Qu'est-ce que l'usurpation de domaine ? | Usurpation de sites web et d'adresses e-mails

L'usurpation de domaine consiste à imiter le nom d'un site web ou d'une adresse e-mail afin que des sites web et des e-mails non sécurisés ou malveillants semblent être sûrs.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre ce qu'est un domaine
  • En savoir plus sur l'usurpation de site web
  • En savoir plus sur l'usurpation d'adresse e-mail
  • Examiner des solutions permettant de se protéger contre l'usurpation de domaines

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Renforcez la sécurité et la confiance en utilisant l'offre gratuite SSL / TLS de Cloudflare

Qu'est-ce que l'usurpation de domaine ?

L'usurpation de domaine consiste pour les cybercriminels à imiter le nom d'un site web ou d'un domaine de messagerie afin de tromper les utilisateurs. Le but de l'usurpation de domaine est de tromper un utilisateur pour qu'il interagisse avec un e-mail malveillant ou un site de hameçonnage comme s'il était légitime. L'usurpation de domaine est comparable à un escroc qui montre à une personne de fausses références pour gagner sa confiance et ensuite en tirer profit.

L'usurpation de domaine intervient souvent dans les attaques de hameçonnage. L'objectif d'une attaque de hameçonnage est de subtiliser des informations personnelles, telles que les identifiants de connexion à un compte ou les coordonnées d'une carte bancaire, afin d'inciter la victime à envoyer de l'argent au pirate ou d'inciter un utilisateur à télécharger des logiciels malveillants. L'usurpation de domaine peut également permettre de commettre des fraudes à la publicité en incitant les annonceurs à payer pour des publicités diffusées sur des sites Web autres que ceux pour lesquels ils croient payer.

L'usurpation de domaine se distingue de l'usurpation de DNS ou de l'empoisonnement du cache DNS, ainsi que du détournement de BGP. Il existe encore d'autres manières de diriger un utilisateur vers un site web malveillant, qui vont au-delà de la simple imitation d'un nom.

Qu'est-ce qu'un domaine ?

Un domaine, ou plus exactement un nom de domaine, est le nom complet d'un site web. « cloudflare.com » est par exemple un nom de domaine. Pour les entreprises et les organisations, le nom de domaine apparaît dans les adresses e-mail des employés après le symbole « @ ». Un compte de messagerie électronique personnel peut utiliser le nom de domaine « gmail.com ». ou encore « yahoo.com », mais une adresse e-mail d'entreprise utilisera généralement le nom du site web de celle-ci. (Pour en savoir plus sur les domaines, voir Qu'est-ce que le DNS ?)

Quels sont les principaux types d'usurpation de nom de domaine

Usurpation de site web/d'URL

L'usurpation de site web consiste pour un pirate à créer un site web dont l'URL ressemble beaucoup à celle d'un site légitime qu'un utilisateur connaît et en qui il a confiance, ou qui en est la copie. En plus de l'usurpation de l'URL, le pirate peut copier le contenu et le style d'un site web, notamment avec ses images et son texte.

Pour imiter une URL, les pirates peuvent utiliser des caractères d'autres langues ou des caractères Unicode qui ressemblent presque exactement aux caractères ASCII originaux. (C'est ce que l'on appelle une attaque homographe.) Des URL usurpées moins bien imitées peuvent se voir ajouter ou remplacer des caractères habituels dans l'espoir que les utilisateurs ne s'en aperçoivent pas.

Exemple d'usurpation de domaine

Ces faux sites web sont généralement utilisés dans le cadre d'activités criminelles telles que le hameçonnage. Une fausse page de connexion avec une URL apparemment légitime peut amener un utilisateur à communiquer ses identifiants de connexion. Les faux sites web peuvent également être utilisés pour faire des canulars ou des plaisanteries.

Usurpation d'adresse e-mail

L'usurpation d'adresse e-mail consiste pour un pirate à utiliser une fausse adresse e-mail associée au nom de domaine d'un site web légitime. Cela est rendu possible par le fait que la vérification du nom de domaine n'est pas intégrée au protocole SMTP (Simple Mail Transfer Protocol), sur lequel repose le système de messagerie électronique. Les protocoles de sécurité développés plus récemment pour le courrier électronique, tels que DMARC et DKIM, offrent une vérification plus poussée.

Les attaquants utilisent souvent l'usurpation d'adresse électronique dans le cadre d'attaques d'hameçonnage. Un attaquant usurpera un nom de domaine pour convaincre les utilisateurs que l'adresse e-mail utilisée pour l'hameçonnage est légitime. Un e-mail qui semble provenir d'un membre d'une entreprise est plus convaincant à première vue qu'un e-mail provenant d'un domaine hasardeux.

L'objectif d'une attaque par hameçonnage peut être de pousser les utilisateurs à consulter un certain site web, à télécharger des logiciels malveillants, à ouvrir une pièce jointe malveillantel, à communiquer des informations de connexion à un compte ou à transférer de l'argent vers un compte détenu par le pirate.

L'usurpation d'adresse e-mail va souvent de pair avec l'usurpation de site web, car l'e-mail peut renvoyer vers un site web frauduleux où les utilisateurs devront saisir leur nom d'utilisateur et leur mot de passe pour le compte concerné.

Usurpation de domaine dans la publicité

Les auteurs de fraudes à la publicité falsifient le nom de leurs sites web pour masquer la source réelle de leur trafic et proposent leurs domaines usurpés aux annonceurs. Les publicités se retrouvent alors sur un site web frauduleux au lieu du site souhaité par les annonceurs.

Comment les utilisateurs peuvent-ils se protéger contre l'usurpation de domaine ?

Bien regarder la source. Le lien provient-il d'un e-mail ? Cet e-mail était-il attendu ? Les sollicitations et les mises en garde inattendues proviennent souvent de fraudeurs.

Examinez de près l'URL. Voyez-vous des caractères supplémentaires qui n'ont rien à faire là ? Essayez de copier et coller l'URL dans un nouvel onglet : son apparence est-elle toujours la même ? (Cela permet de détecter les attaques homographes.)

Vérifier la présence d'un certificat SSL. Un certificat SSL est un fichier texte qui identifie un site web et permet de chiffrer le trafic à destination et en provenance du site. Les certificats SSL sont généralement délivrés par une autorité de certification externe, et avant d'en délivrer un, celle-ci vérifie que le demandeur du certificat est bien le propriétaire du nom de domaine (bien que cette vérification soit parfois assez sommaire). De nos jours, la plupart des sites web légitimes disposent d'un certificat SSL.

Examinez le certificat SSL s'il existe. Le domaine indiqué sur le certificat SSL est-il le nom attendu ? (Pour voir le certificat SSL dans Chrome, cliquez sur le cadenas dans la barre d'adresse, puis sur « Certificat. ») Un site web usurpé peut disposer d'un véritable certificat SSL, mais pour le nom de domaine usurpé, et non pour le nom de domaine réel.

Ajoutez les sites web les plus importants à vos favoris. Enregistrez chaque site web légitime dans vos favoris. Cliquez sur votre favori au lieu de suivre un lien ou de saisir l'URL, ce qui garantit que la bonne URL se charge à chaque fois. Par exemple, au lieu de taper « mabanque.com » ou de rechercher le site web de votre banque sur Google, enregistrez le site dans vos favoris.

Comment les entreprises peuvent-elles empêcher l'usurpation de leurs noms de domaine ?

Un certificat SSL peut rendre plus difficile l'usurpation d'un site web pour des pirates, car ils devront alors enregistrer un certificat SSL usurpé en plus d'enregistrer du domaine usurpé. (Cloudflare fournit des certificats SSL gratuits.)

Malheureusement, aucun moyen ne permet d'empêcher l'usurpation de domaine dans les e-mails. Les entreprises peuvent ajouter des mécanismes de vérification supplémentaires aux e-mails qu'elles envoient via les protocoles DMARC, DKIM et autres, mais des tiers peuvent toujours envoyer de faux e-mails en utilisant leur domaine sans recourir à ces mécanismes.