Longtemps réduits à des pages de publicité sans enjeu, les domaines parqués basculent vers une fonction d’aiguillage massif vers l’arnaque, le malware et l’illégal.

Une étude d’Infoblox décrit un renversement net du risque associé aux domaines parqués. Alors qu’ils étaient surtout perçus comme des sites « oubliés » affichant des annonces, ces domaines serviraient désormais de relais d’attaque. Plus de 90 % des visites observées, soit plus de neuf cas sur dix, aboutissent à des redirections vers des arnaques, des logiciels malveillants, des contenus illicites ou des malwares. Le mécanisme central s’appuie sur des systèmes publicitaires dits de direct search, ou zero-click, qui peuvent réorienter l’internaute sans action. La complexité de l’écosystème rend l’abus difficile à signaler.

Quand le « parking » devient une infrastructure de redirection

Le domaine parqué appartient à l’archéologie vivante du Web. Un nom de domaine est enregistré, mais le site n’est pas développé. À la place, une page de parking s’affiche, typiquement alimentée par de la publicité. Cette pratique a longtemps été traitée comme un bruit de fond : une conséquence banale de la spéculation sur les noms, des projets abandonnés, ou de stratégies défensives autour de marques. L’étude soutient que ce décor a changé de nature. Ce qui comptait surtout comme un résidu numérique se transformerait en vecteur fiable pour des opérations malveillantes.

Le point de rupture, tel que présenté, se situe dans la manière dont les visiteurs sont monétisés. Plus de 90 % des visites dirigées vers des domaines parqués finissent désormais sur des pages à risque. Le chiffre, pris au pied de la lettre, signifie qu’au-delà de neuf visites sur dix se traduisent par une redirection vers des arnaques, des scarewares, des contenus illégaux ou des logiciels malveillants. L’intérêt de ce résultat, s’il se confirme dans la durée, est moins la surprise statistique que le signal opérationnel : l’utilisateur n’atterrit plus sur une page publicitaire statique, il est « emmené » ailleurs, souvent immédiatement.

Un basculement dû à l’exploitation d’un mécanisme publicitaire qualifié de direct search, aussi décrit comme zero-click. La promesse implicite est simple : un internaute arrive sur un domaine parqué, et la chaîne publicitaire choisit une destination finale supposée pertinente, sans exiger de clic. En pratique, cette absence d’action humaine est précisément ce qui intéresse un acteur malveillant. Elle réduit les frictions, accélère le parcours et complique l’enquête, car l’infection ou l’arnaque se déclenche après une redirection automatique, pas après un choix explicite de l’utilisateur.

Le rapport insiste aussi sur un paradoxe technique. Les plateformes de parking et les grands intermédiaires publicitaires déploient des protections antifraude. Ces garde-fous, conçus pour filtrer le trafic artificiel, les robots ou les campagnes trop visibles, peuvent produire un effet inattendu : offrir aux cybercriminels des moyens supplémentaires pour camoufler leurs manœuvres. Autrement dit, une logique de conformité publicitaire et de lutte contre la fraude pourrait, involontairement, améliorer la discrétion de campagnes abusives en leur permettant de se fondre dans des flux considérés comme « normaux » par l’écosystème.

Le direct search, ou comment capter l’attention sans clic

L’intérêt cyber du direct search ne se limite pas à la redirection. Il touche à la mesure, au ciblage et à l’attribution, trois piliers des systèmes publicitaires modernes. Un schéma où l’internaute, venu parfois par erreur ou par habitude, est pris en charge par une mécanique d’enchères et d’orientation. La page de parking devient un sas : elle ne présente pas un contenu, elle aiguillonne vers un autre domaine, choisi par un « annonceur ». Le mot compte, car l’étude affirme que ces annonceurs diffusent fréquemment, non pas des produits légitimes, mais des escroqueries et des malwares.

Le zéro clic a aussi un autre effet : il réduit la capacité de l’utilisateur à se rendre compte qu’il a « changé de site ». Dans une séquence rapide, surtout sur mobile, l’internaute peut ne retenir qu’un seul geste, entrer une adresse, puis se retrouver devant une interface agressive, une fausse alerte de sécurité, un service illégal, ou un téléchargement piégé. Pour le renseignement de sécurité, l’enjeu est la traçabilité. Plus la chaîne est courte et automatique, plus il est difficile de distinguer l’accident (mauvaise saisie, domaine expiré) de l’abus systémique.

