- Variantes par marque
- Souvent des centaines, parfois plus de 1 000
- Coût moyen d'un domaine
- 5 à 15 € selon l'extension
- Outil de détection gratuit
- DNSTwist (open source)
- Procédure FR
- SYRELI (AFNIC) pour les .fr
- Procédure internationale
- UDRP (ICANN) pour .com, .net, etc.
01 — DéfinitionQu'est-ce que le typosquatting ?
Le typosquatting consiste à enregistrer des noms de domaine qui ressemblent de très près à une marque ou à un site légitime, pour exploiter :
- Les fautes de frappe des utilisateurs (doigts qui glissent, mémoire approximative).
- Les erreurs visuelles (caractères similaires, longueur proche).
- La confusion entre extensions (
.com,.co,.fr,.net). - L'intuition fausse sur le bon nom exact (pluriel, tiret, abréviation).
Techniquement, chaque domaine typosquatté est un domaine distinct. Il appartient juridiquement à son déposant, il peut avoir sa propre configuration DNS, ses propres certificats SSL, sa propre politique d'envoi email. C'est ce qui le rend particulièrement redoutable : un domaine typosquatté bien configuré peut passer toutes les vérifications techniques (SPF, DKIM, DMARC, certificat HTTPS valide) et apparaître totalement légitime à l'œil non averti.
Le typosquatting n'est pas une attaque en soi, c'est un vecteur. Il alimente des campagnes de phishing, des attaques de fraude au président, des escroqueries à la cryptomonnaie, des détournements d'audience publicitaire, et désormais des attaques de supply chain sur les packages logiciels.
Une marque de taille moyenne fait typiquement l'objet de plusieurs centaines de domaines typosquattés. Les marques visibles (banques, administrations, GAFAM) en cumulent plusieurs milliers.
02 — VariantesLes 7 types de variations typographiques
Les typosquatteurs ne procèdent pas au hasard : ils génèrent
méthodiquement toutes les variations plausibles d'une marque.
Illustrons sur lephish.com.
1. Substitution de caractère
Remplacement d'une lettre par une voisine sur le clavier ou par un
caractère visuellement similaire : lephosh.com,
lephisj.com, lephixh.com.
2. Insertion ou omission
Ajout ou suppression d'une lettre : lphish.com,
leephish.com, lephiish.com,
lephis.com.
3. Transposition
Inversion de deux lettres adjacentes : lepihsh.com,
lpehish.com, lehpish.com.
4. Homoglyphes (caractères visuellement identiques)
Remplacement par des caractères qui paraissent identiques à l'œil :
le 1 pour l (1ephish.com), le 0
pour o, le rn pour m
(lephisrn.com). Les caractères Unicode (alphabet
cyrillique, grec) permettent des versions strictement indétectables
à l'œil — on parle d'attaque homographe IDN. Google
Chrome a introduit des protections mais elles ne couvrent pas tous
les cas.
5. Variation d'extension (TLD squatting)
Même nom de marque avec une autre extension :
lephish.net, lephish.co,
lephish.info, lephish.org. Particulièrement
efficace pour les marques dont la bonne extension n'est pas évidente.
6. Ajout de préfixe/suffixe
Ajout d'un mot plausible : lephish-login.com,
secure-lephish.com, lephish-support.com,
my-lephish.com. Souvent utilisé pour les fausses pages
d'authentification.
7. Sous-domaine trompeur
Le domaine principal est un leurre, la marque est placée en
sous-domaine : lephish.com.securisation.xyz,
lephish-secure.auth-valide.net. Sur mobile, beaucoup
d'utilisateurs ne voient que le début de l'URL et se font avoir.
03 — UsagesÀ quoi sert le typosquatting
Phishing ciblé et spear phishing
Un domaine typosquatté sert de support à une fausse page d'authentification
ou à l'adresse d'envoi d'un email frauduleux. La pièce jointe dans un
email de spear phishing pointe
vers votre-banque-securite.fr, où l'utilisateur saisit
ses identifiants en toute confiance.
Fraude au président et BEC
Scénario classique : la DAF reçoit un email de
ceo@votre-entreprise.com… sauf que le vrai domaine
est votreentreprise.com. La différence est quasi
invisible. Voir BEC et fraude
au président.
Détournement d'audience
Enregistrement d'un domaine proche d'un site populaire pour intercepter le trafic d'erreurs de frappe. Redirection vers des sites publicitaires, vers des concurrents, ou vers du contenu monétisé.
Attaques de supply chain sur les packages logiciels
Variante moderne particulièrement dangereuse. Les développeurs
installent souvent des packages npm, PyPI ou RubyGems sans vérifier
finement leur nom. Un package malveillant lodash-utils
(au lieu de lodash) ou requestts (au lieu
de requests) peut être téléchargé des millions de fois
avant détection. Les deux dernières années ont vu des dizaines de
campagnes de ce type, notamment visant les écosystèmes de
cryptomonnaie et de DevOps.
