Pendant des années, les domaines Web « parqués » ont été considérés comme une nuisance mineure lors de la navigation : des pages sans contenu réel, pleines de publicités génériques et de redirections automatiques, auxquelles nous accédons à la suite d'erreurs typographiques lors de la saisie d'une URL ou de la disparition de sites Web précédemment actifs.
Mais aujourd'hui, cette situation apparemment anodine est devenue un vecteur de risque massif pour la sécurité d'Internet, selon les chercheurs de la société de cybersécurité Infoblox, qui ont révélé dans un rapport qu'entre 20 et 30 % de ces domaines finissent par être redirigés vers des arnaques. hameçonnage ou des logiciels malveillants.
Du « domaine mort » à l’arme numérique
Un domaine parqué est généralement un nom de site Web enregistré, mais sans site Web actif derrière. Il peut s'agir d'un projet abandonné, d'une adresse réservée à une vente future ou, très souvent, d'une variante typographique d'un domaine populaire. Pendant des années, ces domaines affichaient de simples pages publicitaires. Le risque existait, mais il était limité : en 2014, des études académiques plaçaient la probabilité de se retrouver sur un site malveillant en dessous de 5 %.
Mais désormais, selon des expérimentations à grande échelle menées par Infoblox en 2024 et 2025, plus de 90 % des visites sur certains domaines parqués aboutissent à des contenus illégaux, frauduleux ou carrément malveillants lorsque l'utilisateur navigue depuis une connexion résidentielle standard. La clé ne réside pas seulement dans l’existence de publicités dangereuses, mais dans la chaîne d’intermédiaires qui s’active après avoir tapé une mauvaise adresse.
Le métier de la « recherche directe »
Au cœur du problème se trouve un modèle connu sous le nom de « stationnement sans clic ». Contrairement au parking classique – où l’utilisateur devait cliquer sur une annonce – ici, la simple visite du domaine déclenche une vente aux enchères automatisée : le trafic est vendu au plus offrant en fonction de la localisation, de l’appareil ou du profil du visiteur.
En pratique, l'utilisateur est dirigé vers de multiples systèmes de distribution de trafic (TDS), où chaque intermédiaire peut revendre la visite à un autre. Le résultat est un réseau opaque dans lequel la page finale n'a que peu ou rien à voir avec le domaine d'origine. Les casinos frauduleux, les fausses alertes de virus, les téléchargements de logiciels malveillants ou les prétendus renouvellements d'abonnement sont des destinations courantes.
Profils invisibles : c'est ainsi que vous décidez qui est trompé
L’une des découvertes les plus inquiétantes de la recherche est l’utilisation intensive de techniques de profilage. Les chercheurs ont découvert que de nombreux domaines parqués se comportent différemment selon la personne qui les visite :
- Les scanners de sécurité, les VPN ou les robots reçoivent des pages inoffensives.
- Les vrais utilisateurs des adresses IP résidentielles sont détournés pour rediriger des chaînes qui se terminent par des escroqueries ou des logiciels malveillants.
Pour décider, les systèmes collectent des informations telles que le type de navigateur, la résolution de l'écran, la langue, le pays, la prise en charge de JavaScript ou encore les empreintes graphiques de l'appareil. Ce filtrage permet d'éviter les contrôles automatiques et de maximiser l'impact sur les victimes humaines.
Typosquatting : quand une lettre coûte cher
Le risque se multiplie avec typosquattagemultiplié par l'achat massif de domaines presque identiques aux marques populaires. Les cas documentés incluent des variantes de services bancaires, de plateformes vidéo ou de courrier électronique : un exemple paradigmatique est gmai.comun contournement minimal qui non seulement redirige le trafic Web, mais reçoit également des e-mails envoyés par erreur, certains contenant des informations sensibles ou même des pièces jointes malveillantes utilisées dans des campagnes de fraude commerciale.
La combinaison d’e-mails interceptés et de redirections Web transforme ces domaines en outils polyvalents pour la cybercriminalité.
DNS usurpé et redirections sélectives
Au-delà des erreurs typographiques dans les adresses web, les chercheurs ont identifié des abus dans le système DNS lui-même : il suffit d'un échec dans la configuration d'un domaine légitime pour qu'une partie du trafic d'une entreprise ou d'une institution finisse entre les mains de réseaux publicitaires malveillants.
Dans des cas récents, une résolution DNS sélective a même été observée, où seuls les utilisateurs utilisant certains résoudre Ils reçoivent une réponse et sont redirigés vers du contenu nuisible. Les autres voient simplement une erreur, ce qui rend difficile la détection des abus.
Le rôle involontaire des grandes plateformes
L’écosystème publicitaire mondial n’est pas non plus à l’abri du problème. Les récents changements apportés aux politiques de Google, visant à réduire la fraude publicitaire, ont eu un effet secondaire inattendu : en limitant la publicité traditionnelle sur les domaines parqués, de nombreux gestionnaires ont opté pour le modèle de « recherche directe », moins transparent et plus difficile à auditer.
Même si les grandes plateformes insistent sur le fait qu'elles ne collaborent pas avec des annonceurs malveillants, la réalité est que la chaîne de revente de trafic brise tout contrôle efficace de « connaissance de votre client ». L'annonceur final ne peut pas avoir de relation directe avec la société qui gère le domaine parqué.
