Defaults.Exposed › Rapports
Détournement de domaine et de DNS : comment les domaines sont volés et comment verrouiller le vôtre (2026)
Publié 2026-07-01
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines évalués. Le détournement consiste à prendre le contrôle du DNS ou de l’enregistrement de votre domaine afin de rerouter son trafic et son courrier. Voir comment nous attribuons les notes.
Le détournement de domaine ne touche pas à votre site web — il prend le contrôle du DNS ou du compte de bureau d’enregistrement qui pointe vers lui, de sorte que vos propres visiteurs et vos e-mails sont discrètement redirigés vers un attaquant. Les deux contrôles DNS qui réduisent le plus le risque figurent parmi les moins déployés sur le web : seuls 1,99 % des domaines disposent d’un DNSSEC valide et seulement 1,56 % publient un enregistrement CAA. Voici comment les domaines sont volés et comment verrouiller le vôtre.
Comment les domaines sont réellement détournés
- Prise de contrôle du compte de bureau d’enregistrement — un mot de passe hameçonné ou réutilisé sur votre identifiant de bureau d’enregistrement permet à un attaquant de modifier les serveurs de noms ou de transférer purement et simplement le domaine. Le vecteur à plus fort impact, et le plus évitable.
- Altération des enregistrements DNS / empoisonnement du cache — des réponses DNS falsifiées dirigent les utilisateurs et le courrier ailleurs. C’est exactement ce que DNSSEC est conçu pour empêcher — et 1,99 % des domaines en disposent (avec 3,02 % de plus signés mais défaillants).
- Enregistrements orphelins — une entrée DNS laissée pointant vers une ressource cloud que vous ne possédez plus permet à quelqu’un d’autre de la revendiquer (détournement de sous-domaine).
- Réenregistrement de domaine expiré — laissez un domaine expirer et n’importe qui peut le réenregistrer, héritant de son trafic et de sa confiance résiduels. Sur l’ensemble du recensement, 6,2 % des domaines ne résolvent plus — un vaste réservoir de noms expirés. Voir les domaines morts d’internet.
- Émission de certificat frauduleux — sans un enregistrement CAA restreignant les autorités autorisées à émettre pour votre domaine, un certificat mal émis est plus facile à obtenir. Seuls 1,56 % des domaines en définissent un.
La concentration ajoute une dimension systémique
La plupart des domaines dépendent d’une poignée de fournisseurs DNS, si bien qu’un seul incident chez un fournisseur a une portée démesurée : le plus grand opérateur de serveurs de noms dessert à lui seul 15,4 % des domaines qui utilisent un fournisseur reconnu, et les cinq premiers réunis 42,1 %. La concentration n’est pas un défaut que vous pouvez corriger seul, mais c’est une raison de bien maîtriser les contrôles que vous maîtrisez. Voir la concentration des serveurs de noms.
Comment verrouiller votre domaine
- Sécurisez le compte de bureau d’enregistrement — mot de passe unique, MFA robuste, et activez le verrouillage du bureau d’enregistrement (transfert interdit) afin que le domaine ne puisse pas être déplacé sans un déverrouillage explicite.
- Activez DNSSEC là où votre hébergeur l’automatise — il bloque les réponses DNS falsifiées au niveau du résolveur.
- Publiez un enregistrement CAA ne nommant que les autorités de certification que vous utilisez, afin qu’un certificat frauduleux ne puisse pas être émis.
- Auditez le DNS à la recherche d’enregistrements orphelins — supprimez les entrées pointant vers des ressources que vous ne contrôlez plus.
- Ne laissez jamais expirer des domaines clés — activez le renouvellement automatique de l’enregistrement et tenez vos coordonnées à jour pour qu’un avis de renouvellement ne passe jamais inaperçu.
Foire aux questions
Qu’est-ce que le détournement de domaine ? Prendre le contrôle de l’enregistrement ou du DNS de votre domaine pour rediriger son trafic web et de messagerie — sans jamais compromettre vos serveurs réels.
En quoi le détournement de DNS est-il différent ? Le détournement de DNS altère spécifiquement les enregistrements qui résolvent votre domaine (via une prise de contrôle de compte, un empoisonnement du cache ou un hébergeur DNS compromis). DNSSEC protège contre les réponses falsifiées ; seuls 1,99 % des domaines en disposent.
Quelle est la meilleure protection unique ? Verrouiller le compte de bureau d’enregistrement — mot de passe unique, MFA et verrouillage du transfert du bureau d’enregistrement. La plupart des détournements commencent par un accès au compte, et non par des attaques ingénieuses.
DNSSEC empêche-t-il le détournement ? Il bloque une catégorie importante — les réponses DNS falsifiées ou empoisonnées — mais pas la prise de contrôle du compte de bureau d’enregistrement. Utilisez-le conjointement avec la sécurité du compte et CAA.
Tout cela est-il coûteux ? Non. Le verrouillage du bureau d’enregistrement, DNSSEC et CAA sont des réglages gratuits ; le coût réside dans la discipline nécessaire pour les appliquer.
Vérifiez gratuitement les défenses DNS de votre domaine
Découvrez si DNSSEC et CAA sont en place et correctement configurés — de manière privée, réservée au propriétaire.
Vérifiez votre domaine → · Corriger DNSSEC → · Corriger CAA → · Comment nous attribuons les notes → · Données agrégées uniquement. Données stockées et traitées dans l’UE.