Aller au contenu principal
own2pwn
appsec/typosquatting.tsx

Typosquatting : définition, types, détection et recours (cybersquattage)

Typosquatting : définition, objectif, types (fautes de frappe, TLD, homoglyphes), différence avec le cybersquatting, détection avec dnstwist et recours juridiques (SYRELI, UDRP).

own2pwn··14 min de lecture

Un lundi matin, un client de votre banque en ligne tape l'adresse de son espace personnel, un peu trop vite, café à la main. Au lieu de mabanque.fr, ses doigts frappent mabaque.fr. La page qui s'affiche est identique à celle qu'il connaît : même logo, mêmes couleurs, même formulaire de connexion, et un joli cadenas HTTPS dans la barre d'adresse. Il saisit son identifiant, son mot de passe, valide. Sauf que ce site n'appartient pas à sa banque. Il vient d'offrir ses identifiants à quelqu'un qui a simplement parié sur sa faute de frappe.

C'est le typosquatting (parfois orthographié typosquattage) : enregistrer des noms de domaine qui ressemblent à ceux d'une marque connue, en misant sur les erreurs de saisie, la lecture rapide et la confiance aveugle dans le nom affiché. C'est une famille du cybersquattage (ou cybersquatting), une nuisance à la fois banale et redoutablement efficace, parce qu'elle n'exploite aucune faille technique : elle exploite vous. On va poser les définitions (y compris juridiques), passer en revue toutes les variantes, montrer comment détecter les domaines qui vous imitent avec des outils comme dnstwist, et détailler les recours français et internationaux pour récupérer un nom volé.

Cadre légal : à lire d'abord
Enregistrer un domaine pour usurper une marque, héberger un faux site internet ou monter une page de phishing est pénalement répréhensible (usurpation d'identité, contrefaçon de marque, escroquerie). Tout ce qui suit vise à défendre votre marque, pas à attaquer : la génération de variantes et les tests de détection se font sur vos propres domaines, dans le cadre d'une veille légitime ou d'un test d'intrusion autorisé (mandat écrit, périmètre défini).

Typosquatting : définition

Le typosquatting désigne l'enregistrement volontaire d'un nom de domaine très proche de celui d'une marque, d'un site ou d'un service populaire, dans le but de capter le trafic des internautes qui se trompent en tapant l'adresse. Le terme vient de l'anglais typo (faute de frappe) et squatting (occupation). On parle aussi d'URL hijacking ou de détournement d'adresse. Le principe est purement opportuniste : le domaine frauduleux ne vaut que par sa ressemblance avec l'original.

Sur le plan juridique, le typosquatting n'a pas de définition légale autonome en droit français : il est saisi à travers d'autres qualifications. Selon l'usage qui en est fait, il relève de la contrefaçon de marque (article L.713-2 et suivants du Code de la propriété intellectuelle), de la concurrence déloyale et du parasitisme (article 1240 du Code civil, sur le fondement de la responsabilité civile), voire de l'escroquerie ou de l'usurpation d'identité quand il sert à tromper (articles 313-1 et 226-4-1 du Code pénal). Pour les domaines en .fr, l'article L.45-2 du Code des postes et des communications électroniques (CPCE) permet de faire supprimer ou transférer un domaine enregistré de mauvaise foi ou portant atteinte à un droit de propriété intellectuelle.

Typosquatting, cybersquatting, cybersquattage : le vocabulaire
Cybersquattage (ou cybersquatting) est le terme générique : enregistrer de mauvaise foi un domaine reprenant la marque d'autrui. Le typosquatting en est une sous-catégorie précise, celle qui joue sur les variantes typographiques (fautes de frappe, lettres inversées, TLD différent). On y reviendra plus bas, mais retenez la hiérarchie : tout typosquatting est un cybersquattage, l'inverse n'est pas vrai.

Quel est l'objectif du typosquatting ?

