💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories

Campagne de phishing furtive : 48’000 sites sur Google et Cloudflare

Image illustrant une tentative de phishing, avec un hameçon transperçant un papier affichant les champs "Login" et "Password", accompagné des logos de Cloudflare et Google, symbolisant les cibles potentielles des attaques.

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD
brève actu
Une vaste campagne de phishing utilise Google Cloud et Cloudflare. Depuis 2021, 48 000 sites clonés piègent les utilisateurs.

L’attaque furtive de phishing révélée par Deep Specter met en lumière une exploitation à grande échelle des infrastructures de Google Cloud et Cloudflare. Depuis 2021, des cybercriminels ont mis en place plus de 48 000 sites de phishing, en utilisant des techniques avancées comme le cloaking et l’acquisition de domaines expirés. Cette campagne, qui cible des marques de renommée mondiale, illustre la nécessité pour les fournisseurs de cloud d’améliorer leurs mécanismes de détection et de gestion des abus.

Une exploitation massive des infrastructures cloud

Selon Deep Specter, des cybercriminels ont utilisé des domaines expirés pour créer des clones de sites web de grandes entreprises, hébergés sur Google Cloud et Cloudflare. Plus de 48 000 hôtes virtuels ont été répartis sur 86 clusters, exploitant le réseau de confiance élevé de ces fournisseurs pour échapper à la détection. Les attaquants ont employé des techniques de cloaking sophistiquées, qui permettent de présenter un site légitime aux moteurs de recherche et aux outils de surveillance, tout en redirigeant les utilisateurs vers des pages de jeu ou des logiciels malveillants. Cette stratégie a permis aux sites malveillants de maintenir une bonne position dans les résultats de recherche, malgré plus de 265 signalements publics non traités par les plateformes.

🔎 Cloaking, qu’est-ce que c’est ?
Le cloaking consiste à montrer deux contenus différents selon qui observe.

  • En SEO, un moteur de recherche voit une page optimisée (mots-clés, liens), mais l’internaute accède à une version différente.
  • En cybersécurité, un site ou un malware peut afficher un contenu inoffensif aux analystes et dissimuler du code malveillant aux victimes.
    👉 Dans tous les cas, le but est de tromper pour gagner un avantage (meilleur classement, attaque plus discrète).

📌 Cloaking (approche technique)
Le cloaking repose sur la détection de l’observateur et l’adaptation du contenu livré :

  • SEO black hat : détection de l’agent utilisateur ou de l’IP pour servir une version optimisée aux crawlers et une autre aux visiteurs. Google sanctionne cette pratique.
  • Attaques cyber :
    • un site malveillant peut envoyer du JavaScript piégé aux utilisateurs tout en affichant une page légitime aux systèmes de détection ;
    • un malware peut se désactiver dans une sandbox pour éviter l’analyse.

Le point commun est toujours le même : adapter le comportement pour échapper au contrôle et rester efficace.

Comme le détaille Korben, les criminels ont utilisé HTTrack Website Copier pour créer des copies parfaites de sites de plus de 200 grandes entreprises, dont Lockheed Martin. En utilisant des domaines de confiance, ils ont pu maintenir les liens et la réputation des sites clonés, augmentant ainsi l’efficacité de leurs attaques. En mars 2025, cette opération a atteint son apogée avec 33 890 observations actives. Les entreprises victimes subissent non seulement des pertes de trafic organique, mais aussi des risques juridiques importants, notamment des violations potentielles du RGPD et des problèmes liés au DMCA. Ces enjeux soulignent le besoin urgent de renforcer les politiques de résiliation de comptes et de surveillance des activités suspectes.

Bien que des solutions existent, comme la surveillance continue des en-têtes HTTP et des alertes agressives sur l’expiration des domaines, leur mise en œuvre reste limitée. Les chercheurs appellent à une action plus ferme de la part de Google et Cloudflare, ainsi que des entreprises concernées, pour prévenir de futures exploitations. Sans une réponse adéquate, ces plateformes risquent non seulement des dommages réputationnels, mais aussi des pénalités réglementaires sévères.

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

🤔 Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grace à ce lvre 2 en 1.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