Le typosquatting, confusion de domaines
L’erreur est humaine et elle peut toujours profiter à quelqu’un. Ainsi, en 1998, au siècle dernier, Robert Cumbow, avocat à Seattle, a été confronté au cas d’un site appelé « Amazom.com » qui affichait des bannières publicitaires pour Barnes&Noble, concurrent de la célèbre enseigne. Si cette dernière s’est indignée de ce détournement de clientèle, elle n’avait peut-être pas encore pris la mesure de ce que ce type d’abus pouvait engendrer. Le préjudice d’une telle confusion, sciemment organisée, peut être terrible pour l’utilisateur mais aussi pour l’entreprise dont le nom de domaine a été détourné. Il est donc impératif pour les marques de prendre des dispositions pour prévenir et répondre à ce type de cybersquatting. Nous le verrons dans cet article, des solutions existent pour contenir au maximum ces risques.
La menace du typosquatting
Le typosquatting est une pratique presque aussi ancienne que les noms de domaine et, nous allons le voir, porte préjudice à l’utilisateur mais aussi au détenteur du nom de domaine détourné.
1. Qu’appelle-t-on « typosquatting » ?
Si vous faites une faute de frappe dans la saisie d’un nom de domaine dans la barre d’adresse de votre navigateur, vous allez probablement réaliser votre erreur en tombant sur une page vous indiquant que l’adresse IP correspondant à cette adresse ne peut pas être trouvée. Mais il est aussi possible que vous voyiez s’afficher une page autre que celle que vous vouliez initialement visiter. Ce nom de domaine qui ressemble fortement à celui d’un site connu a manifestement été enregistré en misant sur cette confusion, c’est ce qu’on appelle le typosquatting.
Très concrètement, ces altérations de noms de domaine peuvent consister en :
- une lettre ajoutée ou omise (« gaandi »)
- deux caractères inversés (« gnadi »)
- un tiret ou un point ajouté ou retiré (« wwwgandi.net »)
- une substitution d’un caractère par un autre qui lui ressemble, un 0 pour un O, un I (i majuscule) pour un l (L minuscule), ou toute autre pratique d’homographie
- etc…
Ce type de pratique entre dans le cadre plus large du cybersquatting qui consiste, pour diverses raisons (aucune n’étant défendable) d’enregistrer des noms de domaines qui évoquent des marques établies et peuvent potentiellement induire en erreur les visiteurs. L’objectif est en général d’abuser ces visiteurs ou plus simplement de revendre la propriété de ce nom de domaine à la marque ciblée.
Par sa nature, le typosquatting, comme d’autres formes d’ingéniérie sociale, est souvent lié à ces mobiles.
2. Des motivations diverses
Monétiser des erreurs de saisie
Si un site génère un grand nombre de visites, il est probable que la saisie de son adresse engendre un grand nombre de coquilles, en tout cas suffisamment pour assurer un trafic non négligeable à une page. Si aujourd’hui le nom de domaine « gogle.com » est la propriété de Google ça n’a pas toujours été le cas et le nom de domaine a un temps permis d’accéder à un site pornographique.
C’est avec la même motivation que le dénommé Alf Temme a, en 2010, acquis 25 noms de domaine qui sont autant de variations orthographiques de hotmail.com, toutes renvoyant vers une publicité pour un appareil de fitness révolutionnaire permettant de garder la forme en seulement 4 minutes d’exercice par jour. Poursuivi par Microsoft, Alf Lemme s’est réfugié derrière une ligne de défense intéressante : si un promoteur immobilier décidait de construire un hôtel à proximité de Disneyland, l’accuserait-on de « property-squatting » ? Le succès de hotmail crée d’une certaine manière des externalités positives pour des noms de domaine « voisins », et Lemme entendait bien en profiter (spoiler : cette ligne de défense n’a pas tenu).
Détourner une clientèle potentielle
Une manière très simple de présenter ce type d’imposture serait d’imaginer un commerce en ligne acquérant des variantes orthographiques du nom de domaine de son plus gros concurrent et détournant ce trafic vers sa propre page.
Sans nécessairement être une entreprise concurrente à celle dont on détourne le nom de domaine, un cybersquatteur peut compter sur ce trafic mal orienté pour proposer des annonces affiliées pouvant répondre à la demande des visiteurs.
