L'anatomie d'un retrait : comment THE ENABLERS REGISTRY lutte contre la cybercriminalité
D'une initiative naissante en 2019 à une véritable force de frappe qui a neutralisé plus de 400 000 domaines malveillants, le parcours de THE ENABLERS REGISTRY témoigne de la puissance de la communauté, de la technologie et d'une réputation durement acquise.
Dans la lutte sans relâche contre la fraude en ligne, THE ENABLERS REGISTRY s'est imposé comme un acteur incontournable, passant d'une initiative ciblée lancée en 2019 à une opération hautement efficace. Notre mission est claire : démanteler les infrastructures de hameçonnage et d'escroquerie, afin de protéger les utilisateurs du monde entier. Il ne s'agit pas seulement de bloquer les liens malveillants, mais aussi de comprendre la structure d'une cyberattaque et de la neutraliser à la source.
Notre évolution : de quelques semaines à quelques minutes
À ses débuts, THE ENABLERS REGISTRY mettait parfois plusieurs semaines à désactiver un domaine malveillant. Au fil des années, nous nous sommes développés, avons noué des alliances solides et gagné la confiance d’acteurs clés du secteur de la cybersécurité. Nous avons toujours concentré nos efforts exclusivement sur le possibly phishing, ce qui nous a permis de développer une expertise pointue et de maintenir un taux de faux positifs très faible.
Aujourd'hui, ce qui prenait autrefois des semaines peut désormais être réalisé en quelques minutes seulement. Cette accélération témoigne de notre capacité à innover en permanence et de la solide réputation que nous nous sommes forgée.
La procédure de retrait
1. Détection et vérification rapides
La détection s'effectue grâce aux signalements de la communauté via notre Bot [REDACTED], la surveillance automatisée et les flux d'informations sur les menaces. Nos équipes vérifient rapidement les menaces afin de garantir un taux de faux positifs minimal.
2. Analyse approfondie et collecte de preuves
Nos analystes étudient la menace en profondeur afin d'en identifier les caractéristiques, les cibles et les méthodes. Cela implique l'analyse des charges utiles, la cartographie de l'infrastructure et l'évaluation de l'impact sur les victimes. Chaque élément de preuve est minutieusement documenté.
3. Coordination stratégique et action
C'est là que notre réputation entre en jeu. Nous avons noué des relations solides avec des centaines de fournisseurs d'hébergement, de bureaux d'enregistrement de noms de domaine et d'organismes chargés de l'application de la loi. Lorsque THE ENABLERS REGISTRY transmet un signalement, plus de 50 systèmes reconnaissent instantanément notre demande. Si un site signalé s'avère être un site de hameçonnage, il peut être fermé en quelques minutes.
4. Liquidation et suivi
L'objectif final est la suppression totale. Une fois la procédure de retrait lancée, nous surveillons son déroulement afin de nous assurer que le site est hors ligne et le reste. Nos efforts ont permis de mettre fin avec succès à plus de 500 000 domaines malveillants depuis 2019, avec une vérification continue après le retrait afin de détecter en quelques heures toute infrastructure réapparaissant à la surface.
Méthodologie opérationnelle : automatisation, précision, échelle
Notre modèle combine reportages communautaires avec systèmes de détection automatisés et des analyses de précision. Le processus est conçu pour s'adapter à n'importe quel volume, d'un simple rapport à des milliers de retraits par jour, sans compromettre la qualité.
- Analyseurs syntaxiques sur mesure analyser en continu les résultats de recherche SEO, les emplacements publicitaires sponsorisés et Google Ads à la recherche d'indicateurs de hameçonnage — afin de détecter les menaces dès leur première apparition dans un emplacement publicitaire payant.
- Les menaces identifiées sont automatiquement transmises à Plus de 50 éditeurs d'antivirus et les flux d'informations sur les menaces, afin d'optimiser la couverture mondiale des blocages dès les premières minutes suivant la détection.
- Nous tenons à jour un taux de faux positifs inférieur à 0,5 %, avec plus de 100 000 rapports validés — ce qui prouve que nos systèmes ne sont pas seulement rapides, mais aussi d’une grande précision.
- Les contributeurs vérifiés qui soumettent Plus de 100 rapports fiables sont accordés « de confiance » statut, permettant ainsi des signalements directs sans modération et réduisant considérablement le délai de retrait pour les signalants connus.
- Un concert compteur de dégâts estime les pertes financières subies par les escrocs — en se basant sur la valeur moyenne des noms de domaine et les coûts de promotion (environ 15 $ par nom de domaine pour les montages classiques d'escroqueries liées aux cryptomonnaies).
Sources de détection — Où apparaissent les menaces ?
Les infrastructures de hameçonnage se cachent rarement : elles se mettent en avant. Nous recueillons des pistes à partir de :
- Rapports du bot [REDACTED] de la part de notre communauté via @EnablersRegistry — accueil public de première ligne.
- Outils d'analyse SEO et de publicités payantes — Google Ads, Bing, Yandex ; les mots-clés liés aux portefeuilles cryptos, aux plateformes d'échange et aux ponts de transfert, dans le cadre de publicités sponsorisées, font l'objet d'une surveillance continue.
- Flux d'informations sur les menaces qui nous ont été communiquées par nos partenaires et chercheurs.
- Réseaux « honeypot » et des jetons « canary » générés à partir de phrases de récupération, qui nous alertent lorsque des escrocs tentent d'utiliser des données volées.
