Extrait de l'émission CPU release Ex0226 : L'adresse était trop longue.
Revenons sur le sujet des noms de domaine, et de comment ils peuvent être sujets de détournements.
Dans les années 2000s, l'une des premières méthodes de phishing qu'on voyait beaucoup, d'escroquerie par déguisement de site web, était de réserver un nom de domaine se terminant en .co. Le TLD, Top Level Domain, désignant la Colombie ayant l'avantage d'être très proche du .com des noms de domaines de l'immense majorité des entreprises sérieuses. Ce TLD ne demandait quasiment pas de formalités pour y réserver un nom de domaine, inutile de vous dire qu'il avait vite acquis une réputation sulfureuse.
Le problème sur les erreurs de frappe de nom de domaine a toujours existé. Le typosquatting est un cas classique de l'exploitation de l'erreur humaine sur internet. Il existe des outils de fuzzing pour générer des noms de domaine et vérifier leur disponibilité effective chez des registrars. D'ailleurs, le projet urlcrazy qui a d'abord été créé à des fins défensives, est super-intéressant car, partant d'un nom de domaine que vous proposez, il explique chacune des variations générées : sur les inversions de lettres, l'erreur de frappe de touches adjacentes au clavier, même AZERTY, et les TLD trop conciliants.
Et maintenant, en maquillage de nom de domaines, passons un niveau au-dessus.
Jusqu'en 2004, les noms de domaines n'étaient qu'en ASCii, ils ne pouvaient utiliser que 26 lettres, 10 chifffres et le -.… et c'est tout. En fait, on pouvait y mettre bien plus de caractères différents, mais on se limitait : internet étant une fusion de différents types de réseau, on n'avait aucune garantie que les vieux softs qui le font tourner sur certains points centraux ne bloquent pas des requêtes incompréhensibles pour eux.
Cette limitation du nombre de lettres utilisables causa un problème pour les langues non-romaines. Par exemple : l'arabe, l'hébreu, les langues slaves, les chinoises, le japonais, l'éthiopien et j'en passe. C'est ce qui fait qu'encore aujourd'hui, on a des accusations qu'Internet est trop occidentalo-centré, et en soit, ces détracteurs n'avaient pas tort. Depuis, on a inventé les IDN, International Domain Names, mais j'en parlerais plus tard.
J'avais parlé du Japon qui avait détourné un outil logistique, le QR-Code, pour entrer des adresses web dans les feature-phones. Mais avant ça, les publicitaires ont utilisé une toute autre stratégie !
Au Japon, depuis la fin des années 1990 et encore de nos jours, il n'était pas rare de voir dans les publicités télé et radio :
Allez sur Yahoo! et cherchez le nom de notre marque !
Ça marche car on peut alors entrer le nom d'une marque en écriture japonaise comme les kana ou les kanji. Et sans paniquer à l'idée d'écrire le nom de sa marque nipponne favorite dans ces romanji de gaijin mal lêchés, pardon, en lettres romanes qui ne sont pas dans votre culture. Et surtout parce que le raccourci vers le moteur de recherche de Yahoo! Japan était présent sur tous les téléphones capables d'aller sur internet. Oui, à la fin des années 1990s, à une époque où en France, on n'était pas encore sûr de pouvoir envoyer un SMS d'un opérateur mobile vers un autre, au Japon, ils allaient déjà sur le web.
Cette stratégie d'évitement d'utiliser un moteur de recherche plutôt que la barre d'URL a marché et elle reste extrêmement populaire sur l'archipel nippon.
Et ça a marché… jusqu'à ce que les moteurs de recherche se mettent à confondre visuellement les résultats naturels d'une recherche avec les espaces publicitaires placés en fonction de mots clés. C'était avant l'arrivée de Chrome en 2009, où Google à fusionné barre d'URL et barre de recherche dans son navigateur web.
Textes : Da Scritch
Illustration : Suivi de redirection by IconJam, licence gratuite sur usage non commercial.