Quand Stanford, Nvidia et des agences publiques deviennent les complices involontaires d'une vaste campagne de spam généré par IA :

Comment des sous-domaines oubliés sont récupérés pour inonder le web

Quand Stanford, Nvidia et des agences publiques deviennent les complices involontaires d’une vaste campagne de spam généré par IA :
comment des sous-domaines oubliés sont récupérés pour inonder le web

Internet est une toile vaste et complexe, en constante évolution, où de nouvelles menaces émergent régulièrement. Une préoccupation croissante est le détournement de sous-domaines abandonnés appartenant à des institutions de premier plan, tels que Nvidia, l'Université de Stanford, NPR et même des entités gouvernementales américaines. Ces sous-domaines, une fois inactifs, sont désormais réutilisés pour héberger des articles de spam générés par intelligence artificielle, inondant le web de contenu de faible qualité et souvent trompeur. Un exemple frappant est events.nsv.nvidia.com. Avant d'être mis hors ligne par Nvidia, ce sous-domaine a hébergé plus de 62 000 articles générés par IA. Ces articles, signés par une "Ashley" fictive avec une photo de profil générique, couvraient un éventail de sujets disparates et souvent incohérents.

Le procédé est aussi ingénieux que pernicieux. Des acteurs malveillants identifient des sous-domaines qui ont été créés par de grandes organisations mais qui ne sont plus surveillés ou utilisés. Ces sous-domaines bénéficient souvent d'une autorité de domaine élevée due à la réputation de l'institution mère, ce qui les rend attrayants pour les opérations de spam. En exploitant des vulnérabilités ou des configurations oubliées, les spammeurs prennent le contrôle de ces sous-domaines.

Sur un site apparemment abandonné par Nvidia pour les événements, appelé events.nsv.nvidia.com, une opération de spam marketing s'est installée et a publié plus de 62 000 articles générés par l'IA, dont beaucoup contiennent des informations incorrectes ou incomplètes sur des sujets très recherchés, tels que des recommandations de salons ou de restaurants et des récapitulatifs de jeux vidéo.

Peu de sujets semblent être interdits à cette opération de spam. Sur le site de Nvidia, avant que la société ne le supprime, il y avait des dizaines d'articles sur le sexe et le porno, tels que « 5 Anal Vore Games », « Brazilian Facesitting Fart Games » et « Simpsons Porn Games ». Il y a beaucoup de contenu sur les jeux en général, NSFW ou non ; Nvidia est le leader de l'industrie en matière de puces pour les jeux.

Sur le domaine vaccines.gov, les thèmes des blogs de spam comprennent « Gay Impregnation », « Gay Firry [sic] Porn » et « Planes in Top Gun ».

La même ferme de spam a également ciblé le site de l'American Council on Education, Stanford, NPR et un sous-domaine de vaccins.gov. Chacun de ces sites porte un nom légèrement différent : sur le site de Stanford, il s'appelle « AceNet Hub » ; sur NPR.org, « Form Generation Hub » a repris un domaine qui semble avoir été abandonné par le projet « Generation Listen » de la station en 2014. Sur le site vaccines.gov, il s'agit de « Seymore Insights ». Tous ces sites sont plus ou moins utilisables. Ils contiennent tous des articles de spam avec le titre « Ashley », avec la même photo en noir et blanc.


Le contenu généré par l'IA : "AI Slop"

Le contenu hébergé sur ces sous-domaines est qualifié de "AI slop" (un terme qui décrit parfaitement sa nature : des informations incorrectes, incomplètes ou carrément absurdes). On y trouve de tout : des recommandations de salons ou de restaurants, des classements de jeux vidéo, et parfois même du contenu à caractère sexuellement explicite. L'objectif n'est pas d'informer, mais de manipuler les algorithmes des moteurs de recherche pour attirer du trafic.

Les utilisateurs qui cliquent sur ces liens depuis un moteur de recherche sont souvent redirigés vers des pages de "SEO spam" dénuées de sens, comme stocks.wowlazy.com. Ces pages sont conçues pour accumuler des clics et des vues, générant potentiellement des revenus publicitaires pour les opérateurs de spam.

Une tactique connue : le SubdoMailing

Ce phénomène n’est pas un cas isolé. Il s’inscrit dans une tendance plus large connue sous le nom de SubdoMailing, mise en lumière en 2023. Cette technique consiste à racheter ou manipuler des sous-domaines orphelins pour envoyer du spam en masse, héberger des contenus bidon ou diffuser des campagnes de phishing. En 2024, on estimait que plus de 13 000 sous-domaines avaient ainsi été détournés, principalement par un groupe opérant sous le nom de ResurrecAds.

Les raisons du succès de cette stratégie tiennent à la négligence généralisée des organisations en matière de gestion DNS, mais aussi à des failles dans les systèmes d’authentification des emails (SPF, DKIM, DMARC) ou dans la configuration des serveurs web.


Un problème amplifié par les moteurs de recherche et l'IA générative : vers une nouvelle forme de pollution numérique

L'essor fulgurant du contenu généré par l'IA pose un défi majeur pour la curation de l'information en ligne. Les schémas de spam exploitent habilement les failles des moteurs de recherche, qui peinent à distinguer le contenu légitime du "AI slop". Pire encore, certaines fonctionnalités des moteurs de recherche, comme les "AI Overviews" (aperçus générés par IA), peuvent paradoxalement contribuer à la diffusion de ce contenu en le mettant en avant, perpétuant ainsi le cycle de désinformation.

