Typosquattage
Le typosquattage[1] ou typosquat[2] (en anglais, typosquatting) est une forme de cybersquattage se fondant principalement sur les fautes de frappe et d'orthographe commises par l'internaute au moment de saisir une adresse web dans un navigateur.
Concrètement, il s'agit pour le typosquatteur d'acheter certains noms de domaine dont la graphie ou la phonétique est proche de celle d'un site très fréquenté ou d'une marque connue, afin que l'utilisateur faisant une faute d'orthographe ou une faute de frappe involontaire soit dirigé vers le site détenu par le pirate.
Types
Quatre principaux types de typosquattage d'une URL sont identifiés (example.com est utilisé pour l'illustration) :
- utiliser le même terme mais écrit différemment : examples.com ;
- utiliser une faute orthographique ou une homonymie (avec une langue étrangère notamment) : exemple.com ;
- utiliser un autre domaine de premier niveau[3] : example.org ;
- utiliser les fautes de frappe de l'internaute[3] : xample.com ou examlpe.com.
Buts
En enregistrant l’un de ces noms de domaine, le typosquatteur peut profiter du trafic du site connu (par exemple ici www.exemple.com), récupérer les adresses électroniques de la clientèle du site piraté ou nuire à l'image de la marque en intégrant des contenus subversifs sur le site.
Détournement d’une partie du trafic du site typosquatté
En commettant une faute de frappe ou une faute d’orthographe dans le nom de domaine, l’internaute sera dirigé vers un autre site que celui qu’il souhaite atteindre. Cela peut permettre de capter, selon le trafic du site ciblé et la fréquence de l’erreur chez les utilisateurs, jusqu’à plusieurs milliers d’internautes par jour et par site typosquatté[4].
L’internaute ayant atteint le site pirate, le typosquatteur peut alors en profiter pour :
- vendre des espaces publicitaires sur son site[3] ;
- mettre en valeur des produits et services concurrents ou complémentaires de la marque piratée ou rediriger le visiteur vers des sites concurrents, sites avec lesquels le pirate a passé des accords de type « affiliation » ; dans ce cas, le concurrent sera suspect d'être lui-même l'auteur du site pirate ;
- mettre un compteur de trafic qui pourra lui permettre, dans le cas où le site typosquatté demande à racheter le nom de domaine pirate, d'exiger un prix fondé sur des données objectives.
Récupération des adresses courriel ou des identifiants des internautes
Dans ce cas, le pirate enregistre un nom de domaine sans le faire nécessairement renvoyer vers un site actif. Il active seulement les serveurs de gestion de la messagerie (serveurs MX) et paramètre un « catch all » qui indique qu’il souhaite recevoir tous les emails envoyés à untel@[nom-de-domaine-typosquatté].
Ce piratage est dangereux car les clients, pensant correspondre avec la société typosquattée (assurance, organisme de santé, société de commerce électronique), vont transmettre leur adresse courriel à un pirate, mais aussi parfois des informations confidentielles[3].
Nuire à l'image du site ou de la marque piratée
En utilisant une interface et des contenus semblables au site d’origine, l’internaute aura l’impression de se trouver sur le vrai site web et non sur un site pirate[5].
Le typosquatteur peut également afficher sur le site pirate un contenu différent et y intégrer des contenus subversifs qui vont nuire à la marque ou au site piraté (virus et autres logiciels malveillants).
Moyens de défense
ĂŠtre vigilant sur les noms proches de son nom de domaine
Il est recommandé de veiller à tous les noms de domaines dont l’orthographe et la typographie sont proches, et à toutes les extensions possibles. Certaines grandes entreprises enregistrent, en plus de leurs noms de domaines, ceux qui peuvent constituer des possibilités de typosquattage, ou leurs variantes avec d’autres extensions (.net, .biz, .info, .tel…)[3].
Il existe pour aider les acteurs sur Internet des générateurs d’erreurs typographiques qui permettent de découvrir toutes les variantes d’un nom de domaine. En outre, certains sites Internet permettent de faire toutes des vérifications sur les noms de domaine enregistrés et leur propriétaire.
Un accord amiable avec le registrant
La victime peut contacter le titulaire, appelé aussi registrant ou la société d’enregistrement, le registraire, du nom de domaine afin de passer un accord amiable s’il est de bonne foi.
Les coordonnées du registrant et du registraire peuvent être découvertes grâce à l’outil whois. Dans le cas où le titulaire apparaît comme « anonyme », la victime du typosquattage à la possibilité de demander à l’Association française pour le nommage Internet en coopération (AFNIC) de dévoiler les informations à propos du registrant.
La victime du site typosquatté peut demander au titulaire du nom de domaine contrevenant qu’il :
- fasse suivre les emails qui lui sont adressés ;
- lui transfère le nom de domaine ;
- cesse ses activités si le site est actif.
En France
Il existe en matière de cybersquattage un vide juridique puisqu’aucune sanction légale spécifique n’est prévue.
En 2007, quelques députés ont présenté un texte[6] ne s’appliquant qu’aux noms de domaine en « .fr », et prévoyant une peine de 45 000 euros et deux ans de prison en cas de typosquattage. Le nom de domaine litigieux aurait été supprimé ou transféré au plaignant. Ce texte n’a pas été voté.
Aujourd’hui, il existe un décret du relatif à la gestion des noms de domaine de l’Internet modifiant le Code des postes et des communications électronique[7]. Toutefois, celui-ci ne prévoit pas de peines spécifiques pour le typosquattage et est plutôt tourné vers la mise en place d’une base de données publique centralisant les informations relatives aux registrants.
La voie judiciaire
Suivant les circonstances et la concurrence qui existe ou non avec le typosquatteur, il est possible de saisir les juridictions civiles et pénales pour contrefaçon, concurrence déloyale et parasitisme. Tel serait par exemple le cas, si le nom de domaine pointe vers un site concurrent.
La voie extrajudiciaire avec la procédure UDRP[8] (Uniform Domain name Dispute Resolution Policy)
Cette procédure, rapide, entièrement en ligne et ne nécessitant pas un avocat, a été mise en place par l’ICANN pour régler les problèmes liés au typosquattage. Elle peut être engagée sans préjudice d’une action devant les instances judiciaires compétentes.
Cette procédure ne concerne que les noms dont l’extension est .com, .net, .org, mais aussi les nouvelles telles que .biz, .info, .name.
Le plaignant doit prouver que le registrant du nom de domaine pirate a enregistré ou fait un usage de mauvaise foi du nom de domaine sur lequel le plaignant a des droits et pour lequel le défendeur n’a aucun intérêt légitime.
Le coût de la procédure, entre 1 500 $ et 5 000 $, est entièrement à charge par le plaignant sauf dans le cas où le défendeur décide que la décision doit être rendue par trois experts au lieu d’un[9].
Pour les litiges concernant les extensions en .fr et .re, la procédure est nommée PARL et suit le même modèle que la procédure UDRP.
Notes et références
- « typosquattage », Grand Dictionnaire terminologique, Office québécois de la langue française (consulté le ).
- Commission générale de terminologie et de néologie, « Avis et communications : Avis divers », sur Légifrance, Journal officiel de la République française, (consulté le )
- Elsa Trujillo, « Le «typosquatting» : quand les pirates informatiques exploitent les fautes de frappe », Le Figaro,‎ (lire en ligne, consulté le )
- Loïc Damilaville, « Le typosquatting, une double menace », sur www.journaldunet.com, (consulté le )
- « Yahou, Goolge, YoTube... Gare au «typosquatting», les pirates profitent de vos fautes de frappe », sur www.20minutes.fr (consulté le )
- « N° 3726 - Proposition de loi de M. Philippe Armand Martin (Marne) visant à protéger les noms de domaines », sur www.assemblee-nationale.fr (consulté le )
- « Décret n° 2007-162 du 6 février 2007 relatif à l'attribution et à la gestion des noms de domaine de l'internet et modifiant le code des postes et des communications électroniques. | Legifrance », sur www.legifrance.gouv.fr (consulté le )
- « Procédure relative aux Principes directeurs UDRP pour les domaines génériques de premier niveau (TLD génériques) », sur www.wipo.int (consulté le )
- « Cybersquatting, Typosquatting Et Procédure UDRP : Exemple De Décision Et Jurisprudence », sur oseox.fr (consulté le )