Qu’est-ce que le typosquatting et comment s’en protéger ?

La pratique n’est pas nouvelle, mais la transition digitale des entreprises a accentué le phénomène ces dernières années. En 2020, les hackers ont profité de la pandémie mondiale pour créer des noms de domaine en rapport avec le Covid-19. Les autorités ont recensé au moins 150 000 domaines en rapport avec la crise sanitaire.

Aux États-Unis, l’élection présidentielle de 2020 a été également la cible de typosquatting. Les pirates ont créé au moins 500 domaines en rapport avec les candidats en lice à la présidence américaine.

En 2022, l’AFNIC (Association française pour le nommage Internet en coopération) a identifié 967 noms de domaine créés sous l’extension .fr. Cet acte a été initié par un seul utilisateur depuis l’Indonésie. Plusieurs noms de domaine d’organisations et d’entreprises ont été usurpés : costorama.fr, leparisein.fr, pole-emploi.fr, etc.

D’après les experts en cybersécurité, les marques les plus populaires sont les victimes de typosquatting. Des services comme iCloud se voient usurpés leur nom de domaine au moins une dizaine de fois par jour. Il faut multiplier ces actes par les centaines d’entreprises existantes pour comprendre l’ampleur du phénomène.

Une attaque de typosquatting commence par l’achat du nom de domaine mal orthographié. Les hackers prennent souvent l’identité d’un site web populaire. Ils peuvent parfois acheter des dizaines de noms dérivés du site original. Prenons google.com par exemple, ils peuvent ajouter une consonne, ajouter une voyelle autant qu’ils veulent pour obtenir une dizaine de sites.

Dès que l’internaute commet une erreur de frappe, il visite le faux URL. Dans certains cas, il atterrit sur ce faux site à travers une attaque de phishing. La victime a cliqué sur un lien malveillant reçu par e-mail.

Le faux site est une réplique de l’originale, il reprend le design, le logo, etc. Tous les détails n’éveillent aucun soupçon chez la victime. Cette dernière saisit des informations personnelles comme le numéro de carte de crédit, les coordonnées bancaires ou encore le mot de passe. Si la victime pratique une mauvaise hygiène de mots de passe, tous ses comptes en ligne sont compromis.

Le typosquatting exploite les erreurs humaines comme :

La précipitation conduit l’internaute à commettre des fautes de frappe. Cette erreur courante est pourtant rectifiée par un correcteur automatique. Malheureusement, la correction n’est pas possible dans le cas d’une URL. Au lieu de taper google.fr, l’internaute tape gogle.fr par exemple.

Certains noms de marque sont difficiles à mémoriser, les internautes ont des doutes quant à l’orthographe. Les squatteurs exploitent cette faiblesse pour créer des noms de domaine basés sur les fautes.

Un simple trait d’union peut faire basculer l’internaute dans un site malveillant. Pourtant, son utilisation prête souvent à confusion. Prenons l’exemple economie.gouv.fr, le squatteur ajoute un trait d’union et l’URL devient economie-gouv.fr. Si l’utilisateur ne fait pas attention à la lecture de l’URL, il ne voit aucune différence entre le site authentique et le faux.

Actuellement, les entrepreneurs choisissent l’extension du nom de domaine en fonction de leur activité. S’ils visent une clientèle régionale, .eu est l’extension pour l’Europe. Pour une clientèle en France, .fr est le code du pays. Pour les entreprises internationales et les organisations, les extensions les plus communes sont .com, .org, .shop, etc.

Si le site authentique est en .fr, il suffit au squatteur d’enregistrer le nom de domaine dans les autres terminaisons .com, .net, .shop, etc. Les pirates affectionnent surtout le nom de domaine de la Colombie, .co parce qu’il est similaire à .com.

Ce cas se produit souvent dans les noms de domaine en anglais. Certains mots sont orthographiés différemment en anglais américain et anglais britannique. Prenons l’exemple de « neighbour » qui s’écrit « neighbor » en anglais américain. Le hacker peut se servir de cette différence pour créer une mauvaise URL.

Le typosquatting ne cible pas uniquement les entreprises, il peut également cibler des organisations et des célébrités comme le montrent ces exemples :

Consulté plus de 5,5 milliards de fois par jour pour une requête, Google représente l’exemple le plus connu du nom de domaine squatté. Goggle.com est le plus célèbre d’entre eux. Le faux site existe depuis 1998 et infecte directement l’appareil de l’internaute par des logiciels malveillants à son ouverture. L’internaute voit apparaître une fenêtre contextuelle proposant du contenu pour adultes. Heureusement, le site a été racheté par Google et devient un blog politique.

