Typosquatting : une lettre pour tout changer

publié par Laboratoires Antivirus Bitdefender, le 20 novembre 2013

Qui n’a jamais inversé deux lettres en tapant au clavier ?

Une lettre inversée ou oubliée, et tout est changé...

Par inattention, par habitude ou par rapidité excessive, nous faisons régulièrement des fautes de frappe sur notre clavier. Lors de l’écriture d’un texte, une relecture et un correcteur nous permettent de repasser le document en revue, mais lors de la saisie d’une adresse Web, le résultat est instantané et les cybercriminels peuvent nous attendre au tournant.

Ainsi, si vous tentez par exemple de vous connecter à Facebok.com, ou à votre messagerie en inversant deux caractères, vous avez le risque de tomber à la place sur un site malveillant.

Les cybercriminels n’hésitent pas à se servir de ces failles 100% humaines à leur avantage, en utilisant ce procédé qui porte le nom de typosquatting.

Comment fonctionne le typosquatting ?

Le typosquatting vise en particulier les noms de domaines de sites Web à fort trafic, ce qui maximise les chances pour le cybercriminel de transformer les internautes en victimes. Toute la ruse des cybercriminels consiste à étudier les erreurs de frappe probables des internautes pour définir quels noms de domaines piéger.

Les erreurs peuvent être multiples et les combinaisons sont nombreuses. Voici un exemple concernant une URL type, http://www.un-site-web.fr :

o Inversion de caractères : un-site-ewb.fr, nu-site-web.fr
o Inversion de voyelles : un-sate-web.fr, un-sita-wab.fr
o Touches de proximité sur le clavier : uyn-site-web.fr, un-sitez-web.fr
o Omission de caractères/lettres : un-site-eb.fr, un-ite-web.fr
o Homoglyphes : un-slte-web.fr, un-site-vveb.fr
o TLD (top-level domain) détournés : un-site-web.com, un-site-web.net
o etc.

Vous l’avez deviné, le critère de base du typosquatting est le clavier (touches de proximité). Notre étude porte en l’occurrence sur les claviers français AZERTY.

Quelques touches de proximité du caractère D sur un clavier AZERTY

Une fois le piège mis en place, il reste deux choix au cybercriminel : attendre patiemment qu’un internaute un peu étourdi saisisse l’adresse erronée et visite le site piégé, ou alors il peut également accélérer le processus en incitant les internautes à cliquer sur le mauvais lien, en le diffusant sur des forums, des commentaires de blog, des e-mails, bref, un peu partout sur le Web. Là encore, par rapidité, par inattention, on peut ne pas se douter du danger qu’il se cache derrière un-slte-web.fr ou un-site-vveb.fr.

Quels sont les dangers du typosquatting ?

Le typosqatting peut faire des victimes autant chez les visiteurs que du côté des propriétaires des sites originaux.

1. Redirection de trafic vers un espace publicitaire

C’est le cas le plus fréquent. L’espace publicitaire sur un faux site permet d’imiter un service, agrémenté de nombreuses publicités qui rémunèrent le webmaster.

Une erreur dans l’entrée « Youtube » vous emmène vers un autre site de vidéos

Un faux méta-moteur de recherche

La redirection de trafic par typosquatting est également une technique qui a été utilisée par de nombreux sites marchands légitimes pour faire perdre du trafic aux concurrents. Cela a été le cas en France, avec cette fameuse affaire en 2006 qui impliquait le site marchand 2xmoinscher.com. En effet, celui-ci s’était arrangé pour que les sites rueducomerc.com et rueducommerec.com redirigent vers 2xmoinscher.com

Ces techniques ne sont pas sans conséquences, et la loi protège les victimes de ce type de typosquatting. En France, cela peut être apparenté à de la contrefaçon par imitation de marque, exploitation déloyale et atteinte au nom de domaine, comme le rappelle le Journal du Net.

2. Espionnage industriel

Dans la lignée du cas précédent, en enregistrant un nom de domaine erroné il est possible pour des cybercriminels de configurer des serveurs de messagerie (MX) qui permettent de rapatrier tous les e-mails envoyés par erreur au site typosquatté.

A partir de là, les cybercriminels peuvent recevoir des données confidentielles dont ils n’étaient pas à la base les destinataires, voire envoyer des e-mails en imitant le nom de l’entreprise. Si le destinataire est peu regardant, il n’y verra que du feu.

3. Phishing

Vous omettez une lettre à « amazon.fr » et vous voilà redirigé vers une imitation du site marchand, qui dérobera vos identifiants une fois ceux-ci saisis. Si le site est bien réalisé, il vous redirigera ensuite vers la page officielle. Vous ferez ainsi face une deuxième fois à l’écran de connexion, le vrai cette fois-ci, mais pensant qu’il s’agit d’un bug, vous saisirez probablement de nouveau vos identifiants sans vous douter qu’ils viennent d’être volés.

Une fois vos identifiants dérobés, les cybercriminels peuvent s’en servir pour récupérer vos identifiants bancaires, tenter de voler d’autres comptes vous appartenant (dans le cas où vous n’utilisez qu’un seul mot de passe), etc.

4. Malware

Un moyen rapide et redoutable : le site typosquatté en question est utilisé comme plateforme de hack et automatise l’infection par un drive-by download, c’est-à-dire un téléchargement automatique de fichiers malveillants sans intervention préalable de l’utilisateur.

Ce procédé est silencieux, et de même que le phishing, peut rediriger l’internaute vers le vrai site une fois la manœuvre effectuée. Un exemple ci-dessous avec une erreur dans la saisie de twitter.com.  Heureusement pour l’internaute, cette menace est bloquée par Bitdefender.

Un drive-by download sur un typosquatting lié à Twitter

Comment se protéger ?

Comme énoncé plus haut, le danger est à la fois pour le visiteur et pour le propriétaire d’un site Web légitime.

Pour le webmaster, la solution est simple : réaliser une étude de tyqosquatting, c’est-à-dire étudier les erreurs probables réalisées par les internautes et acheter les noms de domaines associés. C’est ce que font les sites importants comme Google, qui possède entre autres : gogle.com, googl.com, ogogle.com, gogole.com, goolge.com, googel.com, goog1e.com, etc.

A noter que légalement, un individu peut posséder un site dont le nom est semblable au votre, tant qu’il ne l’utilise pas à des fins concurrentielles.

Pour l’internaute, il convient de vérifier à deux fois l’adresse insérée avant de se rendre sur le site, ou de se servir de ses favoris. Bien entendu, pour éviter d’être infecté à la moindre erreur de frappe, gardez vos logiciels & plugins de navigateurs à jour et utilisez une solution de sécurité performante.

Conclusion

Errare humanum est, c’est certain, mais attention à toujours être vigilant, car une faute de frappe est vite arrivée et un seul caractère oublié peut vous coûter cher au final. L’habitude est notre pire ennemie, et notre cerveau ne nous aide pas, comme l’a démontré l’Université de Cambridge.

L’ordre des lettres est « facultatif » pour le cerveau : un « bonus » pour le typosquatting !

Par ailleurs, le mot typosquatting a été « typosquatté » une fois dans cet article... Avez-vous relevé l’erreur lors de votre lecture ?

Cet article a été rédigé par David Sygula d’après les informations fournies par Tristan Vanel, Malware Analyst chez les Laboratoires Bitdefender en France.

Laboratoires Antivirus Bitdefender

Nous protégeons vos ordinateurs, tablettes et smartphones. Parce que les menaces actuelles sont loin d’être virtuelles et sont de plus en plus virulentes, nous mettons toute notre expertise à votre service pour protéger vos informations.

Dernières actus