Tu as reçu un e-mail, SMS ou message instantané contenant un lien d’une personne connue ou inconnue et tu ne sais pas si tu dois le considérer comme suspect et s’il présente un risque ? S’agit-il ou non d’une tentative de phishing (hameçonnage) ? Comment reconnaître un lien frauduleux quand on n’est pas un spécialiste en informatique ? Dans cet article, je vais te fournir un guide complet qui te donnera les clés pour savoir si, oui ou non, tu peux cliquer sur ce lien. C’est parti ! 🚀

Caveat

Avant tout, je précise que cet article est un article préventif et ne couvrira pas ce qu’il faut faire si tu as déjà cliqué sur un lien frauduleux. Cela fera l’objet d’un autre article. En attendant, si tu es déjà tombé-e dans le panneau, je te redirige vers cet article du site metacompliance.fr.

Quelles formes un lien peut-il prendre ?

Dans le contexte du web, un lien, c’est quelque chose sur lequel on clique (ou on appuie, si on se trouve sur un smartphone ou une tablette) et qui ouvre un site web dans ton navigateur web (Chrome, Safari, Firefox, Edge, etc.). Ce quelque chose sur lequel on clique peut prendre plusieurs formes :

• Un texte
• Une image
• Un bouton
• Une icône
• Un emoji
• Un code QR
• etc.

Exemples :

Ceci est un lien textuel qui ouvre le site perdu.com

Lien sous forme de bouton

Lien encodé dans un code QR :

Code QR généré avec QR.io

Si tu n’es pas familier avec les codes QR, clique ici.

Un code QR est un type de code-barres qui stocke des informations, comme des liens web ou des contacts, et peut être scanné avec un smartphone pour accéder rapidement à ces données.

Voici comment extraire le lien du code QR ci-dessus : si tu es sur ton ordinateur, ouvre l’application Appareil photo de ton téléphone et pointe et maintiens l’appareil photo sur le code QR. Une boîte de dialogue avec le lien devrait apparaître au bout de quelques secondes. Si tu lis cet article sur un téléphone, il est nécessaire de scanner avec un autre téléphone ou utiliser une application de code QR.

En fait, le code QR n’est pas considéré comme un lien car on ne clique pas dessus, mais quand on le scanne et s’il contient un lien, ce dernier s’affiche dans une boîte de dialogue.

Un lien peut se trouver un peu partout sur une page web, dans un e-mail ou autre, et sous diférentes formes. Par conséquent, il faut faire attention à ce que tu cliques (ou ce que tu appuies, si tu es sur un smartphone ou une tablette).

Depuis l’ordinateur, il est facile de savoir si on a affaire à un lien car lorsqu’on en survole un avec le curseur de la souris, l’icône du curseur se change une petite main avec l’index levé. Par exemple, sous Windows :

Sur un smartphone ou une tablette, il n’y a pas de curseur, donc c’est plus difficile.

La première chose à faire en cas de doute

Ou plutôt, la première chose à ne PAS faire :

NE CLIQUE PAS SUR CE LIEN !

De manière générale, quand tu reçois un e-mail, un message instantané ou un SMS contenant un lien, RETIENS-TOI DE CLIQUER DESSUS ! Même s’il vient de quelqu’un que tu connais bien et que l’envoi de ce lien s’inscrit naturellement dans le contexte d’une conversation avec cette personne, abstiens-toi de cliquer tout de suite dessus.

Pourquoi ? Eh bien tout simplement parce que ça t’entraînera à faire preuve de vigilance et à ne pas tomber dans le panneau. Si tu apprends à te montrer vigilant-e à propos de liens envoyés par des proches dans le contexte tout à fait normal d’une conversation, tu le seras forcément si tu reçois un lien frauduleux d’un inconnu ou d’un proche, à son insu ou car ce proche a cru t’avoir transféré quelque chose de légitime alors qu’il t’a transféré un lien frauduleux. Il faut donc apprendre à en faire une habitude qui se transformera à terme en réflexe.

Donc apprends à ne pas avoir la « cliquite aiguë » et ne clique pas !

Ça te paraît simple quand tu lis ces lignes, n’est-ce pas ? Évidemment, car tu ne te trouves pas dans un état d’alerte comme lorsque tu cliques sur un lien sans réfléchir car tu es pressé-e, que tu crains des conséquences fâcheuses si tu ne le fais pas, ou que tu sois tout-e excité-e par une offre qui te paraît alléchante. Mais en réalité, cette prudence est quelque chose qu’il faut entraîner et elle fera toute la différence car elle t’évitera de te retrouver dans une situation merdique à cause d’un clic qui a duré même pas un quart de seconde.

