Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Qu'est-ce que le typosquatting ? Méthodes d'attaque sur les domaines et prévention
Cybersecurity 101/Cybersécurité/Typosquatting

Qu'est-ce que le typosquatting ? Méthodes d'attaque sur les domaines et prévention

Les attaques de typosquatting exploitent les erreurs de frappe pour rediriger les utilisateurs vers de faux domaines qui volent les identifiants. Découvrez les méthodes d'attaque et les stratégies de prévention pour les entreprises.

CS-101_Cybersecurity.svg
Sommaire
Qu'est-ce que le typosquatting ?
Pourquoi la sécurité traditionnelle échoue face au typosquatting
Types d'attaques de typosquatting
Comment fonctionne le typosquatting ?
Attaques de typosquatting dans le monde réel
Pourquoi le typosquatting réussit
Défis de la défense contre le typosquatting
Erreurs courantes dans la défense contre le typosquatting
Comment détecter le typosquatting ciblant votre marque
Bonnes pratiques pour prévenir le typosquatting
Stoppez les attaques de typosquatting avec SentinelOne
Points clés à retenir

Articles similaires

  • Gestion des droits numériques : Guide pratique pour les RSSI
  • Qu'est-ce que la sécurité de la surveillance et gestion à distance (RMM) ?
  • Address Resolution Protocol : Fonction, types et sécurité
  • Qu'est-ce qu'une sauvegarde immuable ? Protection autonome contre les ransomwares
Auteur: SentinelOne | Réviseur: Dianna Marks
Mis à jour: March 2, 2026

Qu'est-ce que le typosquatting ?

Vous tapez "gogle.com" au lieu de "google.com" et appuyez sur Entrée. En quelques millisecondes, vous vous retrouvez face à une page de collecte d'identifiants qui exploite une simple omission de caractère. Cette seule erreur de frappe vient de donner aux attaquants l'accès à vos identifiants professionnels.

Le typosquatting est une attaque basée sur les noms de domaine où des acteurs malveillants enregistrent des noms de domaine ressemblant fortement à des sites légitimes en exploitant des erreurs de frappe courantes. Selon le rapport 2023 sur la criminalité Internet du FBI, le phishing et les attaques de spoofing (le principal cas d'usage des domaines typosquattés) ont généré 298 878 plaintes rien qu'en 2023.

Les recommandations officielles de la CISA définissent le typosquatting comme une attaque de social engineering basée sur les domaines, où des acteurs malveillants "mettent en place des domaines usurpés avec des caractéristiques légèrement modifiées de domaines légitimes" via des variations de caractères conçues pour tromper les utilisateurs. Les attaquants exploitent les erreurs de frappe courantes en enregistrant des domaines comme "gogle.com" (omission de caractère), "googel.com" (transposition de caractères) ou "googlr.com" (erreur de touche adjacente) pour créer une infrastructure de phishing convaincante.

L'attaque réussit parce que la perception humaine diffère de la précision machine. Vos yeux voient "paypal.com" à l'écran, mais le navigateur résout "pаypal.com" avec un caractère 'а' cyrillique (U+0430) qui s'affiche de manière identique au 'a' latin (U+0061). Le domaine appartient aux attaquants, pas à PayPal.

Le typosquatting ne nécessite aucun scénario d'ingénierie sociale. Les attaquants attendent simplement les erreurs de frappe qui se produisent statistiquement avec une fréquence prévisible. À l'échelle d'une entreprise avec des milliers d'employés accédant chaque jour à des centaines de plateformes SaaS, ces erreurs deviennent des opportunités d'attaque mesurées en volume, non en probabilité.

Comprendre l'ampleur de cette menace soulève une question immédiate : pourquoi les contrôles de sécurité existants n'arrêtent-ils pas ces attaques ?

