copyright ©️ Shell Jessica Kaela MAHJOUBI – first publication posted : Feb 2025 – last update Oct. 2025
LE « DOMAIN NAME HIJACKING » soit LE DÉTOURNEMENT FRAUDULEUX DE NOM DE DOMAINE
par forçage frauduleux des visiteurs vers une autre page frauduleuse du même site ou vers un tout autre site. (DNS Spoofing, DNS CACHE poisoning – DNS = Domain Name System).
Les impacts du détournement de nom de domaine concernent :
- site web
- propriété du site web
- référencement et visibilité dans les moteurs de recherche
- adresses emails professionnelles avec « @votre_nom_de_domaine.com »
- toutes les bases de données hébergées pour le fonctionnement du site web
- le(s) flux RSS XML (qui alimentent, à votre insu, des plateformes de diffusion et d’alerte des nouveaux contenus à lire, copier ou usurper, afin de programmer des robots qui vont tenter des intrusions sur votre site par exemple)
1) Le détournement de site depuis le Registrar (prestataire de services numériques, administratifs et techniques d’enregistrement des noms de domaine)
Ce dispositif subtil et quasi invisible va vous rediriger vers une copie illégale d’un site institutionnel modifié comme vers une fausse page de login qui va enregistrer vos identifiants à votre insu ou une fausse page de paiement qui va enregistrer vos numéros de carte bancaire et qui peut, au passage, détourner le chiffre d’affaires d’une vraie boutique en ligne ou qui peut servir de page web de paiement électronique pour des services ou des produits à usage criminel.
La compromission de votre nom de domaine peut hélas permettre le « ransoming » (la demande d’une rançon afin de vous rendre votre site) suite à l’usurpation de votre identité numérique ou celle d’une entreprise ou d’une organisation.
Ce détournement frauduleux de site web sert aux réseaux criminels organisés qui y créent des contenus fake de A à Z avec la possibilité de les revendre dans le cadre de fausses narrations.
La fraude par détournement de trafic web par duplication de contenus officiels vers des faux contenus ou des contenus à caractère criminel est rendu possible par le détournement frauduleux du protocole sécurisé d’un nom de domaine au départ bien réglé sur le préfixe « https:// » (le fameux certificat SSL qui permet l’accès au web sécurisé, réglementé, clean et visible du grand public) vers d’autres protocoles uniquement visibles via des navigateurs VPN (Virtual Private Network) qui, avec des paramètres serveurs modifiés à votre insu, peuvent donner un accès direct à des réseaux privés, décentralisés, sans réglementation aucune tel que le darknet et ses contenus criminels catastrophiques ou à d’autres réseaux non publics. Bonjour la fabrique de fausses preuves avec les usurpations d’identité et les faux contenus !
En utilisant un navigateur sécurisé comme Google Chrome, sans réglages sur un DNS personnalisé menant à des réseaux privés, darknet ou alternatifs, en principe, on a zéro accès à de fausses versions de site suite à redirection automatique vers un autre réseau parallèle à l’Internet classique, même avec le même nom de domaine. Mais…
2) Le détournement de site depuis le prestataire de services numériques fournisseur technique de services d’hébergement (service de gestion technique d’hébergement des fichiers du site web avec fourniture d’une plateforme d’administration de type « CPanel »)
Le détournement reste malheureusement possible même avec un navigateur sécurisé propre réglé sur https://, si les criminels usurpateurs d’identité de votre site web parviennent malgré tout à prendre contrôle de votre plateforme d’hébergement web en repointant le trafic entrant de votre nom de domaine vers n’importe quel emplacement de fichiers que ce soit sur le même nom de domaine voire d’anciens noms de domaine (cela peut être un autre site contrefait hébergé sur votre propre serveur et qui vous est caché sans possibilité ni de le voir ni de le supprimer car vous n’avez pas les droits informatiques suffisants pour voir tous les dossiers – ces droits d’accès étant fournis par un « superadmin » salarié chez le fournisseur de services numériques, alors qu’en tant que client, vous n’avez que le statut de simple « admin » avec des accès et des droits beaucoup plus restreints) ou vers un autre nom de domaine externe.