Ce phénomène s’inscrit dans un contexte plus large : celui de la pollution algorithmique du web. Les contenus générés automatiquement par IA sont désormais utilisés pour inonder internet d’articles creux, faux, redondants, mais conçus pour séduire les algorithmes de Google, Bing ou des intelligences artificielles comme ChatGPT. Ces pratiques faussent les résultats de recherche, polluent les jeux de données d'entraînement des IA et rendent l’accès à une information fiable plus difficile. En laissant ces sous-domaines vulnérables, les institutions participent malgré elles à cette dégradation progressive de l’espace informationnel.

Les risques pour les utilisateurs

Pour les internautes, le danger est multiple et insidieux. Lorsqu’ils cliquent sur un lien apparemment fiable – hébergé sur un sous-domaine portant la signature d’une institution connue – ils peuvent :

• être redirigés vers des sites frauduleux ou à contenu douteux, qui tentent de leur vendre des services fictifs ou récoltent leurs données personnelles ;
• exposer leur appareil à des malwares ou à des scripts malveillants, souvent dissimulés dans les pages hébergeant ces textes générés automatiquement ;
• être désinformés par des contenus faux ou absurdes, qui parasitent les résultats de recherche et brouillent la compréhension des sujets abordés.

Cette prolifération de contenus toxiques, bien que souvent inoffensifs en apparence, affaiblit la confiance dans les noms de domaine institutionnels, traditionnellement considérés comme fiables.

Les risques pour les institutions concernées

Pour les entreprises, universités et agences gouvernementales, les conséquences sont également sérieuses.

Tout d’abord, il y a un risque d’atteinte à la réputation. Lorsqu’un internaute découvre que le site d’une entreprise comme Nvidia héberge du contenu pornographique généré par IA, la crédibilité de la marque est immédiatement ébranlée. Les médias s’en emparent, les internautes partagent, et la confiance s’effrite.

Ensuite, ces détournements peuvent entraîner des attaques plus graves, en particulier si les sous-domaines servent de passerelles pour diffuser des emails de phishing signés avec les certificats légitimes d’une institution. Les pirates peuvent ainsi bypasser les filtres de sécurité et faire croire que leurs messages proviennent d'une source officielle.

Enfin, il y a un risque juridique : si des utilisateurs sont trompés ou escroqués via un sous-domaine resté sous la responsabilité d'une organisation, la responsabilité légale pourrait être engagée, surtout en cas de non-conformité avec les normes de cybersécurité en vigueur (notamment dans les secteurs de la santé ou de l’éducation).

Les implications et les mesures correctives

Ce phénomène souligne l'importance pour les grandes institutions de maintenir une surveillance rigoureuse de tous leurs actifs numériques, y compris les sous-domaines abandonnés. Un sous-domaine apparemment inoffensif peut devenir une porte d'entrée pour des activités malveillantes, ternissant la réputation de l'organisation et contribuant à la prolifération du spam et de la désinformation en ligne.

Bien que des entreprises comme Nvidia agissent rapidement pour retirer ces sous-domaines détournés une fois qu'elles en sont informées, la bataille est constante. Les moteurs de recherche sont également appelés à affiner leurs algorithmes pour mieux détecter et filtrer le contenu généré par l'IA et les schémas de spam.

En conclusion

Le phénomène des sous‑domaines abandonnés, détournés pour créer du « slop » (ce spam IA omniprésent) montre à quel point la négligence de DNS peut être exploitée à grande échelle. Les risques incluent non seulement phishing et malwares, mais aussi la pollution de l’écosystème web et des IA d’analyse.

Le détournement de sous-domaines abandonnés pour du spam généré par l'IA est un rappel éloquent de la vigilance constante requise dans le paysage numérique. Pour les utilisateurs, la prudence est de mise face à des contenus de source douteuse, même s'ils semblent provenir de domaines réputés.

Sources : archive de events.nsv.nvidia.com, archives des sous-domaines de vaccines.gov (1, 2, 3), autres archives (1, 2, 3, 4), Red Sift, Kaspersky

Et vous ?

Pourquoi autant d'institutions, y compris prestigieuses, laissent-elles traîner des sous-domaines inutilisés ? Est-ce un simple oubli ou un manque de compétences internes ?

Dans quelle mesure les grandes institutions comme Nvidia ou Stanford devraient-elles être tenues responsables de la surveillance constante de tous leurs sous-domaines, même ceux qui sont inactifs ? Quels défis cela représente-t-il pour elles ?

Comment les administrateurs systèmes peuvent-ils détecter et neutraliser plus efficacement ces sous-domaines fantômes ?

Quelles mesures concrètes les moteurs de recherche comme Google ou Bing pourraient-ils mettre en place pour mieux identifier et pénaliser ce type de contenu généré par l'IA, sans pour autant bloquer le contenu légitime ?

Ce phénomène de détournement de sous-domaines est-il un signe que le spam évolue vers des formes plus sophistiquées et difficiles à détecter ? Si oui, quelles seront les prochaines étapes pour les spammeurs, et comment pouvons-nous nous y préparer ?

Comment ce type de 'AI slop' affecte-t-il la qualité globale de l'information disponible en ligne et la confiance du public envers les sources d'information, même réputées ?