Protéger sa marque avec la surveillance de domaines

Comment être alerté dès qu'un domaine proche de votre marque est enregistré. Surveillance automatique via RDAP expliquée.

Être averti en quelques heures quand quelqu'un enregistre acme-shop.com alors que vous possédez acme.com, c'est possible aujourd'hui sans compétence technique particulière. Le problème posé est concret : un concurrent ou un acteur malveillant peut déposer un domaine proche du vôtre en quelques minutes. Sans système d'alerte, vous le découvrirez par hasard, parfois des mois plus tard, quand vos clients se font déjà arnaquer sur un faux site à votre nom. Cet article explique quels domaines surveiller, comment fonctionnent les alertes, et ce qu'il faut faire quand une alerte se déclenche.

Pourquoi la surveillance manuelle ne suffit pas

Une marque doit réalistement surveiller des dizaines de combinaisons : plusieurs TLDs, des fautes de frappe courantes, des versions avec tiret, des préfixes comme "get" ou "essai", des variantes homoglyphes. Faire une requête WHOIS manuelle chaque matin sur chacune de ces variantes n'est pas tenable.

Le problème ne s'arrête pas là : le WHOIS classique est devenu une source d'information de plus en plus opaque.

Les limites du WHOIS classique

Depuis l'entrée en vigueur du RGPD, la quasi-totalité des bureaux d'enregistrement masquent les données des déposants derrière des services de confidentialité. Une requête WHOIS sur un .com fraîchement enregistré retourne aujourd'hui :

Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: Whois Privacy Service
Registrant Email: contact@privacyprotect.org

La date d'enregistrement est bien présente, mais identifier si le déposant est une menace ou une coïncidence demande davantage de contexte. De plus, les requêtes WHOIS en masse sont bloquées par des limites de débit et des bannissements d'IP.

Ce que le RDAP apporte

Le RDAP (Registration Data Access Protocol, défini dans les RFC 7480 et 7483) est le successeur standardisé du WHOIS. Il retourne du JSON structuré, lisible par machine sans adaptateur spécifique à chaque registrar. Il inclut les horodatages d'événements (enregistrement, expiration, dernière modification) et expose le nom du bureau d'enregistrement dans un format cohérent. Voici à quoi ressemble une réponse RDAP typique :

{
  "objectClassName": "domain",
  "ldhName": "acme-shop.com",
  "events": [
    {
      "eventAction": "registration",
      "eventDate": "2026-07-15T08:23:11Z"
    },
    {
      "eventAction": "expiration",
      "eventDate": "2027-07-15T08:23:11Z"
    }
  ],
  "entities": [
    {
      "roles": ["registrar"],
      "vcardArray": ["vcard", [["fn", {}, "text", "OVH SAS"]]]
    }
  ]
}

Cette structure se requête par programme, se parse sans code spécifique par registrar, et se combine facilement avec des systèmes d'alerte.

Quels domaines surveiller pour protéger sa marque

Quatre catégories couvrent l'essentiel des risques :

Les variantes de typosquatting sont les domaines formés par des erreurs clavier courantes : une lettre insérée, supprimée, substituée ou transposée. Si votre marque est "Acme", surveillez acmme.com, acne.com, acmee.com, amce.com.

Les TLDs alternatifs sont le même domaine de second niveau sous une autre extension : acme.net, acme.co, acme.io, acme.app. L'extension .co mérite une attention particulière car elle est visuellement très proche de .com et a été utilisée dans des campagnes de phishing notoires.

Les patterns préfixe/suffixe sont souvent les plus dangereux en pratique car ils peuvent tromper même des utilisateurs vigilants : getacme.com, acme-app.com, tryacme.com, acme-connexion.com, acme-officiel.com.

Les homoglyphes utilisent des caractères Unicode visuellement identiques aux lettres ASCII standard. Le "а" cyrillique (U+0430) est indiscernable du "a" latin (U+0061) dans la plupart des polices.