Personne n'enregistre gooogle.com par erreur romantique. Derrière un domaine typosquatté, il y a toujours une intention de monétiser la ressemblance. Les motivations, de la plus bénigne à la plus dangereuse :

  • Le phishing et le vol d'identifiants. C'est l'usage le plus critique. Un clone parfait de votre page de connexion, sur un domaine crédible et en HTTPS, récolte identifiants, mots de passe et coordonnées bancaires. Les campagnes de phishing bancaire françaises en font un pilier.
  • La diffusion de malwares. Le faux site propose un « téléchargement » du logiciel légitime, en réalité vérolé. La variante la plus vicieuse vise les développeurs (voir le typosquatting de paquets plus bas).
  • La revente du domaine (extorsion douce). Le squatteur attend que la marque veuille récupérer « son » domaine et le lui revend à prix d'or. C'est le cybersquattage historique, celui des années 1990.
  • La captation publicitaire. Le domaine ne fait qu'afficher des régies de parking (liens sponsorisés) et monétise chaque visiteur égaré. Sans risque apparent, mais c'est du parasitisme pur.
  • Le détournement de réputation et la fraude. Faux SAV, fausse boutique qui encaisse sans livrer, fausse campagne de dons : le nom crédible sert de vernis à l'arnaque.

Le dénominateur commun : le domaine frauduleux hérite gratuitement de la confiance que les internautes accordent à votre marque. C'est un actif qu'on vous vole, sans jamais toucher à votre infrastructure.

Quels sont les différents types de typosquatting ?

Il n'y a pas une faute de frappe, il y en a des familles entières, et un squatteur méthodique les enregistre toutes. Prenons un domaine fictif, votreboite.fr, et déclinons les variantes que génère un attaquant.

Les variantes typographiques (le cœur du typosquatting)

  • Omission de lettre : votreboite.fr votreboit.fr, vtreboite.fr.
  • Ajout / répétition de lettre : votreboitte.fr, vvotreboite.fr.
  • Substitution de caractère (touche voisine sur le clavier) : votrenoite.fr, votreboize.fr.
  • Inversion de lettres (transposition) : vortreboite.fr, votrebiote.fr.
  • Remplacement lettre / chiffre : v0treboite.fr, votreb0ite.fr (le o devient un zéro).

Le TLD swap et l'oubli du point

Le vol de nom de domaine ne passe pas que par les lettres. Changer l'extension suffit : votreboite.com, votreboite.net, votreboite.co quand l'original est en .fr. Classique : une entreprise française protège son .fr mais oublie le .com, qu'un tiers rafle. Variante de l'oubli du point, le combosquatting colle un mot à la marque : votreboite-login.com, votreboite-support.fr, secure-votreboite.com. Ces mots rassurants (« login », « secure », « paiement ») sont précisément ceux qu'attend une victime de phishing.

Les homoglyphes et les domaines IDN (le piège invisible)

La catégorie la plus perverse : les homoglyphes, des caractères qui se ressemblent à l'œil mais sont différents pour la machine. Un rn qui imite un m (votrebornte pour votrebomte), un l minuscule qui passe pour un I majuscule. Pire encore, les domaines IDN (internationalisés) autorisent des caractères Unicode : un а cyrillique est visuellement identique au a latin, mais c'est un autre domaine, encodé en punycode (xn--...). C'est ce qu'on appelle une attaque homographe, quasi indétectable à l'œil nu.

Les vecteurs qui débordent du nom

Deux vecteurs sortent du strict registre de la faute de frappe. Le sous-domaine trompeur place la marque en sous-domaine du domaine de l'attaquant : votreboite.fr.compte-secure.com. Un œil pressé s'arrête à votreboite.fr et ne voit pas que le vrai domaine, celui qui compte, est compte-secure.com. Plus exotique mais bien réel, le bitsquatting parie sur une erreur mémoire matérielle : un bit qui bascule sous l'effet de la chaleur ou d'un rayon cosmique transforme une lettre en une autre, proche en binaire, et le squatteur enregistre le domaine résultant pour capter le trafic des machines « qui ont eu un accident ». Rare, documenté, et hors de portée de toute vigilance humaine.

familles-de-variantes
ORIGINAL : votreboite.fr

Omission        votreboit.fr        vtreboite.fr
Ajout/doublon   votreboitte.fr      vvotreboite.fr
Substitution    votrenoite.fr       votreboize.fr   (touches voisines)
Transposition   vortreboite.fr      votrebiote.fr
Lettre→chiffre  v0treboite.fr       votreb0ite.fr
TLD swap        votreboite.com      votreboite.net  votreboite.co
Combosquatting  votreboite-login.com  secure-votreboite.com
Homoglyphe      vоtreboite.fr       (le 'о' est cyrillique → punycode xn--...)
Sous-domaine    votreboite.fr.compte-secure.com
À partir d'un seul domaine, un squatteur méthodique décline des dizaines de permutations.

Typosquatting vs cybersquatting : la différence

Les deux termes sont souvent confondus, et pour cause : ils appartiennent à la même famille. La distinction tient à ce qui est copié. Le cybersquatting (cybersquattage) consiste à enregistrer de mauvaise foi un domaine qui reprend une marque, pour la revendre, nuire ou parasiter : un cybersquatting exemple typique est de déposer votreboite.com à l'identique avant que la vraie entreprise ne le fasse, en misant sur le fait qu'elle finira par le vouloir. Le typosquatting (typosquattage) en est une forme particulière qui repose non sur le nom exact mais sur une variante (faute de frappe, homoglyphe, TLD) : le squatteur ne mise pas sur la revente, mais sur le trafic dévié par l'erreur de saisie.

Autre nuance décisive : la bonne ou mauvaise foi. Enregistrer un domaine qui correspond à votre propre nom, votre projet légitime, ou un terme générique n'est pas du cybersquattage, même si une marque l'a déposé ailleurs. Le squattage suppose une intention de nuire ou de parasiter : viser délibérément la notoriété d'autrui pour en tirer profit. C'est cette intention que les procédures de recours (SYRELI, UDRP) cherchent à établir. Un homonyme de bonne foi qui exploite réellement son domaine n'a rien à craindre ; le parasite qui gare une page de pub sur le nom d'une marque connue, si.

Personnage désignant un papillon en demandant « est-ce un pigeon ? », détourné pour illustrer la confusion entre un vrai site et son clone typosquatté
L'utilisateur pressé, face au domaine v0treboite.fr : « c'est bien mon site, non ? »

Comment détecter le typosquatting ?

La bonne nouvelle : on peut générer à l'avance la liste des variantes plausibles de son propre domaine, puis vérifier lesquelles sont enregistrées, vers quoi elles pointent, et si elles hébergent une copie de votre site. C'est exactement ce que fait dnstwist, l'outil de référence en la matière.

Générer et tester les variantes avec dnstwist

dnstwist prend votre domaine, applique tous les algorithmes de permutation (omission, substitution, homoglyphe, TLD, bitsquatting…), puis résout chaque variante : existe-t-elle ? Vers quelle IP ? A-t-elle un enregistrement MX (donc capable de recevoir des mails, signe de phishing préparé) ? La page ressemble-t-elle à la vôtre ?

bash
# Générer toutes les variantes et ne montrer que celles réellement enregistrées
dnstwist --registered votreboite.fr

# Format lisible + détection de similarité de page (fuzzy hashing) et bannières
dnstwist --registered --ssdeep --banners --mxcheck votreboite.fr

# Sortie CSV pour l'intégrer à une veille automatisée
dnstwist --registered --format csv votreboite.fr > squats.csv
dnstwist (sortie simplifiée)
fuzzer         domain                  dns_a            dns_mx           note
-------------  ----------------------  ---------------  ---------------  ------------------
original       votreboite.fr           203.0.113.10     mx.votreboite.fr  (vous)
omission       vtreboite.fr            198.51.100.4     -                 parking pub
replacement    votreb0ite.fr           45.83.12.7       mail.suspect.ru   PAGE CLONÉE + MX !
tld-swap       votreboite.com          45.83.12.7       mail.suspect.ru   même IP → même acteur
homoglyph      xn--vtreboite-...fr     45.83.12.7       -                 punycode, à surveiller
addition       votreboite-login.com    103.4.55.9       -                 combosquat phishing
Chaque ligne enregistrée qui pointe ailleurs que chez vous mérite un coup d'œil ; un MX actif sur un clone = phishing en préparation.

