Comment les hackers usurpent votre domaine
L'usurpation directe (email spoofing)
Sans protection SPF/DKIM/DMARC, n'importe qui peut envoyer un email avec From: contact@votredomaine.com. C'est techniquement simple — le protocole SMTP d'origine ne prévoyait aucune vérification d'identité. Les attaquants exploitent cette faiblesse pour créer des emails qui semblent provenir de vous.
L'usurpation d'affichage (display name spoofing)
Même avec DMARC configuré, un attaquant peut afficher Contact Votre Entreprise <contact@domaine-pirate.com>. Le nom affiché ressemble au vôtre, mais le vrai domaine d'envoi est différent. Les clients qui ne regardent pas l'adresse complète sont piégés.
Les faux sous-domaines
Un attaquant enregistre security.votredomaine-alerte.com ou utilise un sous-domaine compromis de votre domaine pour envoyer des emails crédibles. Le destinataire voit "votredomaine" dans l'adresse et fait confiance.
En plus des emails, des sites web copiant votre design sont créés sous des domaines similaires. Ces faux sites collectent les identifiants de vos clients ou leur font payer des produits qu'ils croient acheter chez vous.
Le typosquatting : les faux jumeaux de votre domaine
Le typosquatting consiste à enregistrer des domaines visuellement proches du vôtre pour piéger les utilisateurs qui font une faute de frappe ou ne regardent pas l'URL attentivement.
Exemples pour votredomaine.com :
votredomanie.com— lettre transposéevotre-domaine.com— tiret ajoutévotredomaine.net— TLD différentv0tredomaine.com— caractère similaire (0 au lieu de o)votredomaineconnexion.com— mot ajoutévotredomaine.be— extension nationale
Ces domaines sont souvent enregistrés en masse par des services automatisés qui surveillent les nouveaux dépôts de marques ou les domaines populaires.
Conséquences pour votre entreprise
- Vos clients sont arnaqués — et vous tiennent responsable, même si vous êtes victime
- Votre réputation email se dégrade — les plaintes spam générées par le phishing impactent votre domaine
- Blacklisting — votre domaine peut être ajouté aux listes noires si des rapports d'abus le citent
- Perte de confiance durable — un client piraté via votre faux domaine ne revient pas facilement
- Responsabilité légale — selon le contexte, vous pourriez être mis en cause si vous n'avez pas pris les mesures raisonnables de protection
Protéger votre email avec SPF, DKIM, DMARC
Ces trois protocoles forment le bouclier de base contre l'usurpation email. Leur rôle combiné :
- SPF — liste les serveurs autorisés à envoyer des emails pour votre domaine. Tout autre serveur est rejeté ou marqué suspect.
- DKIM — ajoute une signature cryptographique à chaque email. Si un attaquant modifie le message, la signature ne correspond plus.
- DMARC — définit la politique à appliquer quand SPF ou DKIM échoue. Avec
p=reject, les emails non authentifiés sont bloqués avant livraison.
Avec
p=reject, un email usurpant votre domaine est rejeté par le serveur destinataire avant même d'arriver dans le dossier spam. C'est le seul niveau qui bloque réellement le phishing direct par votre domaine.
Protéger aussi les domaines "silencieux"
Vous avez d'autres domaines qui n'envoient jamais d'emails ? votrevieuxdomaine.com, votredomaine.be ? Ces domaines peuvent aussi être usurpés. Configurez-y un SPF bloquant et un DMARC reject :
# SPF qui rejette tout pour un domaine qui n'envoie pas d'emails
v=spf1 -all
# DMARC reject pour un domaine silencieux
v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;Surveiller les imposteurs
Monitoring des Certificate Transparency logs
Chaque certificat SSL émis est enregistré publiquement. Des outils comme crt.sh vous permettent de rechercher tous les certificats émis pour des variantes de votre domaine. Un certificat émis pour votredomaine-secure.com est un signal d'alarme.
Monitoring des enregistrements DNS similaires
Des services spécialisés (Dnstwist, PhishTank) génèrent automatiquement des variations de votre domaine et vérifient si elles sont enregistrées. C'est la méthode la plus efficace pour détecter le typosquatting en temps réel.
Google Alerts et monitoring de marque
Configurez des alertes Google pour votre nom de marque + termes comme "phishing", "arnaque", "fraude". Vos clients victimes signalent souvent publiquement sur les réseaux sociaux avant de vous contacter directement.
Signaler et faire retirer un site de phishing
Signalement aux autorités et bases de données
- Google Safe Browsing — signalement direct, retire le site des résultats Google et déclenche des avertissements sur Chrome
- PhishTank — base collaborative de sites de phishing
- CERT.be / CERT.fr — centres de réponse aux incidents cyber nationaux
- ICANN — pour les abus graves de nommage de domaine
Contacter le registrar du domaine frauduleux
La plupart des registrars ont une politique d'abus et peuvent suspendre un domaine utilisé pour du phishing sous 24-48h. Préparez des preuves : captures d'écran, en-têtes d'email complets, URLs exactes.
Vérifiez si votre domaine est bien protégé contre l'usurpation :
→ Analyser mon domaine gratuitement