Attaques par homographie : comprendre et se protéger

Qu’est-ce qu’une attaque par homographie ?

Une attaque par homographie est une technique utilisée par les cybercriminels pour tromper l’utilisateur en exploitant la ressemblance visuelle entre certains caractères.
Par exemple, la lettre “o” (lettre latine) peut être remplacée par le chiffre “0” (zéro), ou encore un “l” minuscule par un “I” majuscule.

Cette technique est particulièrement redoutable dans les attaques de phishing. Un pirate peut créer un faux site web avec une adresse très proche d’un site légitime, comme :

  • www.paypaI.com (avec un i majuscule à la place du l)
  • www.go0gle.com (avec un zéro à la place du o)
  • www.amɑzon.com (avec un ɑ grec au lieu du a)

Visuellement, la différence est presque imperceptible, mais le site appartient en réalité à l’attaquant.

Pourquoi est-ce dangereux ?

  • L’utilisateur pense se connecter à un site officiel (banque, messagerie, boutique en ligne…).
  • Il saisit ses identifiants, ses coordonnées bancaires ou d’autres informations sensibles.
  • Les données sont immédiatement récupérées par le cybercriminel.

En quelques secondes, vos comptes peuvent être compromis ou vos informations personnelles détournées.

Comment se protéger des attaques par homographie ?

1. Vérifier l’URL attentivement

Avant de saisir vos identifiants ou vos informations bancaires, assurez-vous que l’adresse du site est correcte.
Un simple caractère différent peut tout changer.

2. Utiliser les favoris (bookmarks)

Ajoutez vos sites sensibles (banque, messagerie, services en ligne) à vos favoris et accédez-y uniquement par ce biais.

3. Vérifier le certificat HTTPS

Cliquez sur le cadenas dans la barre d’adresse pour vérifier le certificat SSL. Si le site est suspect, il peut afficher un certificat invalide ou générique.

4. Activer les protections du navigateur

Les navigateurs modernes (Chrome, Firefox, Edge…) disposent d’une protection contre les homographes. Assurez-vous qu’ils sont à jour.

5. Utiliser un gestionnaire de mots de passe

Un gestionnaire de mots de passe (comme Bitwarden, KeePass, 1Password) reconnaît automatiquement le vrai site. Si vous êtes sur un faux site, il ne remplira pas vos identifiants.

6. Activer l’authentification à deux facteurs (2FA)

Même si vos identifiants sont volés, la double authentification peut bloquer l’accès à vos comptes.

Conclusion

Les attaques par homographie jouent sur la confusion visuelle pour piéger les internautes. Elles sont difficiles à repérer, mais avec de bonnes pratiques – vigilance sur les URL, gestionnaire de mots de passe, double authentification – vous pouvez réduire considérablement les risques.

👉 Sur ProtegeTonWeb.fr, nous sensibilisons les particuliers et les entreprises aux menaces cyber. N’hésitez pas à nous contacter pour mettre en place des solutions de protection adaptées à votre activité.