Skip to content

Sous-domaines oubliés : la porte d’entrée préférée des ransomwares

Les sous-domaines oubliés sont exploités dans 34% des incidents ransomware. Non patchés, sans WAF, souvent exécutés sur des versions obsolètes, ils offrent un accès privilégié aux attaquants. Guide complet de détection et remédiation.

Sarah Mansouri
Sarah Mansouri
19 février 20256 min
Sous-domaines oubliés : la porte d’entrée préférée des ransomwares

Sous-domaines oubliés : pourquoi ils sont si dangereux

Chaque organisation a des sous-domaines qu'elle ne surveille plus : anciens portails RH, environnements de test, campagnes marketing terminées, applications décommissionnees à moitié. Ces sous-domaines sont le point d'entrée favori des groupes ransomware en 2025.

Pourquoi les sous-domaines oubliés sont vulnérables

  • Non patchés : personne n'est responsible de leur mise à jour
  • Sans WAF : pas de protection applicative en frontal
  • Sans monitoring : aucune alerte en cas d'activité anormale
  • Versions obsolètes : souvent des CMS ou frameworks anciens
  • Credentials réutilisés : les identifiants de la prod y fonctionnent encore

Le phénomène des Dangling Subdomains

Un dangling subdomain est un sous-domaine dont l'enregistrement DNS pointe vers une ressource qui n'existe plus (instance cloud supprimée, service tiers résilié). Un attaquant peut prendre le contrôle de ce sous-domaine en créant la ressource manquante.

old-app.example.com -> CNAME -> old-app.s3.amazonaws.com
                                      ^
                                Bucket supprimé
                                      |
                          Attaquant crée ce bucket
                          -> old-app.example.com sous son contrôle

Cette technique de subdomain takeover permet de servir du phishing, du malware ou de voler des cookies de session.

Les types de sous-domaines à risque

TypeExempleRisque
Environnements de teststaging.example.com★★★★
Anciennes campagnespromo2022.example.com★★★
Filiales acquiseslegacy-brand.example.com★★★★★
Services tiersmail.example.com (Mailchimp)★★★
Développementdev.example.com★★★★

Comment l'EASM détecte les sous-domaines risqués

Breach Atlas effectue automatiquement :

  1. Enumération complète des sous-domaines via DNS, CT Logs, OSINT
  2. Vérification des résolutions DNS (dangling subdomains)
  3. Scan des vulnérabilités sur chaque sous-domaine découvert
  4. Alerte immédiate sur les nouveaux sous-domaines détectés

Plan de remédiation en 4 étapes

  1. Inventarier tous les sous-domaines (y compris les oubliés)
  2. Supprimer les enregistrements DNS des services décommissionnés
  3. Patcher les sous-domaines actifs mais non surveillancés
  4. Surveiller en continu avec l'EASM

Conclusion

Les sous-domaines oubliés sont un problème universel. Chaque organisation en a. La différence entre celles qui subissent un ransomware et celles qui l'évitent est souvent leur capacité à les détecter et les assainir avant les attaquants.

Mots-clés : sous-domaines oubliés ransomware, dangling subdomains, subdomain takeover, sous-domaines vulnérables, détection sous-domaines EASM

← Retour au blog