Une adresse mal tapée, un nom de domaine à une lettre près, une URL qui semble fiable… et vous voilà sur un site frauduleux. C’est exactement ce que vise une technique appelée typosquatting (ou typosquattage en français), largement utilisée dans les attaques d’ingénierie sociale, de phishing ou d’usurpation de marque. Souvent invisible pour l’utilisateur, ce type de piège numérique repose sur des fautes de frappe, des homographes, ou des variations typographiques volontairement exploitées pour tromper les internautes. Le typosquatting est à la fois une menace pour la cybersécurité, la réputation des marques, et un vecteur d’arnaques de plus en plus sophistiquées. Dans cet article, après une définition précise de ce qu’est le typosquatting, nous étudions ses différentes formes, illustron le phénomène par des exemples concrets et expliquons comment s’en prémunir techniquement.

Comprendre le typosquatting : Le fonctionnement et ses objectifs

Le typosquatting — contraction de « typo » pour « typographical error » et « squatting » pour « occupation illégitime » — est une pratique qui remonte aux débuts du Web commercial, dans les années 1990. C’est avec la croissance fulgurante des premiers services en ligne (Yahoo, AOL, eBay) que les premières formes de squattage de noms de domaine ont vu le jour, notamment via des fautes de frappe intentionnelles dans les URL populaires. Dès 1996, plusieurs cas juridiques ont opposé des entreprises à des particuliers ou entités ayant réservé des domaines proches de leurs marques. La technique consiste à enregistrer des noms de domaine visuellement ou orthographiquement proches d’un domaine légitime dans l’objectif d’exploiter l’inattention des internautes. L’utilisateur, pensant accéder à un site de confiance, tombe en réalité sur une adresse frauduleuse, souvent configurée pour imiter fidèlement l’original ou rediriger vers des contenus tiers. Les noms visés sont généralement associés à de grandes entreprises, des services gouvernementaux ou des plateformes à forte audience : banques, outils collaboratifs, réseaux sociaux, fournisseurs de messagerie ou encore systèmes d’administration de contenu comme WordPress.

Le typosquatting repose sur plusieurs mécaniques bien connues :

• la fautes de frappe classique (exemple : googel.com au lieu de google.com) ;
• le remplacement de lettres par des caractères similaires visuellement (ex : paypaI.com avec un I majuscule à la place d’un l minuscule) ;
• l’utilisation abusive d’extensions de domaine (TLD) comme .co, .net, ou des ccTLD peu connus (.cm, .om) ;
• le typosquattage internationalisé (IDN homograph attack), qui tire parti de caractères Unicode pour générer des URL indifférenciables à l’œil nu (comme le “а” cyrillique à la place du “a” latin).

Le typosquattiage peut être passif (le domaine est enregistré et laissé en sommeil en attendant une revente ou une opportunité) ou actif (utilisé pour une campagne de phishing, une attaque ciblée ou une redirection). Ce second cas est le plus dangereux, car l’utilisateur est exposé à des manipulations directes sans souvent s’en rendre compte.

Les objectifs des typosquatteurs varient considérablement selon les cas. Voici les principaux scénarios d’exploitation :

• Le vol de données sensibles : les sites frauduleux imitent l’interface de l’original pour tromper l’utilisateur et collecter des identifiants, mots de passe ou données bancaires (phishing pur) ;
• L’usurpation de marque ou de notoriété : certains acteurs malveillants utilisent des domaines ressemblants pour semer la confusion ou nuire à la réputation d’une entreprise concurrente.
• L’exploitation publicitaire : le trafic généré par erreur est redirigé vers des pages pleines de bannières, de liens d’affiliation ou de programmes d’installation déguisés.
• La compromission technique : les domaines peuvent héberger des scripts malveillants, des ransomwares, ou profiter de failles non corrigées dans le navigateur pour injecter du code (cross-site scripting, drive-by download, etc.).