Un registrar peut malheureusement, s’il est sous contrainte de groupements criminels organisés, créer des profils clients avec les mêmes noms que vous et réutiliser vos anciens noms de domaine ou ceux qui vous ont été corrompus et détournés, dans ces profils clients clones utilisés par des personas portant de fausses pièces d’identité avec vos exacts nom et prénom ! Ainsi des autorités sont facilement bernées par des fausses versions notamment dans le cadre de signalements basés sur des faux et des usurpations d’identité.
Comment cela est rendu possible ? Par des modifications opérées, à votre insu, sur vos informations administratives et techniques inscrites dans vos comptes de registrar et/ou de plateforme d’hébergement web… Ce détournement peut aussi venir par l’installation, à votre insu, d’un navigateur avec une configuration spécifique non réglée sur l’Internet public clean normal (appli VPN orientée sur des contenus illégaux, DNS personnalisé menant sur des réseaux parallèles décentralisés, malwares,etc..) réglée pour détourner le trafic de noms de domaine prédéfinis, ou bien par des scripts de redirection que vous auriez téléchargés à votre insu sur votre poste informatique de bureau.
CAS PARTICULIERS
les redirections frauduleuses créées par des ressources humaines
1) par des ressources, souvent des hommes qui peuvent malheureusement être contraints par des réseaux criminels numériques organisés, chargés d’administration réseaux / des services IT (IT = « Internet Technologies ») d’entreprises, quel que soit le secteur (médias, communication, relations presse, institutions, finances, etc…) ou
2) par des salariés ou des sous-traitants de fournisseurs de services numériques (services de réseaux business, fournisseurs d’accès internet, maintenance technique, services de référencement pour trouver votre site sur google ou au contraire l’invisibiliser, des consultants, etc..), malheureusement corrompus et complices d’organisations criminelles numériques pour usurper l’identité d’un éditeur de site en affirmant que c’est en fait ce même éditeur qui détournerait lui-même / ferait des copies frauduleuses de son propre site vers un ou plusieurs autres sites à contenus à caractère criminel sur le darknet ou d’autres réseaux privés
Les employés, les prestataires ou les sous-traitants en charge de l’administration réseaux (ce qu’on appelait il y a 25 ans le « NOC » pour « Network Operations Center ») de votre entreprise, de votre quartier ou de votre immeuble, peuvent être corrompus et peuvent forcer les visiteurs d’un site vers une autre adresse web en faisant croire :
– que c’est l’éditeur du site qui fait cette redirection frauduleuse
– que le site a été piraté par des malfaiteurs : tantôt des hackers, tantôt de faux juristes, tous des « escrocs-repreneurs d’identité » qui se font passer pour l’éditeur originel du site voire son « représentant légal » avec des faux dossiers juridiques basés sur de fausses identités et des signalements abusifs créés de toute pièce à partir de fausses déclarations avec de fausses géolocalisations, etc…
– que le site rencontre des bugs en permanence avec une page blanche qui met des heures à charger un message d’erreur systématique sur votre navigateur, etc….
alors que le site s’affiche en fait parfaitement depuis un autre pays ou même, pour l’éditeur lui-même qui y fait des mises à jour régulières depuis son smartphone personnel dans la même zone géographique que vous.
Cela est rendu possible par un détournement des plateformes qui permettent de paramétrer les réseaux Internet, dont les autorisations d’accès de navigation, notamment par des restrictions (pour faire bloquer l’accès à un site) et des redirections (pour le détourner vers d’autres sites). C’est aussi malheureusement créé de toute pièce à partir d’éléments techniques anodins (une erreur 404, un plugin anciennement installé qui a une faille de sécurité, une image ou des expressions utilisées comme signe extérieur de reconnaissance pour des réseaux d’activités criminelles, etc…). En effet ces groupements criminels ne reculent devant rien et tentent tout ce qui est possible pour pousser le moindre détail vers une réinterprétation abusive allant vers leur fausse narration avec pour objectif de déposséder le propriétaire originel de son nom de domaine à tout prix.
Pensez à bien vérifier que « https:// » est l’unique protocole référence pour le nom de domaine https://matriarxxi.com, si besoin vérifiez toujours depuis votre smartphone avec votre propre forfait mobile data personnel (voire en faisant des tests avec plusieurs autres opérateurs mobiles ou en demandant à des contacts qui sont à l’étranger).
Et pour aller encore plus loin dans vos propres vérifications autonomes, ce que je conseille vivement : utiliser l’appli Opera avec un VPN gratuit intégré, et choisir dans les paramètres du VPN « Amérique » pour votre position virtuelle (notre nom de domaine et notre hébergement sont basés aux États-Unis) afin de simuler une origine de connexion alternative et en dehors de vos applis ou navigateurs habituels notamment en cas de limites d’accès permanentes ou de redirections totalement incohérentes. Et utiliser impérativement un onglet de navigation privée pour encore plus de protection et de confidentialité.
VÉRIFICATIONS DES DNS DANS LES NAVIGATEURS CHROME ET OPERA
En cas de changements de vos paramètres de navigateur à votre insu (logiciel espion installé ou script malveillant téléchargé, intranet mal configuré, détournement de connexion, autre utilisateur qui a changé les paramètres derrière votre dos, prise en main à distance, etc…), vérifiez les réglages DNS dans les paramètres de votre navigateur :
– Chez Chrome : > paramètres « sécurité et confidentialité » > dans « Utiliser un DNS sécurisé » choisir le DNS public de Google
– Chez Opera : paramètres « Vie privée et sécurité » > « DNS sécurisé » à désactiver soit aucun par défaut. Si vous avez bien coché l’option qui active le VPN que dans les onglets privés, en ouvrant un onglet privé, leur VPN activera le changement vers le DNS sécurisé localisé au serveur choisi automatiquement (si vous avez choisi « Amérique », les DNS seront dans cette zone)
3) Le détournement de site via intermédiaire numérique criminel par le transfert forcé du nom de domaine ou du serveur de fichiers vers un autre prestataire numérique concurrent (tentative de vente de votre nom de domaine par transfert abusif à votre insu lors du déblocage de celui-ci via emails de menace de suppression de nom de domaine)
Quand on veut garder son nom de domaine et changer de registrar, il suffit de le débloquer depuis le registrar actuel puis de transmettre un code unique d’authentification de transfert auprès du nouveau registrar. Seulement, ce changement peut être forcé via ingénierie sociale venant des escrocs : 1) qui créent une situation d’urgence de quitter le Registrar notamment par emails de menace de suppression du nom de domaine
2) qui vous suggèrent, comme par hasard, d’immédiatement transférer votre nom de domaine chez un autre registrar à une échéance très courte…
Quel est l’objectif de ce genre d’email de préparation au ransoming ? Que vous débloquiez votre nom de domaine pour que ces criminels récupèrent l’auth-code (visible sur le panneau d’administration par les salariés du registrar comme par votre prestataire de services numériques) afin de transférer à votre insu puis de bloquer votre nom de domaine chez un autre registrar… le temps que vous leur envoyez la somme d’une rançon…
Mon conseil : ne jamais payer, prendre un autre nom de domaine, générique ou autre chez un registrar sérieux qui ne tentera pas de vous prélever des frais imaginaires. Puis ensuite informer vos contacts importants 1) de votre nouveau nom de domaine et 2) que vous n’utilisez plus l’ancien, sujet d’escroqueries par rançonnage et malheureusement sujet d’usurpation d’identité de votre personne comme de celle de votre entreprise.
3) Supprimer les propriétés de ces anciens noms de domaine de votre compte d’administration de vos domaines sur la Google Search Console, ainsi le plus grand moteur de recherche comprendra que vous ne gérez plus ces anciens noms de domaine compromis car volés et donc, qui ne sont plus sous votre responsabilité. Bien sûr inscrivez-y vos nouveaux noms de domaine à la place !
Car un nom de domaine ce n’est pas seulement un site web, ce sont aussi des adresses emails ! Donc les criminels à l’origine de l’usurpation d’identité du nom de domaine produisent aussi de fausses adresses emails avec les faux messages emails qui vont avec. Ça devient pire avec le flux RSS et les autres fichiers spécifiques nécessaires à la bonne indexation de votre site web (fil d’actualités sur vos derniers posts, le fichier sitemap qui sont des fonctionnalités automatiques utilisées pour des usages de gestion de contenus et de référencement sur les moteurs de recherche), qui détournés de leur fonction native, vont être utilisés pour alimenter des plateformes de diffusion automatisée pour alerter des criminels de toute mise à jour de vos contenus afin de les dupliquer sans votre autorisation sur des faux sites ou pire sur des vrais sites institutionnels.
