Anatomy of a Takedown
Retour aux actualités
CYBÉRÉDITION

Les coulisses d'une opération de démantèlement : comment PhishDestroy met un frein à la cybercriminalité

D'une initiative naissante en 2019 à une force de frappe qui a neutralisé plus de 400 000 domaines malveillants, le parcours de PhishDestroy témoigne de la puissance de la communauté, de la technologie et d'une réputation durement acquise.

4 min de lecture· Mise à jour Mars 2026· PhishDestroy Intelligence
Takedown anatomy — detection scanner, biometric verification, registrar gavel, DNS extraction, domain tombstone
Article complémentaire sur Medium : Une lutte frontale contre les opérations de hameçonnage

Dans la lutte sans relâche contre la fraude en ligne, PhishDestroy s'est imposé comme un acteur incontournable, passant d'une initiative ciblée lancée en 2019 à une opération d'une grande efficacité. Notre mission est claire : démanteler les infrastructures de phishing et d'escroquerie afin de protéger les utilisateurs du monde entier. Il ne s'agit pas seulement de bloquer les liens malveillants, mais aussi de comprendre la structure d'une cyberattaque et de la neutraliser à la source.

Notre évolution : de plusieurs semaines à quelques minutes

How one phishing link triggers a full takedown chain
Comment un seul lien de phishing peut déclencher toute une série de fermetures

À ses débuts, PhishDestroy mettait parfois des semaines à faire fermer un domaine malveillant. Au fil des ans, nous nous sommes développés, avons noué des alliances solides et gagné la confiance d'acteurs clés du secteur de la cybersécurité. Nous avons toujours concentré nos efforts sur le phishing, ce qui nous a permis de développer une expertise pointue et de maintenir un taux de faux positifs extrêmement faible.

Aujourd'hui, ce qui prenait autrefois des semaines ne prend plus que quelques minutes. Cette accélération témoigne de notre capacité à innover en permanence et de la solide réputation que nous nous sommes forgée.

La procédure de retrait

1. Détection et vérification rapides

La détection s'effectue grâce aux signalements de la communauté via notre Bot Telegram, la surveillance automatisée et les flux d'informations sur les menaces. Nos équipes vérifient rapidement les menaces afin de garantir un taux de faux positifs minimal.

2. Analyse approfondie et collecte de preuves

Nos analystes étudient la menace en profondeur, en identifiant ses caractéristiques, ses cibles et ses méthodes. Cela implique l'analyse des charges utiles, la cartographie de l'infrastructure et l'évaluation de l'impact sur les victimes. Chaque élément de preuve est minutieusement documenté.

3. Coordination stratégique et action

C'est là que notre réputation entre en jeu. Nous avons noué des relations solides avec des centaines de fournisseurs d'hébergement, de bureaux d'enregistrement de noms de domaine et d'organismes chargés de l'application de la loi. Lorsque PhishDestroy soumet un signalement, plus de 50 systèmes reconnaissent instantanément notre demande. Si un site signalé s'avère être un site de hameçonnage, il peut être fermé en quelques minutes.

4. Liquidation et surveillance

L'objectif final est la suppression totale. Une fois la procédure de retrait lancée, nous surveillons son déroulement pour nous assurer que le site est hors ligne et le reste. Nos efforts ont permis de perturber efficacement plus de 500 000 domaines malveillants depuis 2019, avec une vérification continue après le retrait afin de détecter les infrastructures qui réapparaissent en quelques heures.

Méthodologie opérationnelle : automatisation, précision, évolutivité

Notre modèle combine reportages communautaires avec systèmes de détection automatisés et des analyses de précision. Le processus est conçu pour s'adapter à n'importe quel volume, qu'il s'agisse d'un seul rapport ou de milliers de retraits par jour, sans compromettre la qualité.

  • Analyseurs syntaxiques sur mesure analyser en permanence les résultats de recherche SEO, les emplacements publicitaires sponsorisés et Google Ads à la recherche d'indicateurs de phishing — afin de détecter les menaces dès leur première apparition dans les résultats payants.
  • Les menaces détectées sont automatiquement transmises à Plus de 50 éditeurs d'antivirus et les flux de renseignements sur les menaces, afin d'optimiser la couverture mondiale des blocages dès les premières minutes suivant la détection.
  • Nous tenons à jour un taux de faux positifs inférieur à 0,5 %, avec plus de 100 000 rapports validés — ce qui prouve que nos systèmes ne sont pas seulement rapides, mais aussi extrêmement précis.
  • Les contributeurs vérifiés qui soumettent Plus de 100 rapports fiables sont accordés « de confiance » statut, permettant ainsi des signalements directs sans modération et réduisant considérablement le délai de retrait pour les signalants connus.
  • En direct compteur de dégâts estime les pertes financières subies par les escrocs — en se basant sur la valeur moyenne des noms de domaine et les coûts de promotion (environ 15 $ par domaine pour les montages classiques d'escroqueries liées aux cryptomonnaies).

Sources de détection — Où les menaces apparaissent

Les infrastructures de phishing se cachent rarement : elles se mettent en avant. Nous recueillons des pistes à partir de :

  • Rapports du bot Telegram de la part de notre communauté via @PhishDestroy_bot — accueil du public.
  • Outils d'analyse pour le référencement naturel et les publicités payantes — Google Ads, Bing, Yandex; les mots-clés liés aux portefeuilles cryptographiques, aux plateformes d'échange et aux ponts sont surveillés en permanence.
  • Flux d'informations sur les menaces qui nous ont été communiquées par nos partenaires et chercheurs.
  • Réseaux leurres et des jetons « canary » générés à partir de phrases de récupération qui nous alertent lorsque des escrocs tentent d'utiliser des données volées.
  • WHOIS et transparence des certificats surveillance des nouveaux domaines similaires enregistrés qui ciblent des marques protégées.

