire traite un arriéré : il facilite la criminalité.
Les données présentées dans cet article ne sont pas théoriques. Il s'agit de notre journal d'escalade des signalements d'abus en temps réel, couvrant une seule semaine de mars 2026 — et derrière tout cela se cache Plus de 50 000 domaines signalés dans notre flux d'informations sur les menaces, mis à jour en permanence. Il ne s'agit pas d'un problème isolé concernant un seul registraire. Il s'agit d'un échec généralisé du secteur que le secteur de l'enregistrement de noms de domaine n'a aucun intérêt à y remédier, car le modèle actuel est rentable.
Il n'existe aucun éditeur d'antivirus dont les conclusions les bureaux d'enregistrement seraient tenus de respecter. Il n'y a pas de seuil de détection qui déclenche une action obligatoire. Il n'y a pas de contrat de niveau de service (SLA), pas de responsabilité, pas de conséquences. Le bureau d'enregistrement perçoit les frais, ignore les rapports, et ce sont les victimes qui en font les frais.
Les bureaux d'enregistrement ne sont pas des fournisseurs d'infrastructure neutres. Ce sont des gardiens qui choisissent — chaque jour, à chaque signalement ignoré — de laisser les infrastructures criminelles en ligne. Ils sont conscients des méfaits. Ils ont le pouvoir d'y mettre un terme. Ils choisissent de ne pas le faire. Et tant que personne ne leur posera la seule question qui compte — « Êtes-vous prêt à indemniser les victimes des domaines que vous avez refusé de suspendre ? » — rien ne changera.
Le silence de l'industrie sur cette question est la réponse la plus éloquente qui soit.