Les dangers des liens courts

Comment fonctionnent les raccourcisseurs d’URL, comment ils peuvent être utilisés et quelles sont les menaces qu’ils représentent pour la vie privée et la sécurité.

Les liens courts sont omniprésents de nos jours. Bit.ly, ow.ly, t.co, t.me, tinyurl.com et autres font depuis longtemps partie du paysage en ligne. Ils sont si familiers que la plupart des utilisateurs cliquent dessus sans y réfléchir à deux fois. Mais réfléchir n’est jamais une mauvaise chose. C’est pourquoi nous expliquons ci-dessous comment fonctionnent les liens courts et quelles menaces ils peuvent représenter pour la vie privée et la sécurité.

Que se passe-t-il lorsque vous cliquez sur un lien court ?

Lorsque vous cliquez sur un lien court, vous accédez presque directement à l’adresse de destination prévue, qui est celle que le créateur du lien a précisée. Presque, mais pas tout à fait : l’itinéraire réel emprunte un détour rapide par le service de raccourcissement d’URL.

Plus le service est efficace, plus cette opération est courte et plus la transition vers le point final se fait en douceur. Bien sûr, le retard ne paraît insignifiant que pour les utilisateurs. En effet, nous, les êtres humains, sommes plutôt lents. Cependant, dans le cas d’un système électronique, cette durée est largement suffisante pour permettre toutes sortes d’activités, que nous aborderons plus loin.

Pourquoi des liens courts ? La raison principale est une question d’espace : raccourcir un lien long signifie qu’il occupe moins d’espace sur l’écran (pensez aux appareils mobiles) et qu’il ne prend pas trop de caractères (pensez aux messages sur les réseaux sociaux). Hélas, ce n’est pas tout. Les créateurs de liens courts ont leurs propres objectifs en tête, qui ne sont pas nécessairement alignés avec les intérêts des utilisateurs. Parlons-en.

Liens courts et suivi des utilisateurs

Vous êtes-vous déjà demandé pourquoi de nombreux liens Internet sont si longs et inesthétiques ? La raison en est généralement que les liens codent toutes sortes de paramètres permettant de suivre les clics, ce que l’on appelle les balises UTM.

En général, ces balises sont déployées pour déterminer où l’utilisateur a cliqué sur le lien, et donc pour évaluer l’efficacité des campagnes publicitaires, des placements sur les pages des blogueurs, etc. Bien entendu, cette pratique n’est pas motivée par le souci du confort de l’utilisateur, mais par des objectifs de marketing numérique.

Dans la plupart des cas, il s’agit d’une forme de suivi assez inoffensive qui ne collecte pas nécessairement des données sur les personnes qui cliquent sur les liens : souvent, les spécialistes du marketing s’intéressent simplement à la source du trafic. Or, comme cet « emballage » supplémentaire n’est pas très esthétique et que l’URL est souvent excessivement longue, les services de raccourcissement sont souvent mis à contribution.

Ce qui est plus désagréable du point de vue de la vie privée, c’est que les raccourcisseurs d’URL ne se limitent pas à rediriger les utilisateurs vers l’adresse de destination. Ils ont également tendance à recueillir toute une série de statistiques sur les personnes qui cliquent sur les liens. Vos données se retrouvent donc entre les mains non seulement du créateur du lien court, par le biais des balises UTM intégrées, mais aussi des propriétaires du raccourcisseur d’URL. Bien sûr, nous sommes sur Internet, et tout le monde collecte des statistiques, mais l’utilisation d’un lien court introduit un intermédiaire supplémentaire qui détient des données à votre sujet.

Liens malveillants déguisés

En plus de violer votre vie privée, les liens courts peuvent menacer la sécurité de vos appareils et de vos données. Comme nous ne cessons de le répéter : vérifiez toujours soigneusement les liens avant de cliquer dessus. Cependant, les liens courts posent un problème : on ne sait jamais avec certitude où l’on va être redirigé.

Si les cybercriminels utilisent des liens courts, le conseil visant à les vérifier devient inutile : vous ne pouvez savoir où pointe un lien qu’après avoir cliqué dessus. Et à ce moment-là, il peut être déjà trop tard. Si les pirates informatiques exploitent une vulnérabilité sans clic dans le navigateur, l’infection peut se produire dès que vous tombez sur le site malveillant.

