Les raccourcisseurs d'URL (ou raccourcisseur de liens) sont un outil pratique de marketing ou simplement de partage de liens. Toutefois, dissimulent-ils parfois d'autres fonctionnalités ? Luke Miles, ingénieur logiciel indépendant, a déclaré dans un billet de blogue samedi avoir remarqué que les raccourcisseurs d'URL définissent des cookies de suivi des publicités. Voici ci-dessous quelques détails sur ce qu'il a dit.Qu'est-ce qu'un raccourcisseur d'URL et quelles sont ses fonctions ?
Les raccourcisseurs d'URL sont des outils qui créent une URL relativement courte et unique qui redirigera vers le site Web spécifique de votre choix. En gros, ils rendent une URL plus courte et plus simple. Votre nouvelle URL plus courte comprendra généralement l'adresse du site raccourci et une combinaison de lettres aléatoires. Dans certains cas, vous pouvez même personnaliser cette mini URL avec une phrase personnalisée. Pour ce qui est de savoir quand les utiliser, notez qu'il existe plusieurs bonnes raisons de faire appel à un raccourcisseur d'URL dans le cadre du partage d'un lien.
Par exemple, les liens longs et difficiles à lire semblent très souvent suspects. En d'autres termes, une URL surdimensionnée aura l'air encombrante à peu près partout où vous l'utiliserez : dans les messages sociaux, partagés par texte, collés dans un e-mail, etc. Ainsi, il est recommandé de raccourcir l'URL dans le cas où vous feriez un lien vers une page spécifique enfouie dans votre site Web ou dans le cas où vous utiliseriez les paramètres UTM pour suivre vos visiteurs. Il existe de nombreux outils pour raccourcir les URL, notamment rebrandly.com, bit.ly, ow.ly, tinyurl.com, goo.gl, etc.
Alors, comment fonctionnent les raccourcisseurs d'URL ? Les raccourcisseurs d'URL fonctionnent en créant une redirection vers votre URL longue. La saisie d'une URL dans votre navigateur Internet envoie une requête HTTP au serveur Web pour qu'il trouve un site Web spécifique. Plus précisément, ces services fonctionnent en remplaçant votre URL par un nouveau domaine (par exemple, monsite.com peut devenir bit.ly) et le permalien est remplacé par une chaîne de chiffres et/ou de lettres (par exemple, monsite.com/mesmeilleursarticles peut devenir bit.ly/dp5fr7n).
L'URL longue et l'URL courte sont toutes deux des points de départ différents pour qu'un navigateur Internet atteigne la même destination. En dehors de ces fonctions, les raccourcisseurs d'URL se livrent-ils à d'autres manœuvres secrètes ?
Les raccourcisseurs d'URL définissent des cookies de suivi des publicités
Selon les explications de Miles, des membres de sa famille ont partagé avec lui un lien réduit à l'aide de tinyurl.com à Noël. Ce lien devait directement l'amener vers une discussion Zoom, mais lorsqu'il a cliqué sur le lien, sa barre d'URL a fait apparaître un domaine intermédiaire qui n'était ni Zoom ni TinyURL. Plus tard, il a utilisé cURL pour voir où cette URL allait vraiment. Pour rappel, cURL est une interface en ligne de commande, permettant de récupérer le contenu d'une ressource accessible par un réseau informatique. La ressource est désignée à l'aide d'une URL et doit être d'un type supporté par le logiciel.
cURL est utilisé dans les lignes de commande ou les scripts pour transférer des données. Cela dit, il est aussi utilisé dans les voitures, les téléviseurs, les routeurs, les imprimantes, les équipements audio, les téléphones mobiles, les tablettes, les décodeurs, les lecteurs multimédias et constitue la dorsale de transfert Internet pour des milliers d'applications logicielles. Il prend en charge les certificats SSL, HTTP POST, HTTP PUT, le téléchargement FTP, le téléchargement basé sur des formulaires HTTP, les proxies, HTTP/2, HTTP/3, les cookies, le tunneling par proxy et plus encore.
Miles a découvert que la redirection de tinyurl.com l'envoyait vers VigLink, une société de publicité (tracking) basée à San Francisco, aux États-Unis, spécialisée dans le marketing d'affiliation. Mais ce n'est pas tout ; il a également découvert que TinyURL a installé des cookies sur son ordinateur sans son consentement. « Bien sûr, la redirection n'était pas du tout propre. TinyURL m'a d'abord envoyé sur VigLink. Suivre la redirection dans cURL révèle un autre fait peu recommandable. VigLink place des cookies avant de m'envoyer à la destination prévue sur Zoom », a déclaré Miles dans son billet explicatif.
Il estime que ces cookies leur donnent la possibilité de le suivre sur tous les autres sites qui utilisent leur technologie publicitaire et de collecter ainsi des données liées à son historique de navigation. « Qui sait ce que VigLink fait de mes données, mais personnellement, je ne ferais pas confiance à une société de publicité pour garder pour elle mon historique de navigation », a-t-il déclaré. En outre, TinyURL ne lui a pas donné la possibilité de se soustraire de ce suivi, alors qu'il se situe actuellement en Europe où les fournisseurs de services numériques doivent laisser le choix aux internautes pour le suivi ou la collecte de données.