Des évolutions récentes des politiques de Google « semblent » avoir accru l’exposition des utilisateurs. Le texte ne détaille pas ces changements, mais la formulation est importante : le risque ne viendrait pas uniquement des attaquants, il serait amplifié par des ajustements de règles, de filtrage ou d’acceptation, côté plateformes. Dans l’économie du Web, une modification de politique, même bien intentionnée, peut déplacer la pression d’un endroit à un autre. Pour les acteurs malveillants, il suffit souvent d’une fenêtre de compatibilité pour industrialiser une tactique.

« Il y a dix ans, les recherches montraient que les domaines parqués étaient majoritairement inoffensifs et représentaient tout au plus un bruit de fond numérique » explique Renée Burton, vice-présidente d’Infoblox.  Aujourd’hui, nos travaux démontrent qu’ils sont devenus presque exclusivement malveillants. La transformation est frappante : ce qui n’était qu’un bruit de fond sur Internet est désormais une menace persistante, omniprésente et largement sous-estimée. » Pour une lecture cyber, cette déclaration pose une hypothèse forte : l’espace publicitaire associé aux domaines parqués ne serait plus marginalement pollué, il serait structurellement retourné.

Ce type de bascule intéresse aussi le renseignement au sens large, parce qu’il indique une capacité d’adaptation. Les attaquants ne se contentent pas d’exploiter des failles logicielles, ils réinvestissent des mécanismes économiques. Quand l’accès à une victime potentielle passe par une chaîne publicitaire, la défense doit combiner des réflexes de lutte anti-fraude, des contrôles DNS et une compréhension fine des redirections. La menace se situe moins dans la page visible que dans l’orchestration qui suit.

Trois portefeuilles de domaines, des tactiques avancées, un signalement quasi impossible

L’étude met en avant trois grands détenteurs de portefeuilles de domaines, décrits comme des « domainers », associés à des tactiques évoluées. Ce point compte, car il déplace l’attention du domaine isolé vers la capacité industrielle. Un acteur qui contrôle un large inventaire de noms peut tester, segmenter, puis optimiser. Cela ressemble moins à une campagne opportuniste qu’à une chaîne d’approvisionnement, avec des variantes selon la géographie, le terminal, l’heure, ou le profil supposé du visiteur.

Dans un contexte de parking et de redirections, le profilage des internautes peut servir à choisir la charge utile : afficher une page publicitaire anodine à un enquêteur, mais envoyer un utilisateur « ordinaire » vers une arnaque plus agressive. Cette logique de double visage est un classique de l’évasion. Elle rend les reproductions difficiles : deux visites successives peuvent produire deux destinations différentes, ce qui complique l’établissement d’une preuve stable.

Le rapport cite aussi l’exploitation de lookalike/typo squatting domains. L’idée est d’utiliser des noms qui ressemblent à des marques ou à des services connus, sans être identiques. Dans la pratique, la ressemblance suffit parfois à capter une fraction du trafic, surtout quand l’utilisateur tape vite, sur un clavier mobile, ou suit un lien tronqué. La collecte de mails via des fautes de frappe. Là encore, la logique est d’extraire de la valeur d’un écart minuscule. Une adresse saisie avec une erreur peut envoyer un message vers un domaine contrôlé par un tiers, offrant une opportunité de collecte, de phishing secondaire, ou de revente.

L’étude mentionne aussi l’usage de techniques DNS rares comme le fast flux. Le fast flux consiste à faire bouger rapidement les adresses IP associées à un nom, afin de compliquer le blocage et l’attribution. Si ce mécanisme est réellement observé dans l’écosystème des domaines parqués, il indique une maturation. On n’est plus seulement sur de la publicité douteuse, mais sur des méthodes historiquement liées à la résilience d’infrastructures malveillantes.

Pour finir, une difficulté centrale apaprait clairement : chaque acteur viserait des marques et des publics différents, ce qui rend la menace diffuse. Cette dispersion a un effet de brouillard. Une entreprise qui surveille sa marque peut détecter certains typo squatting, mais pas l’ensemble. Un utilisateur peut être touché une fois, sans que cela produise une vague visible. Les équipes de réponse à incident, elles, risquent de voir des cas isolés, sans relier immédiatement le symptôme, une redirection depuis un domaine parqué, à une infrastructure plus large.

La phrase la plus opérationnelle, dans ce cadre, concerne le signalement. Selon l’étude, l’empilement d’intermédiaires et la sophistication des redirections rendent la dénonciation des abus « quasiment impossible ». Pour la cybersécurité, ce n’est pas qu’un problème administratif. C’est un indicateur de surface d’attaque durable. Si la boucle de remontée est lente, fragmentée, ou opaque, l’attaquant bénéficie d’un temps d’exploitation long. Et dans un système publicitaire, la vitesse joue pour celui qui sait itérer, mesurer et ajuster.