Vérificateur de liens suspects et phishing

Pourquoi vérifier les URLs suspectes ?

Le phishing par URL reste le vecteur d'attaque numéro 1 par email. Selon l'Anti-Phishing Working Group (APWG), plus de 4,7 millions d'attaques de phishing ont été enregistrées en 2023, un record historique. Le rapport Verizon DBIR 2024 confirme : 36 % des violations de données impliquent du phishing.

Le principe est simple. Les cybercriminels créent des pages imitant des services légitimes (banques, réseaux sociaux, webmails) pour voler des identifiants. Ces liens circulent par email, SMS et réseaux sociaux. La durée de vie moyenne d'une URL de phishing est inférieure à 24 heures, ce qui rend la vérification en temps réel indispensable.

Trois raisons de vérifier un lien avant de cliquer :

• Protection personnelle : Un seul lien piégé dans un email suffit à capturer vos identifiants bancaires ou email en moins de 10 secondes
• Protection de votre organisation : 91 % des cyberattaques ciblées commencent par un email de phishing (Trend Micro). Un clic compromet le réseau entier
• Vérification proactive : Si vous gérez un site web, vérifiez que votre domaine n'est pas faussement signalé (faux positif) dans les bases de menaces

Comment utiliser le phishing URL checker en 3 étapes

Étape 1 : Saisir l'URL suspecte

Collez l'URL complète dans le champ de saisie. L'outil accepte trois formats :

• URL complète : https://suspicious-site.com/login
• Domaine nu : suspicious-site.com
• Adresse IP : 192.168.1.1

L'URL est automatiquement normalisée (suppression des espaces, lowercase, suppression du fragment).

Étape 2 : Lancer la vérification

Cliquez sur Vérifier. L'outil interroge en parallèle jusqu'à 4 sources de threat intelligence. Chaque source est interrogée indépendamment avec son propre timeout.

Étape 3 : Analyser le rapport

Le rapport affiche :

• Verdict global : Propre, Suspect, Malveillant ou Indéterminé
• Score de risque : De 0 (aucun risque) à 100 (critique)
• Détails par source : Statut, types de menaces, temps de réponse
• Diagnostics : Erreurs, avertissements et informations sur la couverture

Comment fonctionnent les bases de threat intelligence ?

Les bases de threat intelligence sont des répertoires de menaces connus. Elles sont alimentées par quatre canaux principaux : signalements utilisateurs, analyse automatisée de malware (sandboxing), honeypots et partenariats avec les fournisseurs de sécurité. Leur valeur dépend de la vitesse de mise à jour et du taux de faux positifs.

L'interrogation croisée de ces quatre sources réduit les angles morts. URLhaus détecte les nouvelles campagnes de malware avant les bases plus lentes. Google Safe Browsing offre la couverture la plus étendue avec un taux de faux positifs très faible. PhishTank apporte la validation humaine. VirusTotal fournit un consensus multi-moteurs.

Calcul du score de risque

Le score de risque va de 0 à 100. Il est calculé en pondérant le verdict de chaque source selon sa fiabilité historique et son taux de faux positifs :

Le score minimum est de 20 dès qu'une source signale l'URL. Le maximum atteint 100 quand toutes les sources convergent. Un score élevé ne signifie pas nécessairement un danger immédiat, mais il justifie une vigilance maximale.

Cas d'usage concrets

Cas 1 : Email de phishing bancaire

Symptôme : Vous recevez un email de votre "banque" vous demandant de vérifier votre compte via un lien. L'urgence du message est un signal d'alerte classique.

Diagnostic : Collez l'URL dans l'outil. Si Google Safe Browsing et PhishTank la signalent, le score atteint au minimum 55 (niveau élevé). Les types de menaces "phishing" et "social_engineering" apparaissent dans le rapport.

Action :

1. Ne cliquez pas sur le lien
2. Signalez l'email comme phishing à votre fournisseur email
3. Accédez au site de votre banque directement en tapant l'adresse dans votre navigateur
4. Changez votre mot de passe si vous avez cliqué avant de vérifier

Cas 2 : Lien raccourci dans un SMS

Symptôme : Un SMS contient un lien raccourci (bit.ly, tinyurl) vous demandant de "mettre à jour votre colis". Ce scénario représente 35 % des tentatives de smishing selon Proofpoint.

