Le cybersquatting et typosquatting reviennent en force : comment se protéger

Alors que les hackers remettent à la mode les techniques dites de "cybersquatting" et de "typosquatting", voici un petit tour d'horizon pour savoir ce qu'elles sont et comment s'en protéger.

Les récentes campagnes de typosquatting, pratique qui consiste à enregistrer un nom de domaine modifié ou mal orthographié auprès d'un bureau d'enregistrement afin de rediriger les utilisateurs vers un site web frauduleux, mettent en évidence la vulnérabilité des entreprises et des utilisateurs face à une pratiques plus large, le cybersquatting. Dans cet objectif de plus en plus d'acteurs malveillants déposent massivement des noms de domaines aussi proches possible que ceux de leurs cibles, soit pour les utiliser à des fins frauduleuses, ou parfois juste pour les revendre en espérant une plus value. 

Bien entendu, avant d'acheter un nom de domaine, ils utilisent des algorithmes de génération de noms. Ces algorithmes peuvent utiliser plusieurs bases de données ou se baser sur les mots les plus utilisés dans les réseaux sociaux (top 1000# de twitter par exemple). Cette approche est certes bonne, mais elle présente des risques financiers dans le cas où aucune entité ou personne ne se présente pour acheter un ou des domaines. Le métier de domainer est devenu aujourd'hui moins rentable et plus risqué financièrement même si des ventes (transactions) record ont eu lieu dans le passé :

Une autre approche consiste à surveiller les domaines déjà enregistrés et à espérer que le propriétaire renonce, oublie ou ne renouvelle pas à temps. Les noms de domaine expirés représentent de réelles opportunités d'acquérir un nom de domaine convoité. Dans cette stratégie, le "cybersquatteur" ou "domainer" est soumis à la vigilance de ses victimes potentielles. Si celles-ci sont aussi proactives que lui, il risque d'avoir un système de surveillance qui fonctionne très bien mais qui ne fournit aucun domaine attractif à réserver. Il existe des plateformes qui se spécialisent dans ce domaine pour fournir à leurs clients des informations utiles leur permettant de se positionner rapidement pour acheter des noms de domaine expirés.

Le typosquattage est quant à lui une variante du cybersquattage. Il consiste à enregistrer un nom de domaine modifié ou mal orthographié auprès d'un bureau d'enregistrement afin de rediriger les utilisateurs vers un site web frauduleux. Il s'agit donc d'une méthode utilisée par des personnes malveillantes pour tromper la vigilance des utilisateurs. Par exemple, il est possible de rediriger les utilisateurs vers un faux site web de leur banque préférée, vers un site web contenant des logiciels malveillants afin de les infecter ou de voler des informations personnelles et confidentielles. 

Il s'agit d'une arnaque dans laquelle l'attaquant tente de se faire passer pour quelqu'un d'autre (votre responsable financier, un partenaire stratégique, votre banque, votre association de quartier, etc.) afin de tromper votre vigilance. Dans le cas d'une attaque APT (Advanced Persistent Threat) bien développée, par exemple, le phishing intervient assez tôt dans la chaîne de destruction. Les noms de domaine sont également bien choisis afin de pouvoir tromper la vigilance des plus téméraires. Si tout se passe bien, l'attaquant aura commencé par le DNS jusqu'à ce qu'il réussisse son attaque en volant des données confidentielles via le DNS sans être détecté.

Parmi ces outils, "urlcrazy" est probablement le plus connu. C'est un outil très puissant, qui à partir d'un nom de domaine est capable de générer d'autres noms de domaine avec de fortes similitudes et de tester leur existence ou non. "Dnstwister" est un autre outil extrêmement puissant, capable de générer des noms de domaine via une combinaison de techniques (permutation, insertion, omission, etc.). Ce genre d'outils est précieux, que vous soyez un attaquant ou un responsable de la sécurité dans votre entreprise. Des deux côtés, vous pouvez potentiellement savoir quels domaines sont susceptibles de vous attaquer ou quels domaines sont susceptibles de rendre votre attaque "réussie".

Se protéger contre le cybersquattage reste aujourd'hui une tâche très difficile pour plusieurs raisons. Tout d'abord, parce que vous ne pourrez pas réserver tous les noms de domaine qui ressemblent à votre marque. Cette stratégie risque de vous coûter cher financièrement et la gestion cohérente de ces domaines est quasiment impossible. Deuxièmement, l'accès ou la réservation d'un nom de domaine n'est soumis à aucune loi qui interdirait aux attaquants de le faire. L'achat ou la vente d'un nom de domaine est une activité tout à fait légale. La stratégie de protection contre le cybersquattage et ses attaques sera double. En France, les victimes de cybersquattage peuvent saisir un juge. Elles peuvent également s'adresser à l'AFNIC pour déposer une contestation de légitimité d'un nom de domaine dans l'extension .fr.

D'un point de vue technique, plusieurs points sont à considérer pour anticiper le cybersquattage : Les anti-spam, les passerelles de messagerie, les solutions DLP (Data Loss Prevention) ou les pare-feu avec protection L7 peuvent détecter les codes malveillants dans les pièces jointes et les liens frauduleux dans les e-mails. Le DNS a également un rôle prépondérant à jouer face aux différentes attaques basées sur le cybersquattage. Dans le cadre des campagnes de typosquatting, l'application de solutions de d'analyse comportementales au niveau du serveur de nom de domaine permet de détecter les comportements et les noms de domaine malveillants et de les bloquer avant que l'attaque puisse aboutir. Face aux campagnes de phishing, l'application de listes noires au niveau du DNS permet en outre de contrer bon nombre d'attaques. 

En sommes, n'attendez jamais l'expiration de votre nom de domaine pour commencer les renouvellements. N'oubliez pas que le statut de la période de rachat de votre nom de domaine présente un intérêt particulier pour les "domainers" et les attaquants potentiels. Face à la recrudescence de ces attaques et de ces scams, il est plus qu'important d'adopter une veille accrue des activités autour des noms de domaines et de toujours mieux sensibiliser les équipes aux risques qui y sont liés, notamment le phishing.