Contactez-nous
Cyberattaques Cybersécurité

Pourquoi les cybercriminels raffolent des domaines .shop, .top et .xyz ?

Romain Bren
Placeholder for Romain BrenRomain Bren

Romain Bren , Nomios Paris

3 min. lecture
Placeholder for Network security engineer datacenterNetwork security engineer datacenter

Share

Depuis quelques années, les cybercriminels exploitent de plus en plus les nouveaux domaines de premier niveau (TLD) comme .shop, .top ou .xyz pour mener à bien leurs campagnes malveillantes. Moins chers, moins réglementés et souvent absents des filtres de sécurité classiques, ces TLD sont devenus des outils de choix pour les attaques de phishing, les escroqueries en ligne et la distribution de malwares. Dans cet article, nous explorons les raisons de cette tendance, les techniques utilisées, les risques pour les internautes et les moyens concrets de s’en protéger.

Des TLDs bon marché, disponibles et peu réglementés

Les TLDs comme .shop, .top et .xyz ont été introduits pour élargir l’espace de nommage sur Internet. Ils sont aujourd’hui largement disponibles, avec des prix d’enregistrement très bas, parfois inférieurs à 1 € la première année. Ces TLDs attirent aussi bien des entrepreneurs que des acteurs malveillants.

Contrairement aux extensions historiques (.com, .net, .org), ces nouveaux TLDs n’imposent pas toujours une vérification stricte des données du propriétaire, ce qui facilite les enregistrements anonymes. Cette opacité permet aux cybercriminels d’ouvrir et d’abandonner des sites en toute discrétion.

Pourquoi ces TLDs séduisent les cybercriminels  ?

Voici les principaux atouts qui rendent ces TLDs attractifs pour les activités illégales :

  • Coût très bas : Idéal pour enregistrer des centaines de domaines à la volée sans investissement majeur.
  • Anonymat facilité : Moins de contrôle sur les données Whois, possibilité d’enregistrement par des robots ou via des services anonymisants.
  • Faible réputation initiale : Les nouveaux TLDs ne sont pas toujours filtrés par défaut par les solutions de sécurité.
  • Flexibilité : Facilité à abandonner un domaine et en créer un autre en quelques minutes (phénomène de "fast flux").
  • Détection difficile : Les outils de sécurité peinent à suivre la vitesse de rotation et de création de nouveaux noms malveillants.

Exemples concrets d'abus de TLDs .shop, .top et .xyz

Ces TLDs ont été massivement utilisés dans plusieurs campagnes de phishing, d’hameçonnage bancaire et de malwares. Voici quelques exemples :

  • .shop : souvent utilisé pour des faux sites e-commerce imitant des marques populaires. L’objectif est de voler les informations bancaires lors de paiements en ligne.
  • .top : fréquemment associé à des campagnes de phishing ciblé (spear phishing), avec des URL ressemblant à celles d’organisations légitimes.
  • .xyz : largement exploité dans la distribution de malwares, notamment via des redirections cachées ou du téléchargement drive-by.

Une étude de PhishLabs a identifié ces trois TLDs parmi les 10 extensions les plus abusées par les cybercriminels au niveau mondial.

Limites des systèmes de filtrage classiques

Malgré les efforts des éditeurs de sécurité, les domaines malveillants en .shop, .top et .xyz passent souvent entre les mailles du filet :

  • Trop de volume : des milliers de domaines sont créés chaque jour, rendant la surveillance exhaustive impossible.
  • Changement rapide de tactique : les cybercriminels modifient sans cesse les noms de domaine, les contenus et les infrastructures.
  • Absence de réputation initiale : les nouveaux domaines ont peu d’historique, rendant difficile leur catégorisation automatique.
  • Techniques d’obfuscation : les attaquants utilisent des sous-domaines aléatoires, des redirections ou du chiffrement SSL pour éviter la détection.

Comment les entreprises peuvent se protéger : politiques DNS et sécurité proactive  ?

Pour les professionnels de la sécurité, la protection passe par une gestion intelligente des DNS. Voici quelques recommandations concrètes :

  • Surveillance des TLDs sensibles : Mettre en place des outils de détection précoce des noms de domaine suspects (ex : systèmes de détection de typosquatting ou de domaines éphémères).
  • Blocage DNS : Interdire au niveau DNS l’accès aux domaines appartenant à certains TLDs à risque, ou ceux non utilisés dans l’organisation.
  • Listes de blocage dynamiques : S’appuyer sur des bases de données à jour (Threat Intelligence) pour alimenter les politiques de blocage DNS.
  • Segmentation réseau et filtrage DNS local : Pour empêcher la communication entre endpoints infectés et serveurs de commande et contrôle (C2).

Bonnes pratiques pour les utilisateurs finaux

Les internautes ne sont pas impuissants. Voici quelques gestes simples à adopter :

  • Toujours vérifier l’URL avant de saisir des données sensibles, surtout si le site utilise un TLD exotique.
  • Éviter les achats sur des sites inconnus finissant par .shop, .top ou .xyz, sauf s’ils sont recommandés ou clairement légitimes.
  • Activer les filtres anti-phishing intégrés dans les navigateurs modernes et les messageries.
  • Utiliser des solutions de sécurité grand public qui intègrent des bases de menace DNS et Web actualisées.

Les extensions de domaine telles que .shop, .top et .xyz représentent une opportunité pour les cybercriminels en quête de discrétion et de rentabilité. Leur adoption dans des campagnes malveillantes est en nette augmentation, mettant en évidence les failles dans les systèmes de détection traditionnels. Pour se protéger, entreprises comme particuliers doivent adopter des mesures de cybersécurité proactives, incluant le filtrage DNS, la surveillance des domaines, et la vigilance quotidienne face aux sites suspects.

Contactez nous

Vous souhaitez en savoir plus sur ce sujet ?

Nos experts et nos équipes commerciales sont à votre service. Laissez vos coordonnées et nous vous contacterons rapidement.

Appelez maintenant
Placeholder for Portrait of french manPortrait of french man
À la une

Plus de nouveautés

Placeholder for Adobe Stock 88542959Adobe Stock 88542959
Juniper Networks

HPE Juniper Networks

HPE finalise l'acquisition de Juniper Networks

L’acquisition de Juniper Networks par HPE est désormais officiellement approuvée. Découvrez ce que cela signifie pour le partenariat de Nomios avec ces deux acteurs clés, ainsi que pour l’avenir des réseaux pilotés par l’intelligence artificielle.

3 min. lecture
Placeholder for Hospitality cybersecurity strategyHospitality cybersecurity strategy

Cybersécurité

Protégez votre hôtel et vos clients avec une stratégie de cybersécurité solide.

Les hôtels et les fournisseurs d'hébergement traitent quotidiennement des données sensibles et constituent une cible attrayante pour les cybercriminels. Découvrez comment une stratégie de cybersécurité solide peut protéger votre hôtel et vos clients contre les violations de données, les ransomwares et autres menaces.

4 min. lecture
Placeholder for Man sitting behind screen thinkingMan sitting behind screen thinking

Enterprise networking

Gartner MQ 2025: Juniper, Fortinet et HPE prennent la tête dans le domaine des réseaux d'entreprise.

Découvrez pourquoi Juniper, Fortinet et HPE figurent parmi les leaders du Magic Quadrant de Gartner 2025 pour les réseaux LAN d’entreprise. Explorez leurs atouts respectifs — et découvrez comment Nomios aide les entreprises à concevoir, déployer et sécuriser des réseaux prêts pour l’avenir.

3 min. lecture
Tous les articles