Site icon Sophos News

Le typosquatting : les dangers d’une simple erreur de frappe !

Typosquatting

C’est facile à faire, vous tapez rapidement une URL que vous utilisez tous les jours, qu’il s’agisse de Google, Facebook ou Amazon, et dans la précipitation, vous avez permuté, ajouté ou supprimé accidentellement une seule lettre et vous avez appuyé sur Entrée. Curieusement, vous n’êtes pas là où vous vouliez être, et souvent cet endroit étrange où vous avez atterri n’est pas une erreur 404, mais plutôt un site web inattendu, et souvent sinistre !

Ou bien plus étrange encore, vous arrivez sur une version frauduleuse du site que vous vouliez visiter au départ !

L’enregistrement des sites web populaires, mais mal orthographiés, pour piéger les utilisateurs étourdis est connu sous le nom de typosquatting. Ainsi, les cybercriminels récupèrent ces noms de domaine fréquemment mal orthographiés, en sachant que certains utilisateurs innocents atterriront sur leur page, victimes de cette arnaque en ligne.

Le typosquatting est si courant que certaines entreprises enregistrent souvent eux-mêmes les noms de domaine avec les fautes de frappe les plus courantes, afin de rediriger les utilisateurs vers la bonne page. Google, par exemple, possède les domaines dot-com avec son nom orthographié avec un, deux et trois “o“.

Le Typosquatting est un business énorme, plus de 80% de toutes les variantes possibles à un caractère de Facebook, Google et Apple sont enregistrées.

Il est facile de faire des blagues sur le typosquatting, l’erreur est humaine et parfois peut être amusante, et d’ailleurs certaines pages satiriques sur lesquelles les utilisateurs arrivent sont parfois plutôt bien pensées. Cependant, les risques que représente le typosquatting sont bien réels. NBC Nightly News a récemment mis en évidence les dangers de ces fautes de frappe et les précautions à prendre pour éviter ces sites malveillants, dans une vidéo avec James Lyne de Sophos.

Mais que se passe-t-il vraiment lorsqu’une personne arrive sur la mauvaise page ? Cela dépend des intentions du typosquatter. Parfois, il s’agit simplement d’un domaine de parking, de domaines à vendre ou de pages de “recherche associée”. D’autres présentent davantage de risques, comme des concours et des sondages demandant des renseignements personnels, ou des sites de type publicité-appât. D’autres sont inoffensifs, comme les sites humoristique ou satirique, ou encore les sites détenus par des chercheurs en typosquattage.

Il y a quelque temps, Paul Ducklin de Naked Security avait mal orthographié Apple, Facebook, Google, Microsoft, Twitter et Sophos de 2 249 façons différentes, afin de voir ce qui se passerait. Il a tout simplement laissé un ordinateur générer des URLs mal orthographiés sur le web, pour voir ce qu’il allait découvrir. Il a tout trouvé un peu de tout, des fausses pages aux contenus pour adultes et enfin des concours conçus pour capturer des informations personnelles:

Le rapport complet va plus en détails, mais il est intéressant de mentionner quelques points clés. Le plus intéressant est que les sites de typosquatting ne sont pas envahis par des malwares, contrairement à ce que l’on pourrait penser.

Le fait que les scammers qui enregistrent ces sites, utilisent des fautes d’orthographe populaires, avec par conséquent un nombre limité d’URL disponibles, signifie curieusement que c’est avant tout une histoire de réputation. S’ils ont enregistré un domaine avec une faute d’orthographe classique de Facebook, ils ne peuvent pas simplement se déplacer vers une nouvelle URL si la page a développé une réputation.

En fait, la cybercriminalité représentait un peu moins de 3% des résultats. Les pop-ups et les publicités étaient bien plus fréquentes (15%) alors que les services informatiques et l’hébergement, à savoir des pages proposant de vous vendre des noms de domaine intéressants, représentaient quant à eux 12%.

Mais tandis que le pourcentage est relativement faible, les astuces utilisées par les typosquatteurs pour inciter les utilisateurs à donner des informations personnelles ou financières peuvent être très efficaces. Les sites usurpés pourraient, par exemple, vous offrir un produit gratuit si vous payez l’expédition, en capturant les données de la carte de crédit pour les utilisateurs les moins méfiants.

D’autres objectifs poursuivis par le typosquatting comprennent de faux avertissements vous signalant que votre ordinateur a été infecté, incitant l’utilisateur à télécharger un “correctif”, qui est en réalité le payload malveillant, ou encore en incitant l’utilisateur à cliquer sur un lien qui infectera son ordinateur avec un malware.

Les cybercriminels ne ciblent pas seulement les utilisateurs de tous les jours. Une nouvelle forme sournoise de typosquatting a été récemment identifiée. Elle ciblait les développeurs installant des paquets Python à partir du référentiel PyPI (Python Package Index).

Un code malveillant a été trouvé caché à la vue de tous, et en utilisant des noms de fichiers qui ont été facilement confondus avec des paquets officiels. C’est un cas intéressant car le motif n’était pas clair. En effet, le code était malveillant mais relativement inoffensif. Ce fut un avertissement lancé aux développeurs utilisant le code de tiers dans leurs projets, et a montré qu’il existait une possible variante d’une arnaque en ligne classique.

Le meilleur antidote pour vous protéger contre le typosquatting est, avec le logiciel de sécurité approprié, la sensibilisation. Marquez vos sites préférés, vérifiez l’orthographe des URLs avant d’appuyer sur Entrée, et soyez sceptique quand un site vous parait suspect ou vous demande des informations qui sont en général confidentielles.


Billet inspiré de Typosquatting and the risks of one wrong keystroke, sur Sophos nakedsecurity.

Exit mobile version