Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / TAKEDOWN ANATOMY

Analyse d'un retrait contre le phishing : plus de 500 000 domaines neutralisés

The Enablers Registry·Editorial mirror·/fr/takedown-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Anatomie d'un retrait
CYBERDÉFENSE

L'anatomie d'un retrait : comment THE ENABLERS REGISTRY lutte contre la cybercriminalité

D'une initiative naissante en 2019 à une véritable force de frappe qui a neutralisé plus de 400 000 domaines malveillants, le parcours de THE ENABLERS REGISTRY témoigne de la puissance de la communauté, de la technologie et d'une réputation durement acquise.

Anatomie d'un retrait — scanner de détection, vérification biométrique, marteau du registraire, extraction DNS, « tombstone » de domaine

Dans la lutte sans relâche contre la fraude en ligne, THE ENABLERS REGISTRY s'est imposé comme un acteur incontournable, passant d'une initiative ciblée lancée en 2019 à une opération hautement efficace. Notre mission est claire : démanteler les infrastructures de hameçonnage et d'escroquerie, afin de protéger les utilisateurs du monde entier. Il ne s'agit pas seulement de bloquer les liens malveillants, mais aussi de comprendre la structure d'une cyberattaque et de la neutraliser à la source.

Notre évolution : de quelques semaines à quelques minutes

Comment un seul lien de hameçonnage peut déclencher toute une chaîne de retraits visant à mettre hors service un site

À ses débuts, THE ENABLERS REGISTRY mettait parfois plusieurs semaines à désactiver un domaine malveillant. Au fil des années, nous nous sommes développés, avons noué des alliances solides et gagné la confiance d’acteurs clés du secteur de la cybersécurité. Nous avons toujours concentré nos efforts exclusivement sur le possibly phishing, ce qui nous a permis de développer une expertise pointue et de maintenir un taux de faux positifs très faible.

Aujourd'hui, ce qui prenait autrefois des semaines peut désormais être réalisé en quelques minutes seulement. Cette accélération témoigne de notre capacité à innover en permanence et de la solide réputation que nous nous sommes forgée.

La procédure de retrait

1. Détection et vérification rapides

La détection s'effectue grâce aux signalements de la communauté via notre Bot [REDACTED], la surveillance automatisée et les flux d'informations sur les menaces. Nos équipes vérifient rapidement les menaces afin de garantir un taux de faux positifs minimal.

2. Analyse approfondie et collecte de preuves

Nos analystes étudient la menace en profondeur afin d'en identifier les caractéristiques, les cibles et les méthodes. Cela implique l'analyse des charges utiles, la cartographie de l'infrastructure et l'évaluation de l'impact sur les victimes. Chaque élément de preuve est minutieusement documenté.

3. Coordination stratégique et action

C'est là que notre réputation entre en jeu. Nous avons noué des relations solides avec des centaines de fournisseurs d'hébergement, de bureaux d'enregistrement de noms de domaine et d'organismes chargés de l'application de la loi. Lorsque THE ENABLERS REGISTRY transmet un signalement, plus de 50 systèmes reconnaissent instantanément notre demande. Si un site signalé s'avère être un site de hameçonnage, il peut être fermé en quelques minutes.

4. Liquidation et suivi

L'objectif final est la suppression totale. Une fois la procédure de retrait lancée, nous surveillons son déroulement afin de nous assurer que le site est hors ligne et le reste. Nos efforts ont permis de mettre fin avec succès à plus de 500 000 domaines malveillants depuis 2019, avec une vérification continue après le retrait afin de détecter en quelques heures toute infrastructure réapparaissant à la surface.

Méthodologie opérationnelle : automatisation, précision, échelle

Notre modèle combine reportages communautaires avec systèmes de détection automatisés et des analyses de précision. Le processus est conçu pour s'adapter à n'importe quel volume, d'un simple rapport à des milliers de retraits par jour, sans compromettre la qualité.

  • Analyseurs syntaxiques sur mesure analyser en continu les résultats de recherche SEO, les emplacements publicitaires sponsorisés et Google Ads à la recherche d'indicateurs de hameçonnage — afin de détecter les menaces dès leur première apparition dans un emplacement publicitaire payant.
  • Les menaces identifiées sont automatiquement transmises à Plus de 50 éditeurs d'antivirus et les flux d'informations sur les menaces, afin d'optimiser la couverture mondiale des blocages dès les premières minutes suivant la détection.
  • Nous tenons à jour un taux de faux positifs inférieur à 0,5 %, avec plus de 100 000 rapports validés — ce qui prouve que nos systèmes ne sont pas seulement rapides, mais aussi d’une grande précision.
  • Les contributeurs vérifiés qui soumettent Plus de 100 rapports fiables sont accordés « de confiance » statut, permettant ainsi des signalements directs sans modération et réduisant considérablement le délai de retrait pour les signalants connus.
  • Un concert compteur de dégâts estime les pertes financières subies par les escrocs — en se basant sur la valeur moyenne des noms de domaine et les coûts de promotion (environ 15 $ par nom de domaine pour les montages classiques d'escroqueries liées aux cryptomonnaies).