Ce phénomène a pris une ampleur particulière au tournant des années 2005-2010 avec la montée du commerce électronique et des services en ligne massivement utilisés. À cette époque, des domaines comme faecbook.com ou twittter.com étaient déjà enregistrés par des acteurs exploitant la confusion des utilisateurs, dans certains cas pour injecter des scripts, dans d’autres pour capter du trafic et le revendre aux enchères. Avec la démocratisation de l’enregistrement de noms de domaine (quelques euros suffisent pour déposer un domaine) et la multiplication des extensions (plus de 1500 TLD disponibles à ce jour), le typosquattage est devenu un levier courant, aussi bien chez les pirates que dans certaines stratégies commerciales agressives.

Enfin, notons que cette pratique reste difficile à réguler, même au niveau international. Si certaines extensions (comme .fr ou .eu) sont soumises à des règles strictes, d’autres (comme .cc, .tk, ou .xyz) sont bien plus permissives, favorisant les pratiques abusives. Cela nécessite une vigilance constante, tant du côté des marques que des utilisateurs.

Typologies et exemples concrets de typosquattage

Le typosquatting ne repose pas sur une seule technique, mais sur une combinaison de variations typographiques et sémantiques. L’idée maîtresse reste la même : induire l’utilisateur en erreur lors de la saisie d’un nom de domaine ou exploiter la perception visuelle pour créer une confusion. Les mécanismes sont simples à mettre en œuvre mais redoutablement efficaces, surtout dans un contexte où l’attention de l’internaute est souvent réduite (navigation rapide, usage mobile, fatigue visuelle).

Voici un tableau récapitulatif des types les plus fréquents de typosquattage, accompagné d’exemples basés sur le domaine example.com :

Type de typosquattage	Exemple (basé sur example.com)
Faute de frappe (typo classique)	examlpe.com (inversion des lettres “l” et “m”)
Lettre manquante	exaple.com (omission de la lettre “m”)
Ajout de caractère	examplee.com (lettre “e” doublée par erreur)
Substitution visuelle (homographes latins)	examp1e.com (le chiffre “1” à la place de la lettre “l”)
Substitution inter-alphabets (homographes cyrilliques ou grecs)	ехample.com (le “e” et le “x” sont en alphabet cyrillique mais semblent identiques visuellement)
Extension de domaine (TLD différent)	example.co ou example.cm au lieu de example.com
Domaine internationalisé (IDN homograph)	ｅxample.com (le “e” est en Unicode — U+FF45 — visuellement identique mais codé différemment)
Nom de domaine avec tirets supplémentaires	ex-ample.com (insertion d’un caractère de séparation pour simuler la lisibilité ou contourner les filtres)
Utilisation d’un sous-domaine trompeur	paypal.com.attacker-site.com (le domaine principal est attacker-site.com)
Nom de marque partiel ou générique	secure-example.com ou login-example.com (ajout de termes rassurants ou d’action)
Nom de domaine avec mots-clés SEO	example-support.com ou help-example.com (pour tromper via les résultats de recherche) On voit beaucoup ce phénomène avec le mot wordpress ; Rappellons que wordPress, bien qu’open source, reste une marque ! Faire de l’EMD c’est intéressant, avec une marque, c’est du spam de typosquatting !
Variation avec extension premium ou géographique	example.tech, example.shop, ou example-paris.com (imite une version locale ou technique)
Utilisation de caractères spéciaux similaires	exаmple.com (le “a” est en alphabet cyrillique — U+0430)
Nom de domaine inversé ou partiellement réorganisé	moc.elpmaxe.www (utilisé dans certaines attaques par redirection ou email frauduleux)
Nom de domaine avec caractères encodés	%65xample.com (usage de l’URL encoding pour passer des filtres ou tromper un scan automatique)

Chaque typologie exploite une faiblesse différente :

• Les fautes de frappe sont fréquentes sur les claviers mobiles ou lorsqu’un utilisateur tape rapidement une URL connue de mémoire.
• Les substitutions de caractères sont particulièrement efficaces lorsqu’elles ciblent des lettres visuellement ambiguës (l/I, o/0, rn/m, etc.).
• Les TLD alternatifs (.co, .cm, .om) ressemblent étroitement à .com mais sont juridiquement et techniquement différents, ce qui les rend propices aux détournements.
• Les domaines IDN (Internationalized Domain Name) permettent d’introduire des caractères non latins dans une adresse tout en maintenant une apparence visuelle identique. Ces attaques dites “homographes” sont particulièrement difficiles à détecter sans analyse technique.

