système : OPÉRATIONNEL
← retour à tous les hacks
SUPPLY CHAIN MEDIUM NEW

Phantom squatting : enregistrer les domaines web que les LLM hallucinent

Fin juin 2026, l'Unit 42 de Palo Alto a nommé le « phantom squatting » : des attaquants enregistrent les domaines inexistants que les modèles inventent de façon fiable, héritant de la confiance placée dans les liens suggérés par l'IA.

2026-07-14 // 6 min affects: llm-assistants, ai-coding-agents, browser-agents, research-agents

De quoi s’agit-il ?

Le phantom squatting est un vecteur d’attaque de chaîne d’approvisionnement que l’Unit 42 de Palo Alto Networks a nommé dans une recherche publiée fin juin 2026 (le 30 juin, largement reprise le 1er juillet). L’idée est simple : les grands modèles de langage inventent régulièrement des adresses web qui n’existent pas — portails, points d’API ou URL de services d’entreprise plausibles pour une marque réelle — et l’attaquant qui enregistre l’un de ces domaines inventés hérite de toute la confiance qu’un utilisateur ou un agent accorde à un lien suggéré par l’IA. Ni e-mail de phishing ni publicité malveillante ne sont nécessaires : la recommandation arrive via un système que la victime juge déjà fiable.

Pour mesurer l’ampleur du phénomène, l’Unit 42 a posé 685 339 questions à deux LLM différents, portant sur 913 marques mondiales dans les secteurs de la tech, de la finance, de la santé, du secteur public et d’autres. Les modèles ont produit environ 2,1 millions de liens. Près de 250 000 pointaient vers des domaines non enregistrés que n’importe qui pouvait revendiquer, et plus de 13 200 vers des adresses que les flux de renseignement sur les menaces avaient déjà signalées comme malveillantes.

Comment ça fonctionne

Le mécanisme découle de la façon dont les modèles génèrent du texte, et non d’un bug dans un produit précis. Les domaines inventés n’avaient pas été mémorisés depuis les données d’entraînement — les deux modèles ont été publiés avant l’existence des sites malveillants réels — : ces adresses proviennent donc des schémas de langage propres aux modèles. Ces schémas sont cohérents : différents modèles hallucinent fréquemment le même faux domaine pour une même question, et augmenter la température d’un modèle produit davantage de domaines inventés, non l’inverse. L’Unit 42 décrit le vecteur comme exploitant « une propriété structurelle des architectures LLM qui reste intrinsèquement non corrigeable ».

Ce qui rend un domaine phantom enregistré difficile à repérer, c’est son absence d’historique. Listes de blocage, scores de réputation et flux de menaces ont généralement besoin qu’un site se comporte mal pendant un certain temps avant de le signaler. Un domaine fraîchement enregistré n’a pas ce dossier : les filtres fondés sur la réputation n’ont donc rien sur quoi s’appuyer au moment où l’assistant de confiance transmet le lien à l’utilisateur ou à l’agent. C’est l’équivalent, pour les domaines, du slopsquatting — l’enregistrement des faux noms de paquets que les outils de code IA inventent — un schéma déjà transformé en véritable malware, comme dans la campagne PhantomRaven sur npm.

Pourquoi c’est important

La surveillance proactive de l’Unit 42 a détecté des attaquants enregistrant des domaines hallucinés prioritaires 18 à 51 jours après leur première identification par les chercheurs — une vraie fenêtre, mais qui favorise celui qui agit en premier. Dans un cas documenté, un domaine de e-commerce postal a été signalé à haut risque 23 jours avant qu’un attaquant ne l’enregistre pour y déployer un kit de phishing baptisé « Montana Empire », qui clonait la vraie boutique et volait numéros de carte, coordonnées de virement et données d’identité nationale via un back-end sur Telegram. Fait révélateur, des fichiers de projet résiduels ont montré que l’opérateur avait construit le kit avec un assistant de code IA : attaquant et défenseur ont atteint le même faux domaine en interrogeant une IA de la même manière. Un second cas a laissé aux défenseurs 51 jours d’avance avant que le domaine ne soit habillé d’un clone de marque parfait et utilisé pour diffuser une application Android malveillante.

La préoccupation de fond est le glissement d’une personne qui suit un mauvais conseil vers un système qui agit sur ce conseil. À mesure que les agents ouvrent des liens et récupèrent des ressources de leur propre initiative, le point de défaillance passe du clic humain à l’action autonome — et un agent n’a pas l’instinct d’hésiter qu’aurait une personne.

Défenses

  • Ne jamais traiter une URL suggérée par l’IA comme faisant autorité. Vérifiez un domaine par rapport à la documentation officielle ou à une allowlist approuvée avant d’y saisir un mot de passe ou de le coller dans du code. Traitez la sortie du modèle comme un brouillon non vérifié.
  • Empêcher les agents d’atteindre des domaines nouveaux et arbitraires. Interdisez aux agents IA d’ouvrir, de télécharger ou de se connecter automatiquement à des liens générés par le modèle sans contrôle indépendant, et limitez les identifiants et les données auxquels ces agents ont accès.
  • Surveiller les domaines que vos modèles prédisent. Les hallucinations étant cohérentes, les défenseurs peuvent cartographier les faux domaines qu’un modèle produit de façon fiable pour leur marque et guetter les enregistrements — souvent avec des semaines d’avance — puis pré-enregistrer ou bloquer les noms les plus à risque.
  • Intégrer les identifiants générés par l’IA à la revue de chaîne d’approvisionnement. Appliquez aux endpoints et noms de paquets suggérés par un modèle la même vigilance qu’à vos dépendances tierces.

Statut

ÉlémentValeur (Unit 42, 30 juin 2026)
Marques analysées913
Requêtes émises685 339
Liens générés~2,1 millions
Domaines hallucinés non enregistrés~250 000
Déjà signalés malveillants>13 200
Délai d’enregistrement observé18 à 51 jours
Cas documentésKit de phishing « Montana Empire » ; application Android malveillante
Cause racineHallucination structurelle des LLM — pas de correctif produit

Dates clés : 30 juin 2026 — publication de la recherche de l’Unit 42 sur le phantom squatting. 8 mars 2026 — un domaine postal à haut risque est prédit ; 31 mars 2026 — un attaquant l’enregistre pour le kit « Montana Empire ».

Sources