Affût des bons plans, cadeaux last minute et promos à gogo : les fêtes de fin d’année sont une véritable manne financière pour les entreprises de e-commerce et de logistique. Problème : les pirates informatiques l’ont bien compris. Et pour obtenir leur part du gâteau, les hackers n’hésitent pas à user de subterfuges bien rodés pour copier les sites des entreprises concernées. Au programme : contrefaçon et « typosquattage », une technique qui vise à usurper les noms de domaines avec quelques subtilités.
Julien Métayer, expert en cybersécurité au sein de la société Opix, nous en dit plus sur le phénomène. Et en plus d’alerter les internautes sur le sujet, il met aussi en garde les entreprises : ne pas faire de prévention en amont, c’est risquer de perdre une partie de sa clientèle ! Interview.
Amazon, DHL, Chronopost, La Poste… Les distributeurs de colis voient leurs noms de domaines et sites copiés pendant les fêtes. Pourquoi ?
Julien Métayer : Il faut comprendre qu’une actualité chargée – Noël, la Saint-Valentin, les vacances d’été, mais aussi les déclarations d’impôts – crée toujours une nouvelle surface d’attaque, pour les entreprises ou pour leurs clients. En ce qui concerne les services de commande et de livraison de colis, on assiste en ce moment à un « typosquattage » massif, c’est-à-dire que les pirates déposent des noms de domaine similaires à ceux des entreprises concernées. L’objectif est ensuite de créer de faux sites très ressemblants, afin de récupérer les identifiants et mots de passe des clients.
Quelles sont les différentes techniques de typosquattage ?
J. M. : Il en existe plusieurs. Il peut s’agir de remplacer une lettre latine par une lettre cyrillique, ou de déposer un nom de domaine en « .com-quelque chose ». Dans ce cas, il est difficile, si l’on ouvre un lien sur mobile par exemple, de visualiser une URL en entier. Elle paraîtra donc légitime à l’utilisateur. Il existe d’autres techniques, qui reposent directement sur les biais – ou les forces, tout dépend de la façon dont on voit les choses – du cerveau humain. Un chercheur de Cambridge expliquait que nous étions près de 90% à être capables de reconnaître un mot si les lettres qui le composent sont dans le désordre. Une simple inversion entre deux caractères ne perturbera pas la lecture du nom de domaine, et permettra aux hackers de piéger les internautes.
Les entreprises ont-elles le devoir d’être vigilantes sur le sujet ?
J. M. : D’un point de vue juridique, elles ne risquent rien dans la majorité des cas. Il n’existe aucune obligation de protéger ses clients d’un phishing orchestré par des usurpateurs d’identité. En revanche, si le phishing est adossé à une fuite de données, les entreprises qui en sont à l’origine ont une responsabilité. Elles doivent informer en amont leurs clients. Si ce n’est pas fait, elles peuvent être condamnées.
N’y a-t-il pas un devoir « moral » de faire de la prévention lors de ces périodes particulières ?
J. M. : On voit effectivement de plus en plus d’entreprises prendre les devants. C’est lié au perfectionnement des techniques de phishing. Les organisations les plus concernées communiquent par e-mail auprès de leurs clients pour leur demander de faire preuve de vigilance. C’est mieux pour leur réputation : on ne peut pas leur reprocher leur inaction si elles agissent en amont. Il y a un côté « dédouanement ». Sans oublier que c’est toujours bon d’un point de vue purement commercial : un client qui se fait avoir est potentiellement un client perdu. C’est leur image qui est en jeu. En revanche, il est illégal de faire du phishing pédagogique auprès de ses clients.
Les organisations ont-elles des moyens de se prémunir de ce type d’usurpation ?
J. M. : Il est assez illusoire de penser qu’elles ont le temps – et les ressources humaines ou financières – pour le faire. De manière générale, une société va déposer plusieurs noms de domaine. Un .fr, un .com, éventuellement un .net… Mais cela ne va pas plus loin. Ça coûterait une fortune ! La responsabilité ne repose pas sur les épaules de l’entreprise. En revanche, l’Afnic (Association française pour le nommage Internet en coopération) aurait le pouvoir de le faire, mais ne le souhaite pas. Il y a quelques années, pour déposer un nom de domaine, l’Afnic demandait un Kbis ou un justificatif d’appartenance à l’entreprise. Les équipes ont arrêté de le faire : c’est un vrai désengagement.
Que doit faire une organisation si elle se rend compte qu’elle est victime de typosquattage ?
J. M. : Il est possible de mener une action en justice pour contrefaçon de propriété intellectuelle. En général, les pirates vont copier son logo ou sa homepage. L’autre chose à faire, c’est de contacter un service d’alerte de typosquattage. Celui-ci fera remonter l’information au niveau des navigateurs qui pourront, quelques jours plus tard, alerter les internautes qui tenteraient de s’y connecter. Mais en général, « plus tard », c’est « trop tard » et les dégâts sont déjà là.
Biographie
Julien Métayer est originaire de Lyon en France, et exerce le métier de consultant expert en cybersécurité offensive au sein de la société Opix. Il est également hacker éthique et Redteamer. Il anime également la communauté Ozint qui propose un service et une plateforme de démocratisation, formation et de pratique de l’OSINT.