Les logs Certificate Transparency

Un attaquant qui monte un faux site en HTTPS doit demander un certificat TLS, et chaque certificat émis est inscrit dans les registres publics de Certificate Transparency (CT). En surveillant ces logs pour les chaînes qui contiennent votre marque, vous repérez un domaine frauduleux au moment où il s'équipe pour tromper, souvent avant qu'il ne soit actif. C'est la même technique que pour débusquer le shadow IT, appliquée cette fois aux domaines qui vous imitent. On détaille la méthode dans Certificate Transparency & shadow IT.

bash
# Chercher dans crt.sh tous les certificats émis pour des noms proches
curl -s 'https://crt.sh/?q=%25votreboite%25&output=json' \
  | jq -r '.[].name_value' | sort -u

# -> votreboite.fr
# -> votreb0ite.fr          <- pas à vous : certificat émis pour un clone
# -> secure-votreboite.com  <- combosquat, TLS actif = phishing prêt

Surveillance DNS, WHOIS et veille continue

Au-delà des outils ponctuels, trois signaux se surveillent en continu : les enregistrements DNS (une variante qui se met soudain à résoudre), les données WHOIS (un domaine proche fraîchement déposé, surtout par un déposant anonyme dans un TLD exotique), et l'apparition de MX actifs sur ces variantes. Le problème n'est pas de lancer dnstwist une fois : c'est de le faire chaque jour, car un domaine typosquatté peut être enregistré, armé et utilisé en quelques heures, puis disparaître. C'est là qu'intervient l'EASM, qui automatise cette veille sur votre marque en permanence.

Le réflexe qui manque le plus souvent
La détection ne sert à rien sans un canal de signalement prêt. Ayez, avant l'incident, les contacts abuse des principaux hébergeurs et registrars, et un modèle de plainte prêt à l'emploi. Un clone signalé le jour même à l'hébergeur est souvent coupé en 24-48 h, bien plus vite que n'importe quelle procédure juridique.

Comment lutter contre le cybersquatting : les recours

Détecter ne suffit pas : il faut récupérer ou faire tomber le domaine. Selon l'extension et l'urgence, plusieurs voies coexistent, de la plus rapide (signalement) à la plus lourde (tribunal).

La voie amiable et le signalement pour abus

Le premier réflexe, surtout face à un site de phishing actif : signaler l'abus à l'hébergeur et au registrar (adresse abuse@), et déclarer le site sur Phishing Initiative ou aux navigateurs (Google Safe Browsing). C'est gratuit, rapide, et ça coupe la nuisance immédiate même si ça ne vous rend pas le domaine.

Les domaines en .fr : SYRELI et L.45-2 du CPCE

Pour un domaine en .fr, l'AFNIC (registre du .fr) offre une procédure extrajudiciaire, SYRELI (Système de résolution de litiges), fondée sur l'article L.45-2 du CPCE. Vous déposez un dossier en ligne ; le titulaire dispose d'un délai pour répondre ; l'AFNIC statue en environ deux mois et peut ordonner la suppression ou le transfert du domaine à votre profit. Le coût est de l'ordre de quelques centaines d'euros (bien moins qu'un procès), à condition de prouver une atteinte à un droit (marque, nom) et la mauvaise foi ou l'absence d'intérêt légitime du titulaire.

Les domaines génériques (.com, .net…) : l'UDRP de l'OMPI

Pour les extensions génériques (.com, .net, .org…), le mécanisme mondial est l'UDRP (Uniform Domain-Name Dispute-Resolution Policy), administré notamment par le Centre d'arbitrage et de médiation de l'OMPI (WIPO). Il faut démontrer trois conditions cumulatives : le domaine est identique ou similaire à votre marque au point de prêter à confusion ; le titulaire n'a aucun droit ni intérêt légitime dessus ; et il a été enregistré et utilisé de mauvaise foi. La procédure dure généralement deux à trois mois, coûte de l'ordre de 1 500 à quelques milliers de dollars, et aboutit au transfert ou à la radiation du domaine.

L'action judiciaire : contrefaçon et concurrence déloyale

Enfin, la voie contentieuse classique : agir devant le tribunal judiciaire en contrefaçon de marque (si votre marque est déposée) et/ou en concurrence déloyale et parasitisme. Plus longue et plus coûteuse, elle permet en revanche d'obtenir des dommages et intérêts en plus du transfert, et s'impose quand le préjudice est important ou quand les procédures extrajudiciaires ne suffisent pas. En pratique, on combine souvent : signalement immédiat pour couper le phishing, puis SYRELI/UDRP pour récupérer le nom, et judiciaire seulement si l'enjeu le justifie.

