Comment fonctionne le typosquatting
Le typosquatting repose sur une faille qui n’a rien de technique : le cerveau humain corrige automatiquement ce qu’il lit. Quand un utilisateur voit micosoft.com dans un email ou dans la barre d’adresse, son cerveau lit “microsoft.com”. L’œil survole, le cerveau complète, et le clic part.
L’attaquant exploite ce biais cognitif en enregistrant des noms de domaine qui ressemblent à un domaine légitime. Le coût d’enregistrement est de quelques euros par an. Pour quelques centaines d’euros, un attaquant peut enregistrer des dizaines de variantes d’un même domaine et les utiliser pour :
- Héberger de fausses pages de connexion qui collectent les identifiants saisis par les victimes
- Envoyer des emails de phishing depuis une adresse quasi identique à celle d’un partenaire ou d’un fournisseur
- Distribuer du malware via des sites qui imitent des pages de téléchargement légitimes
- Intercepter du trafic destiné au site original (emails envoyés par erreur au domaine typosquatté, requêtes DNS mal dirigées)
Ce qui rend le typosquatting redoutable par rapport au spoofing classique : l’attaquant possède réellement le domaine. Il peut y configurer SPF, DKIM et DMARC. Les emails envoyés depuis ce domaine passent tous les contrôles d’authentification. Les navigateurs affichent un cadenas HTTPS. Rien dans les vérifications automatiques ne signale un problème.
Techniques de typosquatting
Fautes de frappe classiques (fat finger)
L’attaquant enregistre des domaines qui correspondent aux erreurs de frappe courantes sur un clavier AZERTY ou QWERTY :
- Touches adjacentes :
gogle.com,gmial.com,amzaon.com. Sur mobile, la taille réduite des touches amplifie ces erreurs. - Lettres manquantes :
microsft.com,goole.com,aple.com. L’œil ne remarque pas l’absence car le mot reste reconnaissable. - Lettres doublées :
gooogle.com,faceboook.com. Le cerveau ne compte pas les lettres, il reconnaît la forme globale du mot. - Transpositions :
gogole.com,micosoft.com. Deux lettres inversées, une erreur banale quand on tape vite.
Substitution de caractères visuellement proches
L’attaquant remplace une lettre par un caractère qui lui ressemble dans les polices courantes des navigateurs et des clients email.
| Substitution | Exemple | Pourquoi ça fonctionne |
|---|---|---|
rn → m | rnonenentreprise.com ressemble à monentreprise.com | En Arial ou Helvetica, rn forme un bloc identique à m |
l → 1 | pay1oads.com ressemble à payloads.com | Le chiffre 1 et la lettre l sont presque identiques en sans-serif |
O → 0 | micros0ft.com | Le zéro et le O majuscule se confondent selon les polices |
I → l | appIe.com (I majuscule) | Dans de nombreuses polices, le I majuscule et le l minuscule sont identiques |
vv → w | vvikipedia.com | Deux v côte à côte imitent un w |
La substitution rn → m est la plus connue des analystes en sécurité. Dans un email en HTML, avec la police par défaut d’Outlook ou de Gmail, la différence est quasi invisible.
Homoglyphes (attaques IDN)
Les homoglyphes poussent la substitution de caractères à un autre niveau. L’attaquant utilise des caractères Unicode provenant d’autres alphabets qui sont visuellement identiques aux lettres latines.
Le а cyrillique (U+0430) ressemble au a latin (U+0061). Le о cyrillique (U+043E) ressemble au o latin (U+006F). Le і ukrainien (U+0456) ressemble au i latin (U+0069). Un domaine enregistré avec ces caractères — par exemple аpple.com avec un а cyrillique — est techniquement un domaine différent de apple.com mais visuellement identique dans la barre d’adresse.
Ces attaques sont aussi appelées “attaques IDN homographes” (IDN = Internationalized Domain Name). Les navigateurs modernes ont intégré des protections : Chrome, Firefox et Safari affichent la forme Punycode (xn--pple-43d.com) au lieu du rendu Unicode quand le domaine mélange des scripts. Mais tous les clients email n’appliquent pas cette protection, et certains TLD autorisent encore l’enregistrement de domaines mixtes.
Variations de TLD
L’attaquant enregistre le même nom de domaine avec une extension différente. Si votre domaine est monentreprise.fr, il enregistre monentreprise.com, monentreprise.net, monentreprise.co, monentreprise.eu ou monentreprise.org.
La multiplication des extensions de domaine (plus de 1 500 TLD disponibles aujourd’hui) a rendu cette technique plus accessible. Des extensions comme .fr.com, .com.fr ou .fr.eu.org peuvent piéger un utilisateur qui confond les extensions. Un employé qui envoie un email à contact@fournisseur.com au lieu de contact@fournisseur.fr envoie potentiellement des données confidentielles à un attaquant.
Combosquatting
L’attaquant ajoute un mot au domaine légitime pour créer un domaine qui semble être un sous-service ou un portail officiel : microsoft-login.com, google-security.com, chronopost-livraison.fr, ameli-connexion.fr.
Une étude de Georgia Tech a montré que le combosquatting est 100 fois plus répandu que le typosquatting classique. Les domaines générés ont une durée de vie plus longue car ils sont plus difficiles à détecter par les outils automatisés : le domaine contient le vrai nom de marque, ce qui lui confère une apparence de légitimité.
Les mots les plus ajoutés : login, secure, account, verify, update, support, service, alert. En français : connexion, securite, compte, verification, mise-a-jour.
Typosquatting et phishing : une combinaison redoutable
Le typosquatting n’est pas un objectif en soi. C’est un vecteur qui amplifie la crédibilité des attaques de phishing, de spear phishing et de fraude au président (BEC).
Des emails qui passent tous les contrôles
Quand un attaquant envoie un email depuis un domaine typosquatté qu’il contrôle, il peut configurer les protocoles d’authentification à son avantage. L’email provenant de direction@votre-entreprlse.fr (avec un l au lieu du i) affiche des résultats SPF, DKIM et DMARC valides. Les passerelles email ne le bloquent pas. Les filtres anti-phishing qui reposent sur l’authentification laissent passer le message.
C’est la différence avec le spoofing classique. Un email qui usurpe direction@votre-entreprise.fr sans contrôler le domaine sera bloqué par un DMARC en mode reject. Mais un email envoyé depuis direction@votre-entreprlse.fr — domaine distinct, contrôlé par l’attaquant — passe.
Pages de collecte d’identifiants
L’attaquant héberge sur le domaine typosquatté une copie de la page de connexion Microsoft 365, Google Workspace ou de l’intranet de l’entreprise. L’URL dans la barre d’adresse est presque correcte, le certificat SSL affiche un cadenas vert, la page ressemble à l’originale. L’utilisateur saisit ses identifiants sans se méfier.
Ces pages de phishing sont souvent servies via des outils comme EvilProxy, qui agissent en proxy inverse pour capturer les identifiants et les jetons de session MFA en temps réel.
Fraude au président via domaine sosie
Dans les attaques de BEC et de whaling, l’attaquant envoie un email depuis un domaine typosquatté en se faisant passer pour un dirigeant de l’entreprise. L’email demande un virement en urgence, un changement de coordonnées bancaires ou l’envoi de données confidentielles.
Le domaine sosie rend la fraude plus difficile à détecter qu’un simple display name spoofing : l’adresse email complète semble correcte au premier regard. Il faut lire chaque caractère pour repérer la différence.
Exemples concrets
Microsoft et Google : les domaines les plus typosquattés au monde
Les pages de connexion Microsoft 365 et Google Workspace sont les cibles n°1 du typosquatting. Des milliers de variantes sont enregistrées en permanence : microsoftonline-login.com, accounts-google.com, 0ffice365.com, outlook-verify.com. Selon le Verizon DBIR 2024, les identifiants volés restent le premier vecteur d’accès initial dans les compromissions de données, et les pages de phishing hébergées sur des domaines typosquattés y contribuent massivement.
Ameli, Chronopost, impots.gouv : les cibles françaises
En France, les services publics et les grandes marques sont régulièrement victimes de combosquatting et de typosquatting.
Ameli (Assurance Maladie) : des domaines comme ameli-connexion.fr, ameli-remboursement.com ou amelie.fr (avec un e en trop) ont été utilisés pour héberger de fausses pages demandant les identifiants Ameli et les coordonnées bancaires. Cybermalveillance.gouv.fr publie des alertes récurrentes sur ces campagnes.
Chronopost : des SMS de phishing (smishing) redirigent vers des domaines comme chronopost-livraison.fr, chronopost-suivi.com ou chr0nopost.fr. La page affiche un formulaire de paiement de “frais de livraison” pour collecter les données de carte bancaire. Le dispositif national d’assistance Cybermalveillance classe ces campagnes parmi les plus signalées par les particuliers et les TPE.
Impots.gouv.fr : pendant les périodes de déclaration fiscale, des variantes comme impots-gouv.fr, impots.gouv.com ou impots-remboursement.fr sont exploitées pour des campagnes de phishing à grande échelle. L’ANSSI rappelle régulièrement que les services publics français n’envoient jamais de lien de connexion direct par email.
Typosquatting de packages logiciels
Le typosquatting ne se limite pas aux noms de domaine. Les dépôts de packages (npm, PyPI, RubyGems) sont aussi ciblés. Des attaquants publient des bibliothèques malveillantes avec des noms proches de packages populaires : reqeusts au lieu de requests, colorsj au lieu de colors, djang0 au lieu de django.