Diagnostic : Développez d'abord le lien raccourci avec un outil de dépliage d'URL (unshorten.it, checkshorturl.com). Puis vérifiez l'URL finale dans notre outil.

Action :

1. Si l'URL finale est signalée, supprimez le SMS immédiatement
2. Bloquez le numéro expéditeur
3. Rappel : les services de livraison légitimes ne demandent jamais de paiement par SMS

Cas 3 : Faux positif sur votre domaine

Symptôme : Votre site affiche un avertissement "Site dangereux" dans Chrome ou Firefox, mais vous n'hébergez rien de malveillant. Ce problème touche des milliers de sites légitimes chaque année.

Diagnostic : Vérifiez votre domaine dans l'outil pour identifier quelle source vous signale. Consultez le lien de référence fourni dans les résultats pour comprendre la raison du signalement.

Action :

1. Identifiez la source qui signale votre domaine dans le rapport
2. Suivez le lien de référence pour comprendre le motif
3. Contactez la source pour demander un retrait (delist request)
4. Vérifiez qu'aucun contenu injecté (hack, redirect, iframe malveillant) n'existe sur votre site
5. Utilisez Google Search Console pour demander un réexamen si Google Safe Browsing est en cause

FAQ - Questions fréquentes

Q : Comment vérifier si un lien est du phishing ?

R : Collez l'URL suspecte dans le champ de saisie et cliquez sur Vérifier. L'outil interroge 4 bases de threat intelligence en parallèle. Vous obtenez un verdict clair (propre, suspect, malveillant) et un score de risque de 0 à 100 en quelques secondes.

Q : Quelles sont les sources de données utilisées ?

R : Quatre sources complémentaires sont interrogées. URLhaus (abuse.ch) couvre le malware et les botnets. Google Safe Browsing détecte le phishing et les logiciels indésirables sur 5 milliards d'appareils. PhishTank apporte la vérification communautaire du phishing. VirusTotal agrège plus de 70 moteurs antivirus pour un verdict consensus.

Q : Le résultat est-il fiable à 100 % ?

R : Aucun outil ne garantit une détection à 100 %. La durée de vie moyenne d'une URL de phishing est inférieure à 24 heures. Un résultat "propre" signifie qu'aucune source ne signale l'URL au moment de la vérification. Des URLs malveillantes nouvellement créées ne sont pas encore référencées. Croisez toujours avec d'autres indices (expéditeur, urgence du message, fautes d'orthographe).

Q : Puis-je vérifier un domaine sans URL complète ?

R : Oui. Entrez le nom de domaine nu (ex : example.com) ou une adresse IP. L'outil détecte automatiquement le format d'entrée et interroge les sources compatibles avec ce type de requête.

Q : Que signifie le score de risque ?

R : Le score de 0 à 100 pondère les résultats selon la fiabilité de chaque source. Google Safe Browsing contribue 40 points, VirusTotal 30, URLhaus 20, PhishTank 15. Un score de 0 signifie aucune alerte. Au-dessus de 60, la menace est confirmée par au moins une source fiable. Au-dessus de 85, le niveau est critique avec consensus multi-sources.

Q : Que faire si le résultat est "malveillant" ?

R : Ne cliquez pas sur le lien. Si vous l'avez déjà visité, changez immédiatement vos mots de passe et surveillez vos comptes. Signalez le lien à votre fournisseur email et, si pertinent, à votre équipe sécurité. Utilisez les liens de référence dans le rapport pour comprendre le type de menace détecté.

Outils complémentaires

Un lien suspect n'est souvent que le premier indice. Complétez votre analyse avec ces outils :

Ressources utiles

• Google Safe Browsing - Protège 5 milliards d'appareils contre les sites dangereux
• URLhaus by abuse.ch - Base de données communautaire de URLs malveillantes, mise à jour en temps réel
• PhishTank - Vérification collaborative de phishing par la communauté OpenDNS
• Anti-Phishing Working Group (APWG) - Coalition internationale contre le phishing, publie des rapports trimestriels sur les tendances
• Verizon DBIR - Rapport annuel de référence sur les violations de données