Des cas concrets et historiques de typosquatting

De nombreux cas de typosquattage sont documentés, parfois même utilisés comme preuve dans des affaires judiciaires liées à la cybersécurité ou au droit des marques. Un exemple tristement célèbre est celui de goggle.com, enregistré au début des années 2000. Les visiteurs pensant se rendre sur Google étaient redirigés vers un site injectant du malware via des pop-ups et des téléchargements forcés. Ce domaine a été utilisé pendant plusieurs années avant d’être finalement bloqué par les navigateurs et racheté pour neutralisation.

Le cas de paypol.com ou encore pypal.com illustre parfaitement une tentative de phishing basée sur des fautes de frappe ou de lecture. Ces domaines étaient configurés pour imiter l’interface de PayPal et intercepter les identifiants et mots de passe des utilisateurs. Certains ont été utilisés dans des campagnes ciblées de phishing en entreprise (spear phishing), avec des pertes financières importantes à la clé. Plus récemment, dans l’univers des développeurs, des campagnes de typosquattage ont visé les dépôts de paquets open source (npm, PyPI, RubyGems), avec des bibliothèques aux noms proches de packages très populaires. Ces versions malicieuses contenaient parfois des scripts de vol de données d’environnement ou de clés SSH. Cette variante du typosquatting, appliquée au code, est appelée package squatting ou dependency confusion.

Autre pratique fréquente : L’enregistrement de noms de domaine similaires juste avant le lancement commercial d’un produit ou d’un site populaire. Cela permet à certains acteurs malveillants de monnayer la cession du domaine ou de détourner le trafic généré par des recherches approximatives. Enfin, certaines campagnes malveillantes à visée géopolitique ou idéologique ont utilisé des noms de domaine proches de ceux d’institutions publiques, de médias ou d’ONG pour diffuser de la désinformation. Dans ces cas-là, le typosquattage devient un outil de propagande numérique.

Comportement technique d’un domaine typosquatté

Un domaine typosquatté peut se comporter de différentes façons selon l’objectif du fraudeur :

• Redirection HTTP/301 ou JavaScript vers un site de phishing, une page sponsorisée ou un clone de site original.
• Page vide ou stationnaire contenant des publicités, afin de monétiser le trafic accidentel (modèle dit de “domain parking”).
• Landing page malveillante avec scripts en ligne de commande, injection d’iframe invisible ou tentative de téléchargement automatique.
• Hébergement temporaire pour lancer une attaque à durée limitée (phishing ponctuel, campagne de spam, etc.), puis suppression du contenu pour échapper à l’analyse.

Ce comportement peut varier selon l’agent utilisateur, la langue, ou l’adresse IP de l’internaute, rendant la détection encore plus difficile sans analyse automatisée.

Il est donc essentiel de surveiller les noms de domaine proches de son propre domaine principal, de mettre en place des mécanismes de protection DNS (DNSSEC) et de certificats SSL/TLS étendus, et surtout d’éduquer les utilisateurs finaux à vérifier l’exactitude des URL avant toute interaction sensible.

Le cadre juridique et les recours en cas de typosquattage

Le typosquattage, bien qu’il repose sur des mécanismes techniques simples, entre dans un champ juridique complexe qui mobilise à la fois le droit des marques, le droit des noms de domaine, et la lutte contre les pratiques commerciales déloyales. Dès lors qu’un nom de domaine est exploité pour tirer indûment parti de la notoriété ou du trafic associé à une marque ou une identité existante, il devient potentiellement illicite.

