Reveal URLs — Manuel d'utilisation

Reveal URLs est une petite extension de navigateur (et un module Thunderbird) qui vous montre où un lien dans votre courriel mène réellement, afin que vous puissiez repérer un lien de hameçonnage avant de cliquer dessus.

Ce manuel explique comment installer Reveal URLs et comment l'utiliser. Pour savoir comment vos données sont traitées, consultez la politique de confidentialité ; pour un aperçu technique de la façon dont l'extension est construite, consultez l'aperçu de l'architecture.

Vous avez trouvé un bogue, un lien signalé à tort (ou manqué), ou un hôte de webmail qui devrait être pris en charge ? Veuillez le signaler sur le suivi des problèmes Codeberg.

Sommaire

Ce que ça fait et pourquoi
Navigateurs et client de messagerie pris en charge
Installation
Utilisation
Confidentialité
Dépannage
Licence et code source

Ce que ça fait et pourquoi

Un courriel de hameçonnage cache une destination hostile derrière un texte de lien d'apparence fiable. Le texte peut afficher paypal.com, alors que le lien pointe en réalité vers paypa1.com ou un autre hôte sosie. Le texte visible peut mentir ; la véritable destination, non.

Reveal URLs lit chaque lien dans le message que vous lisez et vous montre sa véritable destination. Lorsque l'hôte nommé dans le texte du lien ne correspond pas à l'hôte vers lequel le lien pointe réellement, Reveal URLs le signale, de sorte que l'écart est évident avant que vous ne cliquiez.

Un message Gmail avec Reveal URLs actif : un lien trompeur est signalé en rouge avec sa véritable destination de pistage révélée au-dessus du texte du lien, tandis qu'un lien honnête est affiché en vert.

Tout se passe sur votre propre appareil. Reveal URLs n'envoie rien à nous ni à aucun tiers — il n'y a pas de serveur, pas d'analyse et pas de pistage. Consultez la politique de confidentialité pour tous les détails.

Navigateurs et client de messagerie pris en charge

Reveal URLs fonctionne sur :

Google Chrome
Microsoft Edge
Opera
Mozilla Firefox
Mozilla Thunderbird (le client de messagerie de bureau)

Une version Safari n'est pas encore livrée ; elle est prévue pour une phase ultérieure.

Sur les cibles de navigateur, Reveal URLs annote les liens dans votre webmail. Dans Thunderbird, il annote les liens du courriel que vous lisez directement dans le client de messagerie.

Installation

Depuis la boutique de votre navigateur ou client de messagerie (recommandé)

Une fois publié, vous installerez Reveal URLs depuis la boutique de votre navigateur ou client de messagerie. La publication est en attente, donc ces fiches constituent la voie de distribution prévue plutôt que des liens actifs aujourd'hui :

Chrome — le Chrome Web Store
Edge — Microsoft Edge Add-ons
Opera — le site des modules Opera
Firefox — Firefox Add-ons (AMO)
Thunderbird — Thunderbird Add-ons (ATN)

Charger une version vous-même (développeurs et tests précoces)

Si vous avez construit Reveal URLs à partir du code source, vous pouvez charger directement la version décompressée. Chaque cible est construite avec une commande make et produite sous dist/<target>/ :

make build-chrome        # produces dist/chrome
make build-edge          # produces dist/edge
make build-opera         # produces dist/opera
make build-firefox       # produces dist/firefox
make build-thunderbird   # produces dist/thunderbird

Chargez ensuite le dossier obtenu :

Chrome — ouvrez chrome://extensions, activez le mode développeur, cliquez sur Charger l'extension non empaquetée et sélectionnez dist/chrome.
Edge — ouvrez edge://extensions, activez le mode développeur, cliquez sur Charger l'extension non empaquetée et sélectionnez dist/edge.
Opera — ouvrez opera://extensions, activez le mode développeur, cliquez sur Charger l'extension non empaquetée et sélectionnez dist/opera.
Firefox — ouvrez about:debugging, choisissez Ce Firefox, cliquez sur Charger un module temporaire et sélectionnez n'importe quel fichier dans dist/firefox (par exemple son manifest.json). Un module temporaire est supprimé au redémarrage de Firefox.
Thunderbird — installez le module temporaire depuis dist/thunderbird de la même manière (via Outils → Outils de développement → Déboguer les modules → Charger un module temporaire).

La page des paramètres s'ouvre automatiquement la première fois que l'extension est installée.

Utilisation

D'emblée, Reveal URLs annote les liens dans les messages chez les fournisseurs intégrés — aucune configuration requise :

Gmail (mail.google.com)
Outlook Live (outlook.live.com)
Outlook sur le web / Microsoft 365 (outlook.office.com)
Proton Mail (mail.proton.me)

L'annotation est limitée au corps du message, de sorte que l'interface propre de l'application — sa barre latérale, sa fenêtre de rédaction et ses barres d'outils — reste intacte. Dans Thunderbird, l'ensemble du courriel affiché est couvert.

