Cloudflare recense les TLD les plus malveillants

L'augmentation et la diversification des noms de domaines de premier niveau apporte des opportunités de visbilité pour de nombreuses sociétés, organisations privées, publiques ou gouvernementales. Mais elle constitue aussi une aubaine pour les pirates qui les utilisent à des fins malveillantes.

Le système de noms de domaine a considérablement évolué depuis sa création. Ce qui n'était au départ qu'une poignée de domaines génériques de premier niveau (.com, .net et .org) s'est développé pour compter plus de 1 400 TLD (noms de domaines de premier niveau) valides en octobre 2025. Une autre vague d'expansion est d'ailleurs prévue pour avril 2026. Cette croissance rend indispensable pour les opérateurs réseau et les équipes de sécurité de comprendre les modèles d'utilisation des TLD et les risques liés à la sécurité. Cette semaine, Cloudflare a publié son rapport sur l'état des TLD via sa plateforme Radar. Ce service agrège des données provenant de plusieurs sources, notamment le résolveur DNS public 1.1.1.1 de Cloudflare, le service de sécurité des e-mails et les journaux de transparence des certificats.

L'analyse révèle des conclusions inattendues :

- Le TLD .su de l'ère soviétique occupe la première place en termes de visibilité DNS, principalement grâce aux requêtes provenant d'un jeu en ligne très populaire ;

- Certains TLD de niche affichent des taux d'e-mails malveillants supérieurs à 94 %, le .motorcycles arrivant en tête avec 94,7 % ;

- Malgré plus de 1 400 TLD disponibles, le .com représente toujours plus de 60 % de toutes les requêtes DNS ;

- Le TLD .ai, axé sur l'IA, affiche un taux d'adoption inférieur aux prévisions compte tenu de la prolifération des entreprises spécialisées dans l'IA ;

- Le TLD .dev occupe la 7e place en termes de visibilité DNS.

« L'une des plus grandes surprises a été le classement très élevé de .dev dans le classement Magnitude et la distribution préalable des certificats », a déclaré David Belson, responsable de l'analyse des données chez Cloudflare, à NetworkWorld. « En tant que domaine destiné aux développeurs, je pensais que son utilisation serait plus limitée. De même, avec l'explosion des entreprises et des plateformes axées sur l'IA, je m'attendais à ce que .ai ait un classement Magnitude plus élevé, avec une utilisation plus répandue. »

Magnitude DNS : une mesure de la visibilité des TLD

Le rapport se sert du système de classement DNS Magnitude, une métrique initialement développée par l'autorité d'enregistrement nic.at. Il mesure la portée d'une extension sur Internet plutôt que le simple volume de requêtes. Le calcul tient compte du nombre de réseaux uniques (sous-réseaux IP clients agrégés) qui envoient des requêtes pour les domaines sous chaque TLD. Le résultat est une note comprise entre 0 et 10. Cette approche fournit des données de visibilité plus précises que le simple comptage des requêtes. Un petit nombre de sources peut générer des volumes de requêtes disproportionnés. Des valeurs de magnitude plus élevées indiquent une visibilité mondiale plus large.

Top 10 des noms de domaines de premier niveau les plus visibles d'après une analyse basée sur la métrique DNS Magnitude développée par l'autorité d'enregistrement nic.at pour estimer la visibilité d'un domaine sur Internet. (crédit : Cloudflare)

L'apparition de .su en tête du classement par Magnitude a pris les chercheurs au dépourvu. Initialement attribué à l'Union soviétique en 1990, ce TLD a perduré malgré la dissolution de l'URSS en 1991. L'Icann prévoit apparemment de le retirer en 2030. L'analyse montre que .su n'occupe jamais la première place en termes de réseaux uniques sur une seule journée. Cependant, sur des périodes plus longues (par exemple sept jours), il enregistre plus de requêtes provenant de réseaux uniques que les autres TLD. Les noms d'hôtes les plus populaires au sein de .su sont associés à un jeu en ligne populaire de construction de mondes. Plus de la moitié des requêtes pour ce TLD proviennent des États-Unis, d'Allemagne et du Brésil.

Sécurité des e-mails : identification des TLD à haut risque

Les données les plus exploitables immédiatement par les équipes de sécurité proviennent de l'analyse de la sécurité des e-mails effectuée par Cloudflare. Ce service identifie les TLD présentant les pourcentages les plus élevés de messages malveillants et de spam. Les données sont basées sur l'analyse de l'en-tête « From: » des e-mails traités par le service de sécurité des e-mails dans le cloud de Cloudflare. Plusieurs TLD affichent des taux de malveillance supérieurs à 90 %. Le TLD .motorcycles arrive en tête avec 94,7 %. Cela signifie que 94,7 % de tous les e-mails provenant de ce TLD traités par le service ont été identifiés comme malveillants ou indésirables.

