Pourquoi vérifier une URL peut vous sauver d'une arnaque
Le clic sur un lien malveillant est le point de départ de 90 % des attaques de phishing. Un seul clic peut vous rediriger vers un faux site bancaire, déclencher le téléchargement d'un malware ou transmettre vos identifiants à un escroc.
La bonne nouvelle : en apprenant à lire et analyser une URL, vous pouvez détecter la quasi-totalité des liens frauduleux avant même de cliquer. Ce guide technique vous apprend à décrypter la structure d'une URL et à repérer les pièges les plus courants.
Comprendre la structure d'une URL
Une URL (Uniform Resource Locator) se décompose en plusieurs parties. Prenons un exemple :
https://www.mabanque.fr/espace-client/comptes
| Partie | Élément | Rôle | |---|---|---| | Protocole | https:// | Indique une connexion sécurisée (chiffrée) | | Sous-domaine | www | Préfixe optionnel du domaine | | Domaine | mabanque | Le nom du site (la partie la plus importante) | | Extension | .fr | Le domaine de premier niveau (TLD) | | Chemin | /espace-client/comptes | La page spécifique consultée |
La règle d'or : identifier le vrai domaine
Le vrai nom de domaine est toujours situé juste avant l'extension (.fr, .com, .org, etc.). C'est la partie la plus critique à vérifier.
Exemples pour comprendre :
https://www.amazon.fr/commandes: le domaine est amazon.fr (légitime)https://amazon.fr.commandes-suivi.com/: le domaine est commandes-suivi.com (frauduleux !)https://connexion.mabanque.fr/login: le domaine est mabanque.fr (légitime, "connexion" est un sous-domaine)https://mabanque.securite-compte.fr/login: le domaine est securite-compte.fr (frauduleux !)
Méthode simple : repérez le dernier point avant le premier slash /. Tout ce qui est entre le point précédent et ce dernier point est le vrai domaine.
Les techniques de tromperie les plus courantes
1. Le sous-domaine trompeur
L'escroc place le nom de la marque légitime comme sous-domaine d'un domaine qu'il contrôle :
https://impots.gouv.fr.connexion-secure.com/: le domaine est connexion-secure.com, pas gouv.frhttps://ameli.fr.mon-espace-sante.net/: le domaine est mon-espace-sante.net, pas ameli.frhttps://paypal.com.verification-compte.org/: le domaine est verification-compte.org, pas paypal.com
C'est la technique la plus utilisée car elle trompe efficacement les utilisateurs pressés qui ne lisent que le début de l'URL.
2. Le typosquatting (faute de frappe)
L'escroc enregistre un domaine qui ressemble au vrai avec une légère modification :
| Domaine légitime | Domaine frauduleux | Différence | |---|---|---| | amazon.fr | amaz0n.fr | "o" remplacé par "0" | | google.com | gooogle.com | Triple "o" | | paypal.com | paypa1.com | "l" remplacé par "1" | | impots.gouv.fr | impots.gouvv.fr | Double "v" | | labanquepostale.fr | labanquep0stale.fr | "o" remplacé par "0" |
3. L'homographie (caractères similaires)
Des caractères d'alphabets étrangers ressemblent visuellement aux lettres latines :
- Le "а" cyrillique ressemble au "a" latin
- Le "о" cyrillique ressemble au "o" latin
- Le "е" cyrillique ressemble au "e" latin
Ainsi, https://аmazon.com (avec un "a" cyrillique) mène vers un site complètement différent de https://amazon.com.
Comment se protéger : les navigateurs modernes affichent ces domaines en Punycode (xn--...) quand ils détectent des caractères mixtes. Soyez vigilant si une URL affiche ce format.
4. L'URL raccourcie
Les services comme bit.ly, tinyurl.com ou t.co masquent complètement l'URL de destination :
https://bit.ly/3xK7mP2: impossible de savoir où mène ce lien sans le développerhttps://tinyurl.com/abc123: même problème
Comment vérifier une URL raccourcie :
- CheckShortURL.com : collez l'URL raccourcie pour voir la destination
- Unshorten.it : service similaire
- Ajoutez un + à la fin d'un lien bit.ly (ex: bit.ly/3xK7mP2+) pour voir les statistiques et la destination
5. Le lien masqué dans le texte
Dans un email, le texte affiché peut être différent de l'URL réelle :
Le texte dit : "Cliquez sur www.mabanque.fr/connexion"
Mais le lien réel pointe vers : http://site-frauduleux.com/phishing
Comment vérifier : survolez le lien avec votre souris sans cliquer. L'URL réelle apparaît en bas à gauche de votre navigateur ou dans une bulle d'information.