Reveal URLs annotant un message Gmail : la véritable destination de chaque lien est affichée sur sa propre ligne au-dessus du texte du lien, avec un lien de pistage non concordant signalé en rouge et un lien honnête en vert.

Les deux modes de révélation

Vous choisissez la façon dont la véritable URL est affichée, sous Révéler l'URL sur la page des paramètres :

En ligne — la véritable URL est affichée sur sa propre ligne, juste au-dessus du texte du lien. C'est le mode par défaut.
Dans l'infobulle (titre) du lien — la véritable URL est placée dans l'infobulle du lien, de sorte qu'elle apparaît lorsque vous survolez le lien.

Mise en évidence des non-concordances

Lorsque l'hôte nommé dans le texte visible d'un lien ne correspond pas à l'hôte vers lequel le lien pointe réellement, Reveal URLs le signale comme une non-concordance. La comparaison se fait sur le domaine enregistrable, de sorte qu'un sous-domaine honnête tel que mail.example.com pour example.com n'est pas signalé, tandis qu'un sosie tel que paypa1.com pour paypal.com l'est.

En mode en ligne, une non-concordance est affichée dans la couleur de non-concordance que vous avez choisie et en gras.
En mode infobulle (titre), un badge distinctif ⚠ Non-concordance d'URL est ajouté à côté du lien.

Deux paramètres connexes contrôlent cela :

Mettre en évidence les liens non concordants active ou désactive l'accentuation des non-concordances.
N'annoter que les liens non concordants laisse les liens honnêtes complètement intacts, de sorte que seuls les liens suspects sont révélés.

La page des paramètres : le sélecteur de mode 'Révéler l'URL', l'interrupteur 'Mettre en évidence les liens non concordants', et les champs de couleur de non-concordance et de concordance.

Le bouton de la barre d'outils

Dans Chrome, Edge, Opera et Firefox, l'icône Reveal URLs de la barre d'outils est un interrupteur marche/arrêt rapide — cliquez dessus pour basculer l'annotation. Lorsque l'extension est désactivée, un badge OFF apparaît sur l'icône, et son infobulle vous indique si un clic l'activera ou la désactivera. Le changement prend effet dans chaque onglet ouvert en même temps.

(Thunderbird ne dispose pas de ce bouton de barre d'outils ; utilisez plutôt l'interrupteur Activer sur la page des paramètres.)

La page des paramètres

La page des paramètres contient toutes les options. Ouvrez-la depuis la page des extensions de votre navigateur (par exemple Détails → Options de l'extension), ou elle s'ouvre automatiquement à la première installation.

Activer Reveal URLs — l'interrupteur principal marche/arrêt, tout en haut de la page. Il prend effet immédiatement, sans qu'il soit nécessaire d'enregistrer le reste du formulaire.
Langue d'affichage — choisissez la langue dans laquelle la page des paramètres est affichée. Par défaut, elle suit la langue de votre navigateur, avec l'anglais comme solution de repli ; choisissez-en une autre dans la liste pour la remplacer. Votre choix prend effet immédiatement, est mémorisé pour la prochaine fois, et n'est stocké que sur cet appareil (il ne modifie jamais le reste de vos paramètres).
Révéler l'URL — choisissez le mode en ligne ou infobulle (titre) (voir ci-dessus).
Mettre en évidence les liens non concordants — active ou désactive l'accentuation des non-concordances.
Couleur de non-concordance — la couleur CSS utilisée pour un lien signalé (par exemple red, #cc0000 ou rgb(200, 0, 0)). La valeur par défaut est le rouge.
Couleur de concordance — la couleur de l'URL révélée sur les liens honnêtes (non concordants) (par exemple green ou #0a0). La valeur par défaut est le vert.
N'annoter que les liens non concordants — laisse les liens honnêtes intacts.
Ignorer ces hôtes — une liste de noms d'hôtes à ignorer entièrement, un par ligne. Les sous-domaines d'un hôte listé sont également ignorés.
Longueur maximale d'URL affichée — les URL longues sont tronquées au-delà de ce nombre de caractères, tout en gardant l'hôte visible. Plage autorisée : 20 à 2000.
Taille / graisse de police de l'URL révélée et Taille / graisse de police du badge d'avertissement — surcharges typographiques facultatives ; laissez vide pour conserver les valeurs par défaut.

À part l'interrupteur principal Activer et les commandes des Sites actifs (qui s'appliquent immédiatement), les modifications sont enregistrées avec le bouton Enregistrer les paramètres.

Les paramètres inférieurs : la liste 'Ignorer ces hôtes', la longueur maximale d'URL affichée, et les champs facultatifs de taille et de graisse de police de l'URL révélée et du badge d'avertissement, au-dessus du bouton 'Enregistrer les paramètres'.

