Mauvaise surprise pour la banque en ligne Manager.One : en février 2023, un escroc a acheté plusieurs noms de domaines proches de celui de la start-up et a reproduit son site presque à l’identique. Sauf que les clients qui se risquaient à y entrer leurs coordonnées se voyaient délestés de plusieurs dizaines de milliers d’euros. Pour donner toutes les chances à son arnaque de fonctionner, l’escroc a acheté le nom de la marque comme mot-clé sur Google Adwords, permettant à ses sites frauduleux d’apparaître en tête des recherches sur le nom de l’entreprise…
Comme la banque en ligne, de nombreuses entreprises sont victimes chaque jour de typosquattage, en général pour du phishing, pas toujours très au point mais pourtant efficace. « On en détecte de plus en plus lors de notre monitoring d’entreprises. Les résultats sont en nette augmentation », atteste Laurent Sarralangue, directeur du renseignement du cabinet de renseignement d’affaires et de cybersécurité Semkel. Certaines périodes sont plus propices que d’autres à ces arnaques : en fin d’année dernière, ce sont les plateformes de livraison qui ont été plus spécifiquement ciblées… Quelques mesures élémentaires permettent cependant de se protéger.
Déposer sa marque
Cela peut paraître élémentaire mais la propriété intellectuelle ne va pas d’elle-même ! Pour pouvoir utiliser sans danger sa marque, il faut la déposer auprès des organismes responsables – en France, auprès de l’Institut national de la propriété intellectuelle (Inpi). C’est aussi une étape nécessaire pour sécuriser l’utilisation de la marque en ligne : être titulaire d’une marque permet d’attester de sa légitimité à obtenir un nom de domaine ou un Adword afférent et de faire passer ainsi ceux qui utilisent la marque sans cette même légitimité dans le domaine de la contrefaçon.
Déposer plusieurs noms de domaines
Bien sûr, il faut également déposer le nom de domaine afférent à la marque. Mais pas seulement ! « Réserver des domaines proches – comme les déclinaisons en .fr ou .eu, par exemple – ne coûte pas bien cher et permet d’étendre sa protection, même si l’entreprise ne les utilise pas », assure ainsi Laurent Sarralangue.
Acheter sa marque comme mot-clé sur Google Adwords
Cela peut paraître farfelu : pourquoi payer pour que sa marque figure en haut des résultats d’une recherche sur Google si son site apparaît déjà naturellement en première position ? « C’est courant de protéger sa marque en l’achetant, balaye Etienne Alcouffe, fondateur de l’agence de marketing numérique Junto. Cela permet de se défendre contre un éventuel squattage du mot-clé à un coût avantageux. » En effet, pour les activités hors revente, Google offre la possibilité aux entreprises qui déclarent posséder la marque de « bloquer son utilisation » par un tiers et donc d’acheter le mot-clé pour un coût par clic très bas puisqu’il n’est plus concurrentiel. « Les escrocs devront alors acheter un mot-clé générique, bien plus cher. » Ce qui devrait calmer certaines ardeurs.
Bonus : en plus de jouer comme une protection, l’achat de sa propre marque en tant que mot-clé constitue un accélérateur business. « Seulement 30 à 50% des gens cliquent sur le premier lien naturel, s’il n’y a pas de publicité, explique Etienne Alcouffe. Avec une annonce, l’entreprise gagne 30 à 40% de clics. »
Mettre en place une veille efficace
Non, vous ne pourrez pas déposer toutes les déclinaisons de votre marque ou des noms de domaines qui s’y rapportent. « Il existe trop de possibilités de détourner une marque pour pouvoir tout acheter », confirme Laurent Sarralangue. Car le propre du typosquattage est de repérer des noms de domaines suffisamment proches pour paraître légitimes sans pour autant être identiques au véritable nom de domaine de la marque. Par exemple en utilisant un homoglyphe : en remplaçant un caractère du nom de la marque par un autre qui lui ressemble visuellement (un 1 pour i ou un l, un 0 à la place d’un o…) ; ou en déclinant la marque avec un sous-domaine vraisemblable : -recrutement ou -services.
La seule solution ? Veiller au grain, partout, tout le temps. D’abord, une recherche classique en ligne via les moteurs de recherche permet de repérer « des résultats suspects, comme des sites de contrefaçons qui utilisent la marque mais aussi de faux profils sur les réseaux sociaux où les activités des escrocs sont souvent mises en avant », souligne Laurent Sarralangue. Les outils d’analyse de trafic, qu’ils soient gratuits ou payants, peuvent aussi fournir des indications précieuses. « Si de nombreux visiteurs proviennent d’un site suspect, l’entreprise aura des raisons de croire que sa marque est utilisée frauduleusement », note l’expert. Des outils plus pointus permettent, eux, de « scanner les bases de noms de domaine ou de propriété intellectuelle mais aussi les forums ou les conversations pour détecter le dépôt de noms apparentés à la marque et de surveiller les noms proches. »
Enfin, il ne faut pas oublier « les rapports d’analyse d’enchères » sur les mots-clés des moteurs de recherche, comme Google Adwords. « Il existe des logiciels qui scannent les annonces pour savoir si quelqu’un se positionne sur la marque », note Etienne Alcouffe. Un investissement certain mais qui comporte un bénéfice non négligeable : celui d’être alerté rapidement. Car c’est bien là le nœud du problème. « Se rendre compte que le mot-clé a été utilisé à des fins frauduleuses peut prendre du temps, parce que l’escroc peut paramétrer l’annonce pour qu’elle ne soit pas visible en Île-de-France où se trouvent les équipes de la marque, par exemple. » Or, plus vite vous serez informé des intentions concurrentielles et a fortiori malveillantes d’un individu, plus vite pour pourrez y répondre.
