Internet est une toile vaste et complexe, en constante évolution, où de nouvelles menaces émergent régulièrement. Une préoccupation croissante est le détournement de sous-domaines abandonnés appartenant à des institutions de premier plan, tels que Nvidia, l'Université de Stanford, NPR et même des entités gouvernementales américaines. Ces sous-domaines, une fois inactifs, sont désormais réutilisés pour héberger des articles de spam générés par intelligence artificielle, inondant le web de contenu de faible qualité et souvent trompeur. Un exemple frappant est events.nsv.nvidia.com. Avant d'être mis hors ligne par Nvidia, ce sous-domaine a hébergé plus de 62 000 articles générés par IA. Ces articles, signés par une "Ashley" fictive avec une photo de profil générique, couvraient un éventail de sujets disparates et souvent incohérents.Le procédé est aussi ingénieux que pernicieux. Des acteurs malveillants identifient des sous-domaines qui ont été créés par de grandes organisations mais qui ne sont plus surveillés ou utilisés. Ces sous-domaines bénéficient souvent d'une autorité de domaine élevée due à la réputation de l'institution mère, ce qui les rend attrayants pour les opérations de spam. En exploitant des vulnérabilités ou des configurations oubliées, les spammeurs prennent le contrôle de ces sous-domaines.
Sur un site apparemment abandonné par Nvidia pour les événements, appelé events.nsv.nvidia.com, une opération de spam marketing s'est installée et a publié plus de 62 000 articles générés par l'IA, dont beaucoup contiennent des informations incorrectes ou incomplètes sur des sujets très recherchés, tels que des recommandations de salons ou de restaurants et des récapitulatifs de jeux vidéo.
Peu de sujets semblent être interdits à cette opération de spam. Sur le site de Nvidia, avant que la société ne le supprime, il y avait des dizaines d'articles sur le sexe et le porno, tels que « 5 Anal Vore Games », « Brazilian Facesitting Fart Games » et « Simpsons Porn Games ». Il y a beaucoup de contenu sur les jeux en général, NSFW ou non ; Nvidia est le leader de l'industrie en matière de puces pour les jeux.
Sur le domaine vaccines.gov, les thèmes des blogs de spam comprennent « Gay Impregnation », « Gay Firry [sic] Porn » et « Planes in Top Gun ».
La même ferme de spam a également ciblé le site de l'American Council on Education, Stanford, NPR et un sous-domaine de vaccins.gov. Chacun de ces sites porte un nom légèrement différent : sur le site de Stanford, il s'appelle « AceNet Hub » ; sur NPR.org, « Form Generation Hub » a repris un domaine qui semble avoir été abandonné par le projet « Generation Listen » de la station en 2014. Sur le site vaccines.gov, il s'agit de « Seymore Insights ». Tous ces sites sont plus ou moins utilisables. Ils contiennent tous des articles de spam avec le titre « Ashley », avec la même photo en noir et blanc.
Le contenu généré par l'IA : "AI Slop"
Le contenu hébergé sur ces sous-domaines est qualifié de "AI slop" (un terme qui décrit parfaitement sa nature : des informations incorrectes, incomplètes ou carrément absurdes). On y trouve de tout : des recommandations de salons ou de restaurants, des classements de jeux vidéo, et parfois même du contenu à caractère sexuellement explicite. L'objectif n'est pas d'informer, mais de manipuler les algorithmes des moteurs de recherche pour attirer du trafic.
Les utilisateurs qui cliquent sur ces liens depuis un moteur de recherche sont souvent redirigés vers des pages de "SEO spam" dénuées de sens, comme stocks.wowlazy.com. Ces pages sont conçues pour accumuler des clics et des vues, générant potentiellement des revenus publicitaires pour les opérateurs de spam.
Une tactique connue : le SubdoMailing
Ce phénomène n’est pas un cas isolé. Il s’inscrit dans une tendance plus large connue sous le nom de SubdoMailing, mise en lumière en 2023. Cette technique consiste à racheter ou manipuler des sous-domaines orphelins pour envoyer du spam en masse, héberger des contenus bidon ou diffuser des campagnes de phishing. En 2024, on estimait que plus de 13 000 sous-domaines avaient ainsi été détournés, principalement par un groupe opérant sous le nom de ResurrecAds.
Les raisons du succès de cette stratégie tiennent à la négligence généralisée des organisations en matière de gestion DNS, mais aussi à des failles dans les systèmes d’authentification des emails (SPF, DKIM, DMARC) ou dans la configuration des serveurs...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
