ProPrivacy Open Data Project: Utiliser Les Données WHOIS pour la Cartographie des Noms de Domaine Liés au Coronavirus

L’épidémie COVID-19 a forcé de nombreuses personnes à faire presque tout dans l'enceinte de leur domicile. Le recours presque exclusif aux moyens numériques pour travailler, étudier, faire des achats et communiquer dans un climat d'incertitude a ouvert de nombreuses voies à la cybercriminalité, notamment à travers de l'utilisation de noms de domaine liés au coronavirus.

Dans le but de détecter et comprendre ces noms de domaine, ProPrivacy s'est associé à WhoisXML API et à VirusTotal, et a étudier les situations dans lesquelles les cybercriminels pourraient utiliser le système de noms de domaine (DNS) comme une arme dans un projet de données ouvertes appelé le COVID-19 Malicious Domain Research Hub.-

Les Objectifs du Projet

Les noms de domaine, en particulier ceux récemment enregistrés, sont utilisés fréquemment par les cybercriminels dans des campagnes de phishing, des attaques de logiciels malveillants (malware), des escroqueries financières et d'autres activités néfastes. Même avant l’épidémie du coronavirus, de nombreux noms de domaines nouvellement enregistrés se sont avérés malveillants ou suspects.

Afin d’avoir une meilleure perspective sur le nombre de noms de domaine liés aux coronavirus et utilisés à des fins malveillantes, ProPrivacy a initié son projet de données ouvertes. Le projet a des objectifs simples et interdépendants, énumérés ci-dessous:

• Obtenir une liste continuellement mise à jour quant aux noms de domaine liés à l’épidémie COVID-19;
• Déterminer si ces noms de domaines sont utilisés à des fins malveillantes (ou pas);
• Partager ces informations avec le public.

Le Partenariat avec WhoisXML API

En donnant accès à sa vaste base de données WHOIS via des appels d'API, WhoisXML API a aidé ProPrivacy à surveiller les enregistrements de noms de domaine liés au coronavirus parmi des centaines de milliers de nouveaux enregistrements de noms de domaine effectués quotidiennement.

Une fois qu'un nom de domaine a été marqué comme « malveillant » par VirusTotal, ProPrivacy fait appel à WhoisXML API pour collecter les enregistrements WHOIS complets. Ces enregistrements incluent les dates d'enregistrement et d'expiration du nom de domaine en question, de son titulaire, ainsi que de l’adresse électronique liée. Pour garantir la qualité de l'ensemble de données, ProPrivacy utilise également le WHOIS History API pour collecter l’historique du nom de domaine.

Le projet de données ouvertes a en outre mis en évidence le fait que les comportements d'enregistrement de noms de domaine sont souvent étroitement liés aux événements d'actualité. En particulier, l'équipe a détecté une augmentation d’enregistrement de 648% le même jour que l'Organisation mondiale de la santé (OMS) a nommé le virus « COVID-19.»

Les Résultats du Projet

Le projet a mis en avant ces résultats à ce jour:

• ProPrivacy a analysé plus de 600,000 noms de domaine liés aux coronavirus.
• Plus de 125,000 des noms de domaines analysés ont été jugés malveillants.

Vous pouvez consulter plus sur le COVID-19 Malicious Domain Research Hub ici. Les données sont également accessibles sur Github.

Vous pouvez également en savoir plus sur les offres de base de données de WhoisXML API en visitant les pages suivantes:

• Newly Registered & Just Expired Domains Database
• WHOIS Database Download
• DNS Database Download