Comment repérer un domaine de phishing : signes et méthodes
Les domaines de phishing imitent des URLs légitimes pour tromper les utilisateurs. Apprenez à lire une URL suspecte et à protéger votre marque.
Un domaine de phishing imite l'apparence visuelle d'une URL légitime pour faire croire à l'utilisateur qu'il se trouve sur un site de confiance. Les signes à surveiller : de légères modifications dans l'URL (une lettre transposée, un TLD différent, une structure de sous-domaine trompeuse), la présence du HTTPS qui ne prouve rien sur la légitimité, et l'apparition de mots rassurants comme "secure" ou "officiel" dans le domaine lui-même. Cet article explique comment les attaquants construisent ces domaines, comment lire une URL suspecte, et ce que les marques peuvent faire quand quelqu'un les imite.
Comment les attaquants construisent un domaine de phishing
Quatre techniques principales permettent de créer des domaines qui trompent au premier coup d'oeil.
Typosquatting de phishing
Contrairement au typosquatting commercial (qui vise à capter du trafic), le typosquatting de phishing est conçu pour faire croire aux utilisateurs que l'URL est légitime après qu'ils ont cliqué sur un lien dans un e-mail ou un message. Patterns courants : microsofft.com (lettre doublée), arnazon.com (substitution de lettre), payapl.com (lettres transposées).
Les cibles sont prévisibles : banques, plateformes cloud, processeurs de paiement, réseaux sociaux. Selon l'Anti-Phishing Working Group (APWG), les institutions financières et les services de paiement figurent régulièrement parmi les catégories les plus imitées. Microsoft, Apple, PayPal, Ameli, La Banque Postale, et le Crédit Agricole sont des cibles récurrentes dans les rapports de phishing visant les utilisateurs francophones.
Homoglyphes et attaques IDN
Les noms de domaine internationalisés (IDN) permettent des caractères non-ASCII, ce qui ouvre la porte à l'imitation visuelle via des caractères d'autres alphabets. Le "а" cyrillique (U+0430) est visuellement identique au "a" latin dans pratiquement toutes les polices. Le "р" cyrillique est identique au "p" latin. Ainsi, "раypal.com" (le р et le а sont cyrilliques) peut être enregistré et affiché comme "paypal.com" aux yeux d'un observateur distrait.
La plupart des navigateurs modernes affichent désormais la représentation Punycode (xn--...) quand un domaine mélange des scripts différents. Mais les substitutions monoscript, où l'attaquant utilise un caractère cyrillique correspondant visuellement au caractère latin, peuvent encore passer l'inspection visuelle. Si une URL vous semble exactement juste mais qu'un doute subsiste, copiez le domaine dans un convertisseur Punycode pour vérifier.
Sous-domaines trompeurs
Cette technique est parmi les plus efficaces car elle exploite la lecture de gauche à droite et le fait que les utilisateurs s'arrêtent au premier mot de confiance. La structure :
https://ameli.fr.connexion-secure.xyz/espace-perso/verifier
|_______|____________________|_____|
Sous-domaine Domaine réel TLD
trompeur (attaquant)
Le vrai domaine ici est connexion-secure.xyz. ameli.fr n'est qu'un sous-domaine. La règle à intérioriser : dans toute URL, ce qui compte est le domaine et le TLD immédiatement avant le premier slash simple. Tout ce qui précède dans la partie hôte est sous-domaine, pas propriété de domaine.
Combinaisons de mots de confiance
Ajouter des mots signalant la sécurité ou l'autorité dans le nom de domaine lui-même : microsoft-compte-verifier.com, apple-id-securise.com, ameli-espace-sante.com. Ces mots sont des signaux d'alarme, pas des signaux de confiance. Un service légitime n'a pas besoin de vous dire qu'il est "sécurisé" ou "officiel" dans son nom de domaine. La présence de "verifier", "connexion", "compte", "securise", "officiel", "support" ou "aide" dans un domaine que vous n'avez pas tapé vous-même doit éveiller une méfiance immédiate.
Comment lire une URL suspecte
Une approche structurée d'analyse d'URL supprime le doute :
https://secure.espace.ameli.fr.attaque-domain.xyz/compte/verifier
[1] [2 ][3 ][4 ][5 ][6][7 ]
1. Protocole (https: prouve le chiffrement, pas la légitimité)
2-4. Sous-domaines (peuvent dire n'importe quoi ; contrôlés par le propriétaire du domaine)
5. Domaine (qui le possède. C'EST CE QUI COMPTE)
6. TLD
7. Chemin (peut dire n'importe quoi)
Vérification d'URL en trois étapes :
- Ignorez tout ce qui précède le dernier segment séparé par des points avant le premier
/. - Identifiez le domaine réel (le mot entre ce dernier point et le
/). - Comparez-le avec le domaine légitime attendu.
Pour ameli.fr.attaque-domain.xyz/compte/verifier, l'étape 1 supprime ameli.fr., l'étape 2 trouve attaque-domain, l'étape 3 montre que cela ne correspond pas à ameli.fr.
