Le typosquatting, une double menace
Par le Journal du Net (Benchmark Group)
URL : http://www.journaldunet.com/rubrique/gouvernance/gouvernance030312.shtml
Lancer l'impression

Mercredi 12 mars 2003

par Loïc Damilaville (DNS News Pro)

Le typosquatting est une forme évoluée du cybersquatting. Il consiste à déposer un nom de domaine très proche d'un autre nom de domaine sur lequel communique une entreprise, avec deux objectifs :

1) Capter une partie du trafic du site officiel, en espérant qu'un certain nombre d'internautes feront une erreur de frappe dans la fenêtre de leur navigateur.
Ce nombre est bien sûr marginal, mais sur des niveaux de trafic élevés, il peut représenter plusieurs milliers de visiteurs par jour. Le pirate peut ensuite vendre des bandeaux publicitaires sur la page d'accueil, ou mettre en valeur des produits et services concurrents ou complémentaires de la marque piratée. Il peut aussi mettre un compteur de trafic qui pourra lui permettre d'exiger un prix fondé sur des données objectives. Le problème est de savoir jusqu'à quel point cette tactique permet réellement de détourner du trafic, et donc de gagner de l'argent. La loi du genre est intuitivement qu'un beau nom typosquatté est très fréquemment composé par erreur.

En octobre 2001, Marc Schneiders publiait les résultats d'une expérience menée en grandeur réelle. Il avait déposé "jptmail.com", équivalent de "hotmail.com" à deux caractères près, le H et le O étant remplacés par le caractère immédiatement situé à leur droite dans le clavier (il faut bien sûr choisir des touches adjacentes pour anticiper les erreurs de frappe). Ce nom est relativement peu intéressant, puisqu'il faut deux fautes de frappe pour le composer. Mais il a tout de même permis de détourner 3.000 visiteurs en un an vers le site test. Pour un nom plus fructueux, une erreur d'un caractère par exemple, l'efficacité serait peut-être décuplée. Ce qui nous conduirait a 30.000 visiteurs en un an…

2) Capter des emails adressés à la société victime du "piratage"
Le procédé est simple : il suffit, sans faire pointer le nom de domaine vers un site, d'activer ses serveurs MX et d'indiquer que l'on veut recevoir tous les emails envoyés à "xxx@[nompiraté]".

Exemple concret : si une librairie en ligne dépose "amzon.com" et récupère tous les mails envoyés à "xxx@amzon.com" ou à "sales@amzon.com" etc, elle pourra facilement capter une partie de la clientèle d'Amazon en proposant ses propres produits aux internautes ayant envoyé une demande d'information (ne serait-ce qu'en constituant ainsi à peu de frais une base de spamming ciblé). Dans le cas cité par Marc Schneiders, "[xxx]@jptmail.com" a reçu près de 300 messages en neuf jours - potentiellement près de 9.000 par mois.

Là encore, la nuisance est marginale, mais une société entretenant des relations par email avec ses clients sur des sujets absolument confidentiels (banque, assurance, santé, contacts commerciaux, appels d'offre...) peut-elle se permettre de voir un tiers capter une partie de ce trafic ?

Comment font-ils?
La stratégie du typosquatter de base est :
- de se concentrer sur des sites à fort trafic potentiel (de nombreuses stars sont victimes de cette pratique)
- de déposer des variantes des noms en inversant des lettres
- de déposer des variantes des noms en modifiant une lettre
- de déposer des variantes phonétiques des noms, espérant que certains internautes feront de bonne foi une faute d'orthographe ("areo" au lieu de "aero")
- de ne s'intéresser qu'aux noms correspondant à des sites officiels actifs (dans la variante "captation d'emails", le typosquatter se concentrera évidemment sur les noms de domaine "supports" des emails des personnes travaillant chez sa victime).

Mais l'art du typosquatting n'en est encore qu'à ses balbutiements...

Que faire ?
Ceci met en évidence l'importance d'être vigilant sur les noms proches des vôtres, à un ou deux caractères près, et aussi de veiller à ce que les extensions considérées comme évidentes par vos clients soient bien déposées. Combien d'emails ont été perdus en étant envoyés à "xxx@yyyy.COM" alors que c'était en fait "xxx@yyyy.FR" ou réciproquement !

Dans le cas où vous découvrez que des noms proches des vôtres ont été déposés par des tiers, il convient de s'assurer :
- dans le cas de tiers de bonne foi, qu'ils acceptent de vous faire suivre les emails qui vous sont adressés (ce genre d'accords repose souvent sur une base de réciprocité)
- dans le cas de tiers de mauvaise foi, que les noms cybersquattés ne sont pas actifs et que leurs serveurs MX ne sont pas configurés.

Quelques liens utiles
Vous trouverez ci-dessous trois liens vers des ressources très précieuses en matière de "recherche" et de lutte contre le typosquatting :
- Large-Scale Registration of Domains with Typographical Errors, de Ben Edelman. Ce document exceptionnel répertorie plus de 5000 noms typosquattés par Zuccarini et les analyse, statistiques à l'appui. Un travail universitaire dans le bon sens du terme.
- Domains With Typographical Errors - A Simple Search Strategy, de Seth Finkelstein. L'article "définit une stratégie simple pour rechercher des noms de domaine présentant des différences typographiques, et les résultats de l'une de ces recherches"..
- Domains With Typographical Errors - A Google Search Strategy, de Seth Finkelstein. Cet article "définit une stratégie pour rechercher via Google des noms de domaine présentant des différences typographiques, et compare les résultats obtenus à ceux d'une recherche précédente utilisant des correspondances approchées."

Un professionnel du genre : John Zuccarini

Le pape en matière de typosquatting est apparemment un nommé John Zuccarini, plusieurs fois condamné aux Etats-Unis, qui a déposé plus de 5.000 noms approchant les URLs de marques célèbres. Zuccarini serait plutôt classable dans le premier scénario (captation de trafic avec, dans son cas, redirection vers des sites pornographiques).

Voici un florilège de quelques-uns des noms typosquattés par Zuccarini (la liste complète est accessible sur la page de l'étude de Ben Edelman)
"aotos.com" pour "atos.com", site officiel du Groupe Atos
"areosmith.com" pour "aerosmith.com", site officiel d'Aerosmith
"arilines.com" pour "airlines.com"
"baleys.com" pour "baileys.com"
"basebll.com" pour "baseball.com"
"benitton.com" pour "benetton.com"
"birtanica.com" pour "britannica.com"
"birtneyspears.com", "brintneyspears.com" et "brintyspears.com" pour "britneyspears.com" (entre autres)
"brucespringtien.com" pour "brucespringsteen.com"
"chrslyer.com" pour "chrysler.com, etc... :

Tous ces noms pointaient, au moment de l'étude de Ben Edelman, vers le site spécialisé hanky-panky-college.com.

[Loïc Damilaville]

Au sommaire de la rubrique