Au fil des années, d’autres variantes ont vu le jour à l’instar de hoogle, foogle, yoogle, boogle, etc. Ces lettres se trouvent autour de « g » sur un clavier. Les chances de commettre une faute de frappe sont donc élevées.

Dans les années 2000, plusieurs célébrités féminines comme Jennifer Lopez, Madonna ou encore Paris Hilton ont été les cibles du typosquatting. Les squatteurs utilisent des variantes de leur nom pour proposer des contenus pour adultes.

L’association est reconnue dans le monde entier pour ses engagements en faveur des droits des animaux. Les squatteurs se sont servis de l’extension .org pour rediriger les internautes vers un faux site commercialisant des produits en fourrure. Le tribunal se saisit de l’affaire et l’association obtient gain de cause. Cette dernière rachète ensuite le nom de domaine.

Les squatteurs usurpent l’identité de l’enseigne de luxe Jacquemus. Le faux site infecte les appareils des visiteurs à travers les logiciels malveillants. À l’issue d’un procès, la marque finit par racheter le nom de domaine.

Les marques comme les internautes sont les victimes du typosquatting. Pour les entreprises, les conséquents sont :

Si la principale motivation du squatteur est financière, son objectif consiste à générer du trafic sur le faux site à travers une URL similaire à l’original. Ce détournement des visiteurs peut avoir un impact sur le trafic de l’entreprise. Pour le squatteur, plus son faux site a de l’audience, plus il perçoit de l’argent grâce aux emplacements publicitaires.

La manœuvre est également purement financière. La marque reçoit de nombreuses plaintes provenant de ses clients sur l’existence d’un faux site. Cela compromet sa réputation. Par ailleurs, le site doublon peut grappiller une part de son marché. Dans les deux cas, l’entreprise se voit dans l’obligation d’acheter le nom de domaine pour en avoir le contrôle.

Les squatteurs créent une URL similaire à quelques lettres près. Dès qu’un internaute clique dessus, il est redirigé vers le site web de la marque. Les pirates demandent de l’argent à chaque redirection de visiteurs.

Si le typosquatting cible les internautes, la manœuvre du squatteur intègre souvent une attaque plus grande :

Lorsque l’internaute est redirigé vers le faux site, les hackers extorquent des informations comme la carte de crédit, les identifiants d’un compte bancaire en ligne, le numéro de sécurité sociale, etc. Le succès de cette escroquerie repose sur une réplique identique du site légitime.

Une fois les informations obtenues, les squatteurs peuvent prélever de l’argent sur le compte de la victime, usurper son identité pour d’autres arnaques, etc.

Dans ce cas, l’internaute est redirigé vers un site infecté de programmes malveillants. Dès qu’il clique sur un bouton call-to-action, le téléchargement d’un virus ou d’un ransomware est activé. Si le logiciel téléchargé est un ransomware, tous les fichiers sur l’appareil de la victime sont cryptés. Elle ne peut y accéder qu’à condition de payer une rançon.

Le typosquatting profite d’un manque d’attention et de la précipitation des internautes. C’est pourquoi les mêmes règles face au phishing s’appliquent également au typosquatting :

• il faut toujours vérifier la source d’un e-mail ou d’un message texte avant de cliquer sur un lien ou de télécharger une pièce jointe. En cas de doute, il est préférable de confirmer auprès du destinataire.
• l’ajout des sites les plus consultés dans les favoris est plus pratique, cela évite de taper l’URL à chaque visite sur la page.
• Il est préférable de passer par un moteur de recherche plus sécurisé au lieu de saisir directement l’URL. Les résultats permettent de distinguer le site légitime des faux.

Les entreprises disposent également de plusieurs marges de manœuvre pour se protéger contre le typosquatting :

• L’achat des noms de domaine dans plusieurs versions typographiques permet de prendre les devants sur les typosquatteurs. La marque peut également acheter des noms de domaine dans plusieurs extensions, des noms avec de mauvaises orthographes, etc. Finalement, les noms de domaine enregistrés redirigent vers le site web légitime.
• Les clients avertis sont plus prudents face aux arnaques à l’usurpation d’identité. Si l’entreprise soupçonne des pratiques de typosquatting, elle doit en informer ses clients.
• Le service de l’ICANN (Internet Corporation for Assigned Names and Numbers) permet de consulter les noms de domaines associés à une marque. Une surveillance continue grâce à ce service facilite l’identification des noms de domaine usurpés.