Typosquatting : définition, types, détection et
recours (cybersquattage)
Typosquatting : définition, objectif, types (fautes de frappe, TLD, homoglyphes), différence avec le cybersquatting, détection avec dnstwist et recours juridiques (SYRELI, UDRP).
own2pwn··14 min de lecture
Un lundi matin, un client de votre banque en ligne tape l'adresse de son espace personnel, un peu trop vite, café à la main. Au lieu de mabanque.fr, ses doigts frappent mabaque.fr. La page qui s'affiche est identique à celle qu'il connaît : même logo, mêmes couleurs, même formulaire de connexion, et un joli cadenas HTTPS dans la barre d'adresse. Il saisit son identifiant, son mot de passe, valide. Sauf que ce site n'appartient pas à sa banque. Il vient d'offrir ses identifiants à quelqu'un qui a simplement parié sur sa faute de frappe.
C'est le typosquatting (parfois orthographié typosquattage) : enregistrer des noms de domaine qui ressemblent à ceux d'une marque connue, en misant sur les erreurs de saisie, la lecture rapide et la confiance aveugle dans le nom affiché. C'est une famille du cybersquattage (ou cybersquatting), une nuisance à la fois banale et redoutablement efficace, parce qu'elle n'exploite aucune faille technique : elle exploite vous. On va poser les définitions (y compris juridiques), passer en revue toutes les variantes, montrer comment détecter les domaines qui vous imitent avec des outils comme dnstwist, et détailler les recours français et internationaux pour récupérer un nom volé.
Cadre légal : à lire d'abord
Typosquatting : définition
Le typosquatting désigne l'enregistrement volontaire d'un nom de domaine très proche de celui d'une marque, d'un site ou d'un service populaire, dans le but de capter le trafic des internautes qui se trompent en tapant l'adresse. Le terme vient de l'anglais typo (faute de frappe) et squatting (occupation). On parle aussi d'URL hijacking ou de détournement d'adresse. Le principe est purement opportuniste : le domaine frauduleux ne vaut que par sa ressemblance avec l'original.
Sur le plan juridique, le typosquatting n'a pas de définition légale autonome en droit français : il est saisi à travers d'autres qualifications. Selon l'usage qui en est fait, il relève de la contrefaçon de marque (article L.713-2 et suivants du Code de la propriété intellectuelle), de la concurrence déloyale et du parasitisme (article 1240 du Code civil, sur le fondement de la responsabilité civile), voire de l'escroquerie ou de l'usurpation d'identité quand il sert à tromper (articles 313-1 et 226-4-1 du Code pénal). Pour les domaines en .fr, l'article L.45-2 du Code des postes et des communications électroniques (CPCE) permet de faire supprimer ou transférer un domaine enregistré de mauvaise foi ou portant atteinte à un droit de propriété intellectuelle.
Typosquatting, cybersquatting, cybersquattage : le vocabulaire
Quel est l'objectif du typosquatting ?
Personne n'enregistre gooogle.com par erreur romantique. Derrière un domaine typosquatté, il y a toujours une intention de monétiser la ressemblance. Les motivations, de la plus bénigne à la plus dangereuse :
- Le phishing et le vol d'identifiants. C'est l'usage le plus critique. Un clone parfait de votre page de connexion, sur un domaine crédible et en HTTPS, récolte identifiants, mots de passe et coordonnées bancaires. Les campagnes de phishing bancaire françaises en font un pilier.
- La diffusion de malwares. Le faux site propose un « téléchargement » du logiciel légitime, en réalité vérolé. La variante la plus vicieuse vise les développeurs (voir le typosquatting de paquets plus bas).
- La revente du domaine (extorsion douce). Le squatteur attend que la marque veuille récupérer « son » domaine et le lui revend à prix d'or. C'est le cybersquattage historique, celui des années 1990.
- La captation publicitaire. Le domaine ne fait qu'afficher des régies de parking (liens sponsorisés) et monétise chaque visiteur égaré. Sans risque apparent, mais c'est du parasitisme pur.
