La lutte contre le phishing et la fraude en ligne repose depuis des années sur une logique réactive : détecter un domaine malveillant une fois qu’il est déjà actif, vérifier l’abus et demander son retrait dans les plus brefs délais. Netcraft souhaite désormais anticiper cette étape. La société a annoncé la mise en œuvre de Preemptive Domain Disruption, une nouvelle capacité visant à identifier et désactiver des domaines contrôlés par des attaquants avant qu’ils ne soient exploités dans des campagnes de phishing ou de fraude par Business Email Compromise (BEC), c’est-à-dire des usurpations d’identité liées à des emails professionnels.
Ce projet n’est pas anodin. Selon la propre société, de nombreux attaquants enregistrent des domaines plusieurs jours, semaines ou même mois avant de lancer leurs campagnes. Cet intervalle, jusqu’à présent en grande partie hors du champ d’action des mesures défensives traditionnelles, constitue la cible que Netcraft veut exploiter avec cette nouvelle approche : agir durant la période comprise entre l’enregistrement du domaine et sa mise en service.
Au-delà de l’aspect commercial, cette démarche traduit une évolution significative en cybersécurité. Le problème ne se limite plus à identifier l’infrastructure malveillante lorsqu’elle commence à héberger un site frauduleux ou à envoyer des emails, mais à la démanteler avant qu’elle ne passe en production. À une époque où l’automatisation et l’intelligence artificielle accélèrent la déploiement de campagnes plus rapides et plus sophistiquées, intervenir quelques heures ou jours en amont peut faire la différence entre contenir une menace ou y être en retard.
De la destruction réactive à l’intervention préventive
Netcraft affirme que son nouveau système s’appuie sur des regroupements de données, des indicateurs d’attaque vérifiés, et la corrélation d’empreintes partagées entre plusieurs campagnes. Plutôt que d’analyser des signaux isolés, il croise des éléments comme l’infrastructure partagée, les modèles d’enregistrement, les configurations techniques et d’autres traces liées aux campagnes de fraude ou d’usurpation. Lorsqu’il rassemble suffisamment de preuves, la société indique collaborer directement avec des fournisseurs d’infrastructure Internet pour désactiver ces domaines, tout en diffusant des signaux de haut risque à des opérateurs DNS, des systèmes de réputation d’emails et d’autres plateformes antifraude.
En termes simples, l’approche consiste à ne pas attendre que le domaine héberge du contenu malveillant visible pour agir. La société présente cette évolution comme un mouvement « plus en amont » dans la chaîne d’attaque, une expression couramment utilisée en sécurité pour désigner une intervention avant que le risque ne parvienne à l’utilisateur final. Concrètement, la valeur de cet outil réside moins dans la détection traditionnelle que dans sa capacité à transformer des signaux préparatoires en actions d’interruption, avant qu’une victime ne soit exposée.
Netcraft accompagne cette annonce de chiffres à interpréter avec prudence, étant donné qu’il s’agit de données internes à la société, non vérifiées par des audits publics. Elle affirme qu’aux premiers résultats avec certains clients, environ 90 % des domaines contrôlés par des cybercriminels ont été retirés en moins de 24 heures, et qu’une organisation a réussi à supprimer plus de 21 000 domaines en trois mois. Ces chiffres sont impressionnants, mais il reste à voir si la méthodologie, non publiquement détaillée, permet d’évaluer la fiabilité de ces taux de réussite, notamment concernant la précision et le taux de faux positifs.
Pourquoi cet annonce est-elle importante aujourd’hui ?
Elle intervient dans un contexte où l’écosystème défensif doit faire face à des attaquants de plus en plus rapides. Netcraft souligne depuis plusieurs années que l’intelligence artificielle modifie également la surface d’attaque en ligne, en facilitant la génération de contenus crédibles, mais aussi en accélérant la création de domaines, la usurpation de marques ou la préparation de campagnes. Déjà en 2025, la société alertait que les modèles de traitement du langage commençaient à recommander des sites de phishing en réponse à certaines requêtes, témoignant que le problème ne se limite plus aux emails ou aux sites classiques, mais s’étend à de nouvelles couches du monde numérique.
Dans cette optique, l’initiative de Netcraft apparaît comme une réponse rationnelle. Si la fraude devient plus industrialisée, la réaction doit aussi l’être, en étant plus précoce. Réagir rapidement ne suffit pas : il faut détecter les préparatifs, repérer les schémas et couper l’infrastructure avant que l’attaque ne devienne visible. Cela rapproche cette proposition du concept de protection numérique proactive, une tendance récente consistant à aller au-delà du simple monitoring pour agir directement sur les domaines, applications frauduleuses, usurpations sociales ou canaux utilisés dans des campagnes de manipulation.
Ce n’est pas la première démarche dans cette voie pour Netcraft. La société indique déjà intervenir sur près d’un tiers des sites de phishing dans le monde et a élargi son offre avec des solutions pour faire échouer aussi des escroqueries téléphoniques, en complément de ses guides et services anti-phishing, fraude et abus de marque. Cette expérience lui offre un contexte solide pour ce nouveau pas, mais la vraie question reste de savoir si cette capacité préventive pourra réellement offrir un avantage durable face à ses concurrents du secteur.
Ce qui donne encore plus de poids à cette démarche, c’est le soutien officiel que lui a apporté le Anti-Phishing Working Group (APWG). Dans leur communiqué, Peter Cassidy, cofondateur de l’organisation, indique que Netcraft contribuera avec ses nouvelles données à une sous-catégorie de domaines pré-déployés au sein du eCrime eXchange de l’APWG. Ce détail est important, car il indique que la discussion ne porte plus uniquement sur les domaines actifs, mais aussi sur ceux qui ne sont pas encore exploités, mais montrent déjà des signes d’anticipation ou de préparation à une utilisation malveillante.
Il conviendra de suivre cette initiative avec prudence. En cybersécurité, anticiper l’attaque reste un objectif ambitieux, mais qui nécessite une grande précision. Si le système fonctionne efficacement, il peut réduire considérablement l’exposition au phishing et au BEC. En revanche, une erreur pourrait entraîner une intervention mal ciblée, nécessitant des preuves solides, une coordination avec les fournisseurs et un équilibre délicat entre rapidité et fiabilité. La véritable épreuve de cette nouvelle étape sera sans doute dans cette capacité à agir vite tout en évitant les faux positifs.
Questions fréquentes
Qu’est-ce que Preemptive Domain Disruption de Netcraft ?
Il s’agit d’une nouvelle capacité de Netcraft permettant d’identifier et de désactiver des domaines contrôlés par des attaquants avant leur utilisation dans des campagnes de phishing ou de fraude BEC.
Quel problème cette technologie cherche-t-elle à résoudre ?
Elle vise à exploiter le délai entre l’enregistrement d’un domaine malveillant et son utilisation réelle dans une campagne, afin de démanteler cette infrastructure avant qu’elle ne fasse de victimes.
Que signifie BEC dans ce contexte ?
BEC désigne le Business Email Compromise, une forme de fraude qui repose sur la manipulation ou la usurpation des communications professionnelles par email.
Netcraft a-t-elle fourni des données sur l’efficacité de cette nouvelle capacité ?
Oui, mais il s’agit de chiffres issus de leur communication interne : environ 90 % des domaines malveillants auraient été retirés en 24 heures, avec plus de 21 000 domaines supprimés en trois mois dans le cadre d’une déploiement client.
source : Netcraft
