Escroqueries, renseignements sur les menaces

De faux e-mails de renouvellement de nom de domaine incitent les propriétaires de sites web à verser de l'argent à des escrocs

par Stefan Dasic | 25 juin 2026
Ingénierie sociale
Ajouter comme source préférée sur Google

Vous recevez un e-mail vous avertissant que le nom de domaine de votre site web est sur le point d'expirer. « Renouvelez-le dès maintenant », vous invite-t-il, « sinon votre site web et votre messagerie pourraient cesser de fonctionner ». Le lien ouvre une page d'aspect professionnel qui connaît déjà votre nom de domaine, affiche le nom de votre registraire et la date d'expiration, et lance un compte à rebours.

Cela semble urgent et personnel, donc cela semble réel.

Le site, baptisé « Renovarix », ne propose pas de renouvellement de noms de domaine. Il redirige plutôt les visiteurs vers une série de pages destinées à recueillir des informations personnelles, puis, à terme, leurs coordonnées bancaires.

Faux renouvellement de domaine

Comment fonctionne l'escroquerie

Les noms de domaine expirent bel et bien, et en perdre un peut poser un sérieux problème. Pour de nombreux particuliers et entreprises, un nom de domaine est bien plus qu'une simple adresse web. C'est votre marque, votre adresse e-mail, votre référencement sur les moteurs de recherche, ainsi que le nom que vos clients saisissent lorsqu'ils souhaitent vous trouver. S'il expire, votre site web et votre messagerie électronique peuvent cesser de fonctionner. Si quelqu'un d'autre l'enregistre avant que vous ne puissiez le récupérer, il peut s'avérer difficile, voire impossible, de le récupérer. C'est une perte considérable, et les escrocs le savent bien.

Cette arnaque exploite cette crainte en mettant en place une fausse procédure de renouvellement très convaincante.

L'e-mail et le site web sont des faux. Les « données d'enregistrement en temps réel » ne sont que partiellement authentiques. Cliquer sur « Renouveler maintenant » ne renouvelle pas votre nom de domaine. Cela vous redirige au contraire vers une série de sites web qui commencent par recueillir votre nom, votre adresse, votre numéro de téléphone et votre adresse e-mail, avant de vous demander finalement vos informations de paiement.

Si vous avez supprimé l'e-mail, il n'y a pas lieu de s'inquiéter. Si vous avez cliqué sur le lien, fermez simplement la page. Si vous avez saisi des informations personnelles ou de paiement, suivez les instructions ci-dessus.

L'e-mail qui a tout déclenché

L'arnaque commence par un e-mail, même si sa forme peut varier. Certains sont très rudimentaires : un simple « Rappel de renouvellement de nom de domaine » envoyé par une société générique appelée « Domain Services Inc. », accompagné d'un numéro de facture et d'un montant dû.

Faux e-mail de renouvellement

D'autres sont beaucoup plus soignés : ils utilisent la marque « Renovarix », un numéro de référence et une adresse professionnelle londonienne qui inspire confiance.

Faux e-mail de renouvellement

Mais ils ont tous le même point commun. L'avis de renouvellement « officiel » de Renovarix a été envoyé depuis une simple adresse Gmail. Une entreprise qui prétend disposer d'un bureau à Londres et d'un service d'assistance disponible 24 h/24 et 7 j/7 n'est pas susceptible d'envoyer ses avis de facturation depuis Gmail. Lorsque l'identité visuelle semble professionnelle mais que l'expéditeur ne correspond pas, c'est un signal d'alerte majeur.

Une page qui en sait trop

Le lien ouvre une page qui effectue immédiatement une « recherche », en indiquant l'avancement du processus à l'aide de messages tels que « connexion au registre » et « récupération des enregistrements WHOIS », avant d'afficher votre nom de domaine, votre registraire et la date d'expiration.

Faux renouvellement de domaine

Cela donne l'impression que le site a interrogé le registre officiel des noms de domaine. Certaines informations peuvent provenir de registres publics authentiques, mais une grande partie de ce qui confère à la page son apparence officielle est inventée de toutes pièces. Par exemple, l'« identifiant de registre » affiché n'est extrait d'aucun registre. Il est généré localement dans votre navigateur à partir de votre nom de domaine et n'a pour seul but que de donner une apparence officielle.