Un développeur qui fait une faute de frappe dans son fichier de dépendances installe le package piégé. En 2023, des chercheurs de Checkmarx ont identifié plus de 500 packages malveillants sur PyPI utilisant le typosquatting, forçant la plateforme à suspendre temporairement la création de nouveaux projets.
Comment protéger votre entreprise
Enregistrement défensif des variantes
Enregistrez les variantes les plus prévisibles de votre domaine principal. Ciblez en priorité :
- Les fautes de frappe courantes : touches adjacentes sur le clavier AZERTY (les erreurs sont différentes sur QWERTY), lettres doublées ou manquantes, transpositions des lettres fréquemment confondues
- Les TLD alternatifs : si votre domaine est en
.fr, enregistrez le.com, le.net, le.euet le.coau minimum - Les variantes avec et sans tiret :
monentreprise.fretmon-entreprise.fr - Les substitutions évidentes :
0pouro,1pourl,rnpourm
Redirigez toutes ces variantes vers votre domaine principal. Le coût total pour 10 à 20 variantes : quelques centaines d’euros par an. C’est un coût négligeable face au risque d’une campagne de phishing qui utilise un domaine sosie pour cibler vos clients ou vos collaborateurs.
Surveillance de domaines (dnstwist et alternatives)
L’enregistrement défensif ne couvre pas toutes les variantes possibles. Pour une surveillance continue :
dnstwist (open source) : cet outil génère automatiquement les permutations de votre domaine — transpositions, homoglyphes, TLD alternatifs, combosquatting — et vérifie lesquelles sont enregistrées, ont des enregistrements MX (signe qu’elles sont utilisées pour l’email) ou hébergent un site web. Un scan régulier (hebdomadaire) révèle les nouveaux domaines sosies.
URLCrazy (open source) : couvre 15 types de permutations et teste les enregistrements MX pour identifier les domaines configurés pour l’envoi d’emails.
Certificate Transparency logs : chaque certificat SSL/TLS émis est enregistré dans des journaux publics. En surveillant ces journaux via crt.sh, vous pouvez détecter quand un certificat est émis pour un domaine ressemblant au vôtre. Un certificat émis pour entreprlse.com signifie que quelqu’un prépare un site web sécurisé sur ce domaine — un signal fort de typosquatting offensif.
Services commerciaux : des plateformes comme Bolster, PhishLabs ou Red Points combinent la surveillance de domaines, l’analyse de contenu et les procédures de takedown automatisées. Ces services sont adaptés aux entreprises qui gèrent plusieurs marques ou qui sont fréquemment ciblées.
DMARC sur votre propre domaine
DMARC ne bloque pas le typosquatting (puisque l’attaquant utilise un domaine différent), mais il bloque le spoofing de votre domaine exact. Un DMARC en mode p=reject force les attaquants vers le typosquatting, qui est plus coûteux (il faut acheter un domaine) et plus détectable (les outils de surveillance repèrent les domaines sosies).
Sans DMARC, l’attaquant n’a même pas besoin de typosquatter : il usurpe directement votre domaine gratuitement. Configurer SPF, DKIM et DMARC en mode reject ferme cette porte et concentre la menace sur le typosquatting, où vous pouvez agir par la surveillance et la formation.
Vérifiez la configuration email de votre domaine avec notre vérificateur de sécurité email. L’outil analyse vos enregistrements SPF, DKIM et DMARC et vous indique si votre domaine est protégé contre le spoofing exact.
Formation des collaborateurs
Les protections techniques ne détectent pas tous les domaines sosies. La dernière ligne de défense, ce sont vos équipes.
Le réflexe URL : formez vos collaborateurs à vérifier l’URL complète avant de saisir des identifiants. Pas le logo, pas le certificat SSL, pas le design de la page — l’adresse dans la barre du navigateur, caractère par caractère.
Le survol avant le clic : dans les emails, passer la souris sur un lien affiche l’URL de destination. Sur mobile, un appui long sur le lien affiche l’URL sans ouvrir la page. Intégrez ce geste dans vos formations.
Le favori plutôt que le lien : les employés ne devraient jamais se connecter à un service en cliquant sur un lien dans un email. La bonne pratique : taper l’URL directement ou utiliser un favori enregistré dans le navigateur.
Le gestionnaire de mots de passe comme détecteur : un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane) refuse de remplir automatiquement les identifiants sur un domaine qu’il ne reconnaît pas. Si l’auto-complétion ne se déclenche pas sur une page de connexion habituelle, c’est un signal d’alerte fort.
