Le développeur d'un projet crypto connu ouvre le site de son propre outil pour déployer un nouveau contrat. L'URL semble normale. La page aussi. Le wallet se connecte, signe, et dix-neuf minutes plus tard la trésorerie du projet est vide. En y regardant de près, le « a » latin du domaine avait été remplacé par un « а » cyrillique. Deux codepoints avec la même forme et une identité différente.
Les attaques par homoglyphe et le typosquatting sont des vecteurs de phishing bon marché et industrialisés. L'attaquant dépose un nom de domaine que rien ne distingue du vrai, clone le site cible avec un scraper et attend que quelqu'un tape l'URL de travers, clique sur un lien dans un mail ou arrive depuis une annonce. Le taux de conversion par visiteur est élevé, parce que les victimes ne se rendent jamais compte qu'elles ont été redirigées.
Les astuces dans la barre d'adresse qui marchent vraiment
Le typosquatting n'est pas une astuce isolée, c'est toute une famille. Quatre variantes finissent par attraper presque tout le monde.
Homoglyphes. Des lettres venues d'autres systèmes d'écriture semblent identiques dans beaucoup de polices : « а » cyrillique et « a » latin, « о » cyrillique et « o » latin, « ο » grec. Déposés en Punycode, ce sont techniquement des domaines différents, rendus avec des caractères visuellement identiques.
Fautes de frappe simples. amazoon.com, gooogle.com, paypa1.com (chiffre 1 à la place du l), facebok.com. Quand on tape vite, on tombe sur ces domaines bien plus souvent que les propriétaires ne l'imaginent. Les squatters déposent des centaines de variantes par cible.
Sous-domaine trompeur. apple.com.security-check.xyz ou paypal.com.login-ref.ru. Le nom d'hôte familier figure en tête, mais le vrai domaine, c'est le dernier segment avant le chemin.
Permutation de TLD. Les entreprises déposent le .com et parfois le .net, rarement toutes les extensions pertinentes. Les attaquants raflent .co, .shop, .io, .app et montent une copie au pixel près. Sur mobile, où les URL sont souvent tronquées, la TLD passe quasi inaperçue.
Comment les campagnes de typosquatting montent en charge
Les campagnes modernes ne sont plus manuelles. L'attaquant lance un outil de DNS twisting comme dnstwist pour produire en quelques secondes des centaines de variantes plausibles d'une cible. Il dépose tout ce qui n'est pas cher. Le clonage du site légitime, c'est un scraper qui s'en charge : il recopie HTML, CSS et assets à l'identique, parfois même en direct sous la forme d'un reverse proxy.
La variante reverse proxy est particulièrement vicieuse, parce que le faux site affiche exactement le même contenu que l'original, avec le bon formulaire de connexion, un certificat TLS (émis par Let's Encrypt pour le faux domaine) et parfois même des sous-pages qui marchent. L'attaquant retransmet tes saisies au vrai service à la volée. C'est ce qu'on appelle adversary-in-the-middle, et c'est précisément pour cette raison que les codes 2FA par SMS ou TOTP n'y changent rien.
nouveaux domaines lookalike déposés chaque mois
de ces domaines hébergent un kit de phishing actif
délai moyen avant la première victime
Pourquoi on rate les signaux d'alerte
Cinq ans de recherche utilisateur donnent toujours la même réponse : on ne lit pas les URL. On survole le nom de la marque, on aperçoit un cadenas, et on passe à la suite. Ce n'est pas un échec, c'est simplement le fonctionnement de la lecture à haute fréquence.
Les navigateurs modernes n'arrangent rien : ils raccourcissent les URL ou, sur mobile, n'affichent plus que le domaine. Le compromis se fait au nom de la lisibilité, mais il dissimule justement les variations de sous-domaine et de TLD que les attaquants exploitent. Chrome a même testé l'affichage du seul domaine enregistré en masquant le reste, ce qui aurait encore creusé l'écart.
Et puis beaucoup de liens de phishing arrivent par des canaux auxquels tu fais confiance par défaut. Un mail de ton hébergeur, une notif push de ton portail des impôts, un message Slack de ton boss (spoofé). Quand le contexte colle, presque personne ne vérifie l'URL.
Repérer un domaine lookalike en quelques secondes
Si tu viens d'ouvrir un lien et que tu as un doute, tu peux trancher en moins d'une minute.
- 1
Sélectionne le domaine dans la barre d'adresse
Le texte s'affiche alors dans sa vraie typographie, souvent dans une police où les homoglyphes ressortent bien mieux que dans l'interface du navigateur. - 2
Colle l'URL dans un éditeur de texte
Un éditeur brut comme Notepad ou TextEdit affiche les caractères tels quels. Si le domaine se met à contenir un `xn--` ou des glyphes inhabituels, tu as affaire à une attaque par homoglyphe. - 3
Vérifie la TLD et d'éventuels sous-domaines
Le segment situé juste avant la première barre oblique, c'est le vrai domaine. Tout ce qui se trouve avant peut porter n'importe quel nom. - 4
Dans le doute, passe par le domaine principal
Plutôt que de suivre le lien du mail, tape toi-même l'adresse officielle dans le navigateur ou utilise un marque-page. Le détour prend dix secondes et neutralise l'attaque.
Ouvrir un lien suspect sans risque
Parfois il faut quand même ouvrir le lien, parce que tu veux savoir qui se cache derrière. C'est pour ça que sert le navigateur isolé. Tu ouvres l'URL suspecte dans un environnement qui ne sait rien de toi : pas de cookies, pas de mots de passe enregistrés, pas d'extension wallet. Si c'est un adversary-in-the-middle, il atterrit dans une session où il n'y a aucun identifiant réel à récolter.
Les équipes sécurité s'appuient sur ce schéma depuis des années pour le triage du phishing. Côté particulier, ça marche pareil : les connexions sensibles passent toujours par un marque-page ou un gestionnaire de mots de passe, les URL douteuses s'ouvrent dans un navigateur jetable. Pour la méthode de triage dans le détail, voir Testing Suspicious Links Without Risk.
Et si tu avais un vrai bureau, partout, sur n'importe quel appareil ?
Teste Browser.lol gratuitement et retrouve toute la puissance d'un PC, même depuis ton téléphone.
Ouvrir mon bureau virtuelRien à installer • Tous les appareils
