Extrait de l'émission CPU release Ex0226 : L'adresse était trop longue.
Avec la popularisation d'internet et du web, l'URL est passée d'une information technique à un détail quasi insignifiant tous les jours. Et c'est cette apparente insignifiance qui a permis des abus, allant des commerçants jaloux de marques mieux placées qu'eux, à la contrefaçon, au vol de données jusqu'à l'espionnage économique ou étatique.
L'URL est une technologie ouverte à tous, sujette à de nombreux hacks, et hélas combinée avec l'exploitation psychologique, elle peut induire à des usages malicieux donc à des escroqueries. Entre le cybersquatting, le déchiffrement difficile pour un novice d'éléments techniques, les homoglyphes du punycode, les possibilités de piéger sont très nombreuses.
Vous avez peut-être compris pourquoi il n'est pas inutile de comprendre comment fonctionne une URL : parce que des personnes mal intentionnées vont utiliser cette connaissance contre vous.
Les détournements d'URL pour arnaques profitent parfois de circonstances bien plus simples, et là aussi, on ne peut que regarder les utilisateurs d'un air navré… Et avoir de la compassion ! En toute honnêteté, nous devons reconnaître que parfois, on aurait pu se faire avoir, marcher dedans si nous n'avions pas fait plus attention. Et c'est là que connaître comment fonctionne chaque élément d'une URL permet de découvrir comment et pourquoi on peut se faire berner, d'où l'intérêt d'informer sur ce qu'est qu'une URL, son usage et ses astuces cachées.
Car si nous arrivons à faire découvrir à des personnes profanes quelques éléments techniques de l'URL, et à les leur faire comprendre, peut-être seront-elles suffisamment avisées pour ne pas retomber dans un piège qui peut sembler tellement grossier, pour nous les gens supposés avertis.
Par exemple, l'une des arnaques récentes via une URL utilise la déclaration d'utilisateur de l'autorité, qui se place avant le nom de domaine. Vous savez, c'est de la forme https://utilisateur@nom.de.domaine, donc le mot utilisateur
.
Vous n'imaginez pas le nombre de gens qui s'arrêtent à l'arobase, dès qu'ils croient reconnaitre un nom de domaine familier comme sncf.fr
ou impots.gouv.fr
; ils cliquent dessus et se retrouvent sans s'en rendre compte sur un site web qui a le goût de, mais qui n'est absolument pas ce qu'il prétend être, un piège où les personnes leurrées vont en bonne conscience donner leur numéro de carte bancaire.
Et là, c'est jackpot pour les escrocs. Un hameçonnage aux coordonnées personnelles ou bancaires en toute quiétude.
Comme l'a révélé Sébastien Gavois du site Next.ink fin 2023, Firefox est le seul navigateur à demander confirmation avant de suivre effectivement l'URL en cas de présence de la notion d'utilisateur. Mais cette option ne marche que si le site n'a effectivement pas besoin d'un identifiant, donc très rapidement, cette protection va être contournée, et le navigateur Firefox n'est utilisé que par moins de 5% des internautes.
Certains spécialistes disent qu'une des vérifications à faire est le certificat signé du nom de domaine, celui qui permet de chiffrer le protocole en https://. Après tests, personne, je dis bien personne dans les milieux pourtant avertis n'y prête attention, car là aussi, la déclaration d'identité n'est pas vraiment vérifiée, et milles fois bidonnables. Et vu que les informations n'y sont pas toujours claires pour le profane… ledit profane va-t-il le faire pour chaque site ?
D'autres proposent des solutions à base de blockchain, ou encore d'une vérification par IA, les bons vieux filtres heuristiques des antivirus, mais soit l'information est trop complexe pour un simple utilisateur, soit il en est vite saturé, soit les faux-positifs ruinent l'intention, soit le manque de sérieux de certains opérateurs ruinent la fiabilité de l'ensemble de la chaîne.
Et puis les pratiques des grandes entreprises n'aident pas. Regardez les différents noms de domaines utilisés par une grande banque française, kit de paiement inclus… c'est autant la foire que les noms de domaines des administrations françaises : y'en a trop.
Y'a aucune cohérence, c'est dispersé façon puzzle sur tous leurs prestataires, et en utilisant les outils techniques comme WHOIS sur le nom de domaine,… on n'est pas plus avancés !
Et dès qu'il y a du flou, il devient trop facile de leurrer quelqu'un.
Textes : Da Scritch
Illustration : banque interne, illustration pour émission Ex0094