Typosquatting
Typosquatting - Une forme de cybersquatting subtile
|
||||
| |
Typosquatting
Exploitation extrêmement proche de la contrefaçon de marque. Consiste à enregistrer, non pas la marque elle-même mais toutes les variantes possibles pouvant provenir des fautes de frappe ou d'orthographe courrantes des noms des marques (inversion de caractères, redoublement de frappe, homophonie, homographie...). Le typosquatting s'attaque également aux raisons sociales, noms de personnes physiques (dont les célébrités) etc. ...
Exemples :
Quels intérêts ?
Il existe plusieurs raisons de pratiquer le typosquatting : l'argent et/ou la "mauvaise intention".
Le cas le plus "simple" est de faire , par exemple, un site marchand vendant la même chose que la FNAC et s'appelant fanc.com au lieu de fnac.com mais ce cas est plutôt rare et ne survivrait pas longtemps, le propriétaire de la marque ou de l'enseigne réagirait immédiatement et le litige serait vite réglé et imposé aux autorités d'enregistrement des noms de domaines (les "registrars") - le nom de domaine en typosquatting serait attribué au propriétaire du domaine typosquatté (nombreux cas jugés en ce sens).
Encore plus simple : un nom de domaine a été déposé en .fr mais pas en .com ! Il suffit de déposer ce nom en .com et il y a de fortes chances pour que plus de la moitié de son traffic, voire la totalité, soit détourné car le reflexe d'un internaute est de se souvenir de l'enseigne et d'y coller un .com au bout.
A grandes échelles, les typosquatters utilisent deux outils :
Le nom de domaine est mis sur une zone de "parking" d'où il redirrige vers des sites exclusivement faits de liens sponsorisés (des portails) choisis dans le domaine d'activité du site typosquatté. Il s'agit donc d'un détournement de clientèle et le visiteur aux doigts ou à l'orthographe malhabiles se voit proposer des liens vers les seuls sites pour lesquels l'auteur du "portail" dispose de liens publicitaires (il sera payé au clic - PPC - Pay Per Click) ou de liens d'affiliation (il sera payé au % de comission sur les ventes réalisées). L'auteur du portail reverse alors une partie de ses gains au propriétaire du nom litigieux (lorsque l'auteur du portail n'est pas le propriétaire du typo or ces gens là enregistrent des typos par dizaines de milliers et cela ne leur coûte rien car :
Par exemple, Keyword Marketing, Inc. en fait son métier et l'annonce fièrement sur la page d'accueil de son site :
Typos d'Assiste.com
Pour assiste.com, par exemple, plusieurs typos sont possibles dont plusieurs existent en cybersquatting (vérifié le 16 juin 2007) :
Ce sont les sites les plus visités (comme Google ou Yahoo!) qui sont la cible privilégiée, avec leurs dizaines de millions de connexions à l'heure ainsi que les marques dont la notoriété est la plus grande.
Essayez le Générateur de typo.
Que faire pour lutter contre le typosquatting ?
Commencer par enregistrer son nom de domaine dans tous les TLD (en .com, .net, .org, .biz, .info et .us au minimum).
Ensuite, imaginer les principaux type et les enregistrer également - utiliser le Générateur de typo en cas de manque d'imagination.
Si un nom proche du vôtre a été acheté, il y a deux cas de figure :
Soit le "régistrant" est de bonne foi et vous pouvez passer un accord amiable avec lui - il vous cède le nom de domaine ou, au pire, dans un accord de réciprocité, il vous fait suivre votre correspondance et vous en faites de même avec la sienne (ce qui implique que la correspondance a été lue) et vous mettez, tous les deux, un avertissement en page d'accueil de vos sites pour signaler le risque d'erreur et un lien envoyant vers "l'autre".
Soit le "registrant" est de mauvaise foi. Si seul le nom de domaine est enregistré mais ne pointe vers aucun site et les serveurs MX ne sont pas paramétrés pour capturer la correspondance, vous ne faites rien (ou vous achetez le nom de domaine s'il est "raisonable"). Si le nom de domaine pointe vers un site, vous portez plainte.
Des litiges aux procès
En d'octobre 2006, l'OMPI (Organisation Mondiale de la Propriété Intellectuelle), par son Centre d'arbitrage et de médiation, et uniquement dans le cadre de son règlement uniforme des litiges relatifs aux noms de domaine (les Principes UDRP) en était à son 25.000 ème litige tranché permettant à des marques de récupérer leurs noms de domaine (ce qui à poussé les cybersquatteurs vers le typosquatting).
Dans le cas de rueducommerce.com, le Tribunal de Grande Instance (TGI) de Paris à jugé, le 10 avril 2006, que "Rue du Commerce" et toutes ses déclinaisons constituaient une marque notoire et que l'usage des noms rueducommerc.com et rueducommrece.com constituaient un usage frauduleux d'une marque notoire. L'exploitant des noms de domaines litigieux a été condamné à 25.000 €, à titre provisionnel, de réparation du préjudice subi par Rue du commerce et au transfert des noms de domaine litigieux à la société Rueducommerce.com.
Dans les cas de disneyland.com et de teletubbies.com, les typo sur ces noms de domaine dirigeaient les visiteurs, des enfants généralement, vers des sites pornographiques.
Contre-mesures
La plupart des grandes marques se prémunissent désormais contre le typosquatting en enregistrant elles-mêmes les typos.
Truth in Domain Names Act (TDNA)
Au Etats-Unis d'Amérique, une loi règle ce problème :
Trente mois pour le spécialiste du typosquatting
John Zuccarini, typosquatteur, avait enregistré plus de trois milles noms de domaines en typo et il gagnait jusqu'à un million de dollars par an. Arrêté le 03 septembre 2003, jugé et condamné le 26 février 2004 à 30 mois de prison.
Exploitation extrêmement proche de la contrefaçon de marque. Consiste à enregistrer, non pas la marque elle-même mais toutes les variantes possibles pouvant provenir des fautes de frappe ou d'orthographe courrantes des noms des marques (inversion de caractères, redoublement de frappe, homophonie, homographie...). Le typosquatting s'attaque également aux raisons sociales, noms de personnes physiques (dont les célébrités) etc. ...
Exemples :
- google : gooogle, gogol, gogole, googel, gougle...
- rueducommerce.com : rueducommerc.com et rueducommrece.com.
- disneyland.com : dinseyland.com
- teletubbies.com : teltubbies.com
- microsoft : mcrosoft
Quels intérêts ?
Il existe plusieurs raisons de pratiquer le typosquatting : l'argent et/ou la "mauvaise intention".
- Capter le traffic d'un site officiel
Avec un nom de domaine très proche de celui d'une grande marque ou enseigne, le pirate peut compter sur un très grand nombre de fautes de frappe ou d'orthographe dans la zone d'adresse des navigateurs ou dans le champ de recherche des moteurs de recherches. Ceci permet de capter jusqu'à plusieurs milliers de connexions par jour et par site typosquatté. Que faire de ces visiteurs ainsi captés ?
- Afficher des publicités sur le site pirate et en tirer des revenus.
- Diriger le visiteur vers des sites concurents de la marque piratée, sites avec lesquels le pirate a passé des accords de type "affiliation" : le pirate sera rémunéré "au clic" vers le site concurent ou au pourcentage sur une vente éventuellement réalisée par le site concurent. Bien entendu, le concurent est suspect d'être lui-même l'auteur de/des sites de typosquatting.
- Afficher des publicités sur le site pirate et en tirer des revenus.
- Capter la correspondance vers un site officiel
Lorsque vous déposez un nom de domaine, (peu importe que celui-ci pointe ou non vers un site Internet), celui-ci est associé à différents services d'enregistrements dans les serveurs de noms de domaines (DNS) dont la gestion de la messagerie par les serveurs MX (Mail eXchange). En paramétrant un "catch all" (attraper tout), toutes les correspondances envoyées vers n'importequoi@domaine-de-typosquatting seront reroutées vers une adresse e-mail que l'on précise. Ainsi le pirate peut recevoir toute correspondance qu'un internaute enverait à une adresse e-mail quelconque sur le domaine typosquatté (avec un "catch all" il n'est pas nécessaire de connaître les adresses e-mail exactes sur le domaine typosquatté pour les reproduire sur le domaine de typosquatting).
Si, par exemple, chaque employé d'un société "Tartempion" ayant un site internet tartempion.com (avec un "e") a sa boite e-mail, ainsi que chaque service de cette société etc. ..., paramétrer un "catch all" sur le domaine de typosquatting tartampion.com (avec un "a") permet de récupérer automatiquement toutes la correspondance envoyée vers tartampion.com (avec un "a"), peu importe que la boîte e-mail de destination soit service_achat@tartampion.com ou pierre.durant@tartampion.com ou paul.dupont@tartampion.com ou jaques.martin@tartampion.com ou service_juridique@tartampion.com etc. ...
Ceci peut conduire à des révélations facheuses (correspondances avec une banque ou concernant des dossiers confidentiels, techniques ou commerciaux ou de santé etc. ...).
Le cas le plus "simple" est de faire , par exemple, un site marchand vendant la même chose que la FNAC et s'appelant fanc.com au lieu de fnac.com mais ce cas est plutôt rare et ne survivrait pas longtemps, le propriétaire de la marque ou de l'enseigne réagirait immédiatement et le litige serait vite réglé et imposé aux autorités d'enregistrement des noms de domaines (les "registrars") - le nom de domaine en typosquatting serait attribué au propriétaire du domaine typosquatté (nombreux cas jugés en ce sens).
Encore plus simple : un nom de domaine a été déposé en .fr mais pas en .com ! Il suffit de déposer ce nom en .com et il y a de fortes chances pour que plus de la moitié de son traffic, voire la totalité, soit détourné car le reflexe d'un internaute est de se souvenir de l'enseigne et d'y coller un .com au bout.
A grandes échelles, les typosquatters utilisent deux outils :
- Les statistiques fournies par Google ou Alexa et autres sociétés de surveillance du traffic de l'Internet pour identifier les sites à fort traffic. La capacité d'être un bon observateur du monde est également un atout pour utiliser les noms à fort traffic potentiel comme les noms de star montantes, les noms d'évènements etc. ...
- Utiliser un logiciel de génération automatique de typo ( Essayez le Générateur de typo) qui va proposer toutes les variantes plausibles d'un nom de domaines en imaginant toutes les fautes de frappe, d'orthographe, de disléxie et de phonétique. (Le logiciel peut être remplacé par une gomme et un crayon au service d'une bonne imagination)
Le nom de domaine est mis sur une zone de "parking" d'où il redirrige vers des sites exclusivement faits de liens sponsorisés (des portails) choisis dans le domaine d'activité du site typosquatté. Il s'agit donc d'un détournement de clientèle et le visiteur aux doigts ou à l'orthographe malhabiles se voit proposer des liens vers les seuls sites pour lesquels l'auteur du "portail" dispose de liens publicitaires (il sera payé au clic - PPC - Pay Per Click) ou de liens d'affiliation (il sera payé au % de comission sur les ventes réalisées). L'auteur du portail reverse alors une partie de ses gains au propriétaire du nom litigieux (lorsque l'auteur du portail n'est pas le propriétaire du typo or ces gens là enregistrent des typos par dizaines de milliers et cela ne leur coûte rien car :
- soit ils sont eux-même des "registrar" (c'est le plus souvent le cas)
- soit ils exploitent « l' Add Grace Period » autorisée par l'ICANN qui permet de "tester" un nom de domaine durant 5 jours puis de le supprimer et de se faire intégralement rembourser les frais d'enregistrement.
Par exemple, Keyword Marketing, Inc. en fait son métier et l'annonce fièrement sur la page d'accueil de son site :
Le cybersquatter visant à capturer des correspondances (e-mails) ne sera pas sensible au traffic, fort ou faible, de sa victime, mais uniquement au fait qur sa victime est interessante à espionner.
Keyword Marketing, Inc.
Keyword Marketing specializes in using 100% automated linguistic software to register "pre-owned" domain names that are deleted or not renewed by the original owner and have good keyword value.
Typos d'Assiste.comPour assiste.com, par exemple, plusieurs typos sont possibles dont plusieurs existent en cybersquatting (vérifié le 16 juin 2007) :
| Typosquatting d'Assiste.com |
Observation |
| ssiste.com | Libre |
| asiste.com | Parking : DsRedirection.com (1.462.905 domaines parqués) ! Musique ! Registrant : BLACK09 - Dogaegong Hwamyeong Green Apt - pusan, PUSAN 616-783 - KR |
| assste.com | Parking : Parked-Domains.net (8.476 domaines parqués) ! Argent ! Registrant : identité cachée |
| assite.com | Parking : eNom.com (3.101.904 domaines parqués) ! Registrant : Qianlin Co. Ltd. en Chine |
| assise.com | Parking : DsRedirection.com (1.462.905 domaines parqués) ! Voyages ! Registrant : SZK.com Via Trilussa 11 - Pineto, TE 64025 IT |
| assist.com | Un site d'argent dans le genre inutile (type portail attrape tout) |
| aassiste.com | Libre |
| asssiste.com | Libre |
| assiiste.com | Libre |
| assisste.com | Parking : DomainDeluxe.com (1.169.214 domaines parqués) ! Genre hésitant (ressources forums, informatique, médecins, Suicide, jeux...) Régistrant : Moniker Privacy Services - USA |
| assistte.com |
Libre |
| assistee.com |
Parking : eNom.com (3.101.904 domaines parqués) ! Pas de site le jour de la vérification Registrant : Rogerio Duarte au Brésil |
| sasiste.com |
Libre |
| asisste.com |
Libre |
| asssite.com |
Site porno ! Registrant : Atlas Multimedia, Inc. - USA |
| assitse.com |
Libre |
| assiset.com |
Parking : Keyword Marketing, Inc. (CapitolDomains LLC. 2.912.577 domaines parqués) Musique Registrant : Keyword Marketing, Inc. |
Ce sont les sites les plus visités (comme Google ou Yahoo!) qui sont la cible privilégiée, avec leurs dizaines de millions de connexions à l'heure ainsi que les marques dont la notoriété est la plus grande.
Essayez le Générateur de typo.
Que faire pour lutter contre le typosquatting ?
Commencer par enregistrer son nom de domaine dans tous les TLD (en .com, .net, .org, .biz, .info et .us au minimum).
Ensuite, imaginer les principaux type et les enregistrer également - utiliser le Générateur de typo en cas de manque d'imagination.
Si un nom proche du vôtre a été acheté, il y a deux cas de figure :
Soit le "régistrant" est de bonne foi et vous pouvez passer un accord amiable avec lui - il vous cède le nom de domaine ou, au pire, dans un accord de réciprocité, il vous fait suivre votre correspondance et vous en faites de même avec la sienne (ce qui implique que la correspondance a été lue) et vous mettez, tous les deux, un avertissement en page d'accueil de vos sites pour signaler le risque d'erreur et un lien envoyant vers "l'autre".
Soit le "registrant" est de mauvaise foi. Si seul le nom de domaine est enregistré mais ne pointe vers aucun site et les serveurs MX ne sont pas paramétrés pour capturer la correspondance, vous ne faites rien (ou vous achetez le nom de domaine s'il est "raisonable"). Si le nom de domaine pointe vers un site, vous portez plainte.
Des litiges aux procès
En d'octobre 2006, l'OMPI (Organisation Mondiale de la Propriété Intellectuelle), par son Centre d'arbitrage et de médiation, et uniquement dans le cadre de son règlement uniforme des litiges relatifs aux noms de domaine (les Principes UDRP) en était à son 25.000 ème litige tranché permettant à des marques de récupérer leurs noms de domaine (ce qui à poussé les cybersquatteurs vers le typosquatting).
Dans le cas de rueducommerce.com, le Tribunal de Grande Instance (TGI) de Paris à jugé, le 10 avril 2006, que "Rue du Commerce" et toutes ses déclinaisons constituaient une marque notoire et que l'usage des noms rueducommerc.com et rueducommrece.com constituaient un usage frauduleux d'une marque notoire. L'exploitant des noms de domaines litigieux a été condamné à 25.000 €, à titre provisionnel, de réparation du préjudice subi par Rue du commerce et au transfert des noms de domaine litigieux à la société Rueducommerce.com.
Dans les cas de disneyland.com et de teletubbies.com, les typo sur ces noms de domaine dirigeaient les visiteurs, des enfants généralement, vers des sites pornographiques.
Contre-mesures
La plupart des grandes marques se prémunissent désormais contre le typosquatting en enregistrant elles-mêmes les typos.
Truth in Domain Names Act (TDNA)
Au Etats-Unis d'Amérique, une loi règle ce problème :
Trente mois pour le spécialiste du typosquatting
John Zuccarini, typosquatteur, avait enregistré plus de trois milles noms de domaines en typo et il gagnait jusqu'à un million de dollars par an. Arrêté le 03 septembre 2003, jugé et condamné le 26 février 2004 à 30 mois de prison.
| Historique des révisions de ce document : |
|
03.06.2007
17.06.2007 Compléments 15.01.2008 Compléments |
Rédigé en écoutant :
Music
Music