- Le détournement de réputation et la fraude. Faux SAV, fausse boutique qui encaisse sans livrer, fausse campagne de dons : le nom crédible sert de vernis à l'arnaque.
Le dénominateur commun : le domaine frauduleux hérite gratuitement de la confiance que les internautes accordent à votre marque. C'est un actif qu'on vous vole, sans jamais toucher à votre infrastructure.
Quels sont les différents types de typosquatting ?
Il n'y a pas une faute de frappe, il y en a des familles entières, et un squatteur méthodique les enregistre toutes. Prenons un domaine fictif, votreboite.fr, et déclinons les variantes que génère un attaquant.
Les variantes typographiques (le cœur du typosquatting)
- Omission de lettre :
votreboite.fr→votreboit.fr,vtreboite.fr. - Ajout / répétition de lettre :
votreboitte.fr,vvotreboite.fr. - Substitution de caractère (touche voisine sur le clavier) :
votrenoite.fr,votreboize.fr. - Inversion de lettres (transposition) :
vortreboite.fr,votrebiote.fr. - Remplacement lettre / chiffre :
v0treboite.fr,votreb0ite.fr(leodevient un zéro).
Le TLD swap et l'oubli du point
Le vol de nom de domaine ne passe pas que par les lettres. Changer l'extension suffit : votreboite.com, votreboite.net, votreboite.co quand l'original est en .fr. Classique : une entreprise française protège son .fr mais oublie le .com, qu'un tiers rafle. Variante de l'oubli du point, le combosquatting colle un mot à la marque : votreboite-login.com, votreboite-support.fr, secure-votreboite.com. Ces mots rassurants (« login », « secure », « paiement ») sont précisément ceux qu'attend une victime de phishing.
Les homoglyphes et les domaines IDN (le piège invisible)
La catégorie la plus perverse : les homoglyphes, des caractères qui se ressemblent à l'œil mais sont différents pour la machine. Un rn qui imite un m (votrebornte pour votrebomte), un l minuscule qui passe pour un I majuscule. Pire encore, les domaines IDN (internationalisés) autorisent des caractères Unicode : un а cyrillique est visuellement identique au a latin, mais c'est un autre domaine, encodé en punycode (xn--...). C'est ce qu'on appelle une attaque homographe, quasi indétectable à l'œil nu.
Les vecteurs qui débordent du nom
Deux vecteurs sortent du strict registre de la faute de frappe. Le sous-domaine trompeur place la marque en sous-domaine du domaine de l'attaquant : votreboite.fr.compte-secure.com. Un œil pressé s'arrête à votreboite.fr et ne voit pas que le vrai domaine, celui qui compte, est compte-secure.com. Plus exotique mais bien réel, le bitsquatting parie sur une erreur mémoire matérielle : un bit qui bascule sous l'effet de la chaleur ou d'un rayon cosmique transforme une lettre en une autre, proche en binaire, et le squatteur enregistre le domaine résultant pour capter le trafic des machines « qui ont eu un accident ». Rare, documenté, et hors de portée de toute vigilance humaine.
ORIGINAL : votreboite.fr
Omission votreboit.fr vtreboite.fr
Ajout/doublon votreboitte.fr vvotreboite.fr
Substitution votrenoite.fr votreboize.fr (touches voisines)
Transposition vortreboite.fr votrebiote.fr
Lettre→chiffre v0treboite.fr votreb0ite.fr
TLD swap votreboite.com votreboite.net votreboite.co
Combosquatting votreboite-login.com secure-votreboite.com
Homoglyphe vоtreboite.fr (le 'о' est cyrillique → punycode xn--...)