Oui, il arrive aussi que le clic en lui-même sur le lien frauduleux ne soit pas dangereux en soi, mais ce sont les actions qui suivent qui le sont. Par exemple, tu cliques sur le lien et un site web s’ouvre dans ton navigateur. Ce site web a exactement le même logo, le même design et le même style qu’un site connu et qui te demandera d’entrer des informations très sensibles comme ton e-mail et ton mot de passe sur ce site pour lequel il se fait passer. Tu crois alors que tu es sur le bon site, qu’il s’agisse de Facebook ou encore Google Mail, tu entres tes identifiants… et BAM! 💥 Tu viens de passer tes identifiants à un pirate qui va maintenant pouvoir prendre possession de ton compte, changer son mot de passe et BASTA ! Tu ne pourras plus JAMAIS en reprendre possession ou alors très difficilement ! Par exemple, si quelqu’un prend possession de ton compte Facebook, tes chances de le récupérer sont quasi-nulles. Des proches ont déjà vécu cette mésaventure.

Bon OK, et après ?

Donc OK, imaginons que tu as reçu un lien et tu n’as pas cliqué dessus. Bravo ! 👏 Bon et maintenant, tu fais quoi ?

Eh bien, tu vas vérifier ce lien 🔍. Tu verras, ça sera un peu chiant au début, mais si tu le fais systématiquement, ça deviendra un réflexe et tu ne t’en rendras même plus compte.

Mais je ne suis pas un informaticien, moi ! Comment je fais pour vérifier une URL ??

Pas besoin d’être informaticien pour ça. Je vais te fournir une liste de contrôle que tu pourras utiliser pour vérifier si un lien est potentiellement dangereux.

Mais pour que tu comprennes bien ce qui va suivre, il est essentiel que tu apprennes de quoi se compose un lien.

De quoi se compose un lien ?

Un lien se compose de deux choses :

• La partie visible et cliquable, qui peut prendre les différentes formes que nous avons vues plus haut (texte, image, bouton, etc.)
• L’URL qui est l’adresse Internet qui s’ouvre dans le navigateur quand on clique sur le lien

Quand tu te trouves sur une page web ou sur un e-mail dans Outlook ou tout autre programme où il y a des liens, tu peux faire apparaître l’URL d’un lien en survolant la partie visible de ce lien avec le curseur de la souris. En général, l’URL apparait alors en bas à gauche du programme dans lequel tu te trouves (navigateur web, Outlook, etc.).

Clique ici pour savoir comment faire apparaitre le lien depuis un smartphone ou une tablette.

1. Appuie de manière prolongée sur le lien (si tu relâches ton doigt tout de suite, ça va ouvrir le lien, ce que tu ne veux pas faire !) que tu souhaites inspecter. Cela peut faire apparaître un menu contextuel avec différentes options.
2. Sélectionne « Copier l’adresse du lien » ou « Partager le lien », selon l’option disponible.
3. Colle le lien dans un endroit où tu peux le voir en entier, comme dans la barre d’adresse d’un navigateur (sans presser ENTRÉE !) ou dans une application de prise de notes.

Remarque importante : Un lien n’a pas forcément besoin d’une partie visible qui remplace l’URL. Cette dernière peut simplement être écrit en clair et, tout dépend où elle est saisie, elle se changera automatiquement en lien.

Exemple de lien avec l’URL en clair :

https://www.comprendre-informatique.com

Texte du lien = l’URL

Attention ! Un lien en clair peut être trompeur !

Regarde ce lien (tu peux même cliquer dessus si tu veux, il est sans risque) :

https://www.comprendre-informatique.com

Si tu cliques dessus, tu seras redirigé non pas vers mon site mais vers le site perdu.com, un de mes sites préférés et qui m’aide à me retrouver sur l’Internet (non, ce n’est pas moi qui l’ai créé).

Mais quelle est cette sorcellerie ?!? 😱

Eh bien, comme je l’ai mentionné plus haut, un lien comprend deux choses : la partie visible et l’URL. La partie visible peut être une image, un bouton ou typiquement un texte. Mais le hic, c’est que ce texte peut contenir n’importe quoi, y compris…

⚡️ une URL ! ⚡️

Eh oui, tout le monde peut falsifier un lien en saisissant une URL et en y ajoutant un lien vers une autre URL.

Donc si tu vois un lien avec l’URL écrite en clair, vérifie bien que l’URL correponde en survolant le lien avec ta souris, si tu es devant un ordinateur, ou en appuyant longtemps dessus pour faire apparaître le menu contextuel, si tu es sur un smartphone ou une tablette.