La meilleure défense reste l'anticipation
Récupérer un domaine coûte toujours plus cher que de l'avoir enregistré soi-même. Une stratégie de dépôt défensif (les principales extensions et fautes de frappe évidentes de votre marque, déposées par vos soins) désamorce les squats les plus faciles. Elle ne couvre pas l'infini combinatoire, d'où la nécessité d'une surveillance continue en complément.

Le typosquatting en conditions réelles : quelques exemples

Ces scénarios ne sont pas théoriques. Le vecteur le plus actif aujourd'hui est le typosquatting de paquets (supply chain) : des attaquants publient sur npm (JavaScript) ou PyPI (Python) des paquets aux noms très proches de bibliothèques populaires, en misant sur une faute de frappe dans un npm install ou un pip install. Le paquet piégé exécute du code malveillant dès l'installation (exfiltration de secrets, backdoor), et les registres retirent régulièrement des vagues entières de ces paquets. Un reqeusts tapé pour requests, et c'est votre pipeline CI qui fuite.

Côté grand public, le phishing bancaire français en fait un pilier : les campagnes visant les clients des grandes banques FR s'appuient constamment sur des domaines proches (variantes de frappe, combosquats en -securite ou -client), avec certificat TLS valide et clone pixel-perfect de l'espace client ; le SMS ou le mail d'hameçonnage ne fait que renvoyer vers ce faux site pour récolter identifiants et codes de validation. Enfin, les classiques historiques rappellent que la pratique est aussi vieille que le web grand public : goggle.com a longtemps dérouté les internautes cherchant Google vers des pages douteuses (pop-ups, faux prix à gagner, installeurs), avant que les géants ne récupèrent ou neutralisent la plupart de ces variantes, précisément via les procédures décrites plus haut.

Un problème de surface externe, donc de surveillance continue

Le typosquatting a une particularité : il se joue hors de chez vous. Ce ne sont pas vos serveurs, pas votre code, pas votre DNS. C'est un actif hostile monté sur une infrastructure tierce, qui n'apparaît sur aucun de vos inventaires. Comme le subdomain takeover, il échappe par nature au périmètre classique de la sécurité, et un audit annuel n'en verra qu'une photo figée : un domaine peut être enregistré, armé, exploité puis abandonné entre deux campagnes.

C'est exactement le terrain de l'EASM (External Attack Surface Management) : surveiller en continu ce qui se passe à l'extérieur de votre organisation mais autour de votre marque. Générer en permanence les variantes de vos domaines, résoudre celles qui apparaissent, croiser avec les logs Certificate Transparency et les nouveaux dépôts WHOIS, et vous alerter dès qu'un domaine se met à vous imiter, avant qu'il ne serve du phishing à vos clients. Pas une fois par an : en continu, parce que c'est la seule cadence qui suit celle des squatteurs. Si le sigle ne vous parle pas encore, on pose les bases dans qu'est-ce que l'EASM.

À retenir

  • Le typosquatting enregistre des domaines ressemblant à une marque pour capter les internautes qui se trompent. C'est une sous-catégorie du cybersquattage (cybersquatting), celle des variantes typographiques.
  • Objectif : phishing et vol d'identifiants, diffusion de malwares, revente du domaine, captation publicitaire, fraude. Le domaine hérite gratuitement de la confiance accordée à votre marque.
  • Les types : omission, ajout, substitution, inversion de lettres, lettre/chiffre, TLD swap, combosquatting, homoglyphes / IDN punycode, sous-domaine trompeur, bitsquatting.
  • Détection : dnstwist pour générer et tester les variantes, les logs Certificate Transparency (crt.sh), la surveillance DNS/WHOIS. Le tout en continu, pas une fois.
  • Recours : signalement abuse immédiat, puis SYRELI (AFNIC, art. L.45-2 CPCE) pour le .fr, UDRP (OMPI) pour les gTLD, et l'action judiciaire (contrefaçon / concurrence déloyale) pour les gros préjudices. Le dépôt défensif anticipe.
  • C'est un problème de surface d'attaque externe : hors de votre périmètre, donc invisible sans surveillance continue de votre marque.

Combien de domaines imitent déjà votre marque, là, maintenant, et combien hébergent une copie de votre page de connexion ? Si la réponse vous fait hésiter, c'est précisément le métier de notre plateforme de gestion de surface d'attaque externe. Et si vous préférez qu'on cherche ces angles morts à la main, en conditions réelles, parlez-en avec un humain sur la page contact.

Articles liés