← Blog Home

Sécurité des liens : comment vérifier un domaine avant de cliquer

fr 2026-01-30 06:00:18

Sécurité des liens : comment vérifier un domaine avant de cliquer

Un lien, c’est un geste banal : on clique, on arrive sur une page, on se connecte, on continue. Sauf que c’est précisément ce côté “automatique” qui fait du lien l’une des armes préférées des escrocs. Le phishing moderne ne ressemble plus à un e-mail bourré de fautes envoyé de très loin. Il peut être très propre, très crédible, et viser des profils parfaitement ordinaires.

La bonne nouvelle, c’est qu’il existe une méthode simple pour réduire drastiquement les risques : vérifier le domaine avant de cliquer. Pas besoin d’être expert en cybersécurité. Il suffit de connaître quelques règles fiables et de prendre deux secondes pour regarder au bon endroit. Dans cet article, on va voir comment lire une URL, repérer les pièges classiques, et adopter des réflexes efficaces, aussi bien sur ordinateur que sur mobile.

Pourquoi vérifier le domaine change tout

Dans la majorité des attaques, l’objectif est de vous faire croire que vous êtes sur un site légitime (banque, messagerie, réseau social, service de livraison, streaming…), alors que vous êtes en réalité sur un site copie conforme. Votre identifiant et votre mot de passe (ou votre code de vérification) sont interceptés, puis utilisés immédiatement.

Or, la plupart des contrefaçons se trahissent sur un point : le domaine n’est pas le bon. Le design peut être identique, le logo aussi, mais l’adresse n’est pas exactement celle du vrai site. Apprendre à identifier le “vrai” domaine est donc un gain énorme.

Lire une URL sans se tromper : l’essentiel en 20 secondes

Une URL peut être longue et intimidante. Pourtant, il y a une partie qui compte plus que toutes les autres : le domaine. C’est l’élément qui indique à quel site vous êtes réellement connecté.

Exemple (fictif) :

https://connexion.securite-exemple.com/login?source=email

  • https:// : le protocole (sécurisé si HTTPS).
  • connexion.securite-exemple.com : l’hôte (où se trouve le domaine).
  • /login : le chemin (la page).
  • ?source=email : des paramètres (souvent sans importance pour la sécurité, mais parfois utilisés pour vous suivre).

Dans connexion.securite-exemple.com, le domaine (au sens “site principal”) est securite-exemple.com. Tout ce qui est avant (ici connexion.) est un sous-domaine. Le sous-domaine peut être légitime, mais il peut aussi être utilisé pour vous tromper. D’où la règle suivante.

Règle n°1 : cherchez “le vrai domaine” (juste avant .com/.fr/.net…)

Le “vrai domaine” est généralement constitué de :

  • un nom (ex: exemple)
  • un TLD (ex: .com, .fr, .net, etc.)

Parfois, il y a un niveau supplémentaire comme .co.uk ou .com.br. Dans ces cas, la partie significative est juste avant ce bloc final.

Les pièges de domaines les plus fréquents

1) Le sous-domaine trompeur

Les attaquants adorent mettre des mots rassurants au début :

  • paypal.com.securite-verif.info
  • appleid.apple.com.connexion-support.xyz
  • banque.fr.confirmation-compte.site

À l’œil, on voit “paypal.com” ou “apple.com”, mais le vrai domaine est à la fin : securite-verif.info, connexion-support.xyz, confirmation-compte.site. Ce ne sont pas les domaines officiels. C’est le piège classique.

2) Le domaine “presque pareil” (typosquatting)

Une lettre change, et le cerveau corrige automatiquement :

  • micr0soft.com (zéro à la place de “o”)
  • amaz0n.com
  • g00gle-support.com
  • faceb00k-login.net

On parle de typosquatting. C’est redoutable, surtout sur mobile où l’URL est tronquée.

3) Les caractères qui se ressemblent (homoglyphes)

Certaines URL utilisent des caractères d’autres alphabets qui ressemblent à nos lettres. À l’écran, c’est quasi invisible. Les navigateurs essayent de protéger, mais le risque existe.

Réflexe : si vous avez un doute, ne cliquez pas. Ouvrez plutôt le site en tapant l’adresse vous-même ou via un favori enregistré.

4) Les TLD inattendus

Un service connu en .com ou .fr qui vous arrive soudain en .xyz, .top, .click ou autre extension étrange : ce n’est pas forcément une arnaque, mais c’est un signal d’alerte.

En France, beaucoup d’utilisateurs font confiance à ce qu’ils connaissent. Si vous ne reconnaissez pas l’extension, prenez le temps de vérifier.

HTTPS : utile, mais insuffisant

On a longtemps dit “si c’est en HTTPS, c’est sécurisé”. Aujourd’hui, c’est faux si on le comprend mal. HTTPS signifie surtout que la connexion est chiffrée entre vous et le site. Un site frauduleux peut aussi avoir un cadenas HTTPS.

Donc :

  • Le cadenas ne prouve pas que le site est légitime.
  • Le domaine, lui, reste un indicateur central.

Avant de cliquer : une méthode rapide en 5 étapes

Étape 1 — Survolez le lien (ordinateur)

Sur ordinateur, passez la souris sur le lien sans cliquer. Le navigateur ou le client mail affiche l’URL réelle en bas. Vérifiez :

  • le domaine (la fin, pas le début)
  • les lettres “presque identiques”
  • l’extension (.com, .fr, etc.)

Étape 2 — Appui long (mobile)

Sur mobile, faites un appui long sur le lien : un aperçu ou un menu s’affiche souvent avec l’adresse. C’est l’un des meilleurs réflexes “simple et efficace”.

Étape 3 — Méfiez-vous des liens raccourcis

Les liens du type “raccourcis” masquent le domaine final. Certains sont légitimes (partage sur réseaux, campagnes marketing), mais ils sont aussi utilisés pour tromper.

Réflexe :

  • si c’est un lien raccourci et que le message est urgent ou menaçant, ne cliquez pas
  • allez sur le site officiel par vos propres moyens

Étape 4 — Vérifiez le contexte du message

Le phishing joue sur l’émotion. Quelques signaux typiques :

  • urgence (“dans 2 heures votre compte sera suspendu”)
  • peur (“activité suspecte détectée, confirmez immédiatement”)
  • gain (“vous avez gagné”, “remboursement”, “cadeau”)
  • pression (“dernier rappel”, “action obligatoire”)

Quand le message vous pousse à agir vite, ralentissez. C’est précisément le but.

Étape 5 — Ouvrez le site autrement

Au moindre doute, ne cliquez pas. Ouvrez :

  • un nouvel onglet et tapez l’adresse officielle
  • un favori que vous avez déjà utilisé
  • l’application officielle (banque, messagerie, livraison)

Vérifier un domaine “pour de vrai” quand c’est important

Parfois, vous voulez aller plus loin qu’un simple coup d’œil, surtout si le lien concerne un paiement, un compte, ou une demande d’identité. Voici des vérifications additionnelles, sans entrer dans la technicité inutile.

1) Comparez avec le domaine officiel que vous connaissez

Les grandes marques ont souvent un domaine unique ou quelques domaines très cohérents. Si vous voyez une variante étrange, considérez que c’est suspect jusqu’à preuve du contraire.

2) Regardez le domaine dans la barre d’adresse après ouverture (sans vous connecter)

Si vous avez déjà cliqué, ne paniquez pas : ne saisissez rien tant que vous n’avez pas vérifié l’URL dans la barre. Les sites frauduleux imitent la page, mais l’adresse reste différente.

3) Évitez de saisir des codes ou mots de passe depuis un lien reçu

Règle d’or : pour les services sensibles, préférez arriver sur le site via votre propre parcours (favori, URL tapée, app). Ça coupe l’effet “tunnel” du phishing.

Pièges modernes : QR codes, messageries, réseaux sociaux

Les QR codes

Un QR code est juste un lien sous forme d’image. On a tendance à lui faire confiance parce qu’il ressemble à une “info pratique”. Pourtant, il peut mener n’importe où.

Réflexe : beaucoup de téléphones affichent l’URL avant ouverture. Prenez une seconde pour lire le domaine, exactement comme pour un lien classique.

Les liens en DM (Instagram, WhatsApp, Telegram)

Les escrocs adorent les messages privés : moins de filtres, plus d’émotion, plus de confiance. La méthode reste la même : vérifiez le domaine, méfiez-vous de l’urgence, et si c’est un service sensible, passez par le site officiel.

Bonnes pratiques simples à adopter (sans transformer sa vie en audit sécurité)

  • Activez l’authentification à deux facteurs sur vos comptes importants : même si un mot de passe fuit, c’est une barrière.
  • Utilisez un gestionnaire de mots de passe : il remplit rarement sur un faux domaine, ce qui vous alerte.
  • Ne réutilisez pas vos mots de passe : une fuite sur un site secondaire ne doit pas ouvrir vos comptes principaux.
  • Conservez vos liens officiels en favoris (banque, impôts, messagerie) : ça évite les clics impulsifs.
  • Faites attention aux pièces jointes : un faux lien + une fausse pièce jointe, c’est un duo classique.

Mini check-list “avant de cliquer”

  • Est-ce que je reconnais le domaine exact ?
  • Est-ce que l’URL contient des mots rassurants au début mais un domaine étrange à la fin ?
  • Est-ce qu’il y a une lettre bizarre, un chiffre à la place d’une lettre, ou une extension inattendue ?
  • Est-ce que le message cherche à me mettre sous pression ?
  • Est-ce que je peux ouvrir le site autrement (favori, URL tapée, application) ?

Conclusion

Vérifier un domaine avant de cliquer, c’est un petit effort pour un gros bénéfice. Dans la pratique, la majorité des arnaques reposent sur une URL trompeuse : un sous-domaine piégé, une lettre modifiée, une extension inhabituelle, ou un lien raccourci qui masque la destination.

Le réflexe le plus “rentable” est simple : regardez le domaine, pas le logo. Et si quelque chose vous semble pressant, agressif, ou trop beau pour être vrai, faites une pause et passez par le site officiel. La sécurité, ce n’est pas la paranoïa : c’est juste une habitude qui évite des journées compliquées.

Avec ces quelques règles, vous réduisez fortement la probabilité de tomber dans un piège, tout en gardant une navigation fluide et sereine au quotidien.

Tip: Temporary inboxes are best for low-risk sign-ups and verification. Avoid sensitive accounts that require long-term recovery access.