Skip to content
Retour aux guides
Guide

Protéger votre domaine contre le typosquatting : guide complet

Guide complet pour détecter et contrer le typosquatting et l'usurpation de marque par domaines sosies. Outils de surveillance, stratégie d'enregistrement défensif, DMARC et procédures de reprise (UDRP, Syreli).

Thomas Ferreira 14 min de lecture

Votre entreprise reçoit un signalement d’un client : il a cliqué sur un lien dans un email qui semblait venir de vous, saisi ses identifiants, et réalisé quelques minutes plus tard que quelque chose clochait. L’URL dans la barre d’adresse affichait votre-entreprlse.fr — un « i » remplacé par un « l ». Un caractère. Invisible à première lecture.

Ce scénario se produit quotidiennement en France. Le typosquatting et plus largement l’abus de domaines sosies alimentent une part significative des campagnes de phishing ciblées. Pour les responsables IT et les équipes protection de marque, comprendre ces attaques et mettre en place une défense structurée est devenu une composante à part entière de la posture de sécurité.

Ce guide couvre l’ensemble du spectre : identification des techniques d’abus, outils de détection, stratégie d’enregistrement défensif, rôle de DMARC, et procédures juridiques pour reprendre le contrôle quand un domaine sosie est déjà actif.

Vérifiez dès maintenant la configuration d’authentification email de votre domaine principal avec notre test sécurité email — une base indispensable avant d’aborder la protection contre les domaines sosies.

Ce qu’est le typosquatting et comment il fonctionne en France

Le typosquatting consiste à enregistrer un nom de domaine qui ressemble à celui d’une marque ou organisation légitime, dans le but d’intercepter du trafic ou d’usurper l’identité de cette entité. La technique tire parti d’un mécanisme cognitif simple : en lecture rapide, l’œil ne détecte pas les petites variations orthographiques.

Des exemples concrets dans le contexte français

Les services publics sont une cible de choix, justement parce qu’ils inspirent confiance et génèrent des actions sensibles — déclarations fiscales, remboursements, paiements. Des variantes comme impots-gouv.fr (le domaine légitime est impots.gouv.fr) ou amelii.fr, ameli-fr.com et ameli-remboursement.fr ont été utilisées pour des campagnes d’hameçonnage visant à collecter des numéros de Sécurité sociale et des coordonnées bancaires.

Pour les entreprises privées, les exemples sont plus discrets mais tout aussi fréquents. Un fournisseur dont le domaine est fournisseur.fr peut se retrouver imité par forunisseur.fr (transposition), furnisseur.fr (omission), ou fournisseur-factures.fr (ajout d’un mot générique pour donner une apparence de légitimité). Ces domaines servent ensuite à envoyer de fausses factures, des demandes de changement de RIB, ou des notifications de livraison frauduleuses.

L’ANSSI (cyber.gouv.fr) documente régulièrement ces techniques dans ses rapports sur la menace cybercriminelle en France et les cite parmi les vecteurs d’attaque initiaux les plus utilisés contre les entreprises françaises.

Les cinq techniques d’abus de domaines

Comprendre les techniques permet de générer une liste exhaustive de variantes à surveiller et à enregistrer défensivement.

Transposition de caractères

Deux caractères adjacents sont inversés. entreprise.fr devient enrteprise.fr. C’est la faute de frappe la plus fréquente en dactylographie : les doigts anticipent le caractère suivant. Les transpositions sur les paires les plus courantes (er/re, oi/io, on/no, is/si) sont les premières à vérifier.

Omission de caractère

Un caractère est simplement absent. assurance.fr devient asurance.fr ou assurace.fr. Les doubles consonnes (ss, ll, rr, tt) sont particulièrement vulnérables à l’omission, car l’œil les perçoit souvent comme une seule lettre.

Ajout de caractère

Un caractère supplémentaire est inséré. banque.fr devient banqque.fr ou banquee.fr. Variante fréquente : l’insertion d’un tiret ou d’un mot générique pour donner une apparence institutionnelle — banque-france.fr, banque-securite.fr.

Substitution homophone ou visuelle

Un caractère est remplacé par un autre qui se ressemble visuellement ou phonétiquement : o remplacé par 0, i par l ou 1, e par 3. Ces substitutions sont difficiles à détecter dans certaines polices d’affichage. La variante rn pour m est classique : rnicrosoft.com ressemble à microsoft.com en lecture rapide.

Attaque homographe et substitution de TLD

L’attaque homographe exploite les caractères Unicode visuellement identiques aux caractères ASCII. Un а cyrillique remplace un a latin — la différence est invisible pour l’utilisateur mais le domaine est techniquement distinct. Les navigateurs modernes affichent généralement la version Punycode (xn--) pour ces domaines, ce qui limite leur efficacité sur le web, mais pas dans les clients email.

La substitution de TLD est plus simple : entreprise.fr devient entreprise.com, entreprise.eu ou entreprise.net. Quand ces variantes ne sont pas enregistrées par l’organisation légitime, elles sont disponibles à l’enregistrement.

Comment les attaquants exploitent les domaines sosies pour le phishing

Un domaine sosie seul ne suffit pas. Les attaquants construisent autour de lui une infrastructure de crédibilité qui passe les vérifications techniques courantes.

La chaîne d’attaque type

Après avoir enregistré un domaine sosie, l’attaquant configure un serveur MX pour envoyer et recevoir des emails, publie un enregistrement SPF et DKIM sur ce nouveau domaine (ces protocoles authentifient l’expéditeur déclaré sur le domaine sosie, pas votre domaine légitime), puis déploie une page web imitant le site légitime.

L’email de phishing est envoyé depuis une adresse comme facturation@votre-entreprlse.fr. Les vérifications SPF et DKIM passent — pour le domaine votre-entreprlse.fr. Un destinataire qui ne lit pas scrupuleusement chaque caractère de l’adresse expéditeur ne voit rien d’anormal.

Les scénarios d’attaque les plus fréquents en B2B

Fraude au virement. Un email prétendant émaner de votre direction financière ou d’un fournisseur connu demande un virement vers un nouveau compte. L’adresse expéditeur est une variante typosquattée de votre domaine ou de celui du fournisseur.

Collecte d’identifiants. Un email de notification — document partagé, alerte de sécurité, expiration de mot de passe — redirige vers une page de connexion imitant Microsoft 365 ou Google Workspace. Le domaine de la page ressemble à celui de votre entreprise.

Usurpation fournisseur. L’attaquant enregistre un sosie du domaine de votre fournisseur et envoie une fausse facture ou une demande de mise à jour de RIB à votre équipe comptable.

Dans tous ces cas, DMARC sur votre propre domaine n’intervient pas : l’email provient d’un domaine distinct, même s’il lui ressemble. C’est la limite structurelle que ce guide adresse en parallèle de la protection DMARC.

Outils pour détecter le typosquatting

dnstwist : générer et analyser les variantes

dnstwist est un outil open source qui génère automatiquement toutes les variantes connues d’un nom de domaine et vérifie leur résolution DNS. Il détecte les transpositions, omissions, ajouts, substitutions visuelles, variantes homographes et substitutions de TLD.

Exécuté contre votre domaine, il produit une liste de variantes avec pour chacune son statut de résolution (enregistré ou non), l’IP associée, et la présence d’un serveur MX. Les variantes avec une résolution active et un MX sont les plus préoccupantes — elles disposent d’une infrastructure capable d’envoyer et de recevoir des emails.

L’option --screenshots permet de comparer visuellement les pages des domaines suspects à votre propre site, ce qui accélère l’identification des copies malveillantes.

urlscan.io : analyser le contenu d’un domaine suspect

urlscan.io permet de soumettre un domaine ou une URL pour analyse sans le visiter directement. Le service capture le rendu de la page, les ressources chargées, les redirections et les indicateurs techniques (certificats SSL, scripts, formulaires). C’est l’outil de référence pour vérifier rapidement si un domaine sosie héberge une page imitant votre site.

La base de données publique de urlscan.io contient l’historique des scans — vous pouvez rechercher des analyses déjà effectuées sur des domaines similaires au vôtre pour identifier des campagnes en cours.

Certificate Transparency Logs via crt.sh

Tout certificat SSL émis pour un domaine est visible quasi en temps réel dans les Certificate Transparency Logs. Un attaquant qui configure un site de phishing avec HTTPS — ce qui est devenu quasi systématique pour paraître légitime aux navigateurs — génère un certificat détectable.

Le site crt.sh permet de rechercher les certificats émis pour des domaines contenant une chaîne de caractères donnée. Une recherche sur votre marque ou votre domaine principal révèle les certificats récents sur des variantes typosquattées.

Services de surveillance continue

Pour les entreprises dont le domaine est régulièrement ciblé, une vérification manuelle périodique ne suffit pas. Des plateformes dédiées surveillent en temps réel les nouvelles inscriptions.

DomainTools Iris Detect surveille les nouvelles inscriptions similaires à vos domaines et envoie des alertes configurables avec scoring de risque.

WhoisXML API Domain Monitor offre une surveillance WHOIS en temps réel avec des règles de similarité personnalisables et une API pour l’intégration dans vos outils de sécurité.

SecurityTrails combine surveillance WHOIS, historique DNS et analyse de similarité.

Ces services analysent les nouvelles données WHOIS quotidiennes, les Certificate Transparency Logs et les résolutions DNS actives. Certaines solutions EDR d’entreprise intègrent aussi des flux de threat intelligence incluant les domaines sosies récemment détectés.

Stratégie d’enregistrement défensif

L’enregistrement défensif consiste à acquérir les variantes de votre domaine avant que des tiers ne le fassent. C’est une assurance, pas une défense active — un attaquant déterminé enregistre des variantes que vous n’avez pas couvertes. Mais elle réduit la surface d’attaque pour les techniques les plus courantes.

Prioriser les enregistrements à fort impact

Avec des centaines de variantes théoriquement possibles, il faut hiérarchiser. Commencez par :

Les TLD alternatifs principaux. Si votre domaine de référence est entreprise.fr, enregistrez entreprise.com, entreprise.eu et entreprise.net. Ces extensions sont peu coûteuses et fréquemment exploitées.

Les transpositions et omissions sur les 3 premiers et 3 derniers caractères. Ce sont statistiquement les positions les plus affectées par les fautes de frappe.

Les variantes avec tiret ou sans tiret. mon-entreprise.fr et monentreprise.fr si votre domaine principal diffère.

Les homophones phonétiques. Si votre marque contient des sons ambigus à l’écrit (ph/f, eau/o, c/k), enregistrez les variantes phonétiques.

Un enregistrement défensif coûte entre 8 et 15 euros par domaine et par an. Couvrir 15 variantes prioritaires représente moins de 200 euros annuels — un investissement proportionné au risque.

Configurer les domaines défensifs correctement

Un domaine enregistré défensivement doit être configuré pour ne pas créer de confusion et bloquer toute utilisation comme expéditeur email :

  • Redirigez-le vers votre domaine principal via une redirection HTTP 301.
  • Publiez un enregistrement SPF v=spf1 -all — aucun serveur n’est autorisé à envoyer en son nom.
  • Publiez un enregistrement DMARC v=DMARC1; p=reject sans tag rua= ni MX.
  • N’activez pas de serveur MX sur ces domaines.

Cette configuration signale aux serveurs email que le domaine ne doit envoyer aucun email légitime, et tout email prétendant provenir de ce domaine sera rejeté.