Fraude à la cryptomonnaie
Domaines typosquattés imitant les exchanges (Binance, Coinbase, Kraken) ou les wallets (MetaMask, Ledger). L'utilisateur qui tape mal l'URL arrive sur une fausse page et perd ses fonds en saisissant sa seed phrase.
Extorsion et chantage à la marque
Le typosquatteur enregistre le domaine puis propose à la marque de le lui revendre à un prix élevé. Cybersquatting classique, encore très pratiqué.
04 — ExemplesCas documentés
Des centaines de domaines actifs à tout moment :
apple-id-secure.com, appleid-verify.net,
appl-e.id. Servent à du phishing massif par SMS
et email. Apple investit chaque année des millions dans les
takedowns, mais les nouveaux domaines réapparaissent aussi
vite.
Cas emblématique côté supply chain. Des versions malveillantes
du package npm ua-parser-js ont été publiées via
typosquatting (noms légèrement différents) et ont infecté des
milliers d'applications avant détection. Contenait un crypto-mineur
et un infostealer. Depuis, les écosystèmes de packages renforcent
leurs contrôles (2FA obligatoire pour les mainteneurs, scan
automatique des nouveaux packages).
metamask.io est le vrai domaine de l'extension
wallet Ethereum. Des centaines de domaines typosquattés
(metaimask.io, metamаsk.io avec un
'a' cyrillique, meta-mask.io) diffusent de fausses
extensions qui volent les seed phrases. Les pertes cumulées
sur ces arnaques se comptent en dizaines de millions de
dollars.
Les sites administratifs français subissent un typosquatting
massif : impotsgouv.fr au lieu de
impots.gouv.fr, ameli-assurance.fr au
lieu d'ameli.fr. Utilisés pour du phishing de
masse aux contribuables. L'ANSSI et signal-spam.fr prennent
régulièrement ces domaines en takedown, mais le phénomène est
permanent.
05 — DétectionComment identifier les domaines qui vous ciblent
Outils gratuits
- DNSTwist (github.com/elceef/dnstwist) — référence open source. Génère automatiquement les variations de votre marque et vérifie lesquelles sont enregistrées. Peut tester la présence de MX, de HTTPS, de certificats.
- dnstwister.report — version web de DNSTwist, sans installation.
- URLCrazy — alternative similaire intégrée à Kali Linux.
- TyposquattingFinder — outil plus récent avec détection homographe avancée.
Services commerciaux
- Red Points, MarkMonitor, Brand Shield — surveillance continue et prise en charge des takedowns.
- Cloudflare Brand Protection — offre orientée Cloudflare, avec intégration native au CDN.
- Recorded Future, ZeroFox — plus orientés threat intelligence, avec brand protection intégrée.
Signaux d'alerte techniques
Au-delà des outils, certains signaux révèlent qu'un domaine typosquatté est en préparation d'une attaque :
- Enregistrement récent (< 30 jours) — la plupart des domaines de phishing sont utilisés vite après leur enregistrement.
- Configuration MX active — indique une intention d'envoyer des emails.
- Certificat SSL Let's Encrypt frais — souvent généré juste avant une campagne.
- Hébergement chez des fournisseurs low-cost ou offshore.
- Configuration DMARC absente ou très permissive.
- Whois masqué ou registrar connu pour son laxisme.
06 — ProtectionProtéger votre marque en entreprise
- Enregistrer les principales variations « faciles » : pluriel, tirets, abréviations, extensions majeures (.com, .fr, .net, .org, .eu).
- Enregistrer les homoglyphes les plus évidents (substitutions 1/l, 0/o).
- Enregistrer les suffixes de phishing classiques (
votremarque-secure,login-votremarque,my-votremarque). - Pour les banques, administrations et services critiques : étendre à plusieurs centaines de variantes. Coût annuel typique : quelques milliers d'euros, négligeable face au risque.
- Rediriger tous ces domaines défensifs vers le domaine principal en 301 permanente.
- Audit trimestriel avec DNSTwist des domaines récemment enregistrés ressemblant à votre marque.
- Surveillance des certificats Certificate Transparency (crt.sh) pour détecter rapidement les nouveaux certificats émis sur vos domaines lookalikes.
- Intégration avec votre threat intelligence interne ou services spécialisés si la taille de l'entreprise le justifie.
- Veille particulière avant et pendant les périodes à risque (annonces, résultats, opérations médiatiques).
- Documenter en amont la procédure : qui fait quoi en cas de détection d'un domaine malveillant (juridique, sécurité, DSI, communication).
- Connaître les interlocuteurs : registrar du domaine (pour suspension), hébergeur (pour blocage), CERT-FR (cybermalveillance.gouv.fr) pour les cas graves.
- Pour le .fr : procédure SYRELI AFNIC (résolution en 2 mois, environ 250 €).
- Pour les TLD internationaux : UDRP auprès de l'OMPI (résolution en 2-3 mois, ~1 500 $).
- En cas de phishing actif avéré : signalement simultané à signal-spam.fr, Google Safe Browsing, Microsoft Defender, plateformes anti-phishing pour blocage rapide côté navigateur.
- Former les profils exposés (finance, RH, direction) à repérer les variations de domaine.
- Règle pédagogique : toujours taper l'URL manuellement plutôt que de cliquer, survoler les liens pour vérifier l'URL réelle, prêter attention aux sous-domaines.
- Encourager l'usage des gestionnaires de mots de passe, qui refusent de remplir sur un faux domaine.
- Authentification FIDO2 — résiste structurellement au typosquatting (vérification cryptographique du domaine).
07 — JuridiqueLes recours possibles
SYRELI — procédure AFNIC pour les .fr
Le SYRELI (Système de Résolution de Litiges) est la procédure extrajudiciaire gérée par l'AFNIC. Elle permet de demander la suppression ou le transfert d'un domaine .fr enregistré de manière abusive. Conditions : vous devez démontrer que le domaine porte atteinte à vos droits (marque déposée, nom commercial) et qu'il a été enregistré ou est utilisé de mauvaise foi. Durée : environ 2 mois. Coût : 250 € par domaine.
UDRP — procédure ICANN internationale
Équivalent international pour les .com, .net, .org et la plupart des nouveaux TLD. Procédure gérée par l'OMPI ou par d'autres organismes agréés (NAF aux États-Unis). Durée similaire, coût plus élevé (environ 1 500 $ minimum). Logique identique : marque antérieure, absence de droit du déposant, mauvaise foi.
Action en contrefaçon
Si le typosquatting porte atteinte à une marque déposée, une action en contrefaçon devant le tribunal judiciaire est possible. Plus longue et plus coûteuse, mais permet d'obtenir des dommages et intérêts substantiels. Pertinente surtout pour les cas à enjeux financiers importants ou récidivistes.
Plainte pénale
En cas d'usage avéré du domaine pour du phishing, de l'escroquerie ou de l'usurpation d'identité, une plainte pénale peut être déposée. Les articles applicables : escroquerie (313-1), usurpation d'identité (226-4-1), atteinte à un STAD (323-1). Pour les cas volumineux, passer par cybermalveillance.gouv.fr et Pharos pour coordonner.
Takedown rapide
Pour les cas urgents (phishing actif en cours), les procédures judiciaires sont trop lentes. Il faut passer par :
- Le registrar du domaine — demande de suspension pour violation des conditions.
- L'hébergeur du site — demande de blocage.
- Google Safe Browsing, Microsoft Defender, URLHaus — listes de blocage côté navigateur.
- Signal-spam.fr et le CERT-FR pour coordination.
Dans les cas coopératifs, un domaine malveillant peut être hors-ligne en quelques heures.
08 — FAQQuestions fréquentes
Combien de domaines dois-je enregistrer préventivement ?
Dépend de la taille et de l'exposition de votre marque. Pour une PME peu médiatisée : une dizaine suffit (principales extensions + variantes évidentes). Pour une ETI avec visibilité nationale : cinquante à cent. Pour une grande marque exposée : plusieurs centaines, avec une politique structurée de renouvellement et de veille.
Puis-je récupérer un domaine typosquatté déjà enregistré ?
Oui, via SYRELI (.fr) ou UDRP (internationaux) si vous pouvez démontrer l'atteinte à votre marque et la mauvaise foi du déposant. Les procédures sont efficaces quand il y a un enjeu manifeste. Pour les cas douteux (possiblement légitime), les chances sont plus faibles.
Le typosquatting est-il toujours illégal ?
Non, pas automatiquement. Enregistrer un domaine proche d'un autre n'est illégal que si vous portez atteinte à une marque antérieure et agissez de mauvaise foi. Un typosquatting « parking » avec publicités génériques est dans une zone grise. Un typosquatting utilisé pour du phishing est clairement illégal.
Les IA facilitent-elles le typosquatting ?
Oui. Les modèles génératifs permettent de générer automatiquement des pages de phishing visuellement parfaites sur un domaine typosquatté en quelques secondes. Combiné au clonage vocal et aux deepfakes, le typosquatting devient le point de départ de chaînes d'attaque très convaincantes. La défense technique reste la même, mais la vitesse d'émergence des nouveaux domaines augmente.
Y a-t-il un impact SEO négatif pour ma marque ?
Rarement direct. Les moteurs de recherche privilégient les domaines établis et les marques reconnues. Mais un typosquatting massif qui produit du contenu proche peut fragmenter le trafic de marque et dégrader l'expérience des utilisateurs qui cliquent sur les mauvais résultats. La surveillance SEO de vos termes de marque est une bonne pratique complémentaire.