Typosquatting - Featured Image | SentinelOne

Pourquoi la sécurité traditionnelle échoue face au typosquatting

Le typosquatting fonctionne comme point d'entrée pour des chaînes d'attaque multi-étapes qui contournent totalement vos défenses périmétriques. Selon l'avis CISA AA23-025A, "le domaine malveillant de première étape lié dans l'e-mail de phishing initial redirige périodiquement vers d'autres sites pour des redirections supplémentaires et des téléchargements de logiciels RMM." Votre sécurité des endpoints ne voit jamais la compromission initiale car vous avez volontairement navigué vers le domaine malveillant.

Le filtrage d'URL traditionnel échoue car les domaines typosquattés n'ont aucun historique de réputation malveillante. Les journaux DNS montrent des requêtes initiées par des utilisateurs légitimes plutôt que des schémas de commande et contrôle. Les certificats SSL passent les vérifications, affichant des icônes de cadenas de confiance. Votre pile de sécurité voit un comportement utilisateur autorisé, pas une activité malveillante, jusqu'à l'exécution de la charge utile.

L'impact en cybersécurité va au-delà du simple vol d'identifiants. Des recherches de l'université Carnegie Mellon ont documenté que les domaines typosquattés reçoivent chaque année d'importants volumes d'e-mails mal adressés via l'infrastructure centralisée des serveurs de messagerie. Lorsque vos utilisateurs envoient accidentellement des communications professionnelles à des versions typosquattées de votre propre domaine, les attaquants interceptent des renseignements d'affaires, des données financières et des communications stratégiques sans déclencher la moindre alerte de sécurité.

Pour se défendre contre ces attaques, il faut d'abord comprendre les techniques spécifiques utilisées par les attaquants pour créer des domaines trompeurs.

Types d'attaques de typosquatting

Les attaquants utilisent différentes techniques pour générer des variantes de domaines convaincantes. Les recherches confirment qu'environ 99 % des domaines typosquattés utilisent des modifications à un seul caractère, rendant ces schémas à la fois prévisibles et efficaces.

  1. Omission de caractère supprime une lettre : "gogle.com" au lieu de "google.com". Cela exploite la frappe rapide où les doigts sautent des touches.
  2. Duplication de caractère ajoute des lettres supplémentaires : "googgle.com" cible les erreurs de double frappe sur les caractères répétés.
  3. Transposition de caractères échange des lettres adjacentes : "googel.com" exploite la tendance naturelle à inverser l'ordre des lettres lors d'une frappe rapide.
  4. Substitution par touche adjacente remplace des caractères par leurs voisins sur le clavier : "googlr.com" (r adjacent à e) cible les erreurs physiques de frappe.
  5. Attaques homographes substituent des caractères Unicode visuellement identiques. Selon les recherches de l'ICANN, les chercheurs ont documenté 11 766 homographes IDN uniques sur 20 mois. Le 'а' cyrillique (U+0430) s'affiche de façon identique au 'a' latin (U+0061), rendant "pаypal.com" visuellement indiscernable du domaine légitime.
  6. Domaines doppelganger omettent les points dans les sous-domaines : "wwwgoogle.com" ou "aborofamerica.com" (point manquant après "boa") capturent le trafic des utilisateurs qui oublient le point entre le sous-domaine et le domaine.
  7. Combosquatting ajoute des mots à consonance légitime : "google-login.com" ou "secure-paypal.com" apparaît comme un sous-domaine officiel tout en appartenant aux attaquants.
  8. Substitution de mauvais TLD exploite la confusion sur l'extension du domaine : les attaquants enregistrent company.co, company.net et company.org alors que vous ne possédez que company.com.
  9. Variations de traits d'union ajoutent ou retirent des tirets : "face-book.com" versus "facebook.com" cible l'incertitude sur la présence du tiret dans les noms de marque.
  10. Bitsquatting exploite les erreurs matérielles de mémoire qui inversent aléatoirement un bit dans les noms de domaine mis en cache, redirigeant le trafic vers des domaines différant d'un seul bit de la cible légitime.

Chacune de ces techniques vise le même objectif : amener les victimes vers une destination malveillante. Mais l'enregistrement d'un domaine trompeur n'est que la première étape. Voici comment les attaquants transforment ces domaines en menaces opérationnelles.