En droit français et européen, plusieurs textes encadrent cette problématique. Le plus central reste le Code de la propriété intellectuelle, et notamment l’article L713-2, qui interdit l’usage d’un signe identique ou similaire à une marque enregistrée, s’il existe un risque de confusion dans l’esprit du public, y compris un simple risque d’association. Cela concerne autant les produits et services commercialisés que le nom de domaine utilisé pour les proposer ou en parler.

En complément du droit des marques, deux autres leviers juridiques peuvent être mobilisés :

• La concurrence déloyale : lorsqu’un nom de domaine est exploité pour détourner la clientèle d’une entreprise ou nuire à sa réputation commerciale ;
• Le parasitisme : lorsqu’un acteur cherche à capter l’image, le trafic ou les efforts marketing d’un autre, sans fournir d’effort équivalent.

À noter également que certains cas de typosquattage peuvent relever de l’escroquerie numérique ou de la tentative de fraude informatique, notamment lorsqu’il est utilisé dans des campagnes de phishing, de distribution de malwares ou d’interception de données personnelles.

Actions extrajudiciaires : Les procédures UDRP, SYRELI ou URS

Avant de recourir aux tribunaux, il est souvent possible d’agir via des procédures administratives de résolution de litiges liés aux noms de domaine. Ces procédures sont rapides, dématérialisées et peu coûteuses. Elles permettent notamment de contester l’enregistrement abusif d’un domaine et d’en obtenir la suppression ou le transfert :

• UDRP (Uniform Domain-Name Dispute-Resolution Policy) : procédure internationale gérée par l’OMPI pour les TLD génériques (.com, .net, etc.).
• SYRELI : procédure française, pilotée par l’AFNIC pour les extensions en .fr ou .re.
• URS (Uniform Rapid Suspension) : procédure accélérée pour suspendre un domaine en cas de violation manifeste d’une marque.

Ces voies sont particulièrement utiles lorsque le typosquattage est flagrant et que le nom de domaine ne répond à aucune finalité légitime. La décision, une fois rendue, s’impose à l’autorité de gestion des noms de domaine (registrar), qui peut transférer ou bloquer le domaine litigieux.

Voies judiciaires : Quand aller plus loin ?

Dans les cas les plus graves, notamment lorsqu’il y a un préjudice avéré (usurpation, vol de données, chute du trafic ou de l’e-réputation), il est possible d’engager une action en justice devant le tribunal judiciaire. Cette action peut s’appuyer sur :

• La contrefaçon de marque (si la marque est déposée) ;
• L’usurpation d’identité numérique ;
• La concurrence déloyale ou le parasitisme ;
• Le trouble manifestement illicite en référé, permettant parfois une suspension rapide du domaine.

Les sanctions peuvent inclure des dommages et intérêts, la restitution du nom de domaine, ou encore l’interdiction pour le défendeur d’exploiter tout nom similaire. Certaines décisions de justice célèbres ont abouti à la confiscation définitive de noms de domaine détenus par des typosquatteurs récidivistes.

Prévention juridique : Une stratégie à mettre en place

Pour éviter de subir les effets du typosquattage, les titulaires de marques et les entreprises numériques peuvent adopter plusieurs mesures préventives :

• Enregistrer en amont les variantes les plus courantes de leur nom de domaine (fautes typiques, extensions proches, marques phonétiquement similaires) ;
• Utiliser des outils de surveillance DNS et WHOIS pour détecter automatiquement les nouveaux enregistrements suspects ;
• Mettre en place une stratégie de portefeuille de noms de domaine structurée, avec un calendrier de renouvellement automatique ;
• Agir rapidement via les procédures administratives ou judiciaires dès l’identification d’un cas avéré.

Il est également conseillé de faire appel à un cabinet spécialisé en propriété intellectuelle ou en droit des technologies pour vous accompagner dans la veille, la protection et, le cas échéant, le rachat ou la neutralisation de noms abusifs. Dans certains cas, des services de backorder permettent aussi de récupérer un domaine dès qu’il est abandonné par son propriétaire initial.