Risques liés aux URL raccourcies et aux redirections
Les URL raccourcies sont pratiques.
Elles transforment une URL longue en lien court, plus facile à partager sur les réseaux sociaux, les supports imprimés ou les messages.
Mais du point de vue de l'anonymat, elles demandent de la prudence.
Une URL raccourcie rend la destination finale difficile à voir. Elle peut aussi impliquer les journaux du service de raccourcissement, la mesure des clics, les redirections et les paramètres de suivi.
« Court » ne veut pas dire « sûr ».
Au contraire, le raccourcissement peut masquer des informations.
Cet article explique le lien entre URL raccourcies, redirections et anonymat, et ce qu'il faut vérifier avant partage.
Qu'est-ce qu'une URL raccourcie
Une URL raccourcie remplace une longue URL par une autre URL plus courte.
Quand l'utilisateur ouvre l'URL raccourcie, il accède d'abord au service de raccourcissement, puis il est transféré vers l'URL d'origine.
Ce transfert s'appelle une redirection.
| Étape | Ce qui se produit | Point à regarder pour l'anonymat |
|---|---|---|
| 1 | Cliquer l'URL raccourcie | Connexion d'abord au service de raccourcissement |
| 2 | Le service enregistre ou décide | Heure, IP, User-Agent peuvent être enregistrés |
| 3 | Transfert vers l'URL d'origine | Ouverture de la destination finale |
| 4 | Le site de destination traite la requête | Journaux d'accès et paramètres d'URL arrivent aussi à destination |
Utiliser une URL raccourcie ajoute donc le service de raccourcissement comme point intermédiaire, en plus du site de destination.
Ce point est important.
Ce que l'URL raccourcie rend moins visible
Avec une URL raccourcie, la destination finale ne se voit pas dans le lien.
Les paramètres présents dans l'URL finale sont aussi difficiles à connaître avant le clic.
| Ce qui devient moins visible | Pourquoi c'est un problème |
|---|---|
| Domaine final | Difficile de juger avant clic vers quel site on va |
| Paramètres d'URL | UTM, ID de clic ou ID individuel sont cachés |
| Nombre de redirections | Plusieurs intermédiaires peuvent exister |
| Service intermédiaire | On ne voit pas clairement quel opérateur observe le clic |
| Renvoi vers site dangereux | Le visuel seul ne permet pas de juger un faux site ou un site suspect |
Pour l'anonymat, il est important de comprendre soi-même la destination avant de l'ouvrir.
L'URL raccourcie rend ce jugement plus difficile.
Informations pouvant rester chez le service de raccourcissement
Un service d'URL raccourcies ne se contente pas toujours de raccourcir une chaîne.
Beaucoup de services peuvent mesurer nombre de clics, source, date, appareil et autres informations.
| Information | Sens | Point d'attention pour l'anonymat |
|---|---|---|
| Heure du clic | Quand le lien a été ouvert | Peut se comparer aux heures de publication ou journaux d'action |
| Adresse IP | Depuis quel réseau il a été ouvert | Peut aussi montrer ou dans certains cas |
| User-Agent | Navigateur et OS | Caractéristique de l'environnement |
| Référent | Depuis quelle page la personne vient | Peut montrer le lieu de partage ou la source d'entrée |
| Nombre de clics | Combien de fois le lien est ouvert | Sert à déduire diffusion ou intérêt |
Tous les services ne conservent pas les mêmes journaux.
Mais utiliser une URL raccourcie ajoute bien un tiers observable au trajet, en plus de la destination, et cela compte pour l'anonymat.
Dans l'anonymat, ajouter un tiers de confiance ou d'observation est déjà un changement important.
Quand les redirections se superposent
Ouvrir une URL raccourcie ne signifie pas toujours une seule redirection.
Publicité, réseaux sociaux, e-mailing, mesure d'audience ou affiliation peuvent ajouter plusieurs redirections.
| Problème de redirection | Ce qui se produit |
|---|---|
| Plusieurs services intermédiaires | Chacun peut observer le clic |
| Ajout de paramètres en chemin | Des ID de suivi ou de campagne peuvent être ajoutés |
| Destination variable selon région ou appareil | La destination vue par vous peut différer de celle des autres |
| URL à durée limitée | Le comportement peut changer plus tard |
| Redirection malveillante | Renvoi possible vers faux site ou fichier dangereux |
Une URL raccourcie peut sembler être un seul lien tout en passant par plusieurs services.
Dans une activité anonyme ou une vérification avant publication, il vaut donc mieux éviter autant que possible les URL raccourcies et partager l'URL finale vérifiée.
Vérifier avant d'ouvrir une URL raccourcie
Quand vous recevez une URL raccourcie, certaines situations justifient de ne pas l'ouvrir immédiatement.
C'est particulièrement vrai pour activité anonyme, reportage, lancement d'alerte, contacts militants ou échange de fichiers avant publication.
| Vérification | Raison |
|---|---|
| Vérifier la destination développée | Connaître domaine et URL finale |
| Éviter les liens de personnes inconnues | Risque de faux site ou lien de suivi |
| Ne pas ouvrir dans un navigateur connecté | Éviter le lien avec s et état de compte |
| Vérifier dans un autre environnement si nécessaire | Ne pas exposer l'appareil ou navigateur habituel |
| Regarder les paramètres de l'URL finale | Vérifier UTM, ID de clic, token, etc. |
La méthode de développement dépend du service et du navigateur.
Saisir une URL raccourcie dans un service en ligne d'expansion d'URL transmet cette URL et des informations d'accès à ce service. Pour un lien à haut risque, n'utilisez pas un service externe ; demandez l'URL officielle à l'expéditeur ou vérifiez prudemment dans un environnement séparé.
Quand la sécurité compte, il peut être préférable de ne pas cliquer et de demander l'URL officielle.
Quand vous partagez vous-même une URL raccourcie
Si vous partagez quelque chose anonymement, utilisez les URL raccourcies avec prudence.
Elles peuvent concentrer chez le service les informations des personnes qui cliquent.
Pour le destinataire, elles rendent aussi la destination difficile à juger.
Cela concerne donc non seulement votre anonymat, mais aussi la sécurité du lecteur.
Avant partage, vérifiez :
- que l'URL finale ne contient pas de paramètres de suivi inutiles
- si le service de raccourcissement fournit des statistiques de clic
- si le destinataire peut juger la destination avant clic
- s'il est vraiment nécessaire d'utiliser une URL raccourcie
- si une URL longue peut être partagée sans problème
Dans une activité anonyme, privilégiez un trajet compréhensible plutôt qu'une apparence courte.
Ne pas juger seulement par l'URL raccourcie
Éviter les URL raccourcies ne rend pas anonyme à lui seul.
Si l'URL finale contient des paramètres de suivi, le problème reste.
Si vous êtes connecté au site de destination, l'accès se relie au compte.
Si vous ouvrez avec le navigateur habituel, Cookies et informations du navigateur sont envoyés.
Même avec VPN ou Tor, les informations visibles par le service de raccourcissement et par la destination changent seulement ; les valeurs de suivi présentes dans l'URL ne disparaissent pas.
La vérification des URL raccourcies n'est qu'une partie de la vérification du suivi dans les URL.
Résumé
Une URL raccourcie est un mécanisme pratique pour rendre un lien long plus court.
Mais pour l'anonymat, destination finale, paramètres d'URL, services intermédiaires et journaux de clic deviennent moins visibles.
Ouvrir une URL raccourcie fait intervenir le service de raccourcissement en plus du site de destination.
Dans une activité anonyme ou une vérification avant publication, ne faites pas confiance à une URL raccourcie telle quelle ; vérifiez destination développée, redirections, paramètres et état de connexion.
Quand vous partagez vous-même, demandez-vous si l'URL raccourcie est nécessaire.
Une URL courte n'est pas forcément sûre.
Pour l'anonymat, la priorité est de comprendre la destination et les informations qui restent, pas la longueur du lien.