Comment fonctionne le typosquatting ?

Les attaques de typosquatting suivent un cycle opérationnel en quatre phases qui transforme les domaines enregistrés en menaces actives contre votre organisation.

  1. Phase 1 : Identification et enregistrement du domaine. Les attaquants utilisent des algorithmes pour générer des variantes typo de domaines à forte valeur. Ils identifient les marques à fort trafic, identifiants précieux ou capacités de transaction financière, puis enregistrent des centaines de variantes sur plusieurs TLD.
  2. Phase 2 : Mise en place de l'infrastructure établit l'infrastructure malveillante. Les attaquants configurent les enregistrements DNS pointant les domaines typosquattés vers des serveurs web hébergeant des pages de connexion clonées, des plateformes de distribution de malware ou des chaînes de redirection. Ils obtiennent des certificats SSL valides et configurent des serveurs de messagerie pour capturer les e-mails mal adressés.
  3. Phase 3 : Capture du trafic s'effectue via plusieurs canaux. Les erreurs de navigation directe surviennent lorsque vous tapez manuellement des URL avec de petites erreurs de caractères. Les campagnes d'e-mails provenant de comptes compromis contiennent des liens typosquattés qui paraissent légitimes dans le contexte du message. Le FBI a averti que "les acteurs de la menace créent des sites web usurpés souvent en modifiant légèrement les caractéristiques des domaines de sites web légitimes, dans le but de collecter des informations sensibles auprès des victimes."
  4. Phase 4 : Monétisation utilise plusieurs stratégies selon les objectifs de l'attaquant :
  • La collecte d'identifiants cible les plateformes SaaS où les identifiants volés donnent accès aux données de l'entreprise
  • La distribution de malware livre des ransomwares et des infostealers via des téléchargements à la volée
  • L'interception d'e-mails capture des communications mal adressées contenant des informations sensibles sur l'entreprise
  • La fraude publicitaire génère des revenus via des redirections forcées vers des réseaux publicitaires
  • L'usurpation de marque soutient les campagnes de compromission de la messagerie professionnelle

Des recherches de l'université Carnegie Mellon ont documenté que les domaines typosquattés reçoivent environ 800 000 e-mails par an via une infrastructure centralisée.

Ce modèle opérationnel n'est pas théorique. Des incidents très médiatisés démontrent exactement comment ces attaques impactent les organisations en pratique.

Attaques de typosquatting dans le monde réel

Des incidents documentés révèlent comment le typosquatting affecte les organisations, quelle que soit leur taille, leur secteur ou leur maturité en sécurité. Ces cas illustrent à la fois les dommages directs des attaques et les risques réputationnels qui en découlent.

  • Google vs. Gooogle LLC (2022) : En octobre 2022, Google a intenté une action en justice devant le tribunal fédéral du district sud de New York contre Gooogle LLC, une société ayant enregistré des domaines dont "gooogle.com" (avec un 'o' supplémentaire). Selon les documents judiciaires, le domaine typosquatté distribuait des malwares et menait des campagnes de phishing ciblant les utilisateurs de Google. Ce cas a démontré que même les marques les plus reconnues au monde font face à des menaces de typosquatting persistantes.
  • Incident de typosquatting Equifax (2017) : Suite à la vaste violation de données d'Equifax ayant touché 147 millions de consommateurs, l'entreprise elle-même a accidentellement dirigé les victimes vers un domaine typosquatté. Le compte Twitter officiel d'Equifax a publié des liens vers "securityequifax2017.com" au lieu du site légitime "equifaxsecurity2017.com" dédié à la gestion de la violation. Le domaine typosquatté, créé par un chercheur en sécurité, aurait pu être exploité par des attaquants pour collecter les identifiants de victimes confuses.

Ces incidents illustrent comment le typosquatting menace les organisations à la fois comme cibles et comme facilitateurs involontaires d'attaques contre leurs propres clients. Mais qu'est-ce qui rend ce vecteur d'attaque aussi efficace et constant, tous secteurs et cibles confondus ?

