Typosquatting : une tendance en hausse chez les cybercriminels

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Typosquatting : une tendance en hausse chez les cybercriminels

Publié le 06 février 2018 à 19:30 par Mathieu M.

Lire sur mobile

La société informatique Menlo Security attire l'attention sur la montée en puissance d'un phénomène assez méconnu sur la toile : le "typosquatting", une technique dérivée du phishing qui se montre particulièrement rentable pour les cybercriminels.

Tout le monde connait aujourd'hui, ou presque, le phishing ou hameçonnage. Dans ce type d'attaque, la victime reçoit un email émanant soi-disant d'un prestataire de confiance (état, FAI, fournisseur d'électricité, grande marque, magasin...) lui indiquant avoir besoin de mettre à jour ses coordonnées ou nécessiter une connexion pour un remboursement... Un lien glissé dans l'email renvoie alors vers le site en question et une page d'identification, ou du moins, le site a l'apparence du site officiel pour lequel il se fait passer, puisqu'en réalité il s'agit d'un clone visant à récupérer les données de l'utilisateur.

hacker

Peu d'utilisateurs connaissent pourtant une variante bien plus sournoise baptisée Typosquatting ou Typosquattage.

Concrètement, la technique est presque identique au phishing et mise sur un faux site reprenant les couleurs et habillages d'une entité réelle et de confiance. Sauf qu'à défaut d'être communiqué par email sous la forme de lien, il s'agit surtout de miser sur les fautes de frappe des utilisateurs lorsqu'ils renseignent les adresses.

Concrètement, les pirates réservent des noms de domaine avec des fautes d'orthographe dans l'URL. On peut ainsi imagine que Facebook.com devient Facebok.com ou impots.gouv.fr devient impot.gouv.fr (sans le S). La variante fonctionne aussi en changeant l'extension en FR pour du .COM ou autre...

hacker

Une fois l'utilisateur piégé et amené sur ce genre de site, plusieurs options sont possibles. D'une part, le site peut simplement profiter des connexions pour réaliser du bénéfice avec la diffusion de publicité. Mais dans la plupart des cas, ce sont les données personnelles qui sont ciblées, on peut ainsi voir des scripts automatisant l'installation de malwares ou plus globalement la mise en place d'une attaque de type phishing pure et dure : profiter d'un clone de site pour inviter les utilisateurs à communiquer leurs identifiants.

Ce sont les sites qui ont le plus de succès sur la toile qui font aujourd'hui l'objet de ce type d'attaque ce qui fait qu'Amazon et Facebook ont déjà racheté une foule de noms de domaine approchants à leur site original.