On reçoit tous des courriels avec des liens. Parfois on est certains que c’est valide basé sur la confiance d’autre fois on doute. Et ce doute est sain, parce que les liens malveillants sont aujourd’hui la première porte d’entrée des attaque.
Voici comment vérifier un lien avant de cliquer, selon ce qu’on cherche à détecter.
Étape 0 : regarder le lien sans cliquer
Avant tout outil, la première défense est visuelle.
Sur ordinateur : passez la souris sur le lien sans cliquer. L’URL réelle s’affiche en bas à gauche de votre navigateur ou dans votre client courriel. Ce que vous lisez dans le texte du courriel (“Cliquez ici” ou “www.votre-banque.com ») peut être entièrement différent de l’URL réelle.
Ce qu’il faut vérifier à l’oeil :
- Le domaine de base :
votre-banque.comest très différent devotre-banque.connexion-securisee.xyz. Le vrai domaine, c’est ce qui précède immédiatement le.com,.ca,.net, etc. - Le typosquatting :
paypa1.com(avec un 1),rbc-canada.net,microsoft-support.com. Des variations subtiles conçues pour tromper l’oeil. - Les liens raccourcis (bit.ly, tinyurl, t.co) : ils cachent la destination réelle. Ne cliquez jamais dessus sans avoir déplié l’URL d’abord.
Pour dépiler un lien raccourci sans cliquer : unshorten.it ou expandurl.net Collez l’URL courte, et vous voyez la destination réelle.
Pour détecter les malwares et les virus : VirusTotal
VirusTotal.com analyse l’URL avec 90+ moteurs antivirus simultanément. Si le lien mène vers un fichier malveillant ou un site connu pour distribuer des logiciels malveillants, vous le saurez en 10 secondes.
Utilisation : copiez l’URL, collez-la dans VirusTotal, lancez l’analyse. Un résultat “0/90” (aucun moteur ne détecte rien) est rassurant, mais pas une garantie absolue pour le phishing, c’est la limite de cet outil.
Pour détecter le phishing : les bons outils
Le phishing, c’est une fausse page qui imite une vraie (votre banque, Microsoft, le gouvernement, Poste Canada) pour voler vos identifiants ou vos informations personnelles. Aucun virus, aucun logiciel malveillant, juste une interface convaincante et un formulaire qui envoie vos données aux attaquants.
Voici les outils spécialisés :
1. URLScan.io — le plus puissant
C’est l’outil le plus utile de cette liste. URLScan visite le lien dans un environnement isolé (sandbox), fait une capture d’écran de la page, analyse le code, les ressources chargées, les redirections, et vous donne un rapport complet.
Vous pouvez voir visuellement à quoi ressemble la page sans jamais y aller. Si le site imite votre banque, vous le verrez immédiatement. Si la page redirige vers autre chose, vous le saurez.
Attention : par défaut, les scans sont publics. Si vous analysez un lien sensible d’un courriel interne d’entreprise, utilisez un scan privé (nécessite un compte gratuit).
2. Google Safe Browsing — rapide et fiable
transparencyreport.google.com/safe-browsing/search
Google maintient une liste noire des sites de phishing et de malware mise à jour en continu. Collez l’URL, et Google vous dit si elle est signalée. Simple, rapide, efficace pour les sites déjà connus.
C’est d’ailleurs ce que votre navigateur (Chrome, Firefox, Safari) vérifie automatiquement à chaque page visitée. Mais vous pouvez le faire manuellement avant de cliquer.
3. PhishTank — la base communautaire du phishing
PhishTank est une base de données collaborative : des milliers de bénévoles soumettent et vérifient des URLs de phishing. Si quelqu’un d’autre a déjà reçu le même lien douteux, il est probablement ici.
Très utile pour les campagnes de phishing à grand volume (faux courriels de Postes Canada, de l’ARC, des banques), moins utile pour les attaques ciblées récentes.
4. CheckPhish.ai — l’IA appliquée au phishing
Un outil plus récent qui utilise l’intelligence artificielle pour détecter les pages de phishing, même inconnues. Il analyse la structure visuelle et le contenu de la page pour déterminer si elle imite une marque connue. Bon complément à URLScan pour les sites très récents.
La méthode en pratique : 60 secondes, 3 étapes
- Regardez l’URL sans cliquer. Le domaine de base a-t-il du sens? Est-ce que vous reconnaissiez vraiment l’expéditeur?
- Collez l’URL dans URLScan.io. Regardez la capture d’écran. Est-ce que la page ressemble à ce qu’on vous promet? Y a-t-il des redirections suspectes?
- Si le doute persiste, passez-la aussi dans VirusTotal et Google Safe Browsing.
Ce qu’aucun outil ne remplacera
La règle d’or qui survit à toutes les technologies :
Si on vous demande vos identifiants, votre mot de passe, votre numéro de carte ou des informations personnelles via un lien reçu par courriel — n’allez pas sur ce lien. Allez directement sur le site officiel en tapant l’adresse vous-même.
Votre banque ne vous enverra jamais un lien en vous demandant de “valider votre compte dans les 24 heures”. L’ARC n’envoie pas de courriels avec des liens cliquables. Ces manières de faire sont des signaux d’alarme, peu importe à quel point le courriel semble légitime.
Votre meilleure protection est de rester septique !
