Domain Name Monitoring with Analysis
Par Nameshield
Détectez et neutralisez les noms de domaine frauduleux qui imitent votre marque : surveillance continue, analyse humaine et alertes en temps réel par Nameshield.
Aperçu
La solution de surveillance Extended de Nameshield identifie automatiquement, chaque jour, les noms de domaine nouvellement enregistrés qui ressemblent à votre marque, vos produits ou vos dénominations stratégiques — avant qu'ils ne soient utilisés contre vous.
Une détection 360° alimentée par l'IA
Notre moteur propriétaire basé sur l'intelligence artificielle et le traitement du langage naturel (NLP) analyse votre marque comme une entité étendue : variantes orthographiques, typographiques, homoglyphes, noms internationalisés (IDN), mots du champ lexical… Aucune stratégie de cybersquatting ne passe inaperçue.
Des sources de données exhaustives
- Fichiers de zone des registres génériques et pays (CZDS, Afnic OpenData)
- Certificate Transparency Logs en temps réel
- Données DNS actives sur l'ensemble des extensions gTLD, ngTLD et ccTLD
Une analyse humaine quotidienne
Chaque détection est qualifiée par nos analystes spécialisés : niveau de menace, usage constaté (phishing, redirection, serveur mail actif…), informations WHOIS/RDAP, capture d'écran du site. Les menaces critiques font l'objet d'alertes urgentes en temps réel, complétées d'un rapport hebdomadaire complet.
Un suivi centralisé via plateforme SaaS et API
Accédez à l'ensemble des résultats depuis votre tableau de bord ou intégrez les données directement dans vos outils via notre API REST.
Comment utiliser
- Souscrivez à l'offre via la marketplace Cloud Temple.
- Transmettez à Nameshield les marques et dénominations à surveiller.
- Nameshield configure votre périmètre de surveillance sous 48 h.
- Recevez vos alertes urgentes en temps réel et votre rapport hebdomadaire.
- En cas de menace avérée, déclenchez une procédure de remédiation (option disponible).
Support
Dans le cadre d'un programme de surveillance avec analyse, nos outils détectent automatiquement les noms de domaine nouvellement observés présentant une similarité orthographique et lexicale forte avec une marque, un vocable ou un patronyme surveillés. L'ensemble des résultats est quotidiennement analysé par notre équipe, identifiant les vrais positifs, les qualifiant et les classant selon leur niveau de menace. Les noms de domaine présentant une criticité élevée font l'objet de signalements urgents transmis par mail, au fil de l'eau des détections, et l'ensemble des noms de domaine analysés au cours de la semaine est transmis dans un rapport hebdomadaire.
Notre solution prend comme donnée d'entrée une marque ou une dénomination propre au client (nom de la structure, nom d'un produit, nom d'un projet, patronyme d'un cadre dirigeant…). À partir de cette marque ou dénomination sont détectés l'ensemble des noms de domaine trompeurs et frauduleux exploitant ce terme, sans limite de volume de résultats.
Sources de données collectées
Nous conduisons une veille sur l'apparition des noms de domaine :
- Au rythme de leur publication, dans les fichiers de zone fournis par les registres génériques (CZDS) et les registres pays qui partagent leur fichier ;
- Au sein de la liste quotidienne des noms enregistrés par l'Afnic (OpenData) ;
- En temps réel, dans les journaux de génération de certificats (Certificate Transparency Logs).
En plus, nous exploitons les données DNS actives pour compléter la découverte des noms de domaine de premier niveau nationaux (ccTLD). Nous surveillons ainsi les enregistrements de noms de domaine sur les extensions génériques (gTLD), les nouvelles extensions (ngTLD) ainsi que l'ensemble des extensions pays (ccTLD), soit la totalité des domaines de premier et deuxième niveau.
Ces données sont collectées en continu et constituent la base à partir de laquelle les noms de domaine présentant une similitude avec la marque ou la dénomination surveillée sont détectés. Cette détection est opérée une fois par jour, et peut l'être plusieurs fois par jour sur option.
Détection des noms de domaine trompeurs
Ce service repose sur un moteur de recherche basé sur des algorithmes d'Intelligence Artificielle (IA) Cognitive développés en interne. Cette technologie propriétaire a été conçue par notre équipe de recherche et développement à l'issue d'une série de travaux d'analyse et de capitalisation de notre expertise métier.
Notre méthodologie de détection des noms de domaine usurpateurs s'appuie sur une approche 360°, basée sur trois axes principaux :
1. Chaque vocable surveillé est traité en tant qu'entité étendue : nous générons son contexte mots-clés, il n'est plus traité comme une simple chaîne de caractères. À partir de l'analyse du contexte de chaque vocable, de l'extraction de son champ lexical propre (via une technologie propriétaire de Traitement automatique du langage naturel – NLP) et de la détermination de champs thématiques pouvant s'y adosser, notre solution identifie un ensemble de mots-clés ou concepts pouvant être utilisés dans des noms de domaine trompeurs, combinés au vocable surveillé ou à ses variantes.