Pourquoi le typosquatting réussit

Le typosquatting exploite des avantages fondamentaux pour les attaquants, rendant cette technique constamment efficace, quels que soient vos investissements en sécurité.

  • L'erreur humaine est statistiquement garantie. Le FBI a recensé 298 878 plaintes pour phishing en 2023. À l'échelle d'une entreprise avec des milliers d'employés tapant des URL chaque jour, les erreurs de frappe se produisent avec une certitude mathématique. Les attaquants n'ont pas besoin d'exploits sophistiqués quand un simple enregistrement de domaine capte un trafic mal orienté issu d'un comportement humain prévisible.
  • La perception visuelle ne distingue pas les caractères identiques au pixel près. Lorsque vous regardez "pаypal.com" contenant un 'а' cyrillique (U+0430) au lieu d'un 'a' latin (U+0061), votre cortex visuel l'interprète comme "paypal.com" car les glyphes affichés sont identiques. Selon les recherches de l'ICANN, les attaquants ont enregistré des milliers de variantes homographes exploitant cette limitation biologique.
  • Les indicateurs de confiance sont détournés. Les attaquants obtiennent des certificats SSL valides pour les domaines typosquattés auprès d'autorités de certification légitimes en quelques minutes. L'icône de cadenas que vous avez appris à vos utilisateurs à vérifier fournit désormais une fausse assurance. Selon la documentation de l'ICANN, le certificat ne prouve que le chiffrement de la connexion, pas la légitimité du domaine.
  • L'exécution de l'attaque nécessite peu de ressources. L'enregistrement d'un domaine coûte moins de 15 $ et s'effectue en quelques minutes. Les certificats SSL gratuits de Let's Encrypt offrent une légitimité instantanée. Les kits de phishing automatisent le déploiement de pages de collecte d'identifiants. Les attaquants ne rencontrent aucune barrière technique, permettant des campagnes à grande échelle avec un investissement minimal.

Ces avantages pour les attaquants créent des défis correspondants pour les équipes de sécurité cherchant à se défendre contre le typosquatting.

Défis de la défense contre le typosquatting

Les équipes de sécurité font face à des limitations structurelles qui rendent la défense contre le typosquatting fondamentalement difficile, même avec des ressources et des outils adéquats.

  • La détection basée sur la réputation arrive trop tard. Votre pile de sécurité s'appuie sur des listes de blocage et des flux de threat intelligence qui identifient les domaines malveillants après qu'ils ont été observés lors d'attaques. Les domaines typosquattés nouvellement enregistrés n'ont aucun historique de réputation, contournant vos filtres jusqu'à ce que les premières victimes soient déjà compromises.
  • L'échelle des variantes dépasse la capacité de surveillance. Une seule marque génère des centaines de variantes typosquattées possibles via des modifications de caractères, des alternatives de TLD et des combinaisons de combosquatting. Surveiller chaque permutation sur chaque TLD, combiné aux homographes IDN, dépasse la capacité pratique d'une revue humaine ou automatisée.
  • La surface d'attaque va au-delà des domaines web. Les attaquants déploient désormais le typosquatting dans les dépôts de paquets logiciels (NPM, PyPI, RubyGems) et les dépôts de modèles IA/ML (Hugging Face). Votre surveillance des domaines ne fournit aucune visibilité lorsque les développeurs installent accidentellement "requets" au lieu de "requests" depuis des gestionnaires de paquets compromis.
  • L'interception d'e-mails ne génère aucune alerte de sécurité. Lorsque des employés envoient accidentellement des communications internes à des versions typosquattées de votre domaine, aucune détection ne se déclenche. Les attaquants exploitent des serveurs de messagerie centralisés qui collectent silencieusement les e-mails mal adressés contenant des renseignements d'affaires, des données financières et des communications stratégiques.
  • Les processus de retrait sont plus lents que les attaques. Les plaintes UDRP et les signalements d'abus auprès des registraires nécessitent des jours ou des semaines pour être traités. Les attaquants enregistrent des domaines de remplacement plus vite que les mécanismes juridiques ne les suppriment, créant un cycle sans fin où la défense est toujours en retard sur l'attaque.

