Threat Intelligence DNS : URLhaus et Google Safe Browsing en pratique

Si un de vos sous-domaines est compromis, il finit sur les listes URLhaus ou Google Safe Browsing — et tous vos autres sous-domaines deviennent suspects par effet de halo. Voici comment ces bases fonctionnent et comment surveiller votre présence.

Par Constantin Boulanger
Publié le
Mis à jour le
7 min de lecture
threat intelligence urlhaus safe browsing phishing malware

La threat intelligence DNS consiste à surveiller la présence de vos domaines et sous-domaines sur les bases publiques de menaces : URLhaus (URLs distribuant du malware), Google Safe Browsing (sites dangereux ou trompeurs), PhishTank (sites de phishing). Si un de vos sous-domaines est compromis et utilisé pour une campagne malveillante, il finit sur ces listes en quelques heures — et les navigateurs (Chrome, Firefox, Safari, Edge) commencent à afficher des avertissements bloquants à vos vrais visiteurs.

L'effet de halo est sérieux : un seul sous-domaine compromis peut entraîner la dégradation de réputation de l'ensemble du domaine principal. Voici comment fonctionnent les principales bases et comment monitorer votre exposition.

Les principales bases de threat intelligence DNS

URLhaus (abuse.ch)

Projet open data de l'ONG suisse abuse.ch. URLhaus collecte les URLs distribuant du malware (téléchargement de payload, command-and-control, exfiltration). La base publique est consultée par de nombreux antivirus, EDR et solutions de sécurité réseau.

Source typique des entrées : honeypots, sandboxes, signalements communautaires de chercheurs en sécurité. Une URL ajoutée reste typiquement plusieurs semaines à plusieurs mois avant retrait — délai pendant lequel votre sous-domaine est traité comme dangereux par les outils intégrant URLhaus.

Google Safe Browsing

Service Google qui maintient une liste de sites jugés dangereux : malware, phishing, ingénierie sociale, applications indésirables. Cette liste est consultée en temps réel par Chrome, Firefox, Safari et de nombreuses applications mobiles.

Effet d'une présence sur Safe Browsing : avertissement plein écran rouge "Le site que vous allez visiter contient du contenu trompeur". La majorité des visiteurs partent immédiatement. Aucun bypass simple côté utilisateur.

Délai de retrait après remédiation : 24 à 72 h via Search Console (Sécurité → Demander un examen).

PhishTank

Communauté de chercheurs qui signalent les URLs de phishing. Validation par les pairs avant ajout à la base. Utilisée par OpenDNS, certains navigateurs et services anti-phishing entreprise.

Spamhaus

Bases multiples : SBL (spam), DBL (domaines liés au spam), XBL (IPs compromises). Très utilisée par les MTA email pour bloquer les emails entrants depuis des sources suspectes. Si votre domaine y figure, votre délivrabilité email s'effondre.

Pourquoi un de vos sous-domaines peut s'y retrouver

Cinq scénarios fréquents :

  1. Subdomain takeover réussi : un attaquant a récupéré un de vos sous-domaines orphelins (CNAME oublié vers Heroku/S3/GitHub Pages désaffecté) et l'utilise pour héberger du phishing.
  2. Compromission d'un service : un de vos serveurs web a été piraté et héberge maintenant un kit phishing ou un dropper malware.
  3. Sous-domaine de staging exposé : un sous-domaine de test (dev., staging.) avec contenu obsolète a été indexé par Google et signalé comme phishing par un visiteur.
  4. Service tiers compromis : votre site utilise un script tiers (analytics, A/B testing, chat) dont le fournisseur a été piraté et qui sert maintenant du malware.
  5. Faux positif : une page légitime (téléchargement d'exécutable, formulaire de contact agressif) a été flaggée par erreur.

Comment vérifier votre présence sur ces bases

URLhaus

API publique sans authentification :

curl -X POST -d "url=https://votre-domaine.fr" https://urlhaus-api.abuse.ch/v1/url/

Réponse JSON avec le statut (online, offline, ou no_results). Documentation : urlhaus-api.abuse.ch.

Google Safe Browsing

API officielle (clé Google Cloud requise) :

POST https://safebrowsing.googleapis.com/v4/threatMatches:find?key=YOUR_KEY

Quota gratuit : 10 000 requêtes / jour. Suffisant pour monitorer plusieurs centaines de domaines avec checks toutes les heures. Plus simple : passer par Search Console qui notifie automatiquement si votre domaine est listé.

Spamhaus

Lookup DNS standard :

dig +short votre-domaine.fr.dbl.spamhaus.org

Si la réponse renvoie une IP en 127.0.1.x, votre domaine est listé.