Que faire si votre domaine est typosquatté
Procédure UDRP (domaines génériques)
Pour les domaines en .com, .net, .org et autres TLD génériques, la procédure UDRP (Uniform Domain-Name Dispute-Resolution Policy) de l’OMPI (Organisation Mondiale de la Propriété Intellectuelle) permet d’obtenir le transfert ou l’annulation d’un domaine enregistré de mauvaise foi.
Les trois critères cumulatifs pour obtenir gain de cause :
- Le domaine est identique ou prête à confusion avec une marque sur laquelle vous avez des droits
- Le détenteur n’a aucun droit ou intérêt légitime sur le domaine
- Le domaine a été enregistré et est utilisé de mauvaise foi
La procédure dure environ 60 jours. Le coût se situe entre 1 500 et 5 000 dollars selon le nombre de panélistes et le nombre de domaines contestés. Les taux de réussite pour les cas de typosquatting manifeste sont élevés car la mauvaise foi est souvent facile à établir.
Procédure SYRELI (domaines .fr)
Pour les domaines en .fr, l’AFNIC (Association Française pour le Nommage Internet en Coopération) propose la procédure SYRELI (Système de Résolution des Litiges). Cette procédure est plus rapide et moins coûteuse que l’UDRP : décision en deux mois, coût de 250 euros HT.
SYRELI s’applique quand le domaine .fr porte atteinte à vos droits de propriété intellectuelle, à votre nom commercial ou à votre nom de famille.
Voie pénale en France
Le typosquatting à des fins frauduleuses peut être poursuivi pénalement :
- Contrefaçon de marque (article L713-2 du Code de la propriété intellectuelle) : jusqu’à 3 ans d’emprisonnement et 300 000 euros d’amende
- Escroquerie (article 313-1 du Code pénal) : jusqu’à 5 ans d’emprisonnement et 375 000 euros d’amende si le typosquatting sert une fraude financière
- Pratique commerciale trompeuse (article L121-1 du Code de la consommation) si le domaine sert à tromper des consommateurs
La plainte se dépose auprès du procureur de la République. Pour les escroqueries en ligne, la plateforme THESEE (Traitement Harmonisé des Enquêtes et Signalements pour les E-Escroqueries) simplifie le dépôt de plainte.
Takedown requests (demandes de retrait)
En parallèle des procédures juridiques, vous pouvez agir plus rapidement : contacter le registrar du domaine (identifiable via WHOIS) pour signaler l’abus, signaler le site à Google Safe Browsing pour qu’il soit bloqué dans Chrome, Firefox et Safari, et contacter l’hébergeur identifié via les enregistrements DNS. Ces actions peuvent désactiver le contenu en quelques jours, bien avant l’aboutissement d’une procédure UDRP ou SYRELI.
Testez la vigilance de vos collaborateurs face aux domaines sosies avec notre vérificateur de sécurité email.
Questions fréquentes
Qu'est-ce que le typosquatting ?
Le typosquatting est une technique qui consiste à enregistrer un nom de domaine quasi identique à un domaine légitime, en exploitant les fautes de frappe (gooogle.com au lieu de google.com), les substitutions de lettres (rn au lieu de m) ou les homoglyphes (caractères Unicode visuellement identiques). L'attaquant utilise ce domaine pour héberger une page de phishing, envoyer des emails frauduleux ou intercepter du trafic.
Quelle est la différence entre typosquatting et spoofing ?
Le spoofing email consiste à falsifier l'adresse d'expéditeur dans un email sans posséder le domaine. Le typosquatting va plus loin : l'attaquant enregistre réellement un domaine similaire au vôtre, ce qui lui permet d'envoyer des emails authentifiés (SPF, DKIM valides) depuis ce faux domaine. C'est plus difficile à détecter car les contrôles d'authentification passent.
Comment protéger mon entreprise contre le typosquatting ?
Trois mesures prioritaires : enregistrer les variantes typographiques de votre domaine principal (fautes de frappe courantes, extensions alternatives), surveiller les nouveaux enregistrements de domaines similaires au vôtre avec des outils de monitoring, et former vos collaborateurs à vérifier les URLs avant de cliquer ou de saisir des identifiants.
Comment détecter un domaine de typosquatting ?
Des outils gratuits comme dnstwist génèrent automatiquement les variantes possibles de votre domaine et vérifient lesquelles sont enregistrées. Les services de threat intelligence surveillent en continu les nouveaux enregistrements de domaines similaires au vôtre. Le CERT-FR publie aussi des alertes sur les campagnes de typosquatting ciblant des marques françaises.
Le typosquatting est-il illégal en France ?
Oui. En France, le typosquatting peut constituer une atteinte aux droits de propriété intellectuelle (contrefaçon de marque) et une tentative d'escroquerie. La procédure UDRP de l'ICANN permet de récupérer un domaine typosquatté. En droit français, l'article L713-2 du Code de la propriété intellectuelle protège contre l'usage de signes identiques ou similaires à une marque déposée.