Les sous-domaines : l'angle mort de la sécurité de la plupart des entreprises
Quand on parle de surveillance de domaine, on pense d'abord au domaine racine : monentreprise.com. Mais les sous-domaines — ces préfixes comme blog., api., app., mail., staging. — sont souvent laissés dans l'ombre. Pourtant, ils représentent une surface d'attaque tout aussi réelle, et parfois encore plus vulnérable.
Le subdomain takeover : quand un attaquant prend le contrôle de votre sous-domaine
L'une des menaces les plus méconnues liées aux sous-domaines est le "subdomain takeover". Elle survient lorsqu'un sous-domaine pointe vers un service tiers (Heroku, GitHub Pages, Shopify, AWS S3…) qui a été supprimé ou désactivé, mais que l'enregistrement DNS n'a pas été retiré. Un attaquant peut alors créer un compte sur ce service et y héberger son propre contenu — qui apparaît sous votre domaine légitime.
Concrètement : un visiteur qui accède à promo.monentreprise.com pourrait tomber sur une page de phishing, un faux formulaire de connexion ou du contenu malveillant — le tout sous votre propre nom de domaine. Les conséquences en termes de réputation et de confiance sont immédiates.
Des certificats SSL distincts pour chaque sous-domaine
Chaque sous-domaine peut avoir son propre certificat SSL, avec sa propre date d'expiration. Un certificat wildcard (*.monentreprise.com) couvre bien l'ensemble des sous-domaines de premier niveau, mais il ne protège pas les sous-sous-domaines, et il a lui-même une date limite. Si vous gérez plusieurs sous-domaines avec des prestataires différents, le suivi de leurs certificats peut rapidement devenir un casse-tête.
Les sous-domaines oubliés : une menace silencieuse
Au fil du temps, les entreprises accumulent des sous-domaines créés pour des projets ponctuels, des campagnes marketing, des environnements de test ou des intégrations temporaires. Ces sous-domaines sont parfois abandonnés sans que les entrées DNS correspondantes soient supprimées. Ils deviennent alors des cibles privilégiées pour les attaquants, qui savent exactement où chercher.
Les outils de reconnaissance utilisés par les pirates (comme Amass, Subfinder ou Shodan) permettent d'énumérer automatiquement tous les sous-domaines d'un domaine. Ce qui signifie que vos sous-domaines oubliés sont connus des attaquants avant même que vous ne les ayez identifiés.
Que surveiller concrètement sur vos sous-domaines ?
Une bonne stratégie de surveillance des sous-domaines doit couvrir plusieurs dimensions :
- Les changements de configuration DNS (modifications d'enregistrements A, CNAME, MX...)
- La validité et la date d'expiration des certificats SSL de chaque sous-domaine
- La disponibilité (uptime) de chaque sous-domaine actif
- Les sous-domaines qui pointent vers des services tiers inactifs (risque de subdomain takeover)
- L'apparition de nouveaux sous-domaines non autorisés dans vos DNS
Domains Defender surveille l'ensemble de vos sous-domaines en continu : changements DNS, certificats SSL, disponibilité et risques de takeover. Une vue complète, des alertes en temps réel — pour ne laisser aucun angle mort dans votre infrastructure.