Les limites de l’enregistrement défensif

L’enregistrement défensif ne protège pas contre les domaines enregistrés dans des TLD que vous ne couvrez pas, ni contre les nouvelles extensions créées après votre enregistrement. Il ne couvre pas non plus les attaques homographes Unicode — pour lesquelles la prévention passe par la surveillance continue et la formation des utilisateurs.

DMARC comme protection contre l’usurpation directe de votre domaine

DMARC ne protège pas contre les domaines sosies, mais il couvre une surface d’attaque distincte et tout aussi réelle : l’usurpation directe de votre domaine exact dans le champ From des emails.

Ce que DMARC p=reject bloque

Un attaquant qui tente d’envoyer un email depuis contact@votreentreprise.fr sans avoir accès à votre infrastructure voit ses messages rejetés par les serveurs destinataires si votre politique DMARC est en p=reject. Gmail, Microsoft Exchange Online, Orange, SFR Business et la quasi-totalité des fournisseurs de messagerie modernes appliquent cette politique.

Sans DMARC en p=reject, ce spoofing direct fonctionne. L’attaquant n’a pas besoin d’enregistrer un domaine sosie : il utilise directement votre adresse dans le From, et les emails arrivent dans les boîtes des destinataires avec votre identité affichée.

La complémentarité des deux défenses

Surface d’attaqueDMARC p=rejectEnregistrement défensif + surveillance
Email depuis contact@votredomaine.fr non autoriséBloquéPas d’effet
Email depuis contact@votre-domaine.fr (sosie)Pas d’effetRéduit si domaine enregistré
Email depuis contact@votre-domaïne.fr (homographe)Pas d’effetSurveillance nécessaire

Les deux défenses sont nécessaires. DMARC élimine le vecteur le plus simple — l’usurpation directe. L’enregistrement défensif et la surveillance réduisent la surface d’attaque par domaines sosies.

Passer en p=reject : la migration progressive

Si votre politique DMARC est encore en p=none ou p=quarantine, le passage en p=reject est la priorité technique immédiate pour éliminer le risque de spoofing direct. Notre guide migration DMARC reject détaille la procédure progressive — inventaire des sources, analyse des rapports, montée par paliers — pour migrer sans perturber vos envois légitimes.

Utilisez notre test sécurité email pour évaluer votre niveau actuel d’authentification et identifier les écarts avant de démarrer la migration.

Que faire quand vous trouvez un domaine sosie

Évaluer la menace avant d’agir

Tous les domaines similaires ne sont pas malveillants. Avant d’engager une procédure, évaluez :

  • Le domaine résout-il ? Un domaine enregistré sans résolution DNS est probablement un enregistrement spéculatif ou défensif par un tiers sans intention malveillante immédiate.
  • Y a-t-il un serveur MX actif ? Un MX signale une capacité d’envoi ou de réception d’emails — indicateur de risque élevé.
  • Le site imite-t-il votre identité visuelle ? Analysez via urlscan.io. Une page parking d’un registrar est différente d’une copie de votre site de connexion.
  • Y a-t-il des signalements existants ? Cherchez le domaine dans PhishTank, Google Safe Browsing ou VirusTotal.

Signalement d’abus auprès du registrar

La voie la plus rapide pour obtenir la suspension d’un domaine malveillant est le signalement d’abus auprès du registrar. Tous les registrars accrédités ICANN ont l’obligation de maintenir un point de contact pour les abus et de traiter les signalements liés au phishing.

La demande doit inclure : le domaine signalé, les preuves de l’utilisation malveillante (captures d’écran, en-têtes d’emails), la preuve de vos droits sur la marque ou le domaine légitime, et un contact de suivi.

Pour les domaines .fr, l’AFNIC gère un système de signalement d’abus et peut suspendre un domaine .fr dans les 24 à 48 heures en cas de phishing avéré.