2. Des algorithmes de génération de variantes orthographiques et typographiques autour du vocable surveillé et des mots-clés et concepts précédemment déterminés. Notre moteur propose une large palette de générateurs pour couvrir les principales stratégies observées, en particulier :
- Les altérations universelles : doublement ou suppression de caractères, permutation de caractères, substitution de voyelles, insertion de fautes de frappe par ajout de caractères voisins sur le clavier, insertion de caractères aléatoires, substitution de caractères par des homoglyphes latins ;
- Les altérations linguistiques : substitution de lettres ou de syllabes par leurs homophones, application des formes fléchies en genre et en nombre pour les noms communs, conversion de chiffres en lettres et inversement ;
- La recherche d'homoglyphes, à partir des correspondances entre certains caractères spéciaux ou non ASCII ;
- La recherche de noms de domaine internationalisés (IDN – Internationalized Domain Name) ;
- Pour les noms de domaine composés de plusieurs mots avec un séparateur, la recherche sur chaque mot ou sur le champ complet du nom de domaine.
3. Un algorithme de scoring de pertinence caractérisant le degré de crédibilité d'un nom de domaine potentiellement frauduleux à partir de sa proximité avec le vocable surveillé et ses mots-clés et concepts, permettant aux analystes de statuer plus rapidement sur le degré de menace d'un nom de domaine à partir de la forme que prend le cybersquatting.
Ce moteur de recherche gère par ailleurs nativement, au travers de critères de pondération ad hoc, les recherches les plus complexes — portant sur des termes courts (trois ou quatre caractères), composés (deux ou plusieurs mots) ou génériques (p. ex. noms communs). Il permet de mettre en exergue les items les plus pertinents, assurant qualité et rapidité des alertes. Ces détections sont opérées à partir de requêtes forgées par notre équipe d'analystes spécialisés dans la surveillance et l'analyse de nouveaux noms de domaine.
Qualification et analyse
Notre équipe d'analystes traite chaque jour ouvré les noms de domaine détectés par nos outils. Chaque détection, correspondant à un nouveau nom de domaine observé proche de la dénomination surveillée, est analysée sous plusieurs angles :
- La forme que prend le cybersquatting : reprise du vocable à l'identique ou avec une variante, insertions telles que des tirets ou des ajouts de lettres ou de mots, renforcement du vocable avec des mots de son champ lexical, etc. ;
- La menace associée, souvent liée à la présence du nom de domaine sur le web et à son usage : site web inaccessible, en construction ou inactif, hébergement d'une page frauduleuse, page de liens « pay per click » en rapport ou non avec l'activité, page « registrar », page parking, adresse introuvable, etc. ;
- Le statut WHOIS / RDAP, avec l'ensemble des informations collectables, bien qu'il soit de plus en plus fréquent que les éléments d'identification du titulaire ne soient plus renseignés dans le cadre du RGPD ;
- L'indication d'un serveur de messagerie MX et l'existence de redirections.
Nous croisons plusieurs sources issues de bases externes pour optimiser autant que possible la collecte de ces données. Les noms de domaine ainsi qualifiés sont classés par liste :
- Liste de criticité haute : similarité avec la marque et caractère frauduleux avéré ;
- Liste de criticité moyenne : similarité forte avec la marque, sans caractère frauduleux avéré ;
- Liste de criticité faible : similarité faible avec la marque, sans caractère frauduleux avéré.
Reporting et gouvernance
Les noms de domaine présentant une criticité haute font l'objet de signalements urgents transmis par mail, au fil de l'eau des détections, et l'ensemble des noms de domaine analysés au cours de la semaine est transmis dans un rapport hebdomadaire.
Les noms de domaine qualifiés et transmis via les signalements urgents et rapports hebdomadaires comprennent trois points de qualification : le constat de la forme du cybersquatting, l'usage constaté (site de phishing dédié, liens de redirection, activation de serveurs de messagerie…) et les mesures de mitigation ou de remédiation pouvant être mises en place.
Pour chaque nom de domaine qualifié apparaissent a minima les informations suivantes :
- Nom de domaine ;
- Dates de création et d'expiration du domaine ;
- Titulaire du domaine ;
- Registrar du domaine ;
- Présence d'un site web, et sa description s'il existe ;
- Présence d'un serveur mail ;
- Présence d'une redirection ;
- Configuration DNS ;
- Informations WHOIS / RDAP ;
- Capture d'écran du contenu du site.
L'ensemble du service de surveillance peut être suivi à partir d'une plateforme de gestion SaaS. Les noms de domaine qualifiés comme potentiellement frauduleux et transmis dans les signalements urgents et rapports hebdomadaires peuvent être récupérés via une API.
Termes et conditions
L'utilisation de la solution Nameshield est soumise aux conditions générales de service disponibles sur www.nameshield.net. Les données sont hébergées en France et traitées conformément au RGPD. Toute souscription implique l'acceptation des CGS en vigueur.