Prioriser les TLDs à risque

TLDNiveau de risquePourquoi
.comCritiqueRéférence mondiale ; 70 %+ du trafic direct tape .com par réflexe
.coÉlevéVisuellement proche de .com ; utilisé dans des campagnes de phishing
.frÉlevéMarché primaire français ; rassure faussement les utilisateurs locaux
.netMoyenReconnu largement ; source de confusion de marque
.ioMoyenStandard en tech ; confusion avec .com croissante
.xyz, .top, .tkPlus faibleFréquents dans le phishing mais moins susceptibles de tromper

Les ccTLDs de vos marchés cibles (.de, .es, .co.uk, .be) doivent également figurer dans la liste si vous opérez dans ces pays.

Comment fonctionnent les alertes de nouveaux enregistrements

Le pipeline d'alerte de Domain Sentinel fonctionne en quatre étapes : un nouveau domaine correspondant à un pattern surveillé apparaît dans un endpoint RDAP de registre, Domain Sentinel interroge cet endpoint selon un calendrier régulier, le nouvel enregistrement est comparé aux patterns de votre watchlist, et une alerte est envoyée via le canal configuré (e-mail ou webhook).

Les endpoints RDAP sont publiquement accessibles pour tous les grands registres. Le service de lookup RDAP de l'ICANN sur rdap.org agrège les principaux gTLDs et délègue aux registres appropriés pour les ccTLDs.

Ce que contient une alerte utile

Une alerte de qualité inclut : le nom de domaine détecté, la date d'enregistrement, le registrar, un score de similarité indiquant la proximité du nouveau domaine avec le nom de marque surveillé, et un lien direct vers la fiche RDAP complète. Une alerte qui dit simplement "acmme.com a été enregistré" vous oblige à aller chercher les détails manuellement. Le score de similarité et les données du registrar sont ce qui permet de trier en quelques secondes.

Mettre en place une surveillance avec Domain Sentinel

La mise en place se fait en quatre étapes :

  1. Ajoutez le nom de votre marque ou votre domaine principal à une watchlist dans Domain Sentinel.
  2. Configurez les patterns à surveiller : variantes de frappe, TLDs alternatifs, homoglyphes, patterns structurels (préfixes/suffixes).
  3. Choisissez le canal d'alerte : l'e-mail convient à la plupart des équipes ; les intégrations webhook fonctionnent si vous voulez recevoir les alertes dans Slack ou votre outil d'astreinte.
  4. Passez en revue les premières détections. Certaines seront sans intérêt (une entreprise légitime avec un nom similaire dans un secteur différent). Marquez-les comme "inoffensives" pour réduire le bruit des futures alertes.

Le tableau de bord conserve l'historique complet des détections, ce qui vous permet de suivre si un domaine suspect est devenu plus actif avec le temps.

Que faire quand une alerte se déclenche

Chaque détection ne représente pas une menace. Classez en trois catégories :

Enregistrement inoffensif : une entreprise dans un secteur sans rapport avec un nom similaire, ou un site personnel. Archivez l'alerte et passez à la suite.

Probable cybersquatting : le domaine est inactif ou redirige vers un concurrent, et le déposant semble posséder d'autres domaines proches de marques tierces. Documentez immédiatement : données RDAP, date d'enregistrement, vos justificatifs de marque. Envisagez de contacter le registrar et, si le schéma est clair, d'initier une procédure UDRP.

Phishing actif : le domaine héberge une page qui imite votre marque pour collecter des identifiants ou des paiements. Signalez immédiatement au contact abuse du registrar (disponible dans les données RDAP), soumettez l'URL à Google Safe Browsing et à Microsoft SmartScreen, et informez vos utilisateurs si vous avez des raisons de croire qu'ils ont déjà été ciblés.

Configurer une watchlist prend moins de cinq minutes dans Domain Sentinel. La surveillance réactive ne remplace pas l'enregistrement défensif des variantes critiques, mais personne ne peut enregistrer à l'avance toutes les variantes possibles. Être alerté en quelques heures plutôt qu'en quelques mois, c'est la différence entre un incident gérable et une crise de réputation qui s'étale dans le temps.

Commencez par un domaine qui vous importe

Recherchez-le gratuitement. Pour recevoir des alertes sur les changements de statut ou l'expiration, créez un compte. Ça prend 30 secondes.

Créer un compteRechercher un domaine