Mais cette pratique peu encore être plus subtile : profitant d’un programme d’affiliation mis en place par la marque de vêtement Land’s End, certaines personnes ont réservé de nombreuses déclinaisons du site de la marque, les ont redirigées vers leur propres sites qui envoyait de la clientèle à Land’s End. Les consommateurs trouvaient finalement leur bonheur, ces intermédiaires étaient rémunérés par le programme d’affiliation, seul Land’s End a trouvé à y redire et a décidé de régler cette affaire au tribunal en 2016.
Soutirer des informations
Le typosquatting est aussi et surtout un outil qui sert au phishing : que ce soit pour rendre crédible l’adresse d’envoi d’un email frauduleux ou pour donner l’illusion qu’une page de saisie de login est fiable, certains n’hésitent pas à opter pour un nom de domaine inspirant confiance. Il est donc courant pour les marques commerciales, et encore davantage pour les services impliquant des transferts d’argent de faire face à ce genre de tentatives. En 2020, un travail a été mené pour recenser les domaines cherchant à se faire passer pour l’un des noms de domaine de PayPal. Ce ne sont pas moins de 64 noms qui ont été recensés par Typosquatting Data Feed, paypal-team, mypaypal, paypal-support… agrémentés de TLD divers, .com, .site, .info, .website…
Par ce type de procédé, il est donc possible de changer la destination de virements de fonds mais aussi plus largement d’intercepter des logins, des mots de passe, des données bancaires ou toute autre forme de données personnelles.
3. Un préjudice pour les entreprises ciblées
Quel que soit le mobile de ces pratiques, on comprend aisément que le typosquatting est avant tout un danger pour l’utilisateur qui est orienté dans le meilleur des cas chez un concurrent peu scrupuleux, et au pire dans les mailles d’un dispositif frauduleux conçu pour abuser sa confiance et récupérer ses données. Mais le préjudice peut également concerner la marque dont le nom de domaine a été détourné.
Un manque à gagner
Une opération de typosquatting réussie induit bien souvent une perte de revenu pour l’entreprise qui en est victime. Le trafic est détourné de sa destination initiale et ces visiteurs, ces potentiels clients, peuvent ne plus revenir.
Une confiance érodée
Outre la privation de cette potentielle clientèle, la conséquence de ce détournement de trafic est la détérioration de l’image de marque de l’entreprise. Aucune entreprise ne souhaite être associée à des campagnes de phishing, des redirections publicitaires ou du trafic de données personnelles par un tiers. Il sera en effet tentant pour une victime de phishing de penser que c’est la sécurité du site qu’il pensait visiter qui est en cause, et non sa propre vigilance.
Une sérieuse menace pour la sécurité
Ce type d’ingénierie sociale peut également toucher des collaborateurs de l’entreprise et avoir des conséquences dramatiques, par exemple l’interception par un tiers de fonds de financement, comme ce fut le cas en 2019 pour une start-up victime d’un dispositif de phishing digne d’un film.
Contre le typosquatting, prévenir plutôt que guérir
1. Anticiper le typosquatting
Le choix du nom de domaine
Au moment du choix de votre nom de domaine, ne prêtez pas le flanc à ce type de menace : choisissez un nom de domaine court, simple, sans ambiguïté sur son orthographe. En évitant tant que possible les tirets, les mots au pluriel et faites en sorte que votre nom de domaine s’écrive comme il se lit. Court, simple, facile à mémoriser et à transmettre oralement, ces conseils sont valables pour la promotion de votre marque mais aussi pour sa protection face à la menace du typosquatting.
La stratégie défensive du portefeuille de noms de domaine
Vous pouvez aussi prévenir le typosquatting en enregistrant les noms de domaines susceptibles d’être confondus avec le votre. De la même manière que la constitution d’un portefeuille de noms de domaine peut obéir à une stratégie « défensive », vous pouvez anticiper les erreurs de saisie avant que quelqu’un d’autre n’ait l’idée de détourner ce trafic à son profit. « Facebok » est désormais une variation possible du nom de domaine du célèbre réseau social pour cette raison.
2. Identifier le typosquatting
Puisqu’il est impossible de couvrir l’ensemble des variations possible sur un même nom de domaine et avec tous les principaux TLDs dans un portefeuille de noms de domaine, certains services de surveillance sont proposés par les bureaux d’enregistrement.
