Secrétaire général Responsabilité
Chaque signalement d'abus que nous envoyons est consigné. Cette page transforme ce journal en un tableau de bord : le temps que met chaque registraire à réagir, le nombre d'escalades nécessaires et le nombre de domaines malveillants qui restent actifs sous leur surveillance. Les chiffres sont calculés de manière déterministe à partir des données brutes — les catégories découlent de ces chiffres, et non de notre initiative.
L'illusion de la sécurité : comment les bureaux d'enregistrement tirent profit des abus qu'ils ferment les yeux
Sur le papier, chaque bureau d’enregistrement est tenu, en vertu de son accord avec l’ICANN, d’enquêter sur les abus et de prendre des mesures en conséquence. Dans la pratique, cet accord reste lettre morte : il ne s’agit que d’une façade dissimulant un modèle économique fondé sur l’aveuglement volontaire. Depuis le lancement de ce projet, nous n’avons jamais vu l’ICANN appliquer la moindre sanction significative à l’encontre d’un registraire négligent, alors que celui-ci continue de percevoir ses commissions sur chaque domaine qu’il vend — y compris les domaines malveillants. Un registraire peut décider qu’il en sait plus que VirusTotal et que la communauté de la sécurité informatique dans son ensemble, et laisser en ligne un domaine signalé. Très bien — mais dans ce cas, c’est au registraire de répondre des pertes subies par la prochaine victime, et non à cette dernière.
Négligence grave
Les signalements d'abus valides et étayés par des preuves sont systématiquement ignorés, étouffés ou font l'objet d'une non-réponse automatique.
Une preuve incontestable, ignorée
Les domaines signalés par VirusTotal et par des laboratoires indépendants spécialisés dans la sécurité de l'information restent actifs, tandis que les services chargés de traiter les signalements traînent les pieds ou ne donnent plus de nouvelles.
Des retards rentables
Les logiciels malveillants et les tentatives d'hameçonnage restent en ligne pendant des semaines — chaque jour supplémentaire représente un client payant que le registraire ne va pas désactiver.
Quelqu'un en fait les frais
Ignorez les preuves et vous en assumerez les conséquences. L'argument « il n'y a pas eu de signalement » ne tient plus la route : chaque notification est ici enregistrée, horodatée et peut être exportée à la demande.
Nous ne ciblons ni les domaines ni les bureaux d’enregistrement. Rien ici ne fonctionne selon un calendrier préétabli — et jusqu’à cette année, nous n’avions aucun moyen de signaler à nouveau un domaine. Le premier avertissement est envoyé dès la détection ; nous ne passons à l’étape suivante qu’après avoir vérifié de manière indépendante qu’un domaine est toujours actif et dangereux, et seule une très petite partie des cas en arrive jusque-là. Même avec cette prudence, voici le bilan : il ne s’agit pas d’incompétence, mais de complicité tacite — et tout cela est entièrement vérifiable, chaque e-mail, chaque date. Tout ce qui suit, ce sont les reçus.
Conçu pour être public : chaque rapport comportait une mention d'information.
Chaque signalement d'abus que nous envoyons comporte une mention explicite à l'attention du destinataire : son contenu — y compris la date et l'heure exactes de son envoi ainsi que le texte intégral de la demande — peut être et sera rendu public. Cette page ne contient que les e-mails comportant cette mention, et celle-ci est également publiée dans notre logiciel libre DestroyList référentiel. Ces données nous appartiennent, leur source a été mentionnée dans chaque message, et nous sommes tout à fait en droit de les publier.
Certains bureaux d’enregistrement agissent comme si leurs politiques internes prévalaient sur les exigences de l’ICANN et sur la législation nationale — comme si le phishing et la fraude étaient « autorisés » tant qu’ils choisissent personnellement de ne pas intervenir. Nous rendons ces faits publics afin que chacun puisse constater la vérité toute simple : ces menaces persistent non pas parce qu’elles sont passées inaperçues, mais parce que le prestataire concerné a décidé de ne rien faire.
Toute victime a le droit de savoir combien de fois un registraire a été averti au sujet du nom de domaine qui lui a causé un préjudice — et combien de fois il aurait pu empêcher ce préjudice. Ces informations sont désormais publiques : cette page et l'ensemble de ses données sont en open source sous la licence Licence MIT sur GitHub, que chacun peut vérifier, citer ou utiliser comme base.
Demande de dossier
DestroyList est un projet indépendant, non commercial et open source. Tout le monde peut consulter le nombre de signalements d'abus que nous avons envoyés pour un domaine spécifique — mais uniquement via des canaux publics, afin que l'accès soit le même pour tous :
Méthodologie — comment ces chiffres sont calculés
Classement des bureaux d'enregistrement en fonction de leur (in)action
| Secrétaire général | Domaines | Rapports | Suspendu | Jamais suspendu | Verdict |
|---|---|---|---|---|---|
| Chargement des données relatives à la responsabilité… | |||||
Garanties d'équité. Cloudflare et les hébergeurs gratuits (Vercel, GitHub, Netlify et autres) sont délibérément exclus : il s’agit de services gratuits, et non de registraires payants, et ce n’est pas leur rôle de prendre le relais d’un registraire qui refuse ses propres clients. Leurs formulaires de signalement fonctionnent généralement mieux et plus rapidement, et nous continuons à leur signaler manuellement les cas de défaillance d’un registraire ; il serait donc injuste de les inclure dans ce classement. Les registraires comptant moins de 10 domaines signalés sont omis afin d’éviter toute distorsion due à un échantillon trop restreint. Les médianes de réponse sont calculées uniquement sur les domaines dont la suppression a été confirmée ; les domaines toujours actifs sont comptabilisés séparément et ne sont jamais pris en compte dans le calcul de la moyenne. Chaque affirmation est vérifiable à partir de l’ensemble de données hachées ci-dessus.