L’URL et son anatomie

L’URL (de l’anglais : Uniform Resource Locator = localisateur de ressource uniforme) est une adresse Internet qui comprend… :

• … l’adresse du site web, qui est composée des éléments suivants :
  • Le protocole, qui est le « language » utilisé par le navigateur web pour accéder à la ressource. Si l’URL pointe vers un site web (car il peut pointer sur autre chose, mais cela dépasse le cadre de cet article), le protocole sera soit « http » (connexion non sécurisée) ou « https » (connexion sécurisée — de nos jours, l’immense majorité des sites utilisent le protocole HTTPS). Donc dans la très grande majorité des cas, une URL commence par « https:// ».
  • Le sous-domaine, qui représente une partie spécifique d’un site web. Cette partie n’est pas toujours présente.
  • Le domaine, qui est le nom de base d’un site web.
• … suivie du chemin d’accès à une ressource spécifique de ce site, qui permet au navigateur de localiser l’emplacement de la ressource (document, page web, image, etc.) sur le site web. Si aucun chemin n’est spécifié, le chemin par défaut est « / » qui est la racine du site web.

Le domaine est la partie la plus importante pour identifier les liens frauduleux. Il comporte toujours un seul point « . » qui le sépare en deux parties:

• Le domaine de second niveau qui est la partie à gauche du point. Exemple : comprendre-informatique du domaine comprendre-informatique.com.
• Le domaine de premier niveau, aussi appelée extension ou encore TLD (de l’anglais, top-level domain = domaine de premier niveau), qui est la partie à droite du point.
  Exemple : com du domaine comprendre-informatique.com.

Voilà, je ne m’attarderai pas plus longtemps sur ces points car ça dépasserait le cadre de cet article, il faut juste apprendre à distinguer les différentes parties d’une URL. Tu trouveras plus d’infos sur cet article du site ionos.fr.

Liste de contrôle d’une URL

Maintenant que tu connais l’anatomie d’une URL, voyons enfin cette fameuse liste de contrôle à utiliser pour déterminer si une URL est frauduleuse ou non.

Analyse du domaine 🌐

Pour rappel, le domaine d’une URL, c’est la partie qui identifie le site.

Exemples :

• URL : https://www.comprendre-informatique.com
  Domaine : comprendre-informatique.com
• URL : https://www.google.com/search?q=qu’est-ce+qu’une+URL
  Domaine : google.com
• URL : https://fr.wikipedia.org/
  Domaine : wikipedia.org

Un domaine ne peut contenir que des lettres, des chiffres, un tiret « – » et un seul point « . ». Cet unique point sépare le label (p. ex.: google) du nom d’extension (p. ex.: com).

Vérifie la légitimité du domaine. Les sites web légitimes ont généralement des noms de domaine bien établis. Par exemple, pour Google, c’est google.com (international), google.fr pour la France, google.ch pour la Suisse, etc. Et si tu n’es pas sûr-e du nom de domaine officiel d’un site ? Ben, utilise Google et cherche le nom du site qui devrait apparaitre dans les premiers résultats. 😉 En cas de doute, vérifie également avec d’autres sources comme Wikipédia s’il s’agit d’un site web connu.

Méfie-toi des domaines avec des orthographes similaires à des sites populaires. Les attaquants utilisent parfois des domaines qui ressemblent à des sites connus pour tromper les utilisateurs.

Exemples :

• gooooogle.com
• amazon-officiel.fr
• wikyppedia.com
• la-poste-site-web.com
• etc.

Protocole de sécurité 🔒

Assure-toi que l’URL utilise le protocole HTTPS plutôt que HTTP. La présence de « https:// » indique une connexion sécurisée. Cependant, de nos jours, n’importe qui peut souvent obtenir un https assez facilement, donc il ne s’agit plus vraiment d’un critère valide.

L’ajout du « S » à HTTP (HTTPS) signifie simplement que la communication entre ton navigateur et le serveur qui héberge le site web est cryptée. Cela assure que les données transmises entre ton navigateur et le site sont plus difficiles à intercepter par des tiers malveillants.

Cependant, il ne garantit pas la fiabilité du site en question. Il faut donc se méfier de l’absence de https (URL en http://).

Effectue une recherche sur le site 🔍

Utilise un moteur de recherche pour rechercher des avis ou des informations sur le site en question. Des commentaires négatifs ou des avertissements peuvent être des indicateurs.

Méfie-toi des URL compliquées et à rallonge 📏

Eh oui, la longueur compte ! Les URL excessivement longues ou complexes peuvent être suspectes. Les attaquants peuvent utiliser des URL longues et compliquées pour cacher leur véritable destination.

Prudence envers les URLs raccourcies ↔️

Montre-toi prudent avec les liens raccourcis (URLs raccourcies, pour être plus précis), car ils masquent la vraie URL. Une URL raccourcie est une URL qui est normalement longue et on la raccourcit pour des raisons visuelles, pour ne pas encombrer l’écran avec des URLs à rallonge. On les reconnait car ellles commencent souvent par un domaine très court suivi d’un texte ou un identifiant et sont largement utilisées sur les réseaux sociaux et autres plateformes en raison de leur concision et facilité d’utilisation.