Sources de détection — Où apparaissent les menaces ?

Les infrastructures de hameçonnage se cachent rarement : elles se mettent en avant. Nous recueillons des pistes à partir de :

  • Rapports du bot [REDACTED] de la part de notre communauté via @EnablersRegistry — accueil public de première ligne.
  • Outils d'analyse SEO et de publicités payantes — Google Ads, Bing, Yandex ; les mots-clés liés aux portefeuilles cryptos, aux plateformes d'échange et aux ponts de transfert, dans le cadre de publicités sponsorisées, font l'objet d'une surveillance continue.
  • Flux d'informations sur les menaces qui nous ont été communiquées par nos partenaires et chercheurs.
  • Réseaux « honeypot » et des jetons « canary » générés à partir de phrases de récupération, qui nous alertent lorsque des escrocs tentent d'utiliser des données volées.
  • WHOIS et transparence des certificats surveillance des domaines similaires nouvellement enregistrés qui ciblent des marques protégées.

Conservation des preuves — Enregistrement numérique permanent

Les retraits ne sont qu'une première étape. La préservation des éléments de preuve est notre priorité absolue — car un domaine supprimé ne présente aucun intérêt pour les enquêteurs s’il n’en reste aucune trace.

  • Chaque domaine détecté est archivés via des scanners publics (urlscan.io, Wayback Machine, nos propres pipelines de capture d'instantanés) pour recueillir des empreintes complètes des sites — code HTML, captures d'écran, appels réseau, charges utiles JavaScript.
  • Chaque opération laisse une enregistrement numérique qui ne peut pas être supprimé par des pirates — publié ouvertement sur Liste des dépôts à supprimer sur GitHub et le Archives de ScamIntelLogs.
  • Les archives comprennent des panneaux d'administration utilisés par les escrocs, des exportations de discussions [REDACTED], des flux de paiement, des dossiers sur les victimes et des IOC — ce qui facilite l'attribution de la responsabilité et les poursuites judiciaires bien après le retrait des sites.
  • Alors que les escrocs effacent leurs traces, nous les rendons indélébiles.

Alliés et adversaires parmi les registraires

La rapidité de retrait dépend entièrement de la réactivité du registraire et de l'hébergeur. Les données de nos partenaires révèlent un fossé marqué :

Représailles criminelles — Confirmation de l'impact

Notre efficacité a suscité une réaction hostile organisée, que nous considérons comme la preuve de notre impact plutôt que comme une source de perturbation :

Les criminels tentent d'effacer leurs traces ; nous veillons à ce qu'elles restent indélébiles.

Statut juridique et coordination

Nous sommes une collectif d'exploitants à but non lucratif — ce n’est ni une entreprise, ni une personne morale, ni une entité liée à un gouvernement quelconque. Tout ce que nous faisons se fait en toute transparence :

  • Tous les rapports et toutes les preuves sont publiés en toute transparence sur GitHub, [REDACTED] et Mastodon — rien n'est caché ni conservé à titre privé.
  • Dans le cadre d’enquêtes de grande envergure portant sur l’identification des acteurs, le traçage financier ou la cartographie des infrastructures, nous transmettre officiellement l'intégralité des dossiers de preuves aux forces de l'ordre ou aux équipes CERT.
  • Tous ces transferts sont effectués dans le strict respect de la loi et uniquement lorsque des renseignements exploitables ont été vérifiés.
  • Nous ne conservez aucune donnée à caractère personnel des contributeurs — protéger les lanceurs d'alerte contre les représailles et éliminer le risque de fuite de données.

Notre rôle consiste à recenser et à démanteler les activités malveillantes, puis à apporter notre soutien aux autorités compétentes pour qu'elles puissent agir sur la base des éléments de preuve recueillis.

En chiffres

  • 500,000+ domaines utilisés à des fins d'hameçonnage et d'escroquerie neutralisés depuis 2019.
  • 130,000+ menaces actives répertoriées dans liste à supprimer.
  • 50+ Les éditeurs d'antivirus et les plateformes de renseignements sur les menaces reçoivent nos flux.
  • 30,000+ domaines supprimés uniquement dans le cadre du partenariat avec IANA #1068.
  • < 0,5 % taux de faux positifs sur l'ensemble de 100,000+ rapports validés.
  • 140,000+ rapports archivés après la suspension de notre compte X.
  • Plus de 888 000 abonnés de la communauté sur l'ensemble des flux.

Comment vous pouvez nous aider

« L'action collective est la meilleure défense. Notre parcours montre ce qu'il est possible d'accomplir lorsque la technologie, l'expertise et la communauté s'unissent pour lutter contre la cybercriminalité. »

#CyberDefense#Takedown#Possibly phishing#Community

Partager cet article

Enquêtes connexes

ENQUÊTE
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
INDICATEURS
Indicateurs d'impact : plus de 500 000 menaces de hameçonnage neutralisées
ENQUÊTE
IANA #1479, IANA #460, IANA #3765 : des bureaux d'enregistrement à l'origine d'escroqueries

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings