Partager via

Étapes pour vous aider à identifier et à protéger vous-même contre les sites web trompeurs (usurpés) et les liens hypertexte malveillants

Avertissement

L’application de bureau Internet Explorer 11, mise hors service et dont le support a pris fin, a été désactivée définitivement via une mise à jour Microsoft Edge sur certaines versions de Windows 10. Pour plus d’informations, consultez le forum aux questions sur la mise hors service de l’application de bureau Internet Explorer 11.

Lorsque vous pointez vers un lien hypertexte dans Internet Explorer, Outlook, l’adresse du site Web apparaît généralement dans la barre d’état en bas de la fenêtre. Une fois que vous avez sélectionné un lien qui s’ouvre dans Internet Explorer, l’adresse du site Web apparaît généralement dans la barre d’adresses Internet Explorer et le titre de la page Web apparaît généralement dans la barre de titre de la fenêtre.

Toutefois, un utilisateur malveillant peut créer un lien vers un site web trompeur (usurpé) qui affiche l’adresse ou l’URL d’un site Web légitime dans la barre d’état, la barre d’adresses et la barre de titre. Cet article décrit les étapes que vous pouvez effectuer pour atténuer ce problème et vous aider à identifier un site web ou une URL trompeurs (usurpés d’identité).

Version du produit d’origine : Internet Explorer
Numéro d'article de la base de connaissances : 833786

Plus d’informations

Cet article décrit les étapes à suivre pour vous protéger contre les sites Web usurpés. Pour résumer, ces étapes sont les suivantes :

  • Vérifiez qu’il existe une icône de verrou dans la barre d’adresses r et vérifiez le nom du serveur qui fournit la page que vous affichez avant de taper des informations personnelles ou sensibles. Si vous remarquez des erreurs dans la barre d’adresses, consultez les erreurs de certificat : FAQ.
  • Ne sélectionnez aucun lien hypertexte que vous n’approuvez pas. Tapez-les dans la barre d’adresses vous-même.

Ce que vous pouvez faire pour vous protéger contre les sites Web usurpés

Assurez-vous que le site Web utilise Secure Sockets Layer/Transport Layer Security (SSL/TLS) et vérifiez le nom du serveur avant de taper des informations sensibles.

SSL/TLS est généralement utilisé pour protéger vos informations au fur et à mesure qu’elles se déplacent sur Internet en les chiffrant. Toutefois, il sert également à prouver que vous envoyez des données au serveur approprié. En vérifiant le nom de l’utilisateur de certificat numérique pour SSL/TLS, vous pouvez vérifier le nom du serveur qui fournit la page que vous affichez. Pour ce faire, vérifiez que l’icône de verrouillage apparaît dans la barre d’adresse de votre fenêtre de navigateur.

Pour vérifier le nom du serveur qui apparaît sur le certificat numérique, sélectionnez l’icône de verrouillage, puis vérifiez le nom qui apparaît en regard de Émis. Si le site web n’utilise pas SSL/TLS, n’envoyez aucune information personnelle ou sensible au site. Si le nom qui apparaît à côté de Délivré à est différent du nom du site dont vous pensez qu'il fournit la page que vous consultez, fermez le navigateur pour quitter le site. Pour plus d’informations sur la procédure à suivre, consultez Protéger vous-même contre les schémas d’hameçonnage et d’autres formes de fraude en ligne.

L’étape la plus efficace que vous pouvez effectuer pour vous protéger contre les liens hypertexte malveillants n’est pas de les sélectionner. Au lieu de cela, tapez l’URL de votre destination prévue dans la barre d’adresses vous-même. En tapant manuellement l’URL dans la barre d’adresses, vous pouvez vérifier les informations qu’Internet Explorer utilise pour accéder au site web de destination. Pour ce faire, tapez l’URL dans la barre d’adresses, puis appuyez sur Entrée.