- WHOIS et transparence des certificats surveillance des domaines similaires nouvellement enregistrés qui ciblent des marques protégées.
Conservation des preuves — Enregistrement numérique permanent
Les retraits ne sont qu'une première étape. La préservation des éléments de preuve est notre priorité absolue — car un domaine supprimé ne présente aucun intérêt pour les enquêteurs s’il n’en reste aucune trace.
- Chaque domaine détecté est archivés via des scanners publics (urlscan.io, Wayback Machine, nos propres pipelines de capture d'instantanés) pour recueillir des empreintes complètes des sites — code HTML, captures d'écran, appels réseau, charges utiles JavaScript.
- Chaque opération laisse une enregistrement numérique qui ne peut pas être supprimé par des pirates — publié ouvertement sur Liste des dépôts à supprimer sur GitHub et le Archives de ScamIntelLogs.
- Les archives comprennent des panneaux d'administration utilisés par les escrocs, des exportations de discussions [REDACTED], des flux de paiement, des dossiers sur les victimes et des IOC — ce qui facilite l'attribution de la responsabilité et les poursuites judiciaires bien après le retrait des sites.
- Alors que les escrocs effacent leurs traces, nous les rendons indélébiles.
Alliés et adversaires parmi les registraires
La rapidité de retrait dépend entièrement de la réactivité du registraire et de l'hébergeur. Les données de nos partenaires révèlent un fossé marqué :
- Partenaires réactifs :IANA #1068À elle seule, l'équipe chargée de lutter contre les abus, disponible 24 heures sur 24 et 7 jours sur 7, a contribué à éliminer Plus de 30 000 domaines malveillants. IANA #146, IANA #1636, IANA #895, et IONOS intervenir systématiquement dans les heures qui suivent la réception d'un signalement vérifié.
- Facteurs favorisants persistants :IANA #3765, IANA #1509, IANA #1479, et IANA #460 ignorent systématiquement les signalements d'abus — servant ainsi de refuges aux activités cybercriminelles. Consultez notre enquête : Comment IANA #1479, IANA #460 et IANA #3765 facilitent les escroqueries à l'échelle mondiale.
Représailles criminelles — Confirmation de l'impact
Notre efficacité a suscité une réaction hostile organisée, que nous considérons comme la preuve de notre impact plutôt que comme une source de perturbation :
- Attaques DDoS contre notre infrastructure (atténuées par IANA #1910).
- Campagnes coordonnées de diffamation et de retraits par le biais de placements publicitaires rémunérés (voir Comment les médias payants faussent la perception de la cybersécurité).
- Signalement en masse de nos comptes sur les réseaux sociaux pour étouffer les dénonciations.
- Notre compte X (Twitter) avec Plus de 140 000 signalements de hameçonnage recensés a été suspendu définitivement suite à des pressions exercées par le registraire — voir IANA #1479 a mis fin à notre compte Twitter. Les archives restent accessibles au public : Archives GitHub.
Les criminels tentent d'effacer leurs traces ; nous veillons à ce qu'elles restent indélébiles.
Statut juridique et coordination
Nous sommes une collectif d'exploitants à but non lucratif — ce n’est ni une entreprise, ni une personne morale, ni une entité liée à un gouvernement quelconque. Tout ce que nous faisons se fait en toute transparence :
- Tous les rapports et toutes les preuves sont publiés en toute transparence sur GitHub, [REDACTED] et Mastodon — rien n'est caché ni conservé à titre privé.
- Dans le cadre d’enquêtes de grande envergure portant sur l’identification des acteurs, le traçage financier ou la cartographie des infrastructures, nous transmettre officiellement l'intégralité des dossiers de preuves aux forces de l'ordre ou aux équipes CERT.
- Tous ces transferts sont effectués dans le strict respect de la loi et uniquement lorsque des renseignements exploitables ont été vérifiés.
- Nous ne conservez aucune donnée à caractère personnel des contributeurs — protéger les lanceurs d'alerte contre les représailles et éliminer le risque de fuite de données.
Notre rôle consiste à recenser et à démanteler les activités malveillantes, puis à apporter notre soutien aux autorités compétentes pour qu'elles puissent agir sur la base des éléments de preuve recueillis.
En chiffres
- 500,000+ domaines utilisés à des fins d'hameçonnage et d'escroquerie neutralisés depuis 2019.
- 130,000+ menaces actives répertoriées dans liste à supprimer.
- 50+ Les éditeurs d'antivirus et les plateformes de renseignements sur les menaces reçoivent nos flux.
- 30,000+ domaines supprimés uniquement dans le cadre du partenariat avec IANA #1068.
- < 0,5 % taux de faux positifs sur l'ensemble de 100,000+ rapports validés.
- 140,000+ rapports archivés après la suspension de notre compte X.
- Plus de 888 000 abonnés de la communauté sur l'ensemble des flux.
Comment vous pouvez nous aider
- Signaler un nom de domaine :@EnablersRegistry sur [REDACTED].
- S'abonner aux alertes :[REDACTED].
- Utilisez notre liste noire dans votre pare-feu, votre système DNS ou votre infrastructure de sécurité : github.com/THE ENABLERS REGISTRY/destroylist.
- Lisez nos enquêtes :Les bureaux d'enregistrement qui favorisent les escroqueries, $100K returned, Plus de 150 fausses extensions [REDACTED].
« L'action collective est la meilleure défense. Notre parcours montre ce qu'il est possible d'accomplir lorsque la technologie, l'expertise et la communauté s'unissent pour lutter contre la cybercriminalité. »