Liens courts et redirections dynamiques

Les cybercriminels peuvent également utiliser des outils de raccourcissement de liens pour modifier l’adresse cible au besoin. Supposons que des pirates informatiques achètent une base de données de millions d’adresses email et l’utilisent pour diffuser des messages de phishing, en y ajoutant un lien, bien entendu. Or, voilà le problème (pour les pirates informatiques) : le site de phishing qu’ils ont créé a rapidement été découvert et bloqué. Le fait de le réhéberger à une autre adresse ne pose pas vraiment de problème, mais il faudrait alors renvoyer tous les messages de phishing.

La solution consiste à utiliser un service de « shimming », qui permet de changer rapidement l’URL vers laquelle les utilisateurs seront redirigés. Et ce service de « shimming » peut être assuré par des raccourcisseurs d’URL, y compris ceux qui ont été créés à l’origine avec des intentions malveillantes.

Cette approche permet d’ajouter un lien vers le service de shimming à l’email de phishing et ainsi de rediriger les victimes vers le site malveillant à l’adresse des escrocs momentanément active. Il arrive souvent que des redirections multiples soient utilisées pour brouiller encore plus les pistes. Et si le site de phishing de destination est bloqué, les cybercriminels l’hébergent simplement à une nouvelle adresse, modifient le lien dans le service de shimming, et l’attaque se poursuit.

Attaques dites de l’homme du milieu

Certains outils de raccourcissement de liens, comme Sniply, offrent aux utilisateurs plus que des liens plus courts. Ils permettent de suivre les actions des utilisateurs redirigés sur le site de destination réel, ce qui revient en fait à mener une attaque de l’homme du milieu : le trafic passe par un nœud de service intermédiaire qui surveille toutes les données échangées entre l’utilisateur et le site de destination. Ainsi, le raccourcisseur d’URL peut intercepter tout ce qu’il veut : identifiants, messages de réseaux sociaux, etc.

Espionnage personnel

Dans la plupart des cas, les liens courts destinés à une utilisation massive sont placés dans des publications sur les réseaux sociaux ou sur des pages Internet. Cependant, les risques sont plus élevés si l’un d’entre eux vous a été envoyé personnellement – dans une messagerie ou un email à votre adresse personnelle ou professionnelle. À l’aide de tels liens, un pirate informatique qui dispose déjà de certaines informations à votre sujet peut vous rediriger vers un site de phishing où vos données personnelles sont préremplies. Par exemple, vers une copie d’un site bancaire avec un identifiant valide et une demande de saisie de votre mot de passe, ou vers la « passerelle de paiement » d’un service quelconque où votre numéro de carte bancaire est prérempli et où vous êtes invité à saisir un code de sécurité.

De plus, ces liens peuvent être utilisés à des fins de doxing et d’autres types de suivi, surtout si le service de raccourcissement d’URL offre des fonctionnalités avancées. Par exemple, notre récent article sur la protection de la vie privée sur Twitch a examiné en détail les moyens de désanonymiser les streamers et les façons de contrer ces méthodes.

 

Comment se protéger

Que faire ? Nous pourrions conseiller de ne jamais cliquer sur les liens courts, mais dans la grande majorité des cas, les raccourcisseurs d’URL sont utilisés à des fins tout à fait valables, et les liens courts sont devenus si courants qu’il n’est pas vraiment possible de les éviter totalement. Cela dit, nous vous recommandons de prêter une attention particulière aux liens courts qui vous sont envoyés dans les messages privés et les emails. Vous pouvez inspecter ces liens avant de cliquer dessus en les copiant et en les collant dans un outil de vérification de liens courts, comme GetLinkInfo ou UnshortenIt.

Il existe cependant une méthode plus simple : une solution de sécurité de qualité intégrant une approche qui assure à la fois la protection de la vie privée et la sécurité. Par exemple, notre solution Kaspersky Premium dispose d’un module de navigation privée qui bloque la plupart des systèmes de suivi en ligne connus et empêche ainsi que vos activités en ligne soient surveillées.

Nos produits offrent également une protection contre la fraude en ligne et le phishing. Kaspersky Premium vous avertira à temps avant que vous tombiez sur un site dangereux, même si le lien a été raccourci. Et, bien sûr, l’antivirus vous protégera contre toute tentative d’infection de vos appareils, y compris celles qui exploitent des vulnérabilités encore inconnues.

Conseils