Tout est fait pour vous faire céder à la panique

Une fois ce tableau de bord chargé, la page entière se transforme en un entonnoir conçu pour vous pousser à agir rapidement.

Une bannière rouge indique que votre nom de domaine expire dans « 03 jours », quelle que soit sa date d'expiration réelle. Un deuxième compte à rebours précise qu'un « prix spécial » de 2,00 €, au lieu de 9,99 €, expire dans quinze minutes. Si vous essayez de fermer la page, une fenêtre contextuelle s'affiche avec le message d'avertissement « Attendez — votre nom de domaine est en danger ! », accompagnée d'un bouton de fermeture sur lequel on peut lire « Non merci, je vais prendre le risque ».

Fausse urgence de renouvellement

Les bureaux d'enregistrement légitimes n'ont pas recours à des comptes à rebours ni à des fenêtres contextuelles destinées à faire culpabiliser les utilisateurs. C'est cette pression qui est une arnaque.

Ce « renouveau » ne renouvelle rien

Voici le signe le plus évident qu'il y a un problème : cliquer sur « Renouveler maintenant » ne permet pas de contacter votre registraire ni de lancer la procédure de renouvellement. Cela redirige simplement votre navigateur vers un autre site web.

Certaines versions affichent même un message de confirmation optimiste indiquant « Renouvellement effectué ! », accompagné d'une nouvelle date d'expiration, d'un numéro de confirmation et d'un message précisant qu'un reçu a été envoyé par e-mail. Rien de tout cela ne correspond à une véritable transaction. Tout est généré par votre navigateur.

Où vont réellement vos données personnelles ?

Ce bouton vous redirige, via un lien d'affiliation marketing, vers une page intitulée « Paiement sécurisé ».

Passer à la caisse pour collecter des données

La page vous demande votre nom, votre adresse, votre code postal, votre ville, votre numéro de téléphone et votre adresse e-mail. Une fois ces informations envoyées, vous êtes redirigé vers d'autres pages où un paiement vous est finalement demandé.

Passer à la caisse pour collecter des données

Deux détails laissent penser qu’il s’agit d’un kit d’arnaque réutilisé plutôt que d’un véritable service de gestion de noms de domaine. Le site peut remplir automatiquement vos coordonnées à partir du lien sur lequel vous avez cliqué, et ses faux avis cinq étoiles font toujours référence à « HappyPrizes » et à la facilité avec laquelle il était possible de « gagner quelque chose de sympa » — des restes de texte provenant d’une précédente arnaque aux lots qui utilisait le même modèle.

Pourquoi les gens tombent dans le panneau

Cette arnaque fonctionne parce qu’elle exploite une préoccupation légitime. Elle part d’un postulat crédible : le renouvellement des noms de domaine fait partie intégrante de la gestion d’un site web, de sorte qu’un avis d’expiration ne semble pas suspect. Les escrocs s’appuient sur ce principe en utilisant une image de marque convaincante, des informations issues du domaine public et en créant un sentiment d’urgence artificiel.

Cela semble également personnel. Beaucoup de gens se demandent comment les escrocs ont pu connaître leur domaine spécifique. La réponse est qu’ils ne vous connaissent pas personnellement. Chaque domaine enregistré apparaît dans les registres publics WHOIS/RDAP, qui comprennent le nom de domaine, le registraire, les dates importantes et parfois une adresse e-mail de contact. Les escrocs collectent ces informations en masse, puis génèrent des liens qui vous renvoient vers les détails de votre propre domaine. Le fait de voir des informations familières donne l’impression que la page est légitime, même si elle provient de registres publics.

Enfin, cette arnaque joue sur le sentiment d’urgence. Les comptes à rebours , les avertissements indiquant que votre nom de domaine est menacé et une « offre spéciale » à 2,00 € sont tous conçus pour vous pousser à agir avant même que vous ne preniez le temps de vérifier la véracité de ces affirmations. Le prix modique n’est pas le but recherché. Ce sont vos informations personnelles et vos coordonnées bancaires qui sont visées.

Rien de tout cela ne signifie que la victime ait manqué de prudence. Cela montre simplement qu’elle est humaine, et qu’elle a été prise pour cible par des personnes qui savent comment réagit un propriétaire de site inquiet.

Que faire

Si vous recevez un e-mail de ce type, supprimez-le tout simplement. La manière la plus sûre de procéder pour le renouvellement d'un nom de domaine est très simple :

  • Ne cliquez pas sur le lien contenu dans l'e-mail. Accédez au site de votre registraire via vos favoris ou en saisissant vous-même l'adresse, puis vérifiez-y la date d'expiration réelle de votre nom de domaine. Si vous avez cliqué sur le lien, fermez la page. Le simple fait de consulter cette page ne met pas votre nom de domaine en danger.
  • Vérifiez qui est votre registraire. Le renouvellement s'effectue via le compte que vous possédez déjà, et non sur un site web dont vous n'avez jamais entendu parler.
  • Considérez l'urgence comme un signal d'alerte, et non comme une raison de se précipiter. Les véritables renouvellements ne sont pas des situations d'urgence à régler en quinze minutes.
  • Vérifiez l'expéditeur. Les avis de facturation provenant d'une adresse Gmail ou portant le nom d'une marque qui ne correspond pas à votre véritable fournisseur constituent des signaux d'alerte.
  • Malwarebytes Browser Guard est gratuit et permet de bloquer les pages frauduleuses et de hameçonnage pendant que vous naviguez.

Si vous avez déjà saisi des informations personnelles (telles que votre nom, votre adresse, votre numéro de téléphone ou votre adresse e-mail) :

  • Préparez-vous à faire face à des tentatives d'escroquerie ultérieures. Les pirates pourraient vous contacter par téléphone ou par e-mail, en se faisant passer pour votre registraire ou en faisant référence à votre nom de domaine, à une « commande » ou à un « renouvellement ».
  • Ne vous fiez pas aux appels ou aux e-mails non sollicités, même s'ils semblent connaître des détails concernant votre domaine.
  • Si vous devez contacter votre registraire ou votre banque, utilisez les coordonnées figurant sur leur site web officiel, et non celles indiquées dans l'e-mail ou sur la page frauduleuse.

Si vous avez saisi les informations relatives à votre carte de paiement :

Activez les alertes de transaction afin d'être averti dès que votre carte est utilisée.

Contactez immédiatement votre banque ou l'émetteur de votre carte. Expliquez-leur que vous avez saisi les informations de votre carte sur un site web frauduleux et demandez-leur s'ils recommandent de bloquer et de remplacer la carte, même si vous n'avez pas encore constaté de prélèvements non autorisés.

Surveillez attentivement votre compte. Les escrocs effectuent parfois de petits prélèvements « d'essai » avant de tenter des transactions plus importantes.

Indicateurs de compromission

  • renovarix[.]org — page de renouvellement de domaine frauduleuse
  • xe54ghj[.]com — redirecteur
  • paysuccessful[.]site — page de saisie des données personnelles
  • molipy8trk[.]com — redirecteur
  • topprogressstores[.]online — mise en ligne de l'offre finale

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

Insectes
PixelSmash

La faille « PixelSmash » transforme les fichiers vidéo en outils d'attaque

Juin 24, 2026

Des chercheurs ont découvert une faille critique dans FFmpeg qui pourrait permettre à des pirates d'utiliser un fichier vidéo malveillant pour compromettre des systèmes vulnérables.

Produit
Un loup déguisé en agneau

Méfiez-vous des escroqueries liées au renouvellement qui se font passer pour Malwarebytes

Juin 24, 2026

Des escrocs envoient de faux avis de renouvellement de logiciel, prétendant que vous avez été facturé pour un abonnement. Certains vont même jusqu'à se faire passer pour Malwarebytes.

Escroqueries
Un jeune homme s'est assis, la tête dans une main et tenant un téléphone dans l'autre.

« UnTotal à tous vos appareils. » Les escrocs spécialisés dans le chantage sexuel frappent à nouveau

Juin 24, 2026

Ils prétendent détenir des vidéos, des logiciels malveillants et avoir le contrôle total de vos appareils. Voici comment analyser un e-mail de chantage sexuel avec l'œil d'un chercheur en sécurité plutôt que celui d'une victime.

Ajouter comme source préférée sur Google

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries