Sous-domaines oubliés : un vecteur d'attaque méconnu

Le subdomain takeover : comment ça fonctionne

Le subdomain takeover est une attaque qui permet à un tiers de prendre le contrôle d'un sous-domaine légitime de votre organisation. Le scénario classique :

1. Votre entreprise utilisait un service tiers (Heroku, GitHub Pages, AWS S3, Zendesk…) via un CNAME comme support.votredomaine.com → votreentreprise.zendesk.com
2. Vous avez annulé votre abonnement Zendesk, mais oublié de supprimer l'entrée DNS
3. Le sous-domaine votreentreprise.zendesk.com n'est plus réservé — n'importe qui peut le récupérer
4. Un hacker crée un compte Zendesk avec ce nom, et contrôle désormais support.votredomaine.com

Résultat : une page de phishing parfaitement crédible sous votre propre domaine, avec un SSL valide affiché dans le navigateur.

DNS dangling : le CNAME qui pointe dans le vide

Un dangling DNS record (enregistrement DNS pendant) est une entrée DNS qui pointe vers une ressource qui n'existe plus. C'est la condition nécessaire au subdomain takeover.

Les services les plus exposés à ce risque sont ceux où les ressources sont éphémères et partageables :

• Heroku — apps supprimées mais CNAME conservé
• GitHub Pages — repo supprimé ou renommé
• AWS S3 — bucket supprimé dans une région
• Azure / GCP — services cloud temporaires
• Netlify / Vercel — projets désactivés
• Zendesk / Freshdesk — sous-domaines support abandonnés

Shadow IT et sous-domaines non inventoriés

Dans les PME et agences, les sous-domaines prolifèrent sans inventaire central : un développeur crée api-v2.domaine.com, un commercial installe un outil de démonstration sur demo.domaine.com, un projet pilote utilise beta.domaine.com. Quelques mois plus tard, les projets s'arrêtent mais les DNS restent.

Ce phénomène est aggravé par les équipes qui utilisent des services cloud en self-service sans passer par l'IT. On parle de shadow IT.

L'impact réel sur votre domaine principal

Un sous-domaine compromis nuit directement à votre domaine racine :

• Phishing crédible — une page de connexion sous login.votredomaine.com est indistinguable de la vraie pour vos utilisateurs
• Réputation email — les emails envoyés depuis un sous-domaine pris en main peuvent faire blacklister votre domaine entier
• SEO négatif — du contenu spam indexé sous votre domaine dégrade votre profil SEO
• Violation RGPD — si des données clients transitent par un formulaire pirate sous votre domaine, vous êtes responsable

Comment dresser l'inventaire de vos sous-domaines

Via les outils de reconnaissance passive

# Enumération via Certificate Transparency logs
curl "https://crt.sh/?q=%.votredomaine.com&output=json" | jq '.[].name_value' | sort -u

# Via subfinder (outil open source)
subfinder -d votredomaine.com -silent

Via votre registrar / hébergeur DNS

Exportez la zone DNS complète depuis votre panneau de gestion. Listez tous les enregistrements CNAME et A. Pour chaque CNAME, vérifiez que la cible est toujours active et vous appartient.

Via les logs d'accès serveur

Vos logs web peuvent révéler des sous-domaines actifs que vous avez oubliés, car les bots les scannent régulièrement.

Nettoyer et sécuriser ses sous-domaines

Processus de nettoyage

1. Dresser l'inventaire complet (voir section précédente)
2. Pour chaque entrée DNS, vérifier que la cible est active et vous appartient
3. Supprimer immédiatement les enregistrements dont la cible n'existe plus
4. Pour les sous-domaines actifs mais non maintenus, décider : maintenir ou supprimer

Bonnes pratiques pour l'avenir

• Maintenir un registre des sous-domaines avec : propriétaire, service associé, date de création, date de révision
• Inclure la suppression DNS dans le processus d'offboarding de tout service externe
• Auditer les DNS tous les trimestres
• Utiliser un monitoring automatique pour détecter les changements DNS non autorisés