Sous-domaine votreboite.fr.compte-secure.comTyposquatting vs cybersquatting : la différence
Les deux termes sont souvent confondus, et pour cause : ils appartiennent à la même famille. La distinction tient à ce qui est copié. Le cybersquatting (cybersquattage) consiste à enregistrer de mauvaise foi un domaine qui reprend une marque, pour la revendre, nuire ou parasiter : un cybersquatting exemple typique est de déposer votreboite.com à l'identique avant que la vraie entreprise ne le fasse, en misant sur le fait qu'elle finira par le vouloir. Le typosquatting (typosquattage) en est une forme particulière qui repose non sur le nom exact mais sur une variante (faute de frappe, homoglyphe, TLD) : le squatteur ne mise pas sur la revente, mais sur le trafic dévié par l'erreur de saisie.
Autre nuance décisive : la bonne ou mauvaise foi. Enregistrer un domaine qui correspond à votre propre nom, votre projet légitime, ou un terme générique n'est pas du cybersquattage, même si une marque l'a déposé ailleurs. Le squattage suppose une intention de nuire ou de parasiter : viser délibérément la notoriété d'autrui pour en tirer profit. C'est cette intention que les procédures de recours (SYRELI, UDRP) cherchent à établir. Un homonyme de bonne foi qui exploite réellement son domaine n'a rien à craindre ; le parasite qui gare une page de pub sur le nom d'une marque connue, si.

Comment détecter le typosquatting ?
La bonne nouvelle : on peut générer à l'avance la liste des variantes plausibles de son propre domaine, puis vérifier lesquelles sont enregistrées, vers quoi elles pointent, et si elles hébergent une copie de votre site. C'est exactement ce que fait dnstwist, l'outil de référence en la matière.
Générer et tester les variantes avec dnstwist
dnstwist prend votre domaine, applique tous les algorithmes de permutation (omission, substitution, homoglyphe, TLD, bitsquatting…), puis résout chaque variante : existe-t-elle ? Vers quelle IP ? A-t-elle un enregistrement MX (donc capable de recevoir des mails, signe de phishing préparé) ? La page ressemble-t-elle à la vôtre ?
# Générer toutes les variantes et ne montrer que celles réellement enregistrées
dnstwist --registered votreboite.fr
# Format lisible + détection de similarité de page (fuzzy hashing) et bannières
dnstwist --registered --ssdeep --banners --mxcheck votreboite.fr
# Sortie CSV pour l'intégrer à une veille automatisée
dnstwist --registered --format csv votreboite.fr > squats.csvfuzzer domain dns_a dns_mx note
------------- ---------------------- --------------- --------------- ------------------
original votreboite.fr 203.0.113.10 mx.votreboite.fr (vous)
omission vtreboite.fr 198.51.100.4 - parking pub
replacement votreb0ite.fr 45.83.12.7 mail.suspect.ru PAGE CLONÉE + MX !
tld-swap votreboite.com 45.83.12.7 mail.suspect.ru même IP → même acteur
homoglyph xn--vtreboite-...fr 45.83.12.7 - punycode, à surveiller
addition votreboite-login.com 103.4.55.9 - combosquat phishingLes logs Certificate Transparency
Un attaquant qui monte un faux site en HTTPS doit demander un certificat TLS, et chaque certificat émis est inscrit dans les registres publics de Certificate Transparency (CT). En surveillant ces logs pour les chaînes qui contiennent votre marque, vous repérez un domaine frauduleux au moment où il s'équipe pour tromper, souvent avant qu'il ne soit actif. C'est la même technique que pour débusquer le shadow IT, appliquée cette fois aux domaines qui vous imitent. On détaille la méthode dans Certificate Transparency & shadow IT.
# Chercher dans crt.sh tous les certificats émis pour des noms proches
curl -s 'https://crt.sh/?q=%25votreboite%25&output=json' \
| jq -r '.[].name_value' | sort -u
# -> votreboite.fr
# -> votreb0ite.fr <- pas à vous : certificat émis pour un clone
# -> secure-votreboite.com <- combosquat, TLS actif = phishing prêtSurveillance DNS, WHOIS et veille continue
Au-delà des outils ponctuels, trois signaux se surveillent en continu : les enregistrements DNS (une variante qui se met soudain à résoudre), les données WHOIS (un domaine proche fraîchement déposé, surtout par un déposant anonyme dans un TLD exotique), et l'apparition de MX actifs sur ces variantes. Le problème n'est pas de lancer dnstwist une fois : c'est de le faire chaque jour, car un domaine typosquatté peut être enregistré, armé et utilisé en quelques heures, puis disparaître. C'est là qu'intervient l'EASM, qui automatise cette veille sur votre marque en permanence.