Ces défis structurels conduisent souvent les équipes de sécurité à commettre des erreurs courantes qui élargissent en réalité les failles exploitées par les attaquants.

Erreurs courantes dans la défense contre le typosquatting

Votre organisation commet probablement des erreurs lors de la mise en œuvre de défenses contre le typosquatting, créant des failles exploitables activement ciblées par les attaquants.

  • Erreur 1 : Supposer que le filtrage d'URL offre une protection suffisante. Vous avez déployé des proxys web et des services de filtrage DNS qui bloquent les domaines malveillants connus. Cette hypothèse échoue car les domaines typosquattés apparaissent comme nouvellement enregistrés sans historique de réputation malveillante.
  • Erreur 2 : Négliger la mise en œuvre de l'authentification des e-mails. Vous n'avez pas déployé DMARC avec des politiques d'application (p=quarantine ou p=reject) pour les domaines de votre organisation. Sans application DMARC, les messages usurpés atteignent les boîtes de réception des destinataires tandis que la réputation de votre marque souffre de campagnes de phishing que vous n'avez pas envoyées.
  • Erreur 3 : Se concentrer exclusivement sur les domaines web en ignorant la chaîne d'approvisionnement logicielle. Votre équipe de sécurité surveille les enregistrements de domaines pour le typosquatting web mais n'a aucune visibilité sur les installations de gestionnaires de paquets sur les postes des développeurs. Lorsque les développeurs tapent "requets" au lieu de "requests" dans une commande pip install, des paquets typosquattés sont déployés directement dans les environnements de développement.
  • Erreur 4 : Former les utilisateurs à vérifier les icônes de cadenas sans expliquer les limites des certificats. Votre formation à la sensibilisation à la sécurité présente une lacune : vous n'avez pas expliqué que les attaquants obtiennent facilement des certificats SSL valides pour les domaines typosquattés. Le certificat prouve le chiffrement, pas la légitimité.
  • Erreur 5 : Mettre en œuvre des défenses sans mesurer leur efficacité. Vous avez enregistré des variantes de domaines défensifs et configuré l'authentification des e-mails, mais vous n'avez pas déployé de surveillance pour mesurer la fréquence à laquelle les utilisateurs rencontrent des domaines typosquattés ciblant votre organisation.

Éviter ces erreurs commence par la visibilité. Vous ne pouvez pas vous défendre contre des menaces dont vous ignorez l'existence.

Comment détecter le typosquatting ciblant votre marque

Identifier les domaines typosquattés avant qu'ils ne soient armés par les attaquants nécessite une surveillance proactive sur plusieurs sources de données.

  • La surveillance de la transparence des certificats offre une visibilité quasi temps réel sur les nouveaux certificats SSL émis. Lorsque des attaquants obtiennent des certificats pour des domaines ressemblant à votre marque, les journaux CT capturent l'événement d'émission. Configurez des alertes pour les émissions de certificats contenant le nom de votre organisation ou de vos produits.
  • L'analyse DNS révèle des schémas d'enregistrement suspects. Surveillez les enregistrements groupés de domaines similaires à votre marque sur plusieurs TLD en peu de temps. Les attaquants enregistrent généralement des dizaines de variantes simultanément avant de lancer leurs campagnes.
  • La surveillance des bases WHOIS suit les nouveaux enregistrements de domaines correspondant à des schémas de typosquatting. Les services commerciaux de threat intelligence génèrent des variantes typosquattées de façon algorithmique et alertent lorsque des domaines correspondants apparaissent dans les bases d'enregistrement.
  • Les algorithmes de génération de typosquatting créent des listes complètes de variantes à l'aide de calculs de distance Damerau-Levenshtein. Ces outils génèrent toutes les modifications possibles à un caractère, puis croisent avec les enregistrements DNS actifs pour identifier les menaces enregistrées.
  • L'analyse du trafic web identifie quand vos utilisateurs naviguent vers des domaines typosquattés. Les journaux de requêtes DNS, les données de proxy web et la télémétrie des endpoints révèlent des schémas de trafic mal orienté indiquant des campagnes de typosquatting actives ciblant votre organisation.

