Les URL raccourcies ont été popularisées avec Twitter, pour proposer des adresses web (liens), sans consommer de trop nombreux caractères. Revers de la médaille : difficile d’identifier le site de destination sans cliquer sur le lien. C’est la raison pour laquelle des cyberescrocs se servent d’URL raccourcies pour dissimuler des liens malveillants. Voici comment les démasquer.
Les différents services d’URL raccourcies (bit.ly, goo.gl, TinyURL, etc.) sont très utiles pour tous les internautes qui proposent des liens, mais qui n’ont pas beaucoup de place pour le faire. Le meilleur exemple est Twitter, dont les messages sont limités à 140 caractères : si un lien vers une adresse web (URL) est déjà composée de 80 caractères, il reste peu de place pour le texte !
Les URL raccourcies (short URL) convertissent ces liens en des adresses beaucoup plus courtes. Par exemple, l’URL http://panoptinet.com/securiser-ma-connexion/documentation-technique/la-configuration-du-wi-fi-orange peut être raccourcie ainsi : http://bit.ly/Q4Gpf6. Pratique, non ?
La face cachée des URL raccourcies
Le problème des short URL, c’est qu’elles masquent le site de destination, et notamment son nom de domaine (ex : panoptinet.com). Rapidement, des cyberescrocs ont donc détourné les short URL pour propager sur Internet (et notamment sur Twitter) des liens menant à des sites frauduleux : hameçonnage, téléchargement automatique de malwares, etc.
Le seul moyen d’éviter cela, c’est de connaître la destination d’une short URL avant de cliquer dessus.
Comment démasquer les short URL malveillantes
Unshorten.com est un site web sur lequel il suffit de copier-coller une URL raccourcie pour en connaître l’adresse exacte, et éventuellement dépister un lien malicieux.
Sur son blog, Korben propose également le téléchargement d’un script Greasemonkey (extension pour le navigateur web Firefox), qui décode en direct la plupart des URL raccourcies.
Comparées aux adresses web à rallonge, les URL raccourcies, c’est mieux. Mais le mieux est parfois l’ennemi du bien !
Image : Flickr / Extrajection / CC BY-NC-ND 2.0