« Du point de vue de la sécurité des e-mails, notre liste des TLD les plus utilisés à des fins abusives peut certainement être utilisée pour prendre des décisions concernant les domaines ou les TLD à bloquer », a expliqué M. Belson. « Dans le cadre de vos activités normales, vous attendez-vous à recevoir de nombreux e-mails de clients ou de partenaires dans un domaine .motorcycles ou .zw ? Si ce n'est pas le cas, le risque de bloquer quelque chose d'important est probablement faible. » Il ajoute que les opérateurs et les gestionnaires de TLD devraient également surveiller les données relatives à leurs propres opérations : « Les opérateurs/gestionnaires de TLD pourraient vouloir garder un œil sur le graphique du volume de requêtes et le tableau de répartition géographique. Des anomalies dans ces indicateurs pourraient indiquer un abus potentiel. »

Transparence des certificats et détection des anomalies

Chaque page TLD dans Cloudflare Radar comprend des données sur la transparence des certificats (CT). Ces informations indiquent le volume d'émission de certificats TLS/SSL et leur répartition entre les autorités de certification (CA). Les pré-certificats servent de proxy pour le déploiement réel des certificats. « Un pré-certificat est un type spécial de certificat utilisé dans la CT qui permet à une CA d'enregistrer publiquement un certificat avant qu'il ne soit officiellement émis », explique M. Belson. « Les CA ne sont pas tenues d'enregistrer les certificats complets si les pré-certificats correspondants ont déjà été enregistrés, bien que beaucoup le fassent quand même. Il y a donc généralement plus de pré-certificats enregistrés que de certificats complets. »

Au-delà de la compréhension du mécanisme d'enregistrement des certificats, ces données ont des applications pratiques en matière de sécurité. « La répartition que nous présentons peut être utile pour suivre les activités malveillantes potentielles », note M. Belson. « Par exemple, une croissance anormale dans un TLD donné pourrait indiquer qu'un grand nombre de certificats sont émis en association avec un algorithme de génération de domaines, ces domaines étant utilisés dans le cadre d'une campagne de phishing ou de redirection malveillante. »

La domination persistante du .com

Malgré la disponibilité de plus de 1 400 TLD, le .com continue de dominer et représente plus de 60 % des requêtes DNS. Les statistiques sur le nombre de domaines confirment cette tendance. « Les statistiques sur le nombre de domaines suggèrent que le .com compte près d'un ordre de grandeur de plus de domaines enregistrés que le TLD le plus populaire après lui », fait savoir M. Belson. « Dans ces conditions, il est logique que le .com arrive en tête de la liste DNS Magnitude et des TLD pré-certifiés les plus populaires. » Les raisons de cette domination sont multiples. M. Belson a fait remarquer que bon nombre des nouveaux TLD ont eu du mal à s'imposer au fil des ans. Cela s'explique parfois par le fait que ces derniers TLD ont des prix nettement plus élevés. Une autre raison possible citée est que les internautes ont simplement pris l'habitude de considérer le .com comme la norme.

Comprendre l'utilisation des différents TLD peut être utile tant pour les organisations que pour les opérateurs de réseau. M. Belson a fait remarquer que la plupart des registraires de noms de domaine se contentent d'enregistrer les noms de domaine, sans fournir de contexte supplémentaire. Cloudflare dispose de son propre service d'enregistrement et ce service pourrait contribuer à sensibiliser le public, même si son impact s'étend à tous les internautes. Il a ajouté que ce service peut fournir aux futurs titulaires de noms de domaine des informations supplémentaires sur le quartier dans lequel ils s'apprêtent à emménager, pour ainsi dire : vont-ils rejoindre un TLD bien connu et très utilisé, ou un TLD moins connu et moins « sûr » ? « Cette décision peut avoir un impact sur la perception de leur domaine et peut potentiellement avoir des répercussions sur des éléments tels que la délivrance des e-mails », a déclaré M. Belson. « De plus, comme nous le faisons avec d'autres ensembles de données Cloudflare, la publication de ces informations peut contribuer à apporter une transparence supplémentaire sur les abus et les attaques potentiels qui seraient autrement plus difficiles à observer. »