TLDs à risque élevé de phishing
Certains TLDs apparaissent de façon disproportionnée dans les campagnes de phishing. Cela ne signifie pas que chaque site sur ces TLDs est malveillant, mais un niveau de méfiance plus élevé est justifié :
| TLD | Notes |
|---|---|
| .xyz | Faible coût, usage massif dans le phishing |
| .top | Apparaît fréquemment dans l'usurpation de marques |
| .tk | Gratuit (Tokelau) ; usage phishing disproportionné |
| .ml, .ga, .cf | ccTLDs gratuits souvent détournés |
| .click | Utilisé dans les arnaques au clic et le phishing |
Cela dit, le .com reste le TLD présent dans le plus grand nombre d'URL de phishing en valeur absolue, simplement parce qu'il domine l'ensemble des enregistrements de domaines. Le ratio phishing/sites légitimes est pire sur les TLDs gratuits et quasi-gratuits, mais le phishing en .com existe en très grande quantité.
Le HTTPS ne signifie pas que le site est sûr
C'est à dire clairement : un cadenas dans le navigateur signifie que la connexion est chiffrée, pas que le site est digne de confiance. Les certificats TLS sont délivrés gratuitement par Let's Encrypt sans vérification d'identité. N'importe quel attaquant peut obtenir un certificat HTTPS pour son domaine de phishing en moins d'une minute. Selon PhishLabs, plus de 80 % des sites de phishing utilisent désormais le HTTPS. Le cadenas est un indicateur de sécurité pour la connexion, pas pour la destination.
Outils pour vérifier un domaine suspect
Quand vous rencontrez un domaine dont vous n'êtes pas sûr :
- Google Safe Browsing Lookup (transparencyreport.google.com/safe-browsing/search) : vérifier si une URL est déjà signalée comme phishing ou malware.
- VirusTotal (virustotal.com) : soumettre une URL à l'analyse de dizaines de moteurs de sécurité simultanément.
- URLScan.io : scanner une URL et voir une capture d'écran de la page sans la visiter directement.
- Convertisseur Punycode : convertir un domaine en sa représentation ASCII pour détecter les homoglyphes cachés.
- Lookup RDAP de Domain Sentinel : vérifier quand un domaine a été enregistré, qui est le registrar, et s'il vient d'être créé. Un domaine enregistré cette semaine qui ressemble à une grande marque est presque certainement suspect.
Côté marque : protéger vos utilisateurs contre le phishing à votre nom
Les sections précédentes portent sur l'identification du phishing. Celle-ci traite de ce qu'il faut faire quand c'est votre marque qui est imitée.
Quand un domaine imitant votre marque est utilisé pour du phishing, ce sont vos clients qui en sont victimes. Vous avez à la fois une obligation éthique et un intérêt commercial pratique à agir rapidement. Plus tôt vous identifiez et signalez un domaine de phishing, moins il fait de victimes.
Quatre actions à entreprendre quand vous découvrez un domaine de phishing :
-
Consultez l'enregistrement RDAP pour trouver le contact abuse du registrar. Les données RDAP de chaque domaine incluent une entité avec le rôle "abuse" et un e-mail ou une URL de contact. Soumettez un signalement détaillé incluant : le domaine de phishing, des captures d'écran de la page frauduleuse, votre domaine légitime, et des justificatifs de marque si disponibles.
-
Signalez à Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish) et à Microsoft SmartScreen (microsoft.com/fr-fr/wdsi/support/report-unsafe-site). Les deux alimentent les systèmes d'avertissement des navigateurs. Un domaine signalé dans ces bases de données affichera un avertissement plein écran avant que les utilisateurs puissent y accéder.
-
Communiquez proactivement à vos utilisateurs si vous avez des raisons de croire qu'ils ont été ciblés. Une courte notification via vos canaux de communication habituels, expliquant le faux site et comment identifier votre domaine légitime, limite les dommages et renforce la confiance.
-
En cas de campagne active à grande échelle, signalez également auprès du CERT-FR (cert.ssi.gouv.fr) qui coordonne la réponse aux incidents de cybersécurité en France.
Comment contacter efficacement l'équipe abuse d'un registrar
L'enregistrement RDAP du domaine de phishing contient le contact abuse du registrar. Un signalement abuse utile inclut :
- L'URL complète de la page frauduleuse (pas seulement le domaine)
- Une capture d'écran montrant le contenu frauduleux
- Les URLs légitimes imitées
- Votre numéro d'enregistrement de marque si disponible
- Vos coordonnées pour le suivi
Les signalements vagues ("ce domaine semble suspect") sont moins efficaces que les plaintes spécifiques, étayées par des preuves. Les registrars reçoivent des milliers de signalements d'abus et priorisent ceux avec une documentation claire.
Cinq signaux qui doivent éveiller votre méfiance face à une URL : le domaine racine ne correspond pas au service attendu ; le domaine contient des sous-domaines qui affichent un nom de marque avant un domaine étranger ; des mots comme "secure", "connexion" ou "verifier" apparaissent dans le domaine lui-même ; le TLD est .xyz, .top, .tk ou une autre extension gratuite pour un prétendu site d'une grande marque ; ou le domaine a été enregistré très récemment. Pour les marques, la meilleure protection pour vos utilisateurs commence par la détection des domaines look-alike avant qu'ils ne servent à des campagnes de phishing. La watchlist de Domain Sentinel remplit exactement ce rôle.
Commencez par un domaine qui vous importe
Recherchez-le gratuitement. Pour recevoir des alertes sur les changements de statut ou l'expiration, créez un compte. Ça prend 30 secondes.