Conservation des preuves — Enregistrement numérique permanent

Les mises au sol ne sont qu'une première étape. La préservation des preuves est notre priorité absolue — car un domaine supprimé ne présente aucun intérêt pour les enquêteurs s'il n'en reste aucune trace.

  • Chaque domaine détecté est archivés à l'aide de scanners publics (urlscan.io, Wayback Machine, nos propres pipelines de capture d'instantanés) pour obtenir des empreintes complètes des sites — code HTML, captures d'écran, requêtes réseau, code JavaScript.
  • Chaque opération laisse une enregistrement numérique qui ne peut pas être supprimé par des pirates — publié ouvertement sur Liste des éléments à supprimer sur GitHub et le Archives de ScamIntelLogs.
  • Les archives comprennent des panneaux d'administration utilisés par les escrocs, des exportations de discussions Telegram, des flux de paiement, des dossiers sur les victimes et des indicateurs de compromission (IOC) — ce qui facilite l'attribution de la responsabilité et les poursuites judiciaires bien après la fermeture des sites.
  • Pendant que les escrocs effacent leurs traces, nous les rendons indélébiles.

Alliés et adversaires parmi les bureaux d'enregistrement

La rapidité de suppression dépend entièrement de la réactivité du registraire et de l'hébergeur. Les données de nos partenaires révèlent un fossé marqué :

  • Partenaires réactifs :NameCheap« À elle seule, l'équipe chargée de lutter contre les abus, disponible 24 heures sur 24 et 7 jours sur 7, a contribué à éliminer Plus de 30 000 domaines malveillants. GoDaddy, Hébergements, Squarespace, et IONOS intervenir systématiquement dans les heures qui suivent la réception d'un signalement vérifié.
  • Facteurs déterminants :NiceNic, Cosmotown, NameSilo, et Webnic ignorent systématiquement les signalements d'abus — servant ainsi de refuge aux activités cybercriminelles. Consultez notre enquête : Comment NameSilo, Webnic et NiceNic facilitent les escroqueries à l'échelle mondiale.

Représailles criminelles — Confirmation de l'impact

Notre efficacité a suscité une vive réaction, que nous considérons comme la preuve de notre impact plutôt que comme une source de perturbation :

Les criminels tentent d'effacer leurs traces; nous veillons à ce qu'elles restent indélébiles.

Statut juridique et coordination

Nous sommes une collectif bénévole à but non lucratif — ce n'est ni une entreprise, ni une personne morale, ni une entité liée à un gouvernement. Tout ce que nous faisons est transparent :

  • Tous les rapports et toutes les preuves sont publiés en toute transparence sur GitHub, Telegram et Mastodon — rien n'est dissimulé ni conservé en privé.
  • Dans le cadre d’enquêtes de grande envergure portant sur l’identification des acteurs, le traçage financier ou la cartographie des infrastructures, nous transmettre officiellement l'ensemble des éléments de preuve aux forces de l'ordre ou aux équipes CERT.
  • Tous ces transferts sont effectués dans le strict respect de la loi et uniquement lorsque des renseignements exploitables ont été vérifiés.
  • We ne conservez aucune donnée à caractère personnel des contributeurs — en protégeant les lanceurs d'alerte contre les représailles et en éliminant les risques de fuite de données.

Notre rôle consiste à recenser et à démanteler les activités malveillantes, puis à aider les autorités compétentes à donner suite à ces éléments de preuve.

En chiffres

  • Plus de 500 000 domaines utilisés pour le phishing et les escroqueries neutralisés depuis 2019.
  • Plus de 130 000 menaces actives sélectionnées dans liste de destruction.
  • 50 ans et plus Les éditeurs d'antivirus et les plateformes de renseignements sur les menaces reçoivent nos flux.
  • Plus de 30 000 domaines supprimés dans le cadre du partenariat avec Namecheap uniquement.
  • < 0,5 % taux de faux positifs dans l'ensemble Plus de 100 000 rapports validés.
  • Plus de 140 000 rapports archivés après la suspension de notre compte X.
  • Plus de huit cent quatre-vingt-huit mille abonnés de la communauté sur l'ensemble des flux.

Comment vous pouvez nous aider

« L'action collective est la meilleure défense. Notre parcours montre ce qu'il est possible d'accomplir lorsque la technologie, l'expertise et la communauté s'unissent pour lutter contre la cybercriminalité. »

#CyberDefense#Takedown#Phishing#Community

Partager cet article

Enquêtes connexes

$0 Takedowns: How We Disrupt Phishing Infrastructure
ENQUÊTE
Démantèlement à coût zéro : comment nous mettons à mal les infrastructures de hameçonnage
Impact Metrics: 500K+ Phishing Threats Neutralized
INDICATEURS
Indicateurs d'impact : plus de 500 000 menaces de phishing neutralisées
NameSilo, Webnic, NiceNic: Registrars Enabling Scams
ENQUÊTE
NameSilo, Webnic, NiceNic : des bureaux d'enregistrement à l'origine d'escroqueries
Avis de transparence. PhishDestroy est un projet à but non lucratif mené par des bénévoles. Nos recherches peuvent refléter un parti pris inhérent à l'encontre des infrastructures d'escroquerie et des services qui les rendent possibles. Nous encourageons les lecteurs à évaluer l'ensemble de ces informations de manière critique et indépendante. Lire notre déclaration de transparence complète →