Typosquatting : l’ingénierie sociale au service des cybermenaces
Les menaces liées au numérique se portent bien selon un rapport de la délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) publié cette semaine. Ainsi, les faits de cybercriminalité portés à la connaissance de la gendarmerie ont augmenté de 30 % entre 2016 et 2017. 60 % de l’ensemble de ces infractions constituent des escroqueries liées à Internet. 80 % des entreprises ont été victimes d’au moins une cyberattaque en 2018.
Tromper la vigilance de l’internaute
Dans la panoplie des outils à la disposition de la cyberdélinquance, il y a l’hameçonnage, le rançongiciel ou encore l’attaque par déni de service. Toutefois, les menaces liées au numérique ont parfois besoin de techniques indirectes d’ingénierie sociale pour mieux tromper l’internaute, parmi lesquelles on trouve le typosquatting.
Pour reprendre les termes de la DMISC, le typosquatting (ou typosquattage) est une « technique consistant à acheter des noms de domaine qui ressemblent étrangement à des noms de site connus, mais avec des fautes volontaires, comme des erreurs orthographiques ». En fait, il y a plusieurs manières de procéder. L’utilisateur de cet outil peut écrire un même terme différemment. Il peut volontairement glisser une faute d’orthographe ou recourir à une homonymie. Il est également possible de modifier l’extension du nom en passant, par exemple, de .com à .org. Dernière hypothèse : reprendre les fautes de frappe de l’internaute.
Le préalable à des actes de malveillance informatiques
A priori, cette technique semble inoffensive. Mais elle est en général le préalable à de véritables attaques informatiques. Le destinataire croyant voir une adresse connue et valide décide d’ouvrir le mail ou de se rendre sur un site en toute confiance. C’est alors qu’il est victime d’une campagne de phishing ou d’un virus. S’il a de la chance, la visite sur le site permet seulement de gagner de l’argent à l’auteur du typosquatting via la publicité.
Les sites connus comme Youtube, Google ou Yahoo ! ont été touchés par cette technique. Celle-ci est d’autant plus retorse qu’elle peut être difficile à détecter. Un rapport rendu par la société de sécurité informatique Menlo Security en début d’année indiquait que 19 % des sites « typosquattés » ayant réussi à tromper la vigilance des internautes étaient classés comme étant des sites de confiance.
L’étude de la DMISC cite une campagne de phishing de 2018 qui s’est appuyée avec efficacité sur le typosquattage. En l’occurrence, une compagnie aérienne fameuse promettait d’offrir des billets gratuits à condition de cliquer sur un lien. Sauf que le nom de la société était un faux difficile à déceler puisqu’il était exactement le même que l’original à une nuance près : l’ajout d’un point peu visible en-dessous d’une lettre. En cliquant sur le lien, l’internaute était invité à rentrer ses coordonnées bancaires pour valider l’opération.
Si les entreprises sont touchées par ce phénomène, les pouvoirs publics ne sont pas en reste. Le 13 octobre 2016, la gendarmerie a ouvert des enquêtes judiciaires à propos de l’achat de trois faux noms de domaine ressemblant étrangement à ceux d’institutions françaises. Alors que les autorités auraient pu les acquérir à titre préventif, ils ont pu être achetés librement par des tiers auprès de sociétés spécialisées. Toutefois, l’Agence nationale de sécurité des systèmes d’information menace(ANSSI) et un ministère ont pris les mesures nécessaires pour empêcher que ces adresses servent à opérer des actes de malveillance informatiques.
Article de Thierry Randretsa
