Il y a un an et demi, le monde commençait à prendre la mesure de l’ampleur de la pandémie de COVID-19. Malheureusement, les escrocs qui se servent des événements marquants pour attirer du trafic vers leurs sites malveillants l’ont, eux aussi, très bien compris. Pour répondre à cette situation, le bureau du directeur de la technologie (OCTO) de l’ICANN a lancé le projet de signalement et de collecte d'information sur des menaces à la sécurité des noms de domaine (DNSTICR), destiné à identifier des menaces à la sécurité du système des noms de domaine (DNS) liées à la COVID-19.
L’identification du hameçonnage et des logiciels malveillants dans des chaînes génériques n’est pas facile, en particulier lorsque celles-ci comportent des contenus ou des contextes localisés. L'approche adoptée par l'OCTO pour le projet DNSTICR consiste à rechercher des termes spécifiques dans les nouveaux enregistrements de noms de domaine liés à la COVID-19, à quantifier les noms de domaine qui sont manifestement malveillants et à les signaler aux bureaux d’enregistrement concernés. Des informations détaillées sur ce travail sont disponibles ici.
Le 4 avril 2020, le nombre d’enregistrements de domaines liés à la COVID-19 a connu un pic, avec 5 543 domaines enregistrés en une seule journée. Ces chiffres ont fortement baissé en mai et en juin, et la courbe s'est largement aplatie depuis.
Sur les 210 939 domaines liés à la pandémie enregistrés entre mai 2020 et août 2021, la plupart d’entre eux étaient inoffensifs ou sans réputation. Au total, 12 860 (6,1 %) domaines ont fait l’objet de signalements de la part de fournisseurs de réputation. Si nous limitons davantage cet ensemble de domaines à ceux qui présentent des éléments de preuve multiples ou avec un degré de confiance élevé, nous arrivons à 3 791 domaines (1,8 % des enregistrements liés à la pandémie) signalés.
Cela montre la différence entre le nombre de domaines pouvant être qualifiés de « suspects » et ceux dont il existe des preuves d'utilisation malveillante.
Tendances
D’autres tendances peuvent être constatées à partir des données recueillies. Par exemple, au tout début de la pandémie, le terme « corona » figurait parmi les plus utilisés dans les enregistrements. Cependant, à partir du mois d’avril, il a été remplacé par le terme « covid ». Sur l’ensemble des 18 mois, on constate une prévalence du terme « covid », qui représente environ 25 % des enregistrements que nous avons examinés.
D’autres termes moins fréquemment présents varient au fil du temps. Par exemple, le terme « vaccin » ne représente que 4 % de l’ensemble de nos enregistrements, mais nous constatons que le volume des enregistrements correspondants a commencé à augmenter en novembre 2020 et a atteint un pic à la mi-janvier 2021.
Ces tendances confirment ce que nous constatons dans d'autres observations concernant l’évolution du langage de la pandémie au fil du temps. Google Trends, par exemple, montre des schémas similaires.
Bilan
Au cours des 18 derniers mois, nous avons assisté à une hausse, suivie d’une chute des enregistrements de nouveaux domaines correspondant à un ensemble de mots-clés liés à la pandémie de COVID-19. Si la plupart de ces domaines n'ont pas affiché de comportements nuisibles, une minorité d’entre eux ont été identifiés comme étant de nature malveillante.
Après observation, une grande partie des campagnes malveillantes sont prévisibles : elles proposent des incitations, souvent financières, ou se font passer pour une page de connexion légitime afin de voler des informations d'identification ou de diffuser des logiciels malveillants. La seule différence est que dans l’ensemble auquel nous faisons référence, l’ « hameçon » utilisé pour attirer les victimes concerne d’une manière ou d’une autre la COVID-19.
Le projet DNSTICR ne cesse d’évoluer pour répondre à la dynamique changeante de la pandémie de COVID-19. L’OCTO continuera à faire des points réguliers sur ce projet avec la communauté de l’ICANN, les bureaux d’enregistrement, les opérateurs de registres, les professionnels de la sécurité et les internautes.
Un rapport plus détaillé sera publié dans un futur proche.