C’est notamment le cas de Gandi dans le cadre des Gandi Corporate Services. Chaque marque peut faire l’objet d’une surveillance spécifique pour que son détenteur soit, au plus vite, alerté de domaines litigieux, dont des tentatives de typosquatting. Pour ce faire, les équipes de Gandi ont mis au point un logiciel permettant de détecter quotidiennement un grand nombre de variations typographiques possibles autour de ce nom de marque :
- la variation typographique stricte (une lettre en plus, en moins… par exemple « votreemarque.tld » avec un « e » de trop)
- la variation typographique au contenant (une variation agrémentée d’un mot supplémentaire, par exemple « votreemarque-france.tld »)
- la variation homoglyphe (qui joue sur la resssemblance de deux caractères, par exemple « v0tremarque.tld »
D’autres types d’usurpation de marque peuvent être identifiées chaque jour, notamment avec la marque cette fois présente uniquement dans le sous-domaine.
Dès qu’un enregistrement potentiellement assimilable à du typosquatting est enregistré, le détenteur de la marque ayant souscrit à ce service en est informé, il peut alors prendre des dispositions adaptées.
3. Apporter une réponse au typosquatting
Ces dispositions peuvent s’avérer plus complexes que prévu car dans l’absolu, d’un point de vue légal, le typosquatting n’est pas en soi interdit : c’est l’usage qui en est fait qui peut se révéler problématique.
Surveiller ce nom de domaine
Lorsque le détenteur d’une marque est averti d’un enregistrement de nom de domaine susceptible de jouer sur cette confusion, il peut dans un premier temps prendre des dispositions en interne pour se prémunir contre une usurpation d’identité demandant par exemple des virements frauduleux, ce qu’on désigne par « l’arnaque au président ». L’entreprise pourra par exemple bloquer le nom de domaine suspect dans les serveurs emails de la société, afin que les emails en provenance de ce domaine, ne puissent plus atteindre leur destinataire.
Par ailleurs, il sera judicieux de surveiller à quelles fins ce nom de domaine sera utilisé et prendre des dispositions si par exemple un site de contrefaçon est créé.
S’assurer de sa conformité
De son côté, Gandi pourra procéder à la vérification des données de cet enregistrement suspect si il a été fait via ses services ou solliciter cette vérification chez le registrar concerné si ça n’est pas le cas. Si ces informations sont fausses, le nom de domaine incriminé pourra être fermé par le service Abuse du bureau d’enregistrement.
Faire valoir sa marque dans le cadre d’un arbitrage
Enfin, si le détenteur du nom de domaine assimilable à du typosquatting n’a pas commis d’acte illicite et qu’il est conformément déclaré auprès du registrar, l’entreprise cherchant à faire valoir ses droits sur sa marque pourra s’engager dans une procédure d’arbitrage.
L’ICANN a ainsi établi un cadre appelé Uniform Domain-Name Dispute Resolution Policy (UDRP) qui permet de confier la responsabilité de trancher dans ce type de différends. Un jury est constitué et est appelé à juger du préjudice du plaignant sur la base de différents critères : le risque de confusion avec une marque déposée, l’intérêt que peut avoir le propriétaire du site incriminé à utiliser ce nom de domaine en particulier et la bonne ou la mauvaise foi de l’intéressé. Cet arbitrage par l’UDRP peut, après environ deux mois de procédure, donner lieu à une décision en faveur du plaignant et conduire à la restitution des noms de domaine en question.
D’autre dispositifs existent et sont parfois propre à un registre. Ainci, l’Afnic, en charge entre autres des noms de domaine en .fr, met à disposition des marques un dispositif baptisé Syreli , plus simple, plus rapide et pouvant donner lieu à la suppression du nom de domaine et pas nécessairement son transfert.
Conclusion : le typosquatting, véritable menace pour votre marque
Cette pratique est préjudiciable pour les utilisateurs qui risquent, en cas d’inattention, d’être confrontés à des risques bien plus graves que celui d’atterrir sur un autre site que celui qu’ils cherchaient. Mais le typosquatting est également une menace pour les marques et la sécurité de leurs détenteurs. Il est donc crucial de se prémunir contre ces risques, surveiller continuellement l’apparition de noms de domaines suspects et, le cas échéant, prendre les mesures adaptées pour faire valoir ses droits. Pour tout cela, n’hésitez pas à vous rapprocher des équipes de Gandi Corporate Services pour prendre la mesure des efforts déployés pour lutter contre ces pratiques.