Outils combinés

VirusTotal interroge plusieurs dizaines de bases simultanément (URLhaus, Safe Browsing, PhishTank, Spamhaus, etc.). API gratuite limitée. Bon pour audit ponctuel, peu adapté au monitoring continu en volume.

Que faire si un de vos domaines y est listé

Procédure en cinq étapes :

  1. Identifier la cause : auditer le contenu actuel du sous-domaine listé. Phishing kit ? Dropper malware ? Page légitime mal flaggée ?
  2. Nettoyer immédiatement : supprimer le contenu malveillant, restaurer une version saine du serveur, changer mots de passe d'accès.
  3. Investiguer la compromission : par où l'attaquant est-il rentré ? Plugin obsolète, mot de passe faible, vulnérabilité CMS, subdomain takeover ? Corriger la cause racine.
  4. Demander la délistage :
    • URLhaus : signaler via le formulaire urlhaus.abuse.ch/api/#submit
    • Google Safe Browsing : Search Console → Sécurité → Demander un examen
    • Spamhaus : spamhaus.org/lookup/ avec procédure de retrait
  5. Surveiller la propagation : compter quelques jours pour que le délistage atteigne tous les services qui consomment ces bases.

Pourquoi monitorer en continu

Une apparition sur Safe Browsing peut survenir sans alerte préalable. Les premiers à voir l'avertissement sont vos vrais visiteurs (Chrome 65 % de parts de marché en France). Les conséquences : trafic en chute libre, support submergé, conversion à zéro.

Un monitoring threat intelligence continu vérifie périodiquement vos domaines sur les principales bases et alerte immédiatement en cas de présence détectée. Vous pouvez intervenir avant que la majorité de vos utilisateurs ne soient bloqués.

Ce qu'il faut retenir

  • Quatre bases majeures : URLhaus (malware), Google Safe Browsing (Chrome/Firefox/Safari), PhishTank (phishing), Spamhaus (email).
  • Une apparition = avertissement plein écran navigateur ou blocage email — trafic et délivrabilité en chute libre.
  • Causes fréquentes : subdomain takeover, compromission serveur, sous-domaine staging exposé, service tiers piraté.
  • Délais de délistage : 24-72 h pour Google Safe Browsing, plusieurs semaines pour URLhaus.
  • Le monitoring continu est la seule défense réaliste — vos visiteurs ne devraient jamais être les premiers à découvrir le problème.

Questions fréquentes

Combien coûte la consultation des bases threat intelligence ?

URLhaus : gratuit, API publique sans clé. Google Safe Browsing : gratuit jusqu'à 10 000 requêtes/jour avec clé Google Cloud. Spamhaus : gratuit pour usage personnel/petit volume, payant pour les fournisseurs de services à grande échelle.

Combien de temps reste-t-on sur ces bases après nettoyage ?

Google Safe Browsing : 24-72 h après demande d'examen via Search Console, à condition que la cause soit corrigée. URLhaus : plus long (semaines voire mois) car retrait moins automatisé. Spamhaus : variable selon la base concernée.

Mon site est sur Safe Browsing alors qu'il est sain — que faire ?

Faux positif possible. Demander immédiatement un examen via Search Console (Sécurité → "Je n'ai trouvé aucun problème de sécurité"). Google revérifie sous 72 h. Si confirmé sain, retrait rapide.

Pourquoi tout mon domaine est suspect alors qu'un seul sous-domaine est compromis ?

Effet de halo : Google et plusieurs systèmes étendent partiellement la suspicion au domaine racine quand un sous-domaine est listé. Pas un blocage total, mais dégradation de la réputation globale (SEO, délivrabilité).

Le monitoring threat intelligence remplace-t-il un antivirus / WAF ?

Non, c'est complémentaire. Le WAF/antivirus protège contre l'attaque ; le monitoring threat intelligence détecte que la protection a échoué et que vous êtes passés en "liste noire" publique. Les deux sont nécessaires.

À quelle fréquence interroger ces bases ?

Au minimum une fois par jour pour les domaines critiques. Idéalement une fois par heure pour les sous-domaines exposés (e-commerce, SaaS). Plus souvent = détection plus rapide en cas de compromission.

Surveiller votre exposition en continu

Les bases de threat intelligence sont publiques et consultables gratuitement. La difficulté : les interroger systématiquement, sur tous vos sous-domaines, et corréler les résultats avec vos autres signaux DNS et SSL.

Domains Defender croise quotidiennement vos domaines surveillés avec URLhaus et Google Safe Browsing, et alerte immédiatement en cas de présence détectée. Hébergé en France, conforme RGPD, essai gratuit 7 jours à partir de 4,99€ HT/mois.

Tester un domaine gratuitement — ou activer la surveillance continue.

Articles similaires