Le réflexe qui manque le plus souvent
Comment lutter contre le cybersquatting : les recours
Détecter ne suffit pas : il faut récupérer ou faire tomber le domaine. Selon l'extension et l'urgence, plusieurs voies coexistent, de la plus rapide (signalement) à la plus lourde (tribunal).
La voie amiable et le signalement pour abus
Le premier réflexe, surtout face à un site de phishing actif : signaler l'abus à l'hébergeur et au registrar (adresse abuse@), et déclarer le site sur Phishing Initiative ou aux navigateurs (Google Safe Browsing). C'est gratuit, rapide, et ça coupe la nuisance immédiate même si ça ne vous rend pas le domaine.
Les domaines en .fr : SYRELI et L.45-2 du CPCE
Pour un domaine en .fr, l'AFNIC (registre du .fr) offre une procédure extrajudiciaire, SYRELI (Système de résolution de litiges), fondée sur l'article L.45-2 du CPCE. Vous déposez un dossier en ligne ; le titulaire dispose d'un délai pour répondre ; l'AFNIC statue en environ deux mois et peut ordonner la suppression ou le transfert du domaine à votre profit. Le coût est de l'ordre de quelques centaines d'euros (bien moins qu'un procès), à condition de prouver une atteinte à un droit (marque, nom) et la mauvaise foi ou l'absence d'intérêt légitime du titulaire.
Les domaines génériques (.com, .net…) : l'UDRP de l'OMPI
Pour les extensions génériques (.com, .net, .org…), le mécanisme mondial est l'UDRP (Uniform Domain-Name Dispute-Resolution Policy), administré notamment par le Centre d'arbitrage et de médiation de l'OMPI (WIPO). Il faut démontrer trois conditions cumulatives : le domaine est identique ou similaire à votre marque au point de prêter à confusion ; le titulaire n'a aucun droit ni intérêt légitime dessus ; et il a été enregistré et utilisé de mauvaise foi. La procédure dure généralement deux à trois mois, coûte de l'ordre de 1 500 à quelques milliers de dollars, et aboutit au transfert ou à la radiation du domaine.
L'action judiciaire : contrefaçon et concurrence déloyale
Enfin, la voie contentieuse classique : agir devant le tribunal judiciaire en contrefaçon de marque (si votre marque est déposée) et/ou en concurrence déloyale et parasitisme. Plus longue et plus coûteuse, elle permet en revanche d'obtenir des dommages et intérêts en plus du transfert, et s'impose quand le préjudice est important ou quand les procédures extrajudiciaires ne suffisent pas. En pratique, on combine souvent : signalement immédiat pour couper le phishing, puis SYRELI/UDRP pour récupérer le nom, et judiciaire seulement si l'enjeu le justifie.
La meilleure défense reste l'anticipation
Le typosquatting en conditions réelles : quelques exemples
Ces scénarios ne sont pas théoriques. Le vecteur le plus actif aujourd'hui est le typosquatting de paquets (supply chain) : des attaquants publient sur npm (JavaScript) ou PyPI (Python) des paquets aux noms très proches de bibliothèques populaires, en misant sur une faute de frappe dans un npm install ou un pip install. Le paquet piégé exécute du code malveillant dès l'installation (exfiltration de secrets, backdoor), et les registres retirent régulièrement des vagues entières de ces paquets. Un reqeusts tapé pour requests, et c'est votre pipeline CI qui fuite.