La détection seule ne suffit pas. Une fois que vous pouvez identifier les menaces de typosquatting, vous avez besoin de défenses systématiques qui empêchent la compromission en amont.

Bonnes pratiques pour prévenir le typosquatting

La défense contre le typosquatting nécessite des contrôles en couches qui traitent simultanément les vulnérabilités au niveau du domaine, du réseau, du poste de travail et de l'organisation.

  • Mettez en œuvre l'enregistrement défensif de domaines avec une priorisation basée sur les risques. Selon les recommandations du CIS, vous devriez "envisager d'acheter des variantes de vos domaines pour vous protéger contre les erreurs typographiques courantes." Enregistrez les variantes de typosquatting les plus prévisibles dans quatre catégories principales :
  1. Variations de traits d'union (company-name.com vs companyname.com)
  2. Variations d'homoglyphes utilisant des caractères similaires, en particulier les caractères cyrilliques
  3. Fautes d'orthographe courantes basées sur des erreurs de proximité de clavier
  4. Alternatives TLD critiques (.com, .net, .org, .co)
  • Déployez l'authentification des e-mails avec une application DMARC progressive. Configurez les enregistrements SPF, mettez en place la signature DKIM et déployez DMARC en mode surveillance (p=none) dans un premier temps. Après validation des sources de messagerie légitimes, passez à des politiques de quarantaine puis de rejet.
  • Configurez des contrôles de sécurité DNS avec résolution chiffrée. Déployez DNSSEC pour valider cryptographiquement les réponses DNS. Configurez des services DNS protecteurs qui bloquent les domaines nouvellement enregistrés jusqu'à l'achèvement de l'analyse de réputation.
  • Établissez une surveillance continue des domaines avec alertes autonomes. Abonnez-vous aux flux d'enregistrement de domaines issus des journaux Certificate Transparency, des bases WHOIS et des services commerciaux de surveillance de domaines. Surveillez les variantes de combosquatting combinant le nom de votre organisation avec des mots courants comme secure, login, portal, verify et account.
  • Mettez en place des protections au niveau des endpoints qui stoppent les conséquences post-clic. La plateforme Singularity de SentinelOne offre des capacités de réponse autonome qui isolent les endpoints lors de comportements suspects, stoppant l'exécution de malware et les tentatives de vol d'identifiants consécutives à une compromission par typosquatting.
  • Formez les utilisateurs à des techniques de vérification spécifiques. Formez les utilisateurs à examiner manuellement les URL caractère par caractère avant de saisir des identifiants. Insistez sur l'utilisation des favoris pour les sites fréquemment consultés plutôt que la saisie manuelle d'URL.

Même avec ces contrôles en place, certaines attaques de typosquatting atteindront vos utilisateurs. Lorsque la prévention échoue, vous avez besoin d'une protection au niveau du poste de travail qui stoppe les conséquences.

Stoppez les attaques de typosquatting avec SentinelOne

La plateforme Singularity de SentinelOne offre une protection au niveau des endpoints contre les activités malveillantes qui suivent lorsque des utilisateurs atteignent des domaines typosquattés, en complément des défenses basées sur les domaines qui empêchent la navigation initiale vers des sites malveillants.

Lorsque des charges malveillantes sont déployées sur vos endpoints après des tentatives de collecte d'identifiants, Singularity Endpoint fournit une IA comportementale qui détecte le vol d'identifiants en temps réel. Vous bénéficiez de 88 % de bruit en moins que les solutions concurrentes selon les évaluations MITRE ATT&CK indépendantes, permettant à votre SOC de se concentrer sur les vraies menaces plutôt que d'enquêter sur de faux positifs.

  • Accélérez la réponse aux incidents de typosquatting avec Purple AI. Selon les recherches SentinelOne, Purple AI accélère significativement l'identification et la remédiation des menaces. Lorsque vous découvrez que des utilisateurs ont navigué vers des domaines typosquattés, Purple AI interroge vos données endpoint en langage naturel, identifiant instantanément quels systèmes ont accédé au domaine et si des comportements suspects ont suivi. Votre workflow d'investigation passe de plusieurs heures à quelques minutes. Au lieu de corréler manuellement les journaux DNS, les données de proxy web et la télémétrie endpoint sur plusieurs plateformes, vous demandez à Purple AI : "Quels endpoints ont résolu typosquatted-domain.com au cours des 7 derniers jours et quels processus ont été exécutés ensuite ?" Purple AI retourne des chronologies forensiques complètes montrant exactement ce qui s'est produit sur les systèmes concernés.
  • Bénéficiez d'une visibilité complète sur la chaîne d'attaque avec la technologie Storyline lorsque le typosquatting sert de point d'entrée initial à la compromission. Storyline capture chaque création de processus, connexion réseau, modification de fichier et changement de registre qui s'ensuit. Vous visualisez toute la progression de l'attaque, de la navigation initiale dans le navigateur à la collecte d'identifiants, les tentatives de mouvement latéral et l'exfiltration de données, dans une chronologie unifiée.

Demandez une démo de SentinelOne pour renforcer la protection des endpoints contre les attaques de typosquatting. Singularity Endpoint bloque l'exécution de malware, détecte les tentatives de vol d'identifiants en temps réel avec 88 % de bruit en moins que les solutions concurrentes, et stoppe la progression des attaques grâce à la surveillance comportementale par IA.

Cybersécurité alimentée par l'IA

Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.

Obtenir une démonstration

Points clés à retenir

Le typosquatting exploite les erreurs de frappe humaines prévisibles, générant 298 878 plaintes auprès du FBI en 2023 et permettant des attaques allant du vol d'identifiants à la distribution de ransomware. L'attaque réussit car les domaines nouvellement enregistrés n'ont aucun historique de réputation malveillante, leur permettant de contourner les contrôles de sécurité traditionnels jusqu'à ce qu'ils soient observés lors d'attaques actives.

Une défense efficace nécessite des contrôles en couches : enregistrement défensif de domaines, authentification des e-mails (DMARC/SPF/DKIM), sécurité DNS, surveillance continue et protection des endpoints. Lorsque les attaques de typosquatting parviennent à compromettre des utilisateurs, la plateforme Singularity de SentinelOne fournit une IA comportementale qui détecte le vol d'identifiants et l'exécution de malware avec 88 % de bruit en moins que les solutions concurrentes, permettant une réponse rapide aux activités malveillantes consécutives à une compromission basée sur le domaine.

FAQ

Le typosquatting est une cyberattaque basée sur les domaines où des acteurs malveillants enregistrent des noms de domaine qui ressemblent fortement à des sites web légitimes en exploitant des erreurs de frappe courantes. 

Les attaquants créent des domaines avec des omissions de caractères (gogle.com), des inversions (googel.com), des erreurs de touches adjacentes (googlr.com) ou des caractères visuellement similaires provenant d'autres alphabets. Lorsque les utilisateurs naviguent accidentellement vers ces domaines, ils sont confrontés à des pages de collecte d'identifiants, à la distribution de logiciels malveillants ou à du contenu frauduleux conçu pour voler des informations sensibles.

Le typosquatting exploite les erreurs de frappe pour rediriger les utilisateurs vers des domaines contrôlés par des attaquants, tandis que le phishing utilise des scénarios d'ingénierie sociale pour inciter les utilisateurs à cliquer sur des liens malveillants. Le typosquatting ne nécessite aucun message élaboré ; les attaquants enregistrent simplement des domaines ressemblants et attendent le trafic mal orienté de manière organique. 

