Le typosquatting

Vous souvenez-vous de toutes ces fois où vous avez accidentellement mal saisi une URL et vous êtes retrouvé sur un site Web suspect ?

Bien que taper un « e » au lieu d’un « a » ou oublier un « trait d’union » lors de la saisie de l’adresse de vos sites Web préférés soit apparemment anodin, cela peut faire de vous la victime d’une pratique vicieuse connue sous le nom de typosquatting.

Qu’est-ce que le typosquatting ?

Aussi connu sous le nom de détournement d’URL, le typosquatting est une forme de cybersquatting se fondant principalement sur les fautes de frappe et d’orthographe commises par l’internaute au moment de saisir une adresse web dans son navigateur Web. Concrètement, il s’agit pour le typosquatteur d’acheter certains noms de domaine dont la graphie ou la phonétique est proche de celle du nom de domaine d’un site très fréquenté ou d’une marque connue, afin que l’utilisateur faisant une faute d’orthographe ou une faute de frappe involontaire soit dirigé vers le site détenu par le pirate.

Comment fonctionne le typosquatting ?

Le typosquatting vise en particulier les noms de domaines de sites Web populaires à fort trafic, ce qui augmente les chances pour le cybercriminel de transformer les internautes en victimes.

Toute la ruse des typosquatteurs consiste à analyser les diverses combinaisons de fautes de saisie possibles et les inversions de lettres les plus pertinentes en fonction des claviers utilisés dans les pays ciblés (comme AZERTY pour la France ou QWERTY pour les États-Unis par exemple). A partir de là, ils peuvent définir quels noms de domaine piéger.

Prenons pour illustration le nom de domaine exemple.com. Les cybercriminels peuvent :

  • utiliser le même terme mais écrit différemment : exemples.com ;
  • utiliser une faute orthographique ou une homonymie (avec une langue étrangère notamment) : example.com ;
  • utiliser un autre TLD (domaine de premier niveau) : exemple.org ;
  • utiliser un autre domaine de premier niveau national : exemple.cm, exemple.co, exemple.om ;
  • utiliser les fautes de frappe de l’internaute :
    • omission de caractères : xemple.com
    • inversion de caractères : exemlpe.com
    • touches de proximité sur le clavier : exezmple.com

Les cybercriminels achètent et enregistrent des noms de domaine qui sont des versions délibérément mal orthographiées de sites Web légitimes et populaires. Les sites Web alternatifs vers lesquels mènent ces noms de domaine sont des sites Web frauduleux généralement créés à des fins malveillantes.

Une fois le piège mis en place, il reste deux choix aux cybercriminels : attendre patiemment qu’un internaute un peu étourdi saisisse l’adresse erronée et visite le site Web piégé, ou alors ils peuvent également accélérer le processus en incitant les internautes à cliquer sur le mauvais lien, en le diffusant sur des forums, des commentaires de blog, des e-mails de phishing, bref, un peu partout sur le Web.

Types de typosquatting

Erreurs de saisie : les personnes qui tapent rapidement sur leur clavier peuvent accidentellement faire une faute de frappe sans s’en rendre compte. Ainsi, facebook.com se transforme en faacebook.com. Remarquez le « a » supplémentaire.

Fautes d’orthographe : parfois, les internautes ne commettent aucune faute de frappe, mais les adresses Web sont tout simplement mal orthographiées par méconnaissance de l’orthographe correcte du nom d’une marque. Les internautes pourraient par exemple se rendre sur www.rueducomerce.fr lorsqu’ils désirent acheter un portable ou www.decatlon.fr s’ils sont à la recherche d’un équipement sportif.

Orthographes alternatives : les variantes orthographiques de noms de produits ou de services courants peuvent prêter à confusion pour les internautes. Par exemple, « getphotos.com » par rapport à « getfotos.com ». Si une adresse Web contient un mot dont l’orthographe est différente dans d’autres pays, un utilisateur pourrait saisir par inadvertance la mauvaise URL dans son navigateur Web.

Domaines à trait d’union : l’ajout (ou l’omission) d’un trait d’union dans un nom de domaine peut également prêter à confusion. Par exemple, servicepublic.fr pour imiter le site légitime service-public.fr.

Mauvaise extension de domaine : L’éventail des extensions de domaines crée des possibilités supplémentaires de typosquattage. Ainsi, l’adresse Web du site peut être correctement orthographié à l’exception de l’extension de domaine qui elle est erronée. Les typosquatteurs sont particulièrement friands du domaine de premier niveau colombien, .co, en raison de sa similitude avec le domaine de premier niveau le plus utilisé, .com.

Imitation de lettres : combinaison de lettres ou de chiffres pour ressembler à d’autres lettres. Si vous le lisez, « rmicrosoft.com » ressemble à « microsoft.com » et « apqle.com » ressemble à « apple.com ».