Côté grand public, le phishing bancaire français en fait un pilier : les campagnes visant les clients des grandes banques FR s'appuient constamment sur des domaines proches (variantes de frappe, combosquats en -securite ou -client), avec certificat TLS valide et clone pixel-perfect de l'espace client ; le SMS ou le mail d'hameçonnage ne fait que renvoyer vers ce faux site pour récolter identifiants et codes de validation. Enfin, les classiques historiques rappellent que la pratique est aussi vieille que le web grand public : goggle.com a longtemps dérouté les internautes cherchant Google vers des pages douteuses (pop-ups, faux prix à gagner, installeurs), avant que les géants ne récupèrent ou neutralisent la plupart de ces variantes, précisément via les procédures décrites plus haut.
Un problème de surface externe, donc de surveillance continue
Le typosquatting a une particularité : il se joue hors de chez vous. Ce ne sont pas vos serveurs, pas votre code, pas votre DNS. C'est un actif hostile monté sur une infrastructure tierce, qui n'apparaît sur aucun de vos inventaires. Comme le subdomain takeover, il échappe par nature au périmètre classique de la sécurité, et un audit annuel n'en verra qu'une photo figée : un domaine peut être enregistré, armé, exploité puis abandonné entre deux campagnes.
C'est exactement le terrain de l'EASM (External Attack Surface Management) : surveiller en continu ce qui se passe à l'extérieur de votre organisation mais autour de votre marque. Générer en permanence les variantes de vos domaines, résoudre celles qui apparaissent, croiser avec les logs Certificate Transparency et les nouveaux dépôts WHOIS, et vous alerter dès qu'un domaine se met à vous imiter, avant qu'il ne serve du phishing à vos clients. Pas une fois par an : en continu, parce que c'est la seule cadence qui suit celle des squatteurs. Si le sigle ne vous parle pas encore, on pose les bases dans qu'est-ce que l'EASM.
À retenir
- Le typosquatting enregistre des domaines ressemblant à une marque pour capter les internautes qui se trompent. C'est une sous-catégorie du cybersquattage (cybersquatting), celle des variantes typographiques.
- Objectif : phishing et vol d'identifiants, diffusion de malwares, revente du domaine, captation publicitaire, fraude. Le domaine hérite gratuitement de la confiance accordée à votre marque.
- Les types : omission, ajout, substitution, inversion de lettres, lettre/chiffre, TLD swap, combosquatting, homoglyphes / IDN punycode, sous-domaine trompeur, bitsquatting.
- Détection :
dnstwistpour générer et tester les variantes, les logs Certificate Transparency (crt.sh), la surveillance DNS/WHOIS. Le tout en continu, pas une fois. - Recours : signalement abuse immédiat, puis SYRELI (AFNIC, art. L.45-2 CPCE) pour le
.fr, UDRP (OMPI) pour les gTLD, et l'action judiciaire (contrefaçon / concurrence déloyale) pour les gros préjudices. Le dépôt défensif anticipe. - C'est un problème de surface d'attaque externe : hors de votre périmètre, donc invisible sans surveillance continue de votre marque.
Combien de domaines imitent déjà votre marque, là, maintenant, et combien hébergent une copie de votre page de connexion ? Si la réponse vous fait hésiter, c'est précisément le métier de notre plateforme de gestion de surface d'attaque externe. Et si vous préférez qu'on cherche ces angles morts à la main, en conditions réelles, parlez-en avec un humain sur la page contact.
Articles liés
appsec
EASM : qu'est-ce que la gestion de surface d'attaque externe ?
L'EASM en clair : définition, fonctionnement, et ce qui le distingue d'un scanner ou d'un pentest. Comment cartographier votre surface d'attaque externe et qui en a besoin.
appsec
Subdomain takeover : comment un sous-domaine oublié devient une porte d'entrée
Subdomain takeover : un CNAME orphelin (dangling DNS) laisse un tiers servir du contenu sous votre marque, avec un vrai certificat TLS. Détection et remédiation.
appsec
Prix d'un EASM : combien coûte une plateforme de gestion de surface d'attaque ?
Prix EASM : les modèles de facturation réels, les fourchettes observées, le piège du sur devis et ce qui fait varier la facture. Existe-t-il un EASM gratuit ?