Votre nom :
Votre email :
Email du destinataire :

Décrypter une URL et se protéger contre les arnaques

Décrypter une URL

Le lien entre un utilisateur et une page web est une URL (Uniform Resource Locator). C’est le chemin qui vous conduira à la page que vous souhaitez consulter parmi les milliards de pages qui se trouvent sur Internet. Une URL est normée, c’est un code qu’il vous faut comprendre pour déjouer plus facilement les pièges tendus par les arnaqueurs du web.

Une arnaque très courante consiste à vous envoyer le lien vers une page web qui ressemble à s’y méprendre à celle de votre banque. On vous laisse saisir vos informations bancaires pour, à la fin, afficher un message d’erreur indiquant, par exemple, que le site est indisponible. Entre temps, l’arnaqueur à obtenu vos codes et peut les utiliser pour se connecter au véritable site Internet de la banque.

A quoi ca sert ?

Pour vous aider à faire la différence entre une fausse URL et une vraie, nous allons commencer par démystifier l’URL.

En deux mots, une URL est une carte routière pour s’orienter sur les autoroutes de l’information. Sauf qu’il n’y a qu’une seule route, ce qui évite de se tromper…

Elle indique, dans l’ordre : quel véhicule il faut utiliser, dans quelle ville, quelle région et quel pays il faut aller. Dans la ville, quelle rue et à quel numéro vous devez vous arrêter.

Un exemple :

https://panoptinet.com/securiser-ma-connexion/fiches-theoriques/osi-transport-interconnexion.html

Décomposons cette URL :

  • https est le véhicule à utiliser. Certaines routes ne peuvent être empruntées qu’avec un certain type de véhicule. Ici vous ne pouvez y aller que si vous êtes capable de sécuriser la connexion.
  • l’URL panoptinet.com peut être comparé à l’expression « je vais à Rennes, en France, en Europe », cela signifie que vous devez d’abord vous rendre en Europe, puis chercher la France, puis trouver Rennes. En effet, un nom de domaine s’interprète à l’envers (com.panoptinet.www). Dans le langage des réseaux, vous allez donc chercher dans le groupe com (les entités commerciales), le domaine panoptinet. Dans ce domaine, vous allez vous adresser à la machine qui s’appelle www. (Même si c’est ainsi que cela a été pensé initialement, aujourd’hui www ne désigne plus physiquement une machine mais une entité logique dans un domaine, tout étant virtualisé).
  • Securiser-ma-connexion/fiches-theoriques/ représente le nom de la rue dans laquelle vous devez vous rendre. La page d’accueil d’un site est « / », cela pourrait signifier « au centre de la ville », ou bien « à l’entrée de la ville ».
  • Osi-transport-interconnexion.html est la destination finale.

Ok, et ensuite ?

Si vous appliquez cette analogie à l’exemple de la banque, avec l’URL factice suivante : <pre>http://www.creditagricole.monsite.com/login.aspx</pre>, voici comment vous devriez interpréter cette URL :

  • Prenez votre voiture non sécurisée
  • Rendez-vous dans la zone com
  • Rendez-vous dans le pays monsite
  • Rendez-vous dans la ville www.creditagricole
  • Rendez-vous dans la première rue (ou au centre de la ville)
  • Arrêtez-vous devant la maison login.aspx

Dès lors vous voyez quel est le problème : vous pensiez aller dans le pays creditagricole et vous vous retrouvez dans le pays monsite… Vous vous êtes trompé de route, ou plutôt on vous a trompé !

Et les certificats SSL ?

Les certificats SSL sont faits d’une part pour protéger les échanges en empêchant l’interception des données (en réalité, cela rend incompréhensible les données interceptées), et d’autre part pour permettre d’identifier clairement la cible.

Malheureusement ils sont difficiles d’accès et peu clairs… Nous allons tout de même tenter d’éclaircir un peu ce sujet.

Un certificat SSL est composé de plusieurs éléments très importants et de natures différentes :

  • une clé publique pour le chiffrement asymétrique des échanges entre le navigateur et le serveur,
  • une indication sur l’origine du certificat (son propriétaire, à quel domaine il s’applique),
  • la, ou les autorités qui ont permis d’établir et qui garantissent l’authenticité de ce certificat. Il s’agit en réalité d’une chaine de certificats, chaque maillon validant le suivant.

Dans votre navigateur vous avez (presque) toujours accès au certificat grâce à un cadenas situé, normalement, juste à côté de l’URL.

Barre d'adresse avec le cadenas SSL
Barre d’adresse de Safari avec le cadenas SSL

Si vous cliquez sur le cadenas, vous obtenez une synthèse des informations du certificat.

Information synthétique sur un certificat SSL

Vous pouvez d’ores et déjà identifier que le certificat est lié à la machine panoptinet.com. Nous sommes bien à l’endroit souhaité. Cependant, allons voir plus en détail le certificat :

Détail d'un certificat SSL (sujet)

La section Sujet affiche la même information que la vue synthétique présentée plus haut.

Si l’on continue à lire les détails du certificat, dans la section « Nom alternatif du sujet (2.5.29.17), nous trouvons des informations plus précises :

Détail du certificat SSL, Nom alternatif du sujet

Ici, nous retrouvons sur chaque ligne le nom du site Panoptinet et le nom de domaine panoptinet.com.

Dans les cas de malveillance, l’URL www.creditagricole.monsite.com utiliserait un certificat qui indiquerait ceci :

Nom DNS www.creditagricole.monsite.com
Nom DNS monsite.com

Vous constatez que sur la dernière ligne qui indique le nom principal du domaine, il n’est même plus question de Crédit Agricole !

Maintenant vous savez beaucoup de choses, avec un peu d’entrainement sur des sites que vous avez l’habitude de fréquenter, vous deviendrez très vite très suspicieux dès que quelque chose sortira de l’ordinaire.

Et souvenez-vous de ceci : si vous avez un doute ne prenez pas de risque ! Si cela vous semble important, prenez votre téléphone ou envoyez un email pour vérifier.

Ni votre banque ni aucun organisme ne vous demandera de saisir votre numéro de carte bancaire sur Internet, ni de lui fournir vos codes d’accès.

Suggestions de contenu lié à cet article
TAGS arnaquebancairebanquecartecarte bancaireCBcertificatcertificat SSLcybercybersécuritéhameçonnagepagephishingrançongicielsécuritéSSLURLweb

Aucun commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«C'est pas faux»

Dans le texte ci dessus, c'est pas quoi ?'

Votre réponse :

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.