LE DÉRÉFÉRENCEMENT ABUSIF DE NOM DE DOMAINE PAR FAUSSES DÉCLARATIONS VENANT DE GROUPEMENTS CRIMINELS USURPANT L’IDENTITÉ DU VRAI ÉDITEUR DU SITE
Le détournement de nom de domaine provoque l’effacement de l’existence de votre site par désactivation de vos fichiers d’indexation pour moteurs de recherche. C’est le résultat de faux dossiers juridiques qui reposent sur de faux contenus, de fausses redirections et de fausses identités, avec le concours technique de plusieurs complices criminels qui ont usurpé l’identité d’agences de référencement partenaires officiels de Google qui, vu l’incohérence, finit par simplement déréférencer votre site…
La solution : faire un audit SEO, même ultra minimaliste, de votre site et corriger les bugs et erreurs d’optimisation de référencement (erreur 404, meta-description pas assez synthétiques, titre des pages, fichiers XML, robots.txt, etc…). Mais surtout : mettre à jour vos coordonnées avec votre identité complète sur votre compte de Search Console de Google et bien y rattacher votre nom de domaine en tant que propriété individuelle sous votre compte Google Search Console.
EN CONCLUSION
Face aux visiteurs de sites web, on a donc 7 acteurs :
1) l’éditeur du site web, son salarié ou son prestataire chargé de la conception/maintenance technique du site web
2) Le service Registrar du nom de domaine
3) le service d’hébergement des fichiers du site web
4) l’opérateur internet / fournisseur réseau internet ou l’opérateur de téléphonie mobile / data internet mobile
5) les services de sécurité de l’État (ce qui impacte la visibilité d’un site web pour toute la population d’un pays) ou ceux de toute autre entreprise pour les réseaux internes aux entreprises privées (l’impact est pour tous leurs salariés).
6) les développeurs de votre navigateur peuvent par conviction personnelle, activisme politique ou par soumission à des organisations criminelles numériques forcer leur serveur VPN intégré à leur navigateur ou par d’autres paramètres qui vous sont invisibles à rediriger des sites vers des fausses versions ou vers des messages d’erreur…
7) l’équipe technique, l’équipe commerciale ou le service juridique des moteurs de recherche peuvent totalement effacer de leurs résultats : un mot clé, une marque, une personne physique, le nom d’une association ou d’une entreprise sur demande des autorités d’un pays, d’une entreprise, d’un actionnaire financier, des acteurs publics et privés auxquels votre moteur de recherche semble soumis pour imposer à l’éditeur de site une invisibilité depuis son moteur de recherche afin qu’aucun visiteur ne trouve son site sur la toile. Parmi ces moteurs de recherche : Google.
D’où l’importance d’utiliser plusieurs navigateurs, avec et sans VPN et plusieurs moteurs de recherche…
Ces 7 acteurs peuvent potentiellement limiter l’accès à un site si celui-ci fait l’objet d’une suspension (pour cause de contenus autour d’activités illégales) ou en cas de corruption, le détourner sur plusieurs versions de sites clonés customisés dans le cadre d’une escroquerie à la fausse propriété d’un site à vendre ou au faux blocage/hacking d’un nom de domaine, dans le cadre de diffusion de fake news (guerre de l’information, campagne politique détournée, etc…)
C’est à la responsabilité des éditeurs de sites web de choisir des services numériques sérieux qui leur permettront de bien régler les paramètres de sécurité de nom de domaine et d’hébergement de fichiers (DNSSEC, certificats SSL/TLS qui permettent de régler le site sur https://, etc…) en plus du moteur de conception des pages web installé, de son optimisation technique pour les moteurs de recherche (SEO), et d’autres paramètres importants.
Côté visiteur, utiliser plusieurs navigateurs (par exemple un avec VPN, l’autre sans) peut aider à vérifier entre une vraie version de site web et des fausses… à condition encore une fois que personne ne règle ni votre navigateur ni votre VPN pour accéder à d’autres réseaux internet que l’Internet clean normal et « officiel« .
Pensez à chercher également avec d’autres navigateurs (Bing, DuckDuckGo, Ecosia, etc…), Google pouvant exercer une censure de plus en plus inquiétante pour l’accès à l’information et aux vraies sources.
Ces nouveaux réflexes, faciles à adopter dans son quotidien, vous aideront à évaluer en toute autonomie la véracité d’un site en cas de limitation d’accès ou de détournement de site depuis vos outils habituels.
copyright ©️ Shell Jessica Kaela MAHJOUBI – Last update Oct. 2025