Par ailleurs, il a ajouté que la politique de confidentialité de TinyURL, mise à jour pour la dernière fois en 2012, ne mentionne ni le partage de données par des tiers ni les cookies qu'ils partagent avec leurs affiliés. Il poursuit en disant qu'il ne s'agit pas en effet d'un phénomène limité à TinyURL. Selon Miles, plusieurs raccourcisseurs d'URL plus courants, comme t.co (Twitter) et bit.ly, placent des cookies lorsque vous cliquez sur un lien. Bien que ni l'un ni l'autre ne vous redirige vers une société de publicité comme TinyURL, le modèle commercial principal de Twitter est la publicité.
Notons qu'en 2018, l'UE avait ouvert une enquête sur Twitter après qu'il a refusé de fournir à un utilisateur les données collectées sur lui par l'intermédiaire de son raccourcisseur d'URL. Soupçonnant que t.co, que Twitter qualifie comme étant un outil qui permet de mesurer le nombre de visites sur un lien et d’empêcher efficacement la propagation de programmes malveillants par le biais de liens douteux, ne soit en fait qu’un moyen détourné pour collecter encore plus de données sur les utilisateurs, Michael Veale, chercheur en sécurité, a décidé d’exercer son droit garanti par le RGPD et de demander à ce que Twitter lui fournisse l’ensemble des données collectées sur lui.
Il avait déclaré que l’entreprise enregistre les heures exactes auxquelles les utilisateurs cliquent sur tel ou tel lien, des données relatives aux types d’appareils dont les utilisateurs se servent pour se connecter et des données approximatives liées à l’emplacement des utilisateurs au moment du clic. Selon lui, Twitter collecte beaucoup de données via ce service, mais l'on ne sait pas ce qu'il en fait.
Alors, faut-il continuer à utiliser les raccourcisseurs d'URL ?
Miles pense qu'il faut arrêter de les utiliser. Toutefois, si vous vous sentez obligé de faire recours à eux, il conseille d'ajouter à votre navigateur des extensions pouvant permettre de limiter le suivi ou la collecte de données par ces services. « N'utilisez pas de raccourcisseurs d'URL. Et si vous cliquez sur un lien d'un raccourci d'URL, je vous recommande d'utiliser des outils comme l'extension Firefox Temporary Containers pour limiter la portée du suivi des annonces. Personnellement, j'ai pris le temps d'envoyer à Sovrn (la société mère de VigLink) une demande de GDPR, et je me suis assuré de leur donner mon cookie de suivi », a-t-il déclaré.
En 2016, un article publié par deux chercheurs en sécurité prédisait que les raccourcisseurs d'URL constitueraient une menace de sécurité pour le cloud, car leur utilisation poserait des problèmes de confidentialités. En est-on déjà à ce stade ? Selon les chercheurs, Vitaly Shmatikov et Martin Georgiev, lorsqu'ils sont utilisés pour partager des données protégées par des informations d’identification incluses dans l’URL, ces services peuvent permettre à des attaquants d’accéder aux données en effectuant simplement des recherches dans l’espace d’adressage, du fait que ces adresses sont très courtes et prévisibles.
À l'époque, leur étude avait permis de révéler que les contenus des adresses du domaine byt.ly sont exposés à des problèmes de confidentialité. Shmatikov estimait que 42 % des URL considérées composées de six caractères correspondent à des URL réelles et que ces dernières étaient liées à des fichiers et des répertoires stockés sur OneDrive ou SkyDrive. Quant aux URL composées de sept caractères, 29 % d’entre elles avaient été identifiées par les deux chercheurs comme correspondant à des liens valides de OneDrive et SkyDrive.
L’équipe de chercheurs a expliqué dans l’article qu’il serait possible de déterminer avec succès beaucoup plus d’adresses en ajustant la recherche sur un bloc spécifique d’adresses, car les URL de bit.ly ne seraient pas toutes générées de manière aléatoire. Les chercheurs ont également découvert en effectuant des recherches sur les URL raccourcies utilisées sur Google Maps que sur un échantillon de plus de 23 millions d’URL courtes, dix pour cent ont servi pour enregistrer les directions d’un endroit à l’autre ainsi que les adresses des endroits en question.
Ces informations ont ensuite pu être associées à des comptes Google spécifiques, ce qui représente une faille de sécurité potentielle, car, à partir de là, les chercheurs sont en mesure de déterminer la personne associée à une indication de direction en se basant sur les adresses.
Source : Luke Miles
Et vous ?
Quel est votre avis sur le sujet ? Selon vous, les raccourcisseurs d'URL sont-ils utiles ? Avez-vous déjà observé ce comportement en cliquant sur un lien réduit ?Voir aussi
Google annonce la fin de son raccourcisseur d'URL « goo.gl » à compter du 13 avril 2018 au profit de Firebase Dynamic Links (FDL) Les raccourcisseurs d'URL constitueraient une menace de sécurité pour le cloud d'après un article publié par deux chercheurs en sécurité L'UE ouvre une enquête sur Twitter après qu'il ait refusé de fournir à un utilisateur les données collectées sur lui via son raccourcisseur d'URL Le spam atteint son plus bas niveau en 3 ans, les réseaux sociaux ciblés par les spammeurs, selon Symantec 