6. Le protocole HTTP (sans le S)
Un site en http:// (sans le "s") n'utilise pas de connexion chiffrée. Vos données transitent en clair.
- https:// : connexion chiffrée (cadenas visible)
- http:// : connexion non chiffrée (avertissement dans le navigateur)
Attention : le HTTPS ne garantit pas que le site est légitime. Un site de phishing peut aussi avoir un certificat HTTPS. C'est un indicateur nécessaire mais pas suffisant.
Guide pratique : vérifier une URL en 5 étapes
Étape 1 : Ne pas cliquer directement
Recevez-vous un lien par email, SMS ou message ? Ne cliquez pas directement. Prenez le temps de l'analyser.
Étape 2 : Survoler pour révéler
Sur ordinateur, survolez le lien avec votre souris. Sur mobile, faites un appui long sur le lien pour voir l'URL réelle sans l'ouvrir.
Étape 3 : Identifier le vrai domaine
Appliquez la méthode décrite plus haut :
- Trouvez l'extension (.fr, .com, .org, etc.)
- Le mot juste avant l'extension est le vrai domaine
- Vérifiez que ce domaine correspond bien au site attendu
Étape 4 : Utiliser un outil de vérification
Si vous avez un doute, utilisez un de ces outils gratuits avant de cliquer :
| Outil | URL | Fonction | |---|---|---| | VirusTotal | virustotal.com | Analyse l'URL avec 70+ antivirus | | URLVoid | urlvoid.com | Vérifie la réputation du domaine | | Google Safe Browsing | transparencyreport.google.com | Base de données Google des sites dangereux | | PhishTank | phishtank.org | Base communautaire de sites de phishing | | Whois | whois.domaintools.com | Informations sur le propriétaire du domaine |
Étape 5 : Accéder au site par vos propres moyens
Si le message prétend venir de votre banque, des impôts ou d'un service connu, ne cliquez pas sur le lien. Ouvrez plutôt votre navigateur et tapez manuellement l'adresse du site officiel, ou utilisez vos favoris enregistrés.
Cas pratiques : analysons des URL suspectes
Cas 1 : Email de la "banque"
URL reçue : https://credit-agricole.fr.secure-login.com/auth
Analyse :
- Extension : .com
- Domaine réel : secure-login.com (frauduleux)
- "credit-agricole.fr" est un sous-domaine trompeur
- Verdict : PHISHING
Cas 2 : SMS de livraison
URL reçue : https://suivi.laposte.net.tracking-colis.info/LP829374
Analyse :
- Extension : .info
- Domaine réel : tracking-colis.info (frauduleux)
- "suivi.laposte.net" est un sous-domaine trompeur
- Verdict : PHISHING
Cas 3 : Lien raccourci
URL reçue : https://bit.ly/remboursement-impots
Analyse :
- Impossible de connaître la destination sans outil
- Les impôts n'utilisent pas de liens raccourcis
- Verdict : SUSPECT - vérifier avec CheckShortURL avant tout
Cas 4 : Site gouvernemental
URL reçue : https://www.service-public.fr/particuliers/vosdroits
Analyse :
- Extension : .fr
- Domaine réel : service-public.fr (légitime, domaine officiel du gouvernement)
- Protocole HTTPS présent
- Verdict : LÉGITIME
Les réflexes à adopter au quotidien
- Ne cliquez jamais sur un lien reçu par email ou SMS sans l'avoir vérifié
- Tapez manuellement les adresses des sites importants (banque, impôts, santé)
- Enregistrez vos sites fréquents dans vos favoris
- Mettez à jour votre navigateur qui intègre des protections anti-phishing
- Installez une extension de sécurité (uBlock Origin, Netcraft, Malwarebytes Browser Guard)
- Formez vos proches : montrez-leur comment lire une URL
Conclusion : lire une URL est une compétence essentielle
Savoir analyser une URL est devenu une compétence de survie numérique. Les escrocs misent sur la vitesse et l'inattention : en prenant quelques secondes pour vérifier un lien avant de cliquer, vous bloquez la quasi-totalité des tentatives de phishing.
Retenez cette règle simple : le vrai domaine est juste avant l'extension. Tout ce qui vient avant est un sous-domaine qui peut être n'importe quoi. Si vous avez le moindre doute, ne cliquez pas et accédez au site par vos propres moyens.