brève actu
Une vaste campagne de phishing utilise Google Cloud et Cloudflare. Depuis 2021, 48 000 sites clonés piègent les utilisateurs.
L’attaque furtive de phishing révélée par Deep Specter met en lumière une exploitation à grande échelle des infrastructures de Google Cloud et Cloudflare. Depuis 2021, des cybercriminels ont mis en place plus de 48 000 sites de phishing, en utilisant des techniques avancées comme le cloaking et l’acquisition de domaines expirés. Cette campagne, qui cible des marques de renommée mondiale, illustre la nécessité pour les fournisseurs de cloud d’améliorer leurs mécanismes de détection et de gestion des abus.
Une exploitation massive des infrastructures cloud
Selon Deep Specter, des cybercriminels ont utilisé des domaines expirés pour créer des clones de sites web de grandes entreprises, hébergés sur Google Cloud et Cloudflare. Plus de 48 000 hôtes virtuels ont été répartis sur 86 clusters, exploitant le réseau de confiance élevé de ces fournisseurs pour échapper à la détection. Les attaquants ont employé des techniques de cloaking sophistiquées, qui permettent de présenter un site légitime aux moteurs de recherche et aux outils de surveillance, tout en redirigeant les utilisateurs vers des pages de jeu ou des logiciels malveillants. Cette stratégie a permis aux sites malveillants de maintenir une bonne position dans les résultats de recherche, malgré plus de 265 signalements publics non traités par les plateformes.
🔎 Cloaking, qu’est-ce que c’est ?
Le cloaking consiste à montrer deux contenus différents selon qui observe.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
- En SEO, un moteur de recherche voit une page optimisée (mots-clés, liens), mais l’internaute accède à une version différente.
- En cybersécurité, un site ou un malware peut afficher un contenu inoffensif aux analystes et dissimuler du code malveillant aux victimes.
👉 Dans tous les cas, le but est de tromper pour gagner un avantage (meilleur classement, attaque plus discrète).
📌 Cloaking (approche technique)
Le cloaking repose sur la détection de l’observateur et l’adaptation du contenu livré :
- SEO black hat : détection de l’agent utilisateur ou de l’IP pour servir une version optimisée aux crawlers et une autre aux visiteurs. Google sanctionne cette pratique.
- Attaques cyber :
• un site malveillant peut envoyer du JavaScript piégé aux utilisateurs tout en affichant une page légitime aux systèmes de détection ;
• un malware peut se désactiver dans une sandbox pour éviter l’analyse.
Le point commun est toujours le même : adapter le comportement pour échapper au contrôle et rester efficace.
Comme le détaille Korben, les criminels ont utilisé HTTrack Website Copier pour créer des copies parfaites de sites de plus de 200 grandes entreprises, dont Lockheed Martin. En utilisant des domaines de confiance, ils ont pu maintenir les liens et la réputation des sites clonés, augmentant ainsi l’efficacité de leurs attaques. En mars 2025, cette opération a atteint son apogée avec 33 890 observations actives. Les entreprises victimes subissent non seulement des pertes de trafic organique, mais aussi des risques juridiques importants, notamment des violations potentielles du RGPD et des problèmes liés au DMCA. Ces enjeux soulignent le besoin urgent de renforcer les politiques de résiliation de comptes et de surveillance des activités suspectes.
Bien que des solutions existent, comme la surveillance continue des en-têtes HTTP et des alertes agressives sur l’expiration des domaines, leur mise en œuvre reste limitée. Les chercheurs appellent à une action plus ferme de la part de Google et Cloudflare, ainsi que des entreprises concernées, pour prévenir de futures exploitations. Sans une réponse adéquate, ces plateformes risquent non seulement des dommages réputationnels, mais aussi des pénalités réglementaires sévères.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