Insertion de caractères étrangers : il s’agit d’une manière plus subtile d’imiter les lettres. Les caractères comme les lettres grecques alpha « α » et oméga « ω » sont difficiles à repérer dans un nom de domaine typosquatté. Si vous ne le saviez pas à l’avance, ces deux liens n’éveilleraient probablement aucun soupçon :

  • sαvoirvivre.com : ce n’est pas un « a » dans « savoir ».
  • hoωtodo.com : ce n’est pas un « w » dans « how ».

Ajout de mots : les mots liés au contenu du site authentique peuvent être utilisés pour masquer les noms de domaine typosquattés : « www.amazon-onlineshop.fr ».

Suppression de lettres : un nom de domaine peut être subtilement coupé afin qu’il ressemble toujours à un nom de domaine possible : « cloudsavvy.com » imite le site « cloudsavvyit ». Il manque le « it ».

Ajout d’un point : L’ajout d’un point pour diviser le nom de domaine est une autre modification facile qui peut ne pas être repérée. Les liens sont souvent soulignés. Cela rend plus difficile la détection des points insérés : « cloud.savvyit.com ».

Suppression d’un point : l’enregistrement d’un site comme « wwwfacebook.com » peut inciter les gens à cliquer sur un lien. Il contient tous les composants attendus, il manque juste un point après www.

Quels sont les risques ?

Cliquer sur des liens publicitaires pour lequel le propriétaire du site Web est payé pour chaque clic. Le site Web frauduleux présente une simple liste de liens publicitaires dirigeant vers d’autres sites d’intérêt similaire au site initialement souhaité par l’internaute. Chaque « clic » d’un internaute sur un de ces liens rapporte quelques centimes au typosquatteur. Le typosquatteur parie sur le fait que quelques internautes cliqueront sur un lien. Quand le site Web typosquatté est très fréquenté, cela peut s’avérer payant à moindre coût et à moindre effort.

Atterrir sur un site de phishing où vos identifiants et autres informations personnelles seront dérobés une fois ceux-ci saisis. En utilisant une interface et des contenus semblables au site d’origine, l’internaute aura l’impression de se trouver sur le vrai site Web et non sur un site Web frauduleux. Il sera à même de laisser ses informations personnelles, voire bancaires, sans se méfier.

Télécharger des malwares : la visite du site Web frauduleux peut entraîner le téléchargement automatique et invisible d’un logiciel malveillant (Drive-by Download), entraînant ainsi l’infection de l’ordinateur du visiteur.

Comment vous protéger contre le typosquatting ?

  • Utilisez une suite de sécurité complète régulièrement mise à jour qui vous protégera contre les logiciels malveillants et les tentatives de phishing.
  • Utilisez un navigateur Web contenant une protection contre le phishing et assurez-vous de le maintenir à jour ainsi que ses extensions. Les navigateurs Web les plus récents affichent un avertissement si l’utilisateur est sur le point d’accéder à un site soupçonné de pratiquer l’hameçonnage ou de diffuser des logiciels malveillants.
  • Survolez les liens et vérifiez soigneusement les URL avant de cliquer dessus. Lors de l’inspection d’un lien, faites attention aux lettres ou aux mots manquants ou supplémentaires, aux fautes d’orthographe, aux traits d’union et à l’extension de domaine de l’URL.
  • Lorsque vous saisissez une adresse Internet dans votre navigateur Web, prenez le temps de la relire pour vous assurer qu’elle ne comporte pas d’erreur avant d’appuyer sur la touche Entrée.
  • Lorsque vous n’êtes pas sûr de l’orthographe correcte du nom du site, prenez le temps d’effectuer une recherche sur un moteur de recherche comme Google.
  • Ajoutez à votre liste de favoris les sites que vous visitez fréquemment. Ainsi, vous n’aurez pas à saisir l’adresse la prochaine fois. Il vous suffira de cliquer sur le favori de votre choix dans la liste pour accéder au site correspondant.
  • Une fois arrivé sur le site, restez vigilant. Vérifiez que l’adresse qui apparaît dans la barre d’adresse de votre navigateur Web est bien correcte et qu’il s’agit bien du site que vous souhaitiez visiter.
  • Faites preuve de sens critique. Le site d’une administration public devrait-il vraiment être en .com ? Ne devriez-vous pas plutôt consulter un site en .gouv.fr ?

Glossaire

Cybersquatting : Action malveillante qui consiste à faire enregistrer un nom de domaine dans le seul but de bloquer toute attribution ultérieure de ce nom au profit de titulaires plus naturels ou légitimes. L’objectif est souvent d’obtenir un avantage financier en échange de la rétrocession du nom ainsi détourné.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *