On reçoit tous des courriels avec des liens. Parfois on est certains que c'est valide basé sur la confiance d'autre fois on doute. Et ce doute est sain, parce que les liens malveillants sont aujourd'hui la première porte d'entrée des attaque.

Voici comment vérifier un lien avant de cliquer, selon ce qu'on cherche à détecter.

Étape 0 : regarder le lien sans cliquer

Avant tout outil, la première défense est visuelle. Sur ordinateur : passez la souris sur le lien sans cliquer. L'URL réelle s'affiche en bas à gauche de votre navigateur ou dans votre client courriel.

Ce qu'il faut vérifier à l'oeil :

  • Le domaine de base : votre-banque.com est très différent de votre-banque.connexion-securisee.xyz.
  • Le typosquatting : paypa1.com (avec un 1), rbc-canada.net, microsoft-support.com.
  • Les liens raccourcis (bit.ly, tinyurl, t.co) : ils cachent la destination réelle.

Pour détecter les malwares et les virus : VirusTotal

VirusTotal.com analyse l'URL avec 90+ moteurs antivirus simultanément. Copiez l'URL, collez-la dans VirusTotal, lancez l'analyse.

Pour détecter le phishing : les bons outils

1. URLScan.iourlscan.io — C'est l'outil le plus utile. URLScan visite le lien dans un environnement isolé (sandbox), fait une capture d'écran de la page, analyse le code, les ressources chargées, les redirections.

2. Google Safe Browsingtransparencyreport.google.com/safe-browsing/search — Google maintient une liste noire des sites de phishing et de malware mise à jour en continu.

3. PhishTankphishtank.org — Une base de données collaborative des URLs de phishing.

4. CheckPhish.aicheckphish.ai — Un outil plus récent qui utilise l'IA pour détecter les pages de phishing.

La méthode en pratique : 60 secondes, 3 étapes

  1. Regardez l'URL sans cliquer. Le domaine de base a-t-il du sens?
  2. Collez l'URL dans URLScan.io. Regardez la capture d'écran.
  3. Si le doute persiste, passez-la aussi dans VirusTotal et Google Safe Browsing.

Ce qu'aucun outil ne remplacera

Si on vous demande vos identifiants, votre mot de passe, votre numéro de carte ou des informations personnelles via un lien reçu par courriel — n'allez pas sur ce lien. Allez directement sur le site officiel en tapant l'adresse vous-même.

Votre meilleure protection est de rester septique !