Checklist d'URL de phishing

Colle un lien suspect, lis le vrai hostname et les indices de domaine racine, décode les redirections imbriquées, note les signaux de phishing et planifie les actions sûres.

Cette checklist d'URL de phishing décortique un lien suspect directement dans ton navigateur, donc rien de ce que tu colles ne quitte la page. La plupart des liens de phishing ont l'air normaux au premier coup d'œil, et c'est tout l'intérêt, alors l'outil lit pour toi le protocole, le hostname, le domaine racine deviné et la chaîne de sous-domaines, puis décode le chemin et les paramètres de requête et déterre toute seconde URL planquée dans une redirection. Il note les signaux d'alerte visibles : hostnames en punycode, mots de marque dans le mauvais domaine, astuces de user-info avant une arobase, shorteners, extensions de téléchargement risquées et ce ton paniqué de sécurité du compte. Rien de tout ça n'est un verdict. Un bon score ne veut pas dire sûr et un score moche n'est pas toujours dangereux, donc il n'ouvre jamais la destination et te remet plutôt une liste d'actions sûres à mener ensuite. Charge les exemples intégrés pour voir à quoi ressemblent un piège de connexion, une astuce de user-info et un lien court.

100% dans votre navigateur. Rien de ce que vous tapez ne quitte cette page.

Checklist d'URL de phishing locale, analyseur de lien, vue décodée et planificateur d'actions sûres

Colle le lien. Avant de cliquer sur quoi que ce soit, laisse cet outil décortiquer le vrai hostname, deviner le domaine racine, dérouler la chaîne de sous-domaines. Il repère aussi les astuces de user-info, les caractères encodés bizarres, les shorteners, les téléchargements de fichiers, et toute URL de redirection planquée à l'intérieur d'une autre. Ensuite, c'est toi qui décides : cliquer, signaler, ou simplement supprimer et passer à autre chose.

URL suspecte

Domaine officiel attendu

D'où vient-il ?

Qu'est-ce qui est en jeu ?

Expéditeur connu ou indice du message

Profondeur de décodage

Mode d'examen

Il n'ouvre jamais la destination, et il ne te promettra jamais qu'un lien est sûr. Vois-le comme une checklist statique. Son seul but, c'est de te faire ralentir et regarder le vrai domaine.

Une checklist d'URL de phishing, c'est un bouton pause, pas un verdict magique

Cette checklist d'URL de phishing tourne directement dans ton navigateur, donc rien de ce que tu colles ne quitte la page. La plupart des liens de phishing ont l'air parfaitement normaux au premier coup d'œil. C'est tout l'intérêt. La page copie une marque en qui tu as confiance, le texte visible ressemble à une adresse banale, et la vraie destination est enterrée quelque part où tu ne regarderas pas : un hostname surchargé, un paramètre de redirection, un lien court, un QR code. Honnêtement, la seule habitude qui m'a sauvé plus que n'importe quel outil, c'est juste de lire le vrai hostname avant de taper le moindre mot de passe ou numéro de carte. Elle décortique le lien sans l'ouvrir, et te montre le protocole, le hostname, le domaine racine deviné, les sous-domaines, le chemin, les paramètres de requête, les couches décodées, plus toute URL imbriquée à l'intérieur. Ensuite elle note les signaux d'alerte visibles : hostnames en punycode, mots de marque posés dans le mauvais domaine, TLD louches, extensions de fichiers qui n'ont rien à faire dans un lien de connexion, ce ton paniqué de sécurité du compte. Rien de tout ça n'est un verdict. Un bon score ne veut pas dire sûr, et un score moche ne veut pas toujours dire dangereux.

Comment examiner un lien suspect

Lis le hostname à l'envers, de droite à gauche. Donc dans login.brand.example-security.test, la partie qui commande vraiment, c'est example-security.test. Pas brand, qui n'est là que pour tromper ton œil. Monte la méfiance à fond dès qu'un lien veut te faire connecter, payer un truc, ouvrir un fichier ou valider une alerte de sécurité. Et s'il prétend venir d'un service que tu utilises vraiment ? Ne suis pas le lien. Tape l'adresse toi-même, ou clique sur l'entrée dans ton gestionnaire de mots de passe.

Ne saisis aucun mot de passe si le lien a surgi de nulle part dans un email, un SMS ou un chat. Attends.
Vérifie le domaine racine, et je parle bien de la vraie partie enregistrée, pas juste du premier mot que tu vois.
Décode les redirections chaque fois qu'un paramètre de requête transporte discrètement une seconde URL.
Utilise un gestionnaire de mots de passe ; sur un faux domaine il reste planté là et refuse de remplir, ce qui en dit déjà long.
Signale les liens pro via la procédure de sécurité de ta boîte. Avant d'y toucher, pas après.

Schémas d'URL de phishing courants

L'astuce de l'arobase est sournoise. Tout ce qui précède le @ a l'air légitime, mais ton navigateur ouvre tranquillement ce qui vient après à la place. Le punycode, c'est l'autre : des caractères internationaux encodés en quelque chose que ton œil survole sans rien voir. Les shorteners se contentent de cacher la vraie destination jusqu'à ce qu'un service de preview la déplie. Et ces chaînes de sous-domaines à rallonge ? Elles enterrent le vrai domaine quelque part au milieu de la chaîne, en espérant que tu arrêtes de lire avant d'y arriver. Les paramètres encodés peuvent planquer une redirection, ou pire, à l'intérieur d'une URL qui a par ailleurs l'air tout à fait ordinaire.

Sources et lectures complémentaires

Questions fréquentes

Cet outil peut-il prouver qu'un lien est sûr ?

Non. Un contrôle clean ne prouve rien, désolé. Un domaine de phishing enregistré il y a une heure peut être impeccable, et un vrai lien de tracking marketing peut ressembler à de la bouillie. Donc traite un bon score comme une invitation à aller vérifier par le canal officiel, jamais comme un feu vert.

L'outil visite-t-il l'URL suspecte ?

Non, et c'est voulu. Il se contente de lire la chaîne en local. Il ne va jamais chercher la page cible. Ça te garde hors de danger et ça veut dire que le serveur de l'attaquant n'apprend même pas que tu as regardé.

Que faire d'un lien à haut risque ?

Quoi que tu fasses, ne clique pas dessus depuis le message d'origine. Prends une capture si tu as besoin d'une preuve, transmets-la à ton fournisseur ou à ton équipe sécurité. Ensuite, si tu as vraiment besoin de vérifier ton compte, ouvre le vrai service toi-même dans un onglet neuf.

Le HTTPS prouve-t-il qu'un site est sûr ?

J'aimerais vraiment que ce soit le cas, mais non. Le petit cadenas dit juste que la connexion est chiffrée. Il ne dit rien sur l'honnêteté des gens qui gèrent le site. Les arnaqueurs récupèrent des certificats gratuits à longueur de journée, donc le cadenas leur revient à peu près gratuit aussi. Juge le domaine et ce qu'il y a sur la page, pas le cadenas.