Air France, Ikea, E. Leclerc, Nike… en ont fait les frais ces derniers mois. L’homoglyphie, nouvelle déclinaison du typosquatting, est à la mode chez les fraudeurs. De quoi s’agit-il ?
Billets d’avion gratuits pour les 85 ans d’Air France, bons d’achat pour les 75 ans d’Ikea ou les 70 ans de Leclerc, chaussures gratuites chez Nike… Depuis des mois, ces fausses promesses, mais vraies arnaques, se multiplient. Elles sont diffusées et relayées par mail, par SMS, via Facebook, WhatsApp ou autre réseau et sont devenues un véritable fléau pour les titulaires de marques en nuisant à leur image et à leur réputation.
En effet, une nouvelle forme de typosquatting sévit. Il suffit d’enregistrer un nom de domaine en remplaçant un ou plusieurs caractères de la marque attaquée par d’autres caractères quasi semblables. On appelle « homoglyphes » les caractères utilisés à cette fin. Il est facile de les trouver dans les alphabets tels que le cyrillique ou le grec par exemple, mais aussi dans l’alphabet latin. Et lorsque l’on substitue une lettre à une autre dans une adresse email contenue dans le corps d’un message, le consommateur ne le voit généralement pas.
Ainsi une seule lettre distingue www.airfrance.com de www.airfrḁnce.com. Si vous observez bien le deuxième nom, vous remarquerez que sous le « a » de « france », un rond souscrit* fait la différence. Il est quasiment indétectable : « ḁ ».
« www.ikea.com » écrit en caractères cyrilliques devient « www.ıĸea.com ».En lisant rapidement le message, on est facilement trompé… Et si le message provient d’un proche, on ne se méfie guère. Ces attaques sont redoutables : pour les marques, parce qu’elles dégradent leur image, mais aussi pour les consommateurs abusés dont les données personnelles et coordonnées bancaires sont, par ce biais, récupérées. Afin de les combattre et les déjouer, il faut savoir ce qui les rend possibles.
DU TYPOSQUATTING A L’HOMOGLYPHIE : COMMENT TOUT A COMMENCÉ ?
Depuis sa création dans les années 80, le système des noms de domaine permettait l’enregistrement de noms écrits dans les seuls caractères latins non accentués, soit les lettres de «a» à «z», plus les chiffres de 0 à 9 et le tiret «-». Pendant cette période, les fraudeurs ont largement utilisé le typosquatting, pratique consistant à déposer des noms ressemblant à des noms existants en y incorporant une faute volontaire (double voyelle ou consonne, remplacement d’une lettre par une autre, etc.). Pour protéger leurs noms, les titulaires de marques enregistraient alors un maximum de noms dans différentes extensions et les orthographiaient en tenant compte eux-mêmes des fautes possibles.
En février 2003, le nouveau protocole IDNA (Internationalized Domain Names in Applications) permettant l’usage de caractères non définis par le standard ASCII apparaît. Celui-ci autorise l’enregistrement de noms de domaine contenant les caractères accentués comme le « à » ou le « é », ou d’autres caractères n’appartenant pas à l’alphabet latin. Techniquement, ces noms de domaine internationalisés, dits IDNs, sont convertis au format Punycode (reconnaissable par l’utilisation de son préfixe « xn »), afin d’être identifiés et compris par les machines. Ainsi, pour utiliser le nom www.académie-française.fr, on a déposé le nom traduit en punycode www.xn--acadmie-franaise-npb1a.fr. L’enregistrement des noms de domaine dans d’autres alphabets, tels le cyrillique, le scandinave… et de nouvelles graphies, dont les caractères accentués espagnols, français, etc., et les idéogrammes, devient alors possible, et donne un nouvel essor à Internet. Cependant, cette internationalisation et l’arrivée des nouvelles extensions offrent aux fraudeurs la possibilité de déployer leur imagination. L’homoglyphie, nouvelle forme de typosquatting, est née. Les mails et les réseaux sociaux sont leurs principaux vecteurs. Comment y échapper ?
LES ALPHABETS ET EXTENSIONS À RISQUE
Nous conviendrons ici qu’il serait aujourd’hui difficile, long et coûteux d’enregistrer toutes les variantes possibles d’un nom de domaine. De même, il serait beaucoup trop long et fastidieux de détailler ici les procédures techniques utilisées pour gérer les noms de domaine, incluant les noms de domaine internationalisés ou IDNs. Toutefois, il importe de savoir que :
- certains alphabets présentent davantage de risques que d’autres : parmi eux, le cyrillique, le grec mais aussi le latin étendu, comme on l’a vu dans le cas d’Air France et de son « ḁ » au rond souscrit* ;
- selon les pays et les langues dans lesquels on souhaite communiquer, les règles édictées par chaque registre, pour la ou les extension(s) dont il a la charge, varient et s’avèrent plus ou moins contraignantes. Par exemple :
– l’Afnic, le registre du .FR, a ouvert les IDNs à tous le 3 juillet 2012. Depuis, seuls 67 caractères sont autorisés dans la composition de noms de domaine .FR : a, à, á, â, ã, ä, å, æ, b, c, ç, d, e, è, é, ê, ë, f, g, h, i, ì, í, î, ï, j, k, l, m, n, ñ, o, ò, ó, ô, õ, ö, œ, p, q, r, s, t, u, ù, ú, û, ü, v, w, x, y, ý, ÿ, z, ß, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, et le «-».
– EURid, le registre du .EU enregistre les noms de domaine internationalisés dans les alphabets cyrillique, grec ou latin à condition, entre autres, que tous les caractères utilisés proviennent du même alphabet.
– Verisign, en revanche, n’impose aucune restriction au niveau de l’enregistrement des noms de domaine .COM. Seuls les deux caractères suivants sont pour l’instant interdits dans la composition des IDNs en .COM, à savoir le « ß » (double ss) issu de l’alphabet latin étendu et le « ς » (sigma), 18e lettre de l’alphabet grec utilisée en fin de mot.
NOTRE CONSEIL D’EXPERT
Définir un périmètre de sécurité autour de sa marque ou de ses noms stratégiques est aujourd’hui essentiel. Pour cela :
- Enregistrez les évidences, c’est-à-dire les graphies ou alphabets proches de ceux des noms stratégiques dans les extensions où vous souhaitez communiquer ;
- Organisez la surveillance systématique de vos noms stratégiques à protéger ;
- Rapprochez-vous de votre conseiller EBRAN France qui sera à même d’optimiser la sécurité de votre entreprise sur Internet face aux différentes formes de typosquatting.
Vous l’aurez remarqué, la question est complexe, car il est nécessaire notamment :
- d’identifier chaque lettre substituable appartenant aux noms de domaine stratégiques utilisés pour communiquer (nom du site de l’entreprise, nom du président, nom utilisé dans les adresses email, etc.) ;
- de vérifier les règles d’enregistrement de chaque extension choisie.
Enfin, nous vous recommandons de ne jamais ouvrir les liens et les pièces jointes contenus dans les mails dont la provenance est douteuse.
*Le rond souscrit est un signe diacritique de l’alphabet latin, utilisé en phonétique, comme le sont également les accents, le tréma et la cédille.
Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND France, le 24 octobre 2018.