Comment sont évalués les domaines similaires

Support PowerDMARC

Modifié le : lundi 30 mars 2026 à 15h00

Vue d'ensemble

L'outil de vérification des domaines similaires de PowerDMARC attribue un score de risque de 0 à 100 % à chaque domaine similaire détecté. Ce score représente la probabilité globale qu'un domaine constitue une menace d'hameçonnage, d'usurpation d'identité ou d'atteinte à la marque pour votre organisation.

Chaque score correspond à une étiquette de risque claire :

Faible risque : 0 à 29 %
Risque moyen : 30 à 69 %
Risque élevé : 70 à 100 %

Quels sont les éléments qui composent le score ?

Le score de risque est calculé à partir de quatre attributs, chacun ayant un poids spécifique :

Attribut	Poids	Ce que cela mesure
État du domaine	20%	Que le domaine similaire soit enregistré, réservé ou non enregistré (disponible à l'achat)
Type d'attaque	20%	La technique de mutation utilisée pour générer le domaine similaire
Enregistrements DNS	35%	Quels enregistrements DNS (A, MX, NS) sont présents pour le domaine ?
État SSL	25%	L'état du certificat SSL du domaine

Comment chaque attribut est évalué

Statut du domaine (20%)

L'enregistrement d'un domaine similaire est un indice révélateur d'intention malveillante. Un domaine activement enregistré a plus de chances d'être utilisé à des fins malveillantes qu'un domaine qui pourrait simplement exister.

Enregistré — Le domaine possède des enregistrements DNS actifs et appartient à quelqu'un. Ce critère est pris en compte à 100 % (sur les 20 %).
En attente — Le domaine est enregistré mais ne présente aucune infrastructure de messagerie fonctionnelle (aucun enregistrement MX et SPF configuré sur v=spf1 -all ). Ce critère reçoit la moitié du poids (50 % des 20 %).
Non enregistré — Le domaine ne se résout pas et n'a aucune présence DNS. Cela n'apporte rien au score (0 %).

Type d'attaque (20%)

Les différentes techniques de mutation comportent différents niveaux de risque selon leur caractère trompeur et leur fréquence d'utilisation dans les campagnes d'hameçonnage réelles.

Homographe (IDN) — Utilise des caractères Unicode visuellement identiques (par exemple, le caractère cyrillique « а » au lieu du caractère latin « a »). Il s’agit du type d’attaque le plus trompeur, et il est considéré comme le plus probable (100 % des 20 %).
Typosquatting — Exploite les erreurs de frappe courantes à proximité du clavier (ex. : « gogle.com »). Reçoit 70 % du poids.
Tous les autres types — délétion, insertion, substitution, transposition, répétition et variation de TLD — reçoivent chacun 50 % de la pondération. Bien que toujours pertinentes, ces techniques sont généralement plus faciles à repérer pour un œil averti.

Enregistrements DNS (35%)

La présence d'enregistrements DNS indique qu'un domaine est activement configuré et potentiellement utilisé. Cet attribut est primordial car un domaine disposant d'une infrastructure de messagerie et web est bien plus susceptible d'être utilisé lors d'une attaque.

Le score DNS est la somme des contributions de chaque enregistrement :

Un enregistrement est présent — Il contribue à hauteur de 30 % au poids du DNS (le domaine est résolu en une adresse IP et peut héberger un site web).
Enregistrement MX présent — Contribue à hauteur de 40 % au poids DNS (le domaine peut envoyer et recevoir des e-mails — un signal critique du risque d'hameçonnage).
Enregistrement NS présent — Contribue à hauteur de 30 % au poids DNS (le domaine possède des serveurs de noms attribués).

Si les trois types d'enregistrements sont présents, le domaine reçoit la contribution complète de 35 %. Si aucun n'est présent, cet attribut contribue à hauteur de 0 %.

Statut SSL (25%)

Un certificat SSL peut indiquer qu'une personne a déployé des efforts pour légitimer un domaine. Les navigateurs affichent un cadenas pour les sites disposant de certificats valides, ce qui renforce la confiance des utilisateurs — une faille exploitée par les pirates.

Valide — Un certificat de confiance est en place, le domaine correspond et le certificat est à jour. Pondération maximale (100 % des 25 %).
Expiré, invalide ou non fiable — Le certificat existe, mais présente des problèmes (expiré, domaine incompatible, auto-signé ou chaîne de confiance rompue). Chacun de ces problèmes représente 80 % de la pondération, car la présence d’ un certificat, quel qu’il soit, indique une configuration délibérée.
Absent — Aucun certificat n'est présenté ou le protocole HTTPS est indisponible. Ce critère contribue à hauteur de 0 %, car il peut simplement indiquer que le domaine n'est plus maintenu.

Exemples de notation

Exemple 1 — Faible risque (20 %)

Un domaine en attente sans infrastructure DNS ni certificat SSL :

État du domaine : En attente → 20 % × 0,5 = 10
Type d'attaque : Répétition → 20 % × 0,5 = 10
Enregistrements DNS : Aucun → 35 % × 0 = 0
Statut SSL : Manquant → 25 % × 0 = 0
Total : 20 % — Faible risque

Exemple 2 — Risque moyen (51 %)

Un domaine enregistré avec des enregistrements DNS partiels mais sans SSL :

Statut du domaine : Enregistré → 20 % × 1,0 = 20
Type d'attaque : Répétition → 20 % × 0,5 = 10
Enregistrements DNS : A + NS présents, MX manquant → 35 % × 0,6 = 21
Statut SSL : Manquant → 25 % × 0 = 0
Total : 51 % — Risque moyen

Exemple 3 — Risque élevé (100 %)

Un domaine enregistré utilisant une attaque par homographe avec des enregistrements DNS complets et un certificat SSL valide :

Statut du domaine : Enregistré → 20 % × 1,0 = 20
Type d'attaque : Homographe → 20 % × 1,0 = 20
Enregistrements DNS : A + MX + NS tous présents → 35 % × 1,0 = 35
Statut SSL : Valide → 25 % × 1,0 = 25
Total : 100 % — Risque élevé