Certaines actions que vous pouvez effectuer pour identifier les sites usurpés lorsque le site web n’utilise pas SSL/TLS

L’étape la plus efficace que vous pouvez effectuer pour vérifier le nom du site qui fournit la page que vous affichez consiste à vérifier le nom sur un certificat numérique à l’aide de SSL/TLS. Mais si le site n’utilise pas SSL/TLS, vous ne pouvez pas vérifier de manière concluante le nom du site qui fournit la page que vous affichez. Toutefois, il existe certaines choses que vous pouvez faire, dans certains cas, peut vous aider à identifier les sites usurpés.

Attention

Les informations suivantes fournissent des instructions générales basées sur des attaques connues. Étant donné que les attaques changent constamment, les utilisateurs malveillants peuvent créer des sites Web usurpés en utilisant des moyens autres que ceux décrits ici. Pour vous protéger, tapez des informations personnelles ou sensibles sur un site Web uniquement si vous avez vérifié le nom sur le certificat numérique. En outre, si vous avez une raison de soupçonner l’authenticité d’un site, laissez-le en fermant immédiatement la fenêtre du navigateur. Fréquemment, le moyen le plus rapide de fermer la fenêtre du navigateur consiste à appuyer sur Alt+F4.

Essayez d’identifier l’URL de la page web active

Pour essayer d’identifier l’URL du site Web actuel, utilisez les méthodes suivantes.

Utilisez le volet Historique d’Internet Explorer pour essayer d’identifier l’URL réelle du site web actuel

Dans les scénarios testés par Microsoft, vous pouvez également utiliser la barre De l’Explorateur d’historiques dans Internet Explorer pour identifier l’URL d’une page web. Dans le menu Affichage, pointez sur la barre de l’Explorateur, puis sélectionnez Historique. Comparez l’URL dans la barre d’adresses à l’URL qui apparaît dans la barre d’historique. S'ils ne correspondent pas, le site Web se présente probablement de manière mensongère et vous souhaiterez peut-être fermer Internet Explorer.

Collez l’URL dans la barre d’adresses d’une nouvelle instance d’Internet Explorer

Vous pouvez coller l’URL dans la barre d’adresses d’une nouvelle instance d’Internet Explorer. Ainsi, vous pourrez peut-être vérifier les informations utilisées par Internet Explorer pour accéder au site web de destination. Dans les scénarios testés par Microsoft, vous pouvez copier l’URL qui apparaît dans la barre d’adresses et la coller dans la barre d’adresses d’une nouvelle session d’Internet Explorer pour vérifier que les informations qu’Internet Explorer utilisera réellement pour accéder au site web de destination. Ce processus est similaire à l’étape décrite dans Les éléments que vous pouvez faire pour vous protéger contre les sites web usurpés précédemment dans cet article.

Attention

Si vous effectuez cette action sur certains sites, par exemple sur des sites de commerce électronique, l’action peut entraîner la perte de votre session actuelle. Par exemple, le contenu d’un panier d’achat en ligne peut être perdu et vous devrez peut-être remplir à nouveau le panier.

Pour coller l’URL dans la barre d’adresses d’une nouvelle instance d’Internet Explorer, procédez comme suit :

  1. Sélectionnez le texte dans la barre d’adresses, cliquez avec le bouton droit sur le texte, puis sélectionnez Copier.
  2. Fermez Internet Explorer.
  3. Démarrez Internet Explorer.
  4. Sélectionnez dans la barre d’adresses, cliquez avec le bouton droit, puis sélectionnez Coller.
  5. Appuyez sur Entrée.

La seule façon de vérifier les informations utilisées par Internet Explorer pour accéder au site web de destination consiste à taper manuellement l’URL dans la barre d’adresses. Toutefois, il existe certaines choses que vous pouvez faire, dans certains cas, peut vous aider à identifier un lien hypertexte malveillant.

Attention

Les informations suivantes fournissent des instructions générales basées sur des attaques connues. Étant donné que les attaques changent constamment, les utilisateurs malveillants peuvent créer des sites Web usurpés en utilisant des moyens autres que ceux décrits ici. Pour vous protéger, tapez des informations personnelles ou sensibles sur un site Web uniquement si vous avez vérifié le nom sur le certificat numérique. En outre, si vous avez une raison de soupçonner l’authenticité d’un site, laissez-le en fermant immédiatement la fenêtre du navigateur. Fréquemment, le moyen le plus rapide de fermer la fenêtre du navigateur consiste à appuyer sur Alt+F4.

Pour essayer d’identifier l’URL qu’un lien hypertexte utilisera, procédez comme suit :

  1. Cliquez avec le bouton droit sur le lien, puis sélectionnez Copier le raccourci.
  2. Sélectionnez Démarrer, puis Exécuter.
  3. Tapez le bloc-notes, puis sélectionnez OK.
  4. Dans le menu Modifier dans le Bloc-notes, sélectionnez Coller.

En procédant ainsi, vous pouvez voir l’URL complète de n’importe quel lien hypertexte et vous pouvez examiner l’adresse utilisée par Internet Explorer. La liste suivante montre quelques-uns des caractères typographiques susceptibles d'apparaître dans une URL pouvant conduire à un site Web usurpé.

  • 00 %
  • %01
  • @

Par exemple, une URL du formulaire suivant s’ouvre http://example.com, mais l’URL de la barre d’adresses ou de la barre d’état dans Internet Explorer peut apparaître comme http://www.wingtiptoys.comsuit :

http://www.wingtiptoys.com%01@example.com

Autres étapes que vous pouvez effectuer

Bien que ces actions ne vous aident pas à identifier un site web ou une URL trompeurs (usurpés), ils peuvent limiter les dommages causés par une attaque réussie à partir d’un site Web usurpé ou d’un lien hypertexte malveillant. Toutefois, ils empêchent les messages électroniques et les sites Web de la zone Internet d’exécuter des scripts, des contrôles ActiveX et d’autres contenus potentiellement nuisibles.

  • Utilisez vos zones de contenu web pour empêcher les sites Web qui se trouvent dans la zone Internet d’exécuter des scripts, d’exécuter des contrôles ActiveX ou d’exécuter d’autres contenus nuisibles sur votre ordinateur. Tout d’abord, définissez le niveau de sécurité de votre zone Internet sur High dans Internet Explorer. Pour ce faire, procédez comme suit :

    1. Dans le menu Outils, cliquez sur Options Internet.
    2. Sélectionnez l’onglet Sécurité , sélectionnez Internet, puis sélectionnez Niveau par défaut.
    3. Déplacez le curseur vers Haut, puis sélectionnez OK.

    Ensuite, ajoutez les URL pour les sites Web que vous approuvez à la zone Sites approuvés. Pour ce faire, procédez comme suit :

    1. Dans le menu Outils , sélectionnezOptions Internet.
    2. Sélectionnez l'onglet Sécurité .
    3. Sélectionnez Sites approuvés.
    4. Sélectionner Sites.
    5. Si les sites que vous souhaitez ajouter ne nécessitent pas de vérification du serveur, désactivez la case à cocher Exiger la vérification du serveur (https :) pour tous les sites de cette zone .
    6. Tapez l’adresse du site Web que vous souhaitez ajouter à la liste des sites approuvés.
    7. Sélectionnez Ajouter.
    8. Répétez les étapes 6 et 7 pour chaque site Web que vous souhaitez ajouter.
    9. Cliquez deux fois sur OK.

    Lire les messages électroniques en texte brut.

    En lisant le courrier électronique en texte brut, vous pouvez voir l’URL complète de n’importe quel lien hypertexte et examiner l’adresse utilisée par Internet Explorer. Voici quelques-uns des caractères qui peuvent apparaître dans une URL et entraîner l’usurpation d’un site Web :

    • 00 %
    • %01
    • @

    Pour plus d’informations sur la procédure à suivre, consultez Lire les messages électroniques en texte brut.

  • Par exemple, une URL du formulaire suivant s’ouvre http://example.com, mais l’URL qui apparaît dans le texte de l’e-mail peut s’afficher http://www.wingtiptoys.com:

    http://www.wingtiptoys.com%01@example.com

Références

Pour plus d’informations sur les URL (Uniform Resource Locators), consultez https://www.w3.org/Addressing/URL/url-spec.txt.

Clause de non-responsabilité sur les contacts externes

Microsoft fournit des informations de contacts externes afin de vous aider à obtenir un support technique sur ce sujet. Ces informations de contact peuvent changer sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés externes.