Pouvez-vous voir la différence entre ces deux textes : binance.com et binаnce.com ? Dans le second, le а est une lettre cyrillique, presque identique à la lettre latine a. C'est ce qu'on appelle une attaque par homoglyphes (Homograph) — l'une des tromperies visuelles les plus difficiles à parer. Cet article vous apprend à les repérer et à vous défendre. Au quotidien, connectez-vous toujours via le Site officiel Binance vérifié, utilisez l'App officielle Binance pour mobile, et si vous n'avez pas l'application iOS, consultez le Guide d'installation iOS.
1. Le principe des homoglyphes
Les noms de domaine internationalisés (IDN) permettent d'inclure des caractères non-ASCII. Le but initial était de permettre aux utilisateurs chinois, japonais ou russes d'enregistrer des domaines dans leur langue. Le problème est que de nombreux caractères sont visuellement identiques aux lettres anglaises, mais ont un encodage différent.
Au niveau du domaine, les navigateurs convertissent ces caractères en Punycode :
binаnce.com(contenant le cyrillique а) est en réalitéxn--binnce-b8a.comgoogĺe.com(avec un accent ĺ) est en réalitéxn--googe-x9a.com
Mais par défaut, les navigateurs affichent la forme Unicode, de sorte que les utilisateurs voient toujours binаnce.com, qui semble identique à binance.com.
2. Les lettres latines les plus souvent remplacées
Le tableau ci-dessous montre les substitutions les plus courantes dans les attaques par homoglyphes :
| Caractère original | Caractère visuellement similaire | Jeu de caractères |
|---|---|---|
| a | а / α | Cyrillique / Grec |
| e | е / ё | Cyrillique |
| o | о / ο / 0 | Cyrillique / Grec / Chiffre |
| i | і / ί / l / 1 | Cyrillique / Grec / L latin / Chiffre 1 |
| c | с / ϲ | Cyrillique / Grec |
| p | р / ρ | Cyrillique / Grec |
| n | η / n | Grec / Pleine chasse |
| b | Ь / b | Cyrillique / Pleine chasse |
Dans le domaine de Binance, b/i/n/a/n/c/e, chaque lettre peut potentiellement être remplacée. Les combinaisons possibles créent un nombre impressionnant de variantes de phishing.
3. Deux méthodes pour démasquer les homoglyphes
Méthode A : Activer l'affichage Punycode dans le navigateur
Firefox est le plus sûr. Tapez about:config dans la barre d'adresse, cherchez network.IDN_show_punycode et réglez-le sur true. Une fois activé, tous les domaines non-ASCII s'afficheront sous la forme xn--, ce qui rend l'anomalie immédiatement visible à l'œil nu.
Chrome n'a pas de paramètre natif, mais il affiche automatiquement le Punycode lorsqu'un domaine mélange des caractères latins et non latins. Cependant, un "domaine purement cyrillique" ne contenant que des caractères non latins s'affichera tel quel, nécessitant une extension pour vous aider.
Méthode B : Copier-coller dans un éditeur de texte
Copiez l'URL de la barre d'adresse et collez-la dans le Bloc-notes ou un éditeur de code (VS Code recommandé) avec une police différente. Une police à chasse fixe dans VS Code révélera de subtiles différences entre а et a. Vous pouvez aussi utiliser un plugin de visualisation hexadécimale, où le point de code Unicode de chaque caractère est évident.
Méthode C : Vérification visuelle
Passez la souris sur le domaine et examinez attentivement chaque lettre :
- Le cercle du a est-il standard ?
- La ligne horizontale du e est-il bien placé ?
- Le o est-il un cercle parfait ?
- Le point sur le i est-il bien centré ?
Si une seule lettre semble légèrement différente, restez sur vos gardes.
4. Renforcements supplémentaires au niveau du navigateur
Extensions Chrome
- EnGuard (PhishFort) : Détecte automatiquement les homoglyphes et vous avertit.
- Punycode Alert : Insère une alerte Punycode dans la barre d'adresse.
Au niveau du système
- Bloquez les variantes de phishing connues dans votre fichier hosts :
0.0.0.0 xn--binnce-b8a.com - Utilisez une passerelle DNS domestique comme Pi-hole et abonnez-vous à des listes noires anti-phishing.
Gestionnaires de mots de passe
1Password et Bitwarden n'affichent le remplissage automatique que si le domaine correspond strictement. Si vous ouvrez un domaine homoglyphe, le gestionnaire de mots de passe ne réagira pas — c'est une "alarme de détection" naturelle.
5. Les spécificités sur mobile
Sur mobile, la barre d'adresse est courte et les caractères sont plus petits, ce qui rend les homoglyphes encore plus difficiles à voir. Recommandations :
- Utilisez exclusivement l'APP, ne tapez pas le domaine dans le navigateur.
- Activez "Afficher l'URL complète" dans votre navigateur.
- Si vous recevez un lien, appuyez longuement pour prévisualiser l'URL de destination, ne cliquez pas directement.
Un appui long dans Safari sous iOS permet de prévisualiser le lien complet ; la même chose s'applique pour Chrome sur Android.
6. Que faire si vous avez déjà visité un domaine homoglyphe ?
Procédez dans l'ordre suivant :
- Faites immédiatement une capture d'écran de la barre d'adresse et copiez l'URL complète comme preuve.
- Fermez la page et effacez les cookies de ce domaine dans le navigateur.
- Vérifiez si vous y avez saisi des informations — si c'est le cas, suivez la procédure d'urgence pour compte volé.
- Ouvrez binance.com dans un navigateur propre pour vérifier l'état de votre compte.
- Signalez cette URL via le canal de signalement du centre d'aide de Binance.
FAQ
Q1 : Pourquoi les navigateurs affichent-ils Unicode par défaut plutôt que Punycode ? Pour la commodité des utilisateurs non anglophones. Si les domaines d'un utilisateur russe s'affichaient toujours sous la forme xn--xxxx, l'expérience serait très mauvaise. Par conséquent, Unicode est affiché par défaut, mais les chaînes mixtes sont automatiquement converties en Punycode.
Q2 : L'activation du Punycode forcé dans Firefox affectera-t-elle les sites non anglophones ? Les sites web normaux en anglais resteront inchangés. Les domaines en chinois, en russe, etc. s'afficheront sous la forme xn--. Si vous ne visitez pas ces domaines, il n'y aura aucun impact.
Q3 : Le certificat HTTPS permet-il de repérer les homoglyphes ? Oui. Le champ "Subject" du certificat est la chaîne réellement encodée, qui différera de ce que vous voyez à l'œil nu. Regarder attentivement les détails du certificat permet de démasquer la fraude.
Q4 : Les attaques par homoglyphes peuvent-elles se produire dans l'APP ? L'APP ne dépend pas de la saisie d'un nom de domaine ; toutes les connexions passent par les points de terminaison de l'API intégrés dans le code. Les homoglyphes sont pratiquement inefficaces contre les utilisateurs de l'APP.