Quelques exemples de domaines utilisés d’URLs raccourcies :

• tinyurl.com (TinyURL)
• bit.ly (Bitly)
• ow.ly (Hoot)
• goo.gl (Google)
• g.co (aussi Google)
• youtu.be (YouTube)

Pour raccourcir une URL, on passe par des sites qui offrent un service de raccourcissement d’URL comme TinyURL, Bitly ou short.io. On entre l’URL qu’on aimerait raccourcir et on reçoit en retour une URL courte. Quand on clique sur cette URL courte, on est automatiquement redirigé vers la vraie URL.Exemple : https://bit.ly/reco-liens est une URL raccourcie qui redirige vers cet article. Je l’ai créée exprès pour l’exemple.

Pour trouver la vraie URL d’un lien raccourci et évaluer son risque, utilise des outils en ligne pour dévoiler l’URL complète avant de cliquer, tels que CheckShortURL, GetLinkInfo ou encore Unshorten.It.

Analyse des caractères non standard 🔣

Recherche des caractères non standard ou des symboles inattendus dans l’URL, tels que les « % » suivi d’un code (leur présence peut être normale mais s’il y en a beaucoup, cela devient suspect). Les attaquants peuvent utiliser ces techniques pour tromper les utilisateurs.

Parmi eux, on trouve ce qu’on appelle les homoglyphes, qui sont des caractères qui ressemblent visuellement ou s’écrivent de manière identique à d’autres caractères. Par exemple, la lettre cyrillique « а » et la lettre latine « a ». Vois-tu la différence ? Moi non plus. Eh non, ce n’est pas le même caractère bien qu’il soit impossible de faire la différence par une simple inspection visuelle ! Il faut alors employer des moyens techniques plus avancés. Bref, avec ça, un attaquant peut très bien créer un site web frauduleux avec le même domaine qu’un site légitime. En fait, pas vraiment, il est impossible de créer un site web avec le même domaine qu’un site qui existe déjà, mais l’attaquant peut utiliser un ou plusieurs homoglyphes dans le domaine de manière à faire passer ce domaine pour un autre. Exemple : lap0ste.fr avec un zéro au lieu d’un o (bon, cet exemple était quand même assez évident). Ce type de tromperie s’appelle une attaque homographique.

Il n’est pas toujours facile, voire impossible, de reconnaître un homoglyphe de manière visuelle. J’ai donc créé, sur ce blog,
➡️ un outil en ligne gratuit qui permet de détecter la présence de caractères suspicieux dans une URL ⬅️ (homoglyphes ou caractères non standard) que je t’invite à essayer.

Ce site web contient une liste d’homolgyphes, à titre d’exemple.

Services en ligne de vérification de sites web 🛠️

Utilise des services en ligne spécialisés dans la vérification de sites web. En voici quelques exemples :

• Google Safe Browsing :
  • Google Safe Browsing permet de vérifier si un site web est répertorié comme dangereux par Google.
• Norton Safe Web :
  • Norton Safe Web, de Symantec, analyse les sites web pour détecter les menaces en ligne et fournit des informations sur leur sécurité.
• Web of Trust (WOT) :
  • WOT propose des évaluations communautaires sur la sécurité des sites web en se basant sur les expériences des utilisateurs.
• URLVoid :
  • URLVoid permet de scanner un site web contre plusieurs moteurs d’antivirus et de sécurité en ligne.
• Sucuri SiteCheck :
  • Sucuri SiteCheck offre une analyse de la sécurité d’un site web, y compris la détection de logiciels malveillants.
• PhishTank :
  • PhishTank se concentre sur la détection de sites web de phishing. Vous pouvez y vérifier si un site est signalé comme une tentative de phishing.
• VirusTotal :
  • VirusTotal analyse les fichiers et les URL en utilisant plusieurs antivirus et d’autres outils de détection de logiciels malveillants.
    

Résumé

• Ne clique pas sur un lien que tu reçois sans en avoir vérifier l’URL, même si c’est un proche qui te l’a envoyé, car il peut s’agit d’un lien frauduleux.
• Mieux vaut pécher par excès de prudence que de cliquer trop vite et d’ensuite perdre ton temps et ton énergie à réparer les dégâts.
• Un lien peut prendre plusieurs formes : texte, image, bouton, icône, code QR, etc.
• L’URL d’un lien est l’adresse web à laquelle on est redirigé quand on clique sur ce lien.
• La partie la plus importante de l’URL à vérifier est le domaine.
• Je te recommande d’utiliser la liste de contrôle ci-dessus pour vérifier une URL.
• Entraîne-toi à le faire systématiquement jusqu’à ce que ça en devienne un réflexe.

Liste de contrôle à imprimer