Bien qu’on en parle relativement peu, le « typosquatting » ou fraudes à l’erreur de frappe et erreurs grammaticales, est très répandue dans la toile, qui consiste à se servir de nos erreurs pour nous rediriger vers des sites malveillants…ou concurrents.

 

C’est à l’occasion des élections américaines de 2016 que le phénomène est apparu en pleine lumière. Comme le précise le rapport établi par Digital Shadows, les trente-quatre candidats à l’élection on donné lieu à plus de 550 « typosquats », c’est-à-dire à l’éclosion de sites dont le nom se rapprochait de très près du leur, certains pointant vers des sites non malicieux (24 %), mais la plupart redirigeant les internautes vers des sites illégitimes, orientés vers un candidat bien précis (sans donner de noms !) ou plus couramment vers des sites malveillants de diffusion de malwares.

Pour être très précis, 66 des sites malveillants accrochés aux erreurs de frappe, étaient hébergés à la même adresse IP. On pourra difficilement parler de coïncidence.

On ne connaît pas le nombre de machines de visiteurs qui ont ainsi été contaminées, mais nul doute que pour ceux qui en ont été informés, cela a dû refroidir quelques peu leur souci de comprendre « politiquement » à qui ils avaient affaire.

Il faut dire que les hackers jouent sur du velours. Nous passons notre temps, par fébrilité, à taper des adresses erronées : faceboo, facebok, facbook, etc pour facebook ou macrosoft, mikrosoft, microso pour Microsoft, par exemple. Mais personne ne contrôle la proximité URL de ces noms de domaines erronés par rapport à leur cible.

De sorte que n’importe qui peut réserver  des milliers de noms de domaines autour d’une cible privilégiée : whitehouse, brexit, etc, à condition d’en avoir les moyens, car les agences du net ne procèdent à aucune enquête ou contrôle, pour s’assurer que les demandes ne sont pas potentiellement « malencontreuses ». Ce n’est pas comme pour les certificats SSL , tout au moins pour certains d’entre eux, où les officines effectuent une enquête qui peut s’avérer approfondie, avant de délivrer le certificat d’identification.

Ensuite tout sera affaire de persuasion.

Si votre Compagnie A veut porter atteinte à votre principal concurrent B, vous achèterez les noms de domaine à proximité, puis en vous faisant aider par un expert en communication, vous préparerez une page d’accueil hyper-succincte, dans laquelle n’apparaîtra qu’un message court et percutant.

Il y a gros à parier que le visiteur, intrigué, poussera plus loin ses investigations, sans toujours se rendre compte qu’il est sur un site criminel.

C’est exactement ce que l’on fait, de manière légale, en « lead management » avec les mobiles, quand on cherche à transformer un prospect en client et qu’on élabore pour lui des messages très courts, chargés de frapper son imagination, sans lui laisser le temps de réfléchir.

Cette fois, la technique est la même, c’est seulement la cible qui change.

Pour éviter toute polémique et mauvaises surprises, Lance Whitney nous suggère dans Security, deux solutions, relativement lourdes, il est vrai.

On peut acheter tous les noms de domaines approchants histoire de ne plus être détourné. Mais non seulement cela va nous coûter cher, mais en plus on risque de ne pas être exhaustif. On peut « ad minimum » acquérir les plus proches.

 

 

 

 

 

 

 

 

 

 

 

Par pure précaution, si vous estimez que votre nom de domaine peut être une cible pour vos concurrents, le mieux est encore que vous passiez par un outil, tel que DNSTwister, qui va vous lister les noms de domaines qui lui semblent approchants et ceux qui pointent réellement vers une adresse IP.

La seconde recommandation est de se faire aider par un outil, qui tel DNSTwister, va détecter automatiquement les noms de domaines proches du vôtre et procéder à une première analyse. Il détecte en particulier les noms de domaines qui pointent déjà vers une adresse IP.

Nous avons fait l’expérience avec le nom de domaine www.lemarson.com. DNSTwister nous a trouvé 372 domaines approchants, parmi lesquels 18 pointaient effectivement vers une adresse IP réelle.

A nous ensuite de procéder à une introspection plus fine.

Un autre outil, Phishing Catcher, vérifie l’activité de phishing qui pourrait exister sur les sites proches, qui seraient donc catalogués comme dangereux et à surveiller plus particulièrement.

En fait, il existe de nombreux outils qui pourraient nous faciliter la tâche, sauf que justement c’est une tâche de plus et que l’on n’a pas forcément le temps de surveiller les activités de toute la planète.

A notre avis, le mieux est encore de mettre dans la tête des internautes, que personne ne leur demande de taper à la vitesse du son et qu’ils doivent être très attentifs à ce qu’ils saisissent, lorsqu’ils vont sur des sites sensibles, politiques ou non.

Et surtout ne pas faire comme les développeurs, les « lucky luke » de la saisie, qui tapent plus vite que leur ombre, mais qui doivent s’y reprendre à six fois, avant d’obtenir quelque chose de correct.

N’oubliez-pas. Il s’agit ici de « typosquatting ». Vous n’avez pas fini d’en entendre parler.