Sites actifs — ajouter votre propre webmail

La section Sites actifs, en haut de la page des paramètres, répertorie les pages sur lesquelles Reveal URLs fonctionne et le conteneur qui héberge chaque corps de message.

Le haut de la page des paramètres : l'interrupteur principal 'Activer Reveal URLs' et la liste 'Sites actifs', chaque fournisseur intégré affichant son motif de correspondance, un interrupteur 'Activé', un interrupteur 'Sous-cadres' et son sélecteur de corps de message.

Chaque ligne affiche :

le motif de correspondance du site (par exemple https://mail.example.com/*) ;
un interrupteur Activé ;
le sélecteur de corps de message (le sélecteur CSS pour le conteneur que Reveal URLs annote), que vous pouvez modifier ;
un interrupteur Sous-cadres, pour les sites dont le corps de message est affiché à l'intérieur d'un iframe ;
un bouton Supprimer (pour vos propres sites uniquement).

Les fournisseurs intégrés (Gmail, Outlook et Proton) peuvent être désactivés et reciblés, mais ils ne peuvent pas être supprimés.

Pour ajouter votre propre site de webmail :

Sous Ajouter un site, saisissez une URL de correspondance — un motif de correspondance tel que https://mail.example.com/*.
Saisissez un Sélecteur de corps de message — un sélecteur CSS pour le conteneur qui héberge le corps du message, par exemple .message-body.
Si le corps du message est affiché à l'intérieur d'un sous-cadre, cochez Exécuter aussi à l'intérieur des sous-cadres.
Cliquez sur Ajouter un site. Votre navigateur vous demandera l'autorisation d'accéder à ce site ; accordez-la. Le site n'est ajouté qu'une fois que vous accordez l'autorisation.

Les modifications ici s'appliquent immédiatement. La suppression d'un site que vous avez ajouté révoque également son autorisation, de sorte que Reveal URLs cesse d'y accéder.

Confidentialité

Reveal URLs fonctionne entièrement sur votre propre appareil. Pour révéler et vérifier les liens, il lit — uniquement au sein de la page que vous consultez — le texte visible et la destination des liens dans le message que vous lisez, ainsi que les couleurs de la page (afin que l'URL révélée reste lisible). Ceci est lu au fur et à mesure de l'affichage de la page ; ce n'est jamais stocké ni jamais transmis.

La seule chose qu'il stocke, ce sont vos propres paramètres (tels que activé/désactivé, mode de révélation, couleurs, tailles de police, votre liste d'ignorance et tous les sites que vous avez ajoutés). Ceux-ci sont enregistrés dans le stockage d'extension de votre navigateur. Si la synchronisation de votre navigateur est activée, vos paramètres peuvent être synchronisés entre vos appareils connectés, géré par le fournisseur de votre navigateur — jamais envoyé à nous. Reveal URLs ne transmet rien.

Consultez la politique de confidentialité pour tous les détails.

Dépannage

Un lien n'est pas révélé.

Vérifiez que Reveal URLs est activé — l'icône de la barre d'outils ne doit pas afficher le badge OFF, et l'interrupteur Activer Reveal URLs sur la page des paramètres doit être activé.
Vérifiez que le site est couvert. Les fournisseurs intégrés (Gmail, Outlook, Proton) fonctionnent d'emblée ; tout autre webmail doit être ajouté sous Sites actifs avec son URL de correspondance et son sélecteur de corps de message.
Vérifiez le sélecteur de corps de message. S'il ne correspond pas au conteneur qui héberge le corps du message, les liens à l'intérieur de ce conteneur ne seront pas révélés.
Notez que les liens vers des ancres internes à la page, et les liens utilisant des schémas autres que http/https (tels que mailto:), sont délibérément ignorés — tout comme les hôtes figurant sur votre liste Ignorer ces hôtes.

Un fournisseur intégré a cessé de fonctionner après une refonte.

Les fournisseurs de webmail modifient de temps en temps le balisage de leurs pages. Si le sélecteur d'un fournisseur intégré ne correspond plus après un tel changement, vous pouvez le corriger vous-même : dans Sites actifs, modifiez le sélecteur de corps de message de ce fournisseur vers le nouveau conteneur.

L'URL de l'infobulle ne s'affiche pas.

En mode infobulle (titre), la véritable URL est placée dans l'infobulle du lien, de sorte qu'elle n'apparaît que lorsque vous survolez le lien. Si vous préférez voir l'URL sans survol, basculez Révéler l'URL en mode en ligne.

Licence et code source

Reveal URLs est un logiciel libre, sous licence GNU Affero General Public License v3.0 (AGPL-3.0-only).

Code source : https://codeberg.org/Magentron/reveal-urls
Aperçu technique : Architecture
Pour aller plus loin sur le hameçonnage par lien : Email link phishing: your app should always show the URL