Les deux attaques fonctionnent souvent ensemble, les domaines typosquattés servant de pages d'atterrissage pour les campagnes de phishing.

Non. Les attaquants obtiennent des certificats SSL valides pour des domaines typosquattés auprès d'autorités de certification légitimes, affichant des icônes de cadenas de confiance dans les navigateurs. 

Les autorités de certification vérifient uniquement que le demandeur contrôle le domaine, pas sa légitimité. HTTPS confirme le chiffrement et le contrôle du domaine, mais pas que vous avez atteint l'organisation souhaitée.

Selon le Département américain de la Santé et des Services sociaux, la santé et la finance figurent parmi les secteurs les plus ciblés par les attaques d'ingénierie sociale, y compris le typosquatting. 

Les plateformes SaaS et webmail représentent le secteur le plus fréquemment ciblé en volume. Les services financiers sont particulièrement exposés aux attaques homographes IDN visant les identifiants bancaires.

L'enregistrement défensif réduit le risque mais ne peut pas l'éliminer totalement. Un seul domaine génère des centaines de variantes possibles via des substitutions de caractères, des alternatives de TLD et des combinaisons de combosquatting. 

Concentrez l'enregistrement défensif sur les variantes les plus probables : omissions d'un caractère, transpositions courantes et alternatives critiques de TLD. Combinez avec le filtrage DNS, l'authentification des e-mails et la protection des endpoints pour une défense en profondeur.

Les organisations doivent réagir immédiatement dès l'identification. Les domaines typosquattés sont exploités dans les heures suivant leur enregistrement. Lorsque les systèmes de surveillance identifient de nouveaux domaines enregistrés correspondant à vos schémas de nommage, analysez-les rapidement pour un usage malveillant. 

Si l'usage malveillant est confirmé, appliquez simultanément des blocages DNS, des filtres proxy web et des règles de passerelle de messagerie tout en déposant des demandes de retrait auprès des hébergeurs et registraires.

En savoir plus sur Cybersécurité

HUMINT en cybersécurité pour les responsables de la sécurité des entreprisesCybersécurité

HUMINT en cybersécurité pour les responsables de la sécurité des entreprises

Les attaques HUMINT manipulent les employés pour obtenir un accès au réseau, contournant totalement les contrôles techniques. Apprenez à vous défendre contre l’ingénierie sociale et les menaces internes.

En savoir plus
Qu'est-ce qu'un programme de gestion des risques fournisseurs ?Cybersécurité

Qu'est-ce qu'un programme de gestion des risques fournisseurs ?

Un programme de gestion des risques fournisseurs évalue les risques liés aux fournisseurs tiers tout au long du cycle de vie de l'entreprise. Découvrez les composants VRM, la surveillance continue et les bonnes pratiques.

En savoir plus
SOC 1 vs SOC 2 : différences entre les cadres de conformité expliquéesCybersécurité

SOC 1 vs SOC 2 : différences entre les cadres de conformité expliquées

SOC 1 évalue les contrôles liés à la production de rapports financiers ; SOC 2 évalue la sécurité et la protection des données. Découvrez quand demander chaque type de rapport et comment évaluer la conformité des fournisseurs.

En savoir plus
Cybersécurité pour l’industrie manufacturière : risques, bonnes pratiques et cadres de référenceCybersécurité

Cybersécurité pour l’industrie manufacturière : risques, bonnes pratiques et cadres de référence

Découvrez le rôle essentiel de la cybersécurité dans l’industrie manufacturière. Ce guide présente les principaux risques, cadres de protection et bonnes pratiques pour aider les fabricants à sécuriser les systèmes IT et OT, prévenir les interruptions et protéger la propriété intellectuelle dans des environnements industriels connectés.

En savoir plus
Experience the Most Advanced Cybersecurity Platform​ - Resource Center

Découvrez la plateforme de cybersécurité la plus avancée

Découvrez comment la plateforme de cybersécurité autonome la plus intelligente au monde peut protéger votre organisation aujourd'hui et à l'avenir.

Commencez dès aujourd'hui
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français