Procédure Syreli pour les domaines .fr

La procédure Syreli est le mécanisme officiel de l’AFNIC pour la résolution des litiges sur les domaines .fr. Elle permet à un titulaire de droits — marque déposée, dénomination sociale, nom commercial — d’obtenir le transfert ou la suppression d’un domaine .fr enregistré en violation de ces droits, sans passer par les tribunaux.

Caractéristiques :

  • Coût : 250 euros HT pour une procédure à un expert (procédure standard)
  • Durée : environ deux mois entre le dépôt et la décision
  • Procédure administrative, pas judiciaire

Pour initier une procédure Syreli, déposez votre dossier sur le site de l’AFNIC. Le dossier doit inclure les preuves de vos droits sur la marque, la démonstration que le domaine contesté viole ces droits, et les preuves de mauvaise foi du registrant si disponibles.

La mauvaise foi peut être établie par : la ressemblance délibérée avec votre marque, l’usage du domaine pour du phishing, des offres de vente à prix abusif, ou l’absence d’utilisation légitimement justifiable du domaine.

Procédure UDRP pour les extensions génériques

Pour les domaines en .com, .net, .org, .biz et la plupart des extensions génériques, la procédure applicable est l’UDRP (Uniform Domain-Name Dispute-Resolution Policy), administrée par les centres de résolution accrédités par l’ICANN.

Les deux principaux centres pour les litiges impliquant des marques françaises sont l’OMPI (Organisation Mondiale de la Propriété Intellectuelle, wipo.int) et le Forum (anciennement NAF). L’OMPI est généralement préféré pour les marques européennes.

Conditions pour obtenir gain de cause en UDRP :

  1. Le domaine est identique ou semblable à votre marque au point de créer une confusion.
  2. Le registrant n’a pas de droits légitimes sur ce domaine.
  3. Le domaine a été enregistré et est utilisé de mauvaise foi.

Coût : entre 1 500 et 3 000 euros selon le nombre de domaines contestés et le centre choisi. Durée : 45 à 60 jours. La décision est contraignante pour le registrar.

Signalement aux autorités en cas de phishing actif

Si le domaine sosie est utilisé dans une campagne de phishing active ciblant vos clients ou collaborateurs, signalez-le en parallèle des procédures de reprise :

  • Cybermalveillance.gouv.fr : plateforme nationale de signalement des actes de cybermalveillance. Le signalement contribue à alimenter les bases de threat intelligence utilisées par les navigateurs et les solutions de filtrage.
  • Pharos (internet-signalement.gouv.fr) : plateforme de signalement de contenus illicites en ligne du ministère de l’Intérieur.
  • CERT-FR (cyber.gouv.fr/le-cert-fr) : pour les incidents touchant des entités couvertes par NIS2 ou des opérateurs d’importance vitale.

Ces signalements déclenchent des actions de blocage dans les écosystèmes de sécurité — listes noires, alertes navigateur — et contribuent à l’enquête judiciaire si une plainte est déposée.

FAQ

Retrouvez ci-dessous les réponses aux questions les plus fréquentes sur le typosquatting, la surveillance de domaines et les procédures de reprise.

La couche technique — enregistrements défensifs, surveillance, DMARC — réduit la surface d’attaque sur vos domaines. Mais les campagnes de phishing qui imitent votre marque sans usurper votre domaine exact passent entièrement sous ces radars. Tester la résistance de vos équipes face à ces attaques réalistes, c’est l’objet de notre service de simulation de phishing — scénarios personnalisés avec domaines sosies, micro-formation ciblée, mesure de la progression.

Thomas Ferreira est CISSP certifié et accompagne des équipes techniques dans la sécurisation de leur infrastructure email depuis 2015. Les recommandations de ce guide s’appuient sur les publications de l’ANSSI, la documentation AFNIC sur la procédure Syreli, et les politiques UDRP de l’OMPI.