Je pense que la chose la plus gentille que l’on puisse dire sur X (le réseau social anciennement connu sous le nom de Twitter) en 2024, c’est qu’il est impressionnant que le site soit toujours en ligne. Certes, des bots de spam envahissent les fils de discussion populaires, les discours de haine sont en hausse (X poursuit d’ailleurs la société qui l’uit), et la publicité est en forte baisse, mais malgré tout, twitter.com parvient toujours à se charger.
Cependant, les raisons de se donner la peine de charger le site continuent de diminuer, et rapidement—pas seulement à cause des raisons mentionnées ci-dessus. Parce qu’il semble maintenant qu’il n’est même plus sûr de cliquer sur les liens sur X.
Vous ne savez pas où ce lien X mène réellement
Comme l’a fait remarquer le chercheur en sécurité Will Dormann, certains posts sur X prétendent mener à un site légitime, mais redirigent en réalité ailleurs. Dans l’exemple de Dormann, une publicité publiée par un utilisateur vérifié de X prétend mener à forbes.com. Lorsque Dormann clique sur le lien, cependant, il l’emmène à un autre lien pour ouvrir une chaîne Telegram qui, selon lui, “aide les individus à maximiser leurs profits sur le marché des cryptomonnaies”. En résumé, le lien “Forbes” mène à du spam cryptographique.
Ce tweet n’est actuellement pas disponible. Il pourrait se charger ou avoir été supprimé.
Les acteurs malveillants peuvent réaliser cela grâce aux vulnérabilités dans la façon dont X gère les aperçus d’URL. Comme l’explique BleepingComputer, X vérifie la destination finale de l’URL, plutôt que le lien initial lui-même, avant de générer un lien d’aperçu sur le site. Cela ne serait pas un problème si les utilisateurs étaient effectivement conduits à la destination finale à chaque fois. Malheureusement, cette politique offre aux acteurs malveillants la possibilité de tromper les gens en leur faisant suivre des liens qu’ils n’auraient jamais cliqués autrement.
Tout ce qu’ils ont à faire est de configurer deux destinations URL différentes dans leur publication. Dans le cas décrit ci-dessus, cliquer sur le lien forbes.com vous emmène en réalité sur joinchannelnow.net. Une fois sur ce site, le serveur vérifie si la demande provient d’un navigateur typique (c’est-à-dire vous). Si c’est le cas, il vous redirige vers le site de spam, qui, pour cette situation, est une chaîne Telegram d’escroquerie de crypto-monnaie. Cependant, si le serveur détecte que la demande provient de quelque chose d’autre—comme un bot de vérification de lien X—il supposera que la demande n’est pas faite par un humain ; dans ces cas, il renvoie une URL légitime. Donc, même si le premier lien est vers joinchannelnow, X le vérifie et est renvoyé vers forbes.com, qui se place donc dans l’aperçu d’URL de la publication. Votre expérience sera différente.
En résumé, c’est un cauchemar en matière de sécurité. Cela signifie que chaque lien que vous voyez sur X pourrait potentiellement mener à un site essayant de vous spammer dans le meilleur des cas, ou de vous escroquer, d’installer un malware sur votre machine, ou autrement de profiter de vous dans le pire des cas, tout cela parce que vous avez fait confiance à une plateforme de médias sociaux pour afficher l’aperçu approprié d’un lien.
Comment rester en sécurité en cliquant sur des liens sur X
Le meilleur moyen de rester en sécurité sur X est d’arrêter de l’utiliser. Sérieusement, combien de “dernières gouttes” sont nécessaires avant que nous réalisions tous que cet endroit ne vaut plus la peine d’être visité ? Les mèmes épicés ne justifient plus les nombreux, nombreux défauts et risques.
Bien sûr, beaucoup d’entre nous continueront à l’utiliser de toute façon (je ne peux pas dire que je ne suis pas encore là), donc avoir des étapes concrètes à suivre sera utile. Ainsi, lorsque vous utilisez X sur un ordinateur, survolez toujours l’aperçu du lien avant de cliquer dessus. Comme vous utilisez un navigateur web, vous verrez la destination finale du lien apparaître en tant qu’aperçu contextuel, vous saurez donc si un lien est légitime ou non. Si vous voyez autre chose que le lien que la publication prétend être, ne cliquez pas dessus.
Malheureusement, il n’est pas possible de faire cela sur mobile, donc, honnêtement, il n’est probablement pas intéressant d’ouvrir des liens sur X sur votre téléphone. J’aimerais dire que vous ne devriez ouvrir que des liens provenant de comptes de confiance, mais puisque quiconque paye pour X peut désormais obtenir un badge de vérification, il est bien trop facile d’être trompé par un compte prétendant avoir une autorité qu’il n’a pas. Rappelez-vous : le compte qui a publié le faux lien Forbes était également vérifié.
