Comment une URL peut rompre l'anonymat
Une URL peut sembler n'être qu'un lien.
Mais une URL peut contenir des termes de recherche, des identifiants utilisateur, des informations de session, des paramètres de suivi et des informations sur la source du partage.
Si vous partagez un lien tel quel, votre comportement, votre compte ou votre parcours de navigation peuvent être transmis à l'autre personne.
Quand on réfléchit à l'anonymat, les URL doivent être vérifiées avant publication.
Les URL contiennent des informations
Une URL n'indique pas seulement l'emplacement d'une page web.
Elle peut contenir les informations suivantes.
| Informations contenues dans l'URL | Exemple | Point d'attention pour l'anonymat |
|---|---|---|
| Terme de recherche | q=keyword | Les centres d'intérêt ou le contenu de la recherche deviennent visibles |
| Identifiant utilisateur | user=12345 | Le compte ou la personne visée deviennent visibles |
| Suivi | utm_source=... | La provenance devient visible |
| Informations de session | session=... | Peut se relier à un compte ou à un état d'action |
| Identifiant de partage | share=... | Le partageur ou le chemin de partage laisse une trace |
Une URL contient plus d'informations qu'il n'y paraît.
Une URL est la chaîne affichée en haut du navigateur, donc c'est une information facile à négliger. On peut vérifier le texte et les images, puis coller l'URL telle quelle. Pourtant, une URL ne contient pas seulement "quelle page", mais aussi des informations indiquant "de quelle recherche elle vient", "quel lien de partage c'est" ou "à quelle opération de compte elle se rapporte".
Pour l'anonymat, une URL se vérifie avant publication comme le texte. Qu'un lien soit court ou long, regardez son contenu avant de le partager.
Attention aux paramètres de suivi
Les URL ouvertes depuis des publicités, des e-mails, des réseaux sociaux ou des newsletters peuvent comporter des paramètres de suivi.
Par exemple, des chaînes comme utm_source, utm_medium et utm_campaign.
Elles servent à analyser d'où une personne est venue et de quelle campagne elle vient. Pour l'anonymat, elles deviennent des indices sur la source du partage ou le parcours de navigation.
Avant de partager un lien, vérifiez les paramètres inutiles.
Les paramètres de suivi servent à la publicité et à la mesure d'audience. Ils ne révèlent pas nécessairement un nom personnel par eux-mêmes. Cependant, ils peuvent indiquer de quel e-mail, de quel réseau social, de quelle campagne ou de quel média quelqu'un vient.
Lors d'un partage de lien dans une activité anonyme, des paramètres de suivi laissés dans l'URL peuvent rendre visibles le parcours de navigation ou la source du partage. Séparez l'URL nécessaire de la page elle-même des paramètres utilisés pour l'analyse.
Les URL de recherche sont particulièrement dangereuses
Les URL des pages de résultats de recherche peuvent contenir les termes recherchés.
Ces termes peuvent inclure une personne, une région, une organisation, une maladie, une inquiétude, une information interne, le nom d'un incident, etc.
Si vous partagez telle quelle l'URL d'une page de résultats, l'autre personne apprend ce que vous avez cherché.
Plutôt que de partager une URL de recherche, il est plus sûr de vérifier et de partager l'URL de la page nécessaire elle-même.
Les termes de recherche montrent directement les centres d'intérêt ou la cible d'une recherche. Si vous collez telle quelle une URL où vous avez recherché un nom de personne, un nom d'entreprise, une maladie, une région, un incident, une information interne ou un lieu de consultation, l'autre personne apprend ce que vous étiez en train de chercher. Même dans une capture d'écran, les termes peuvent apparaître dans le champ de recherche ou la barre d'adresse.
Même si vous voulez partager des résultats de recherche, réfléchissez d'abord au but du partage. Voulez-vous montrer le terme de recherche, ou la page trouvée par la recherche ? Dans beaucoup de cas, ce qui est nécessaire n'est pas la page de résultats, mais la page cible elle-même.
Attention aux URL pendant une connexion
Dans les services où vous êtes connecté, l'URL peut contenir des informations liées au compte ou à l'état d'action.
Écran d'administration. Page partagée. Fichier cloud. Gestion de tickets. Historique de demandes.
Si ces URL sont publiées telles quelles, une personne visée, un dossier, une organisation ou des informations internes peuvent devenir visibles.
Il faut aussi faire attention aux liens partagés accessibles uniquement par connaissance de l'URL. Ils peuvent être réglés de manière à ce que toute personne ayant le lien puisse les consulter.
Dans un cloud, un outil de gestion de tickets, un formulaire de demande, un écran d'administration, un site de commerce ou un site de réservation, l'URL peut contenir un identifiant de cible ou un identifiant d'opération. Cela ne signifie pas forcément que l'URL seule permet de se connecter, mais un nom de dossier, un identifiant utilisateur, un numéro de commande, un identifiant de partage ou un identifiant d'organisation peuvent être visibles. Publier une URL interne peut aussi révéler le nom d'une organisation ou d'un système.
Pour les liens partagés, vérifiez aussi les permissions. Toutes les personnes qui connaissent le lien peuvent-elles le voir, ou seulement des comptes précis ? Peuvent-elles le télécharger ? Peuvent-elles le modifier ? La chaîne de l'URL, mais aussi les permissions du lien, concernent l'anonymat.
Les URL raccourcies rendent le contenu difficile à voir
Les URL raccourcies sont pratiques, mais elles rendent la destination difficile à voir.
Où mène le lien ? Contient-il du suivi ? À qui appartient le lien partagé ? Y aura-t-il une redirection en chemin ?
Ces points deviennent difficiles à comprendre.
Dans les situations où l'anonymat compte, il est plus sûr de ne pas utiliser négligemment des URL raccourcies. Si nécessaire, développez le lien et vérifiez la destination.
Les URL raccourcies rendent le contenu difficile à comprendre aussi bien pour les personnes qui consultent que pour celles qui publient. Elles peuvent passer par plusieurs redirections. Le service de raccourcissement peut enregistrer le nombre d'accès, l'heure et des informations sur les utilisateurs. Pour un partage qui nécessite l'anonymat, distinguez l'avantage du raccourcissement du risque lié au fait que le lien devient moins inspectable.
De plus, un lien raccourci personnel ou créé depuis un écran de gestion peut se relier à son créateur ou à une campagne. Priorisez la réduction des informations d'identification superflues plutôt que le fait de raccourcir l'URL.
Ce qu'il faut vérifier avant de partager une URL
Avant de partager une URL, vérifiez les points suivants.
- Contient-elle des termes de recherche ?
- Contient-elle des paramètres de suivi comme
utm_? - Contient-elle un identifiant utilisateur ou un identifiant de compte ?
- Contient-elle une chaîne qui ressemble à une information de session ?
- Les permissions du lien de partage cloud sont-elles adaptées ?
- La destination de l'URL raccourcie a-t-elle été vérifiée ?
- La source du partage se relie-t-elle à vous ou à votre organisation ?
Les URL sont une cible de vérification avant publication, comme le texte et les images.
Quand vous vérifiez une URL, regardez d'abord la chaîne de requête après ?. Ensuite, cherchez des chaînes qui semblent liées à l'identification, comme utm_, ref, session, token, share et user. Cependant, si vous supprimez des paramètres nécessaires, la page peut ne plus s'ouvrir. Si vous ne savez pas si un paramètre peut être supprimé, ouvrez le lien dans un autre environnement et vérifiez.
Séparer les URL d'exemple des URL réelles
Dans les articles et explications, on utilise parfois des chaînes d'exemple pour expliquer la forme d'une URL. Par exemple, example.com est un domaine souvent utilisé pour l'explication. Traitez ces chaînes comme des exemples servant à expliquer la structure d'une URL, et non comme la présentation d'un service réel.
À l'inverse, quand vous présentez un outil ou un service réel, indiquez clairement l'URL du site officiel. Il est important de ne pas confondre les chaînes d'exemple et les URL officielles que vous voulez faire visiter aux lecteurs.
Synthèse
Les URL peuvent contenir des termes de recherche, des identifiants utilisateur, des paramètres de suivi, des informations de session et des identifiants de partage.
Si vous partagez un lien tel quel, le parcours de navigation, le contenu recherché, le compte, l'organisation ou la source du partage peuvent devenir visibles.
Les URL de recherche, les URL pendant une connexion, les liens de partage cloud et les URL raccourcies exigent une attention particulière.
Pour protéger l'anonymat, il faut vérifier les URL avant publication et retirer les paramètres ou informations d'identification inutiles.
Outils liés
OSINT Framework
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.