Subdomain Takeover : Risque et Protection

Un sous-domaine abandonné peut être détourné. Apprenez à détecter et prévenir ce risque.

Le subdomain takeover est une vulnérabilité où un attaquant prend le contrôle d'un sous-domaine légitime via un enregistrement DNS "dangling" (pendant). Scénario typique : vous avez un CNAME blog.example.com pointant vers votre-blog.heroku.com, puis vous supprimez le blog Heroku mais oubliez le CNAME. Un attaquant peut créer votre-blog.heroku.com et prendre le contrôle de blog.example.com. Cela permet du phishing, du vol de cookies, et des attaques sur votre domaine parent.

Signes de Vulnérabilité

  • Un sous-domaine affiche une page d'erreur du service cloud ("There isn't a GitHub Pages site here")
  • CNAME pointe vers un service que vous n'utilisez plus
  • Le sous-domaine retourne une 404 ou une page de parking
  • Vous avez de nombreux sous-domaines et pas d'inventaire à jour

Services à Risque

  • Plateformes cloud : GitHub Pages, Heroku, Azure, AWS S3, Shopify - si vous supprimez le service mais gardez le CNAME.
  • CDN et SaaS : Fastly, Cloudfront, Zendesk - même principe si l'abonnement est résilié.
  • Anciennes campagnes : landing.example.com pour une campagne marketing terminée, pointant vers un service abandonné.

Détection et Nettoyage

  1. Auditez tous vos sous-domaines : récupérez la liste complète depuis votre DNS provider.
  2. Identifiez les CNAME : pour chaque CNAME, vérifiez que la cible existe et vous appartient.
  3. Testez les réponses : curl chaque sous-domaine et cherchez les pages d'erreur révélatrices.
  4. Nettoyez : supprimez immédiatement les enregistrements DNS vers des services que vous ne contrôlez plus.

Détection Continue avec MoniTao

MoniTao peut identifier les risques de takeover :

  • Surveillance de tous vos sous-domaines pour détecter les pages d'erreur suspectes
  • Alerte si un CNAME retourne une réponse de service non configuré
  • Inventaire automatique de vos enregistrements DNS

Prévention du Takeover

  • Supprimez le DNS AVANT de supprimer le service cloud, pas après
  • Maintenez un inventaire à jour de tous vos sous-domaines et leur usage
  • Auditez régulièrement vos DNS pour identifier les dangling records
  • Utilisez des outils comme subjack ou can-i-take-over-xyz pour scanner vos domaines

FAQ - Subdomain Takeover

Qu'est-ce qu'un attaquant peut faire avec un takeover ?

Héberger du phishing sur votre domaine, voler des cookies si same-site, afficher du contenu malveillant sous votre marque.

Tous les CNAME sont-ils vulnérables ?

Non, seulement ceux vers des services où n'importe qui peut créer un compte avec un nom personnalisé (GitHub Pages, Heroku, etc.).

Comment savoir si j'ai été takeover ?

Visitez vos sous-domaines. Si vous voyez du contenu que vous n'avez pas créé, c'est un takeover.

Est-ce illégal de faire un takeover ?

Oui, c'est considéré comme une intrusion informatique dans la plupart des juridictions. Signalez-le aux autorités.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs