Pour finir la semaine, nous allons nous concentrer sur l'analyse d'une URL. Comme les chasseurs, il y a des bonnes et des mauvaises URL.
Rentrons directement dans le vif du sujet, je prends la première URL que j'ai sous les yeux, ma boite email :
L'URL est la suivante : https://mail.google.com/mail/u/0/#inbox
L'accès à un site Web depuis un navigateur se fait avec deux protocoles : HTTP et HTTPS. Quelle différence entre les deux me diriez-vous ? Et bien c'est le "S" mon bon monsieur.
Blague à part, le premier (HTTP) est un protocole ou toutes les données échangées entre votre navigateur et le serveur qui héberge le site web sont en clair, il suffit qu'une personne se place en écoute entre vous deux pour être en mesure de voir en temps réel ce que vous voyez, et de modifier à la volée s'il le souhaite le contenu de la page web que le serveur vous transmet.
Cette attaque appelée "Man In The Middle" (l'homme du milieu) est assez facile à mettre en place. Je ne vais pas détailler cette partie mais si vous êtes curieux, voici une introduction de cette attaque : https://openclassrooms.com/fr/courses/1561696-les-reseaux-de-zero/3200349-lattaque-de-lhomme-du-milieu-mitm
Le protocole HTTPS lui est une surcouche du protocole HTTP, il rajoute la couche sécurité, en mettant en place un tunnel chiffré entre le site web et votre navigateur. Je ne vais pas rentrer non plus dans les détails de ce tunnel, restons concentrés sur l'URL.
Comme on peut le constater, le protocole utilisé est HTTPS, un méchant attaquant étant positionné entre mon navigateur et le site web ne peut donc pas facilement intercepter et modifier les données échangées.
Warning rouge !!! Je tiens à préciser que ce n'est pas parce qu'il y a le "petit cadenas à gauche" que c'est un site qui n'a pas de "virus", (maman si tu me lis…) Nous le verrons par la suite.
Une fois le protocole identifié, on va regarder le nom de domaine. Le nom de domaine se situe entre les https:// et le premier /, qui correspond dans notre cas à mail.google.com. Ce domaine est composé de 3 parties séparées par des points.
L'analyse d'un domaine se fait de la droite vers la gauche en analysant chaque ensemble séparé par les points :
.com : ça correspond à l'extension d'un domaine (le TLD pour Top Level Domain) on peut trouver .fr, .org, .net ou depuis quelques temps des plus exotiques comme .ninja ou .paris
.google : le niveau d'en dessous est appelé "domaine principal" (Oui je sais très original)
mail : cette partie correspond au sous-domaine, il peut y en avoir beaucoup plus (3 sous-domaines par exemple : mail.services.api.google.com)
Ce que se situe après le premier / correspond à l'arborescence et aux paramètres du site : /mail/u/0/#inbox Je ne vais pas non plus détailler cette partie-là, non pertinent pour déterminer si une URL est malveillante.
En résumé ce que l'on doit en conclure :
- Utilisation du protocole HTTPS -> c'est bien
- Tld en .com -> c'est classique, c'est bien (les extensions en .fun par exemple sont beaucoup plus facile à acheter, et donc plus simple pour un attaquant)
- Domaine principal : google -> on peut dire que c'est une valeur sûre, c'est un domaine qui appartient aux GAFA et est donc extrêmement surveillé.
- Sous-domaine : mail -> classique également, rien de choquant
Maintenant, vous recevez par mail cette URL : https://mails-google.com/mail/u/0/#inbox
La différence est le domaine, nous ne sommes plus sur le domaine "google" mais le domaine "mails-google" qui n'appartient peut-être pas à google. D'ailleurs pour la petite histoire, ce domaine est disponible pour tous :
mais je vous déconseille de l'acheter, vous allez rapidement vous retrouver avec une armée d'avocats aux fesses avant même de pouvoir l'utiliser.
Enfin si vous avez un doute, vous pouvez toujours soumettre une URL au site virustotal, qui va s'occuper d'analyser le lien pour vous :
Calendrier économique
Rentrons directement dans le vif du sujet, je prends la première URL que j'ai sous les yeux, ma boite email :
L'accès à un site Web depuis un navigateur se fait avec deux protocoles : HTTP et HTTPS. Quelle différence entre les deux me diriez-vous ? Et bien c'est le "S" mon bon monsieur.
Blague à part, le premier (HTTP) est un protocole ou toutes les données échangées entre votre navigateur et le serveur qui héberge le site web sont en clair, il suffit qu'une personne se place en écoute entre vous deux pour être en mesure de voir en temps réel ce que vous voyez, et de modifier à la volée s'il le souhaite le contenu de la page web que le serveur vous transmet.
Cette attaque appelée "Man In The Middle" (l'homme du milieu) est assez facile à mettre en place. Je ne vais pas détailler cette partie mais si vous êtes curieux, voici une introduction de cette attaque : https://openclassrooms.com/fr/courses/1561696-les-reseaux-de-zero/3200349-lattaque-de-lhomme-du-milieu-mitm
Le protocole HTTPS lui est une surcouche du protocole HTTP, il rajoute la couche sécurité, en mettant en place un tunnel chiffré entre le site web et votre navigateur. Je ne vais pas rentrer non plus dans les détails de ce tunnel, restons concentrés sur l'URL.
Comme on peut le constater, le protocole utilisé est HTTPS, un méchant attaquant étant positionné entre mon navigateur et le site web ne peut donc pas facilement intercepter et modifier les données échangées.
Warning rouge !!! Je tiens à préciser que ce n'est pas parce qu'il y a le "petit cadenas à gauche" que c'est un site qui n'a pas de "virus", (maman si tu me lis…) Nous le verrons par la suite.
Une fois le protocole identifié, on va regarder le nom de domaine. Le nom de domaine se situe entre les https:// et le premier /, qui correspond dans notre cas à mail.google.com. Ce domaine est composé de 3 parties séparées par des points.
L'analyse d'un domaine se fait de la droite vers la gauche en analysant chaque ensemble séparé par les points :
.com : ça correspond à l'extension d'un domaine (le TLD pour Top Level Domain) on peut trouver .fr, .org, .net ou depuis quelques temps des plus exotiques comme .ninja ou .paris
.google : le niveau d'en dessous est appelé "domaine principal" (Oui je sais très original)
mail : cette partie correspond au sous-domaine, il peut y en avoir beaucoup plus (3 sous-domaines par exemple : mail.services.api.google.com)
Ce que se situe après le premier / correspond à l'arborescence et aux paramètres du site : /mail/u/0/#inbox Je ne vais pas non plus détailler cette partie-là, non pertinent pour déterminer si une URL est malveillante.
En résumé ce que l'on doit en conclure :
- Utilisation du protocole HTTPS -> c'est bien
- Tld en .com -> c'est classique, c'est bien (les extensions en .fun par exemple sont beaucoup plus facile à acheter, et donc plus simple pour un attaquant)
- Domaine principal : google -> on peut dire que c'est une valeur sûre, c'est un domaine qui appartient aux GAFA et est donc extrêmement surveillé.
- Sous-domaine : mail -> classique également, rien de choquant
Maintenant, vous recevez par mail cette URL : https://mails-google.com/mail/u/0/#inbox
Enfin si vous avez un doute, vous pouvez toujours soumettre une URL au site virustotal, qui va s'occuper d'analyser le lien pour vous :
