Si comme moi, vous payez rubis sur l’ongle Google Cloud ou Cloudflare pour héberger vos services parfaitement légaux, et bien sachez que pendant que vous respectiez scrupuleusement leurs conditions d’utilisation tordues, une opération de phishing monumentale utilisait tranquillement leurs infrastructures pour cloner des sites du Fortune 500. Ça a duré trois ans sans que personne ne soit inquiété et cela malgré 265 signalements publics…Ce sont les chercheurs deDeep Specter Research qui ont découvertun empire du phishing qui ferait passer les arnaqueurs nigérians pour des amateurs. Je vous parle de 48 000 hosts virtuels répartis sur plus de 80 clusters, tous bien au chaud sur l’infrastructure premium de Google Cloud à Hong Kong et à Taiwan. Le tout géré évidemment comme une vraie plateforme phishing-as-a-service, avec sept évolutions techniques majeures sur la période.Les criminels utilisaientHTTrack Website Copier, un vieiiiil outil parfaitement légal de scraping web, pour créer des clones parfait au pixel près de +200 grandes entreprises.Lockheed Martin, le géant de la défense américaine, s’est notamment retrouvé avec un jumeau malveillant hébergé sur le domaine militaryfighterjet.com. C’est un site qui parlait initialement d’avions de chasse et qui s’est transformé en casino en ligne tout en servant de façade pour du phishing ciblé.La technique était redoutablement efficace. Les attaquants récupéraient des domaines expirés qui appartenaient à des organisations légitimes. Ces domaines gardaient ainsi leur réputation, leurs backlinks, parfois même leurs communautés sur les réseaux sociaux.Et pour éviter la détection, le système de cloaking analysait en temps réel les headers HTTP, les user agents et la géolocalisation IP. Donc si vous étiez un bot de Google ou un chercheur en sécurité, vous voyiez un site normal. Mais si vous étiez une vraie victime potentielle, c’était bienvenue dans la matrice. Cette technique sophistiquée a permis aux sites malveillants de maintenir d’excellents rankings SEO tout en servant leur contenu frauduleux aux bonnes personnes.L’infrastructure comptait 86 adresses IP physiques côté Google Cloud, mais le réseau virtuel était bien plus vaste avec 44 000 adresses IP virtuelles chez Google et 4 000 chez d’autres hébergeurs. En mars 2025, l’opération a d’ailleurs atteint son pic avec 33 890 observations actives selon les données de Deep Specter. Sur l’année 2025 seule, on comptait 2 791 hosts avec 56 075 observations au total.Mais voilà le scandale dans le scandale… malgré 265 détections publiques par des chercheurs et des outils de threat intelligence, ni Google ni Cloudflare n’ont suspendu les comptes concernés. Les signalements incluaient des domaines malveillants, des adresses IP compromises et des certificats SSL frauduleux.Mais aucune réponse des géants du cloud… Rien. Nada. Que dalle.Cette passivité a fait passer ces entreprises, de, je cite “neutral intermediaries” en “de facto enablers of illicit activity”. Traduction, au lieu d’être des hébergeurs neutres, ils sont de par leur inaction, devenus des complices.Les conséquences pour les entreprises clonées sont également désastreuses car au-delà des pertes de trafic organique qui se traduisent directement en manque à gagner, elles font face à des risques légaux majeurs. Violations potentielles du RGPD si des données européennes sont compromises, problèmes DMCA pour le contenu copié, scrutin de la FTC américaine, obligations de divulgation SEC… Sans compter les frais juridiques pour tenter de faire fermer ces clones.Visiblement, il y a des problèmes de gouvernance majeurs chez les géants du cloud… Les providers ont les moyens techniques de détecter ces abus, mais apparemment, tant que les factures sont payées, la motivation pour agir reste limitée…Les chercheurs appellent donc Google, Cloudflare et les marques affectées à renforcer leurs mécanismes de détection, fermer les boucles de monitoring et appliquer des politiques strictes de résiliation de comptes.Je suis pas sûr que le message passe mais bon, après ça les expose à des risques juridiques, alors ils seront peut-être plus sérieux la prochaine fois…Source