2LRN4 security awareness platform
← Retour à l'aperçu

Safe Links dans Exchange (Safe URLs) : pourquoi la réécriture d'URL est une fausse sécurité

Safe Links (Safe URLs) dans Exchange réécrit les liens pour l'analyse au moment du clic, mais masque la véritable destination et crée une fausse sécurité. Découvrez les dilemmes et ce que vous, administrateur, devriez faire à la place.

Microsoft Defender pour Office 365 propose Safe Links, souvent appelé en pratique "Safe URLs". La fonction réécrit chaque lien des e-mails entrants vers une adresse Microsoft, afin que la destination soit analysée à nouveau au moment du clic. Cela paraît logique : un contrôle supplémentaire juste avant d'arriver quelque part. Mais la réécriture retire précisément ce dont vous avez besoin pour juger par vous-même — la destination visible. Vous vous sentez plus en sécurité alors que vous voyez moins. Et le cœur de la solution n'est pas que Microsoft devrait supprimer la fonction. C'est que les administrateurs devraient cesser d'activer la réécriture d'URL par réflexe et ne l'utiliser qu'après avoir pesé sciemment les inconvénients.

Supposons que vous receviez un e-mail avec un lien vers https://portail-paiement.fr/connexion. Avec Safe Links activé, Microsoft réécrit ce lien en quelque chose comme https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fportail-paiement.fr%2Fconnexion&data=05%7C01%7C.... La destination d'origine est désormais enfouie comme paramètre dans une longue URL Microsoft illisible.

Au clic, Microsoft vous fait d'abord passer par son propre serveur de contrôle. Celui-ci compare l'adresse cible aux renseignements de menace actuels (analyse au moment du clic). Si l'adresse est connue comme malveillante à cet instant, vous obtenez une page d'avertissement au lieu du site. Si elle n'est pas (encore) connue, vous êtes redirigé. Le contrôle a donc lieu au clic, pas à la lecture de l'e-mail.

Pourquoi cela semble une bonne idée sur le papier

Safe Links n'est pas sans valeur, et il faut le dire honnêtement. La fonction offre quelques avantages réels :

  • Protection au moment du clic : un lien encore propre à la livraison mais devenu malveillant plus tard peut tout de même être bloqué au moment du clic.
  • Blocage centralisé : dès que Microsoft signale un domaine comme malveillant, tous vos utilisateurs sont protégés d'un coup, sans que vous leviez le petit doigt.
  • Télémétrie des clics : votre SOC ou équipe d'administration voit qui a cliqué sur quel lien. C'est précieux pour enquêter sur un incident.
  • Barrière faible : la fonction est active en quelques minutes et ne coûte aucune licence supplémentaire si vous avez déjà Defender pour Office 365.

Le problème central : vous ne pouvez plus lire la vraie destination

Une URL n'est pas une chaîne technique impénétrable. C'est de l'information. Le domaine vous dit qui vous atteignez. Le chemin indique ce que vous allez faire. Les paramètres donnent le contexte. Un œil exercé voit immédiatement que microsoft-login.secure-verify.ru n'est pas Microsoft, mais un domaine russe qui se fait passer pour Microsoft.

Dès que Safe Links réécrit le lien vers une adresse safelinks.protection.outlook.com, cette information disparaît. Vous ne voyez plus qu'une URL Microsoft avec un enchevêtrement de paramètres. Vous ne pouvez plus survoler le lien et juger vous-même où il mène. Tout ce que vous voyez, c'est que c'est "quelque chose de Microsoft" — et cela paraît exactement aussi sûr que l'attaquant l'espère.

Pourquoi c'est une fausse sécurité

La fausse sécurité naît quand une mesure augmente le sentiment de sécurité plus que la sécurité réelle. Safe Links en est un cas d'école. Les collaborateurs apprennent inconsciemment : "si le lien passe par Microsoft, il est vérifié et donc sûr." Ainsi la vigilance baisse précisément au moment où elle est la plus nécessaire.

Et l'analyse au moment du clic est loin d'être étanche. Les attaquants savent exactement comment elle fonctionne et la contournent couramment :

  • Cloaking : le site de phishing montre un contenu inoffensif au scanner de Microsoft et la vraie page malveillante à l'utilisateur. L'analyse réussit, vous êtes quand même trompé.
  • Pages zero-hour : un domaine de phishing tout neuf ne figure sur aucune liste de blocage. Au moment du clic, Microsoft ne le connaît tout simplement pas et vous redirige.
  • Redirections ouvertes sur des domaines de confiance : les attaquants abusent d'un domaine légitime qui redirige (par exemple un service de publicité ou de suivi) pour que le premier contrôle paraisse propre.
  • Liens hors de portée : les URL dans les pièces jointes, les QR codes ou les images ne sont pas réécrites. C'est justement là que les attaquants déplacent leurs liens.

Les dilemmes auxquels vous faites face en tant qu'administrateur

Ce n'est pas une question de "simplement activé" ou "simplement désactivé". En tant qu'administrateur, vous êtes coincé entre des intérêts réels et contradictoires. Ces dilemmes sont rarement nommés à voix haute :

  • Gain au moment du clic versus lisibilité. Activez la réécriture et vous gagnez une protection contre les liens devenus malveillants, mais vous perdez la capacité des gens à lire eux-mêmes la destination. On ne peut pas maximiser les deux.
  • Couche supplémentaire versus accoutumance. Une couche de défense supplémentaire sonne toujours bien, mais chaque couche qui rassure les gens abaisse leur propre vigilance. La défense en profondeur peut éroder la vigilance humaine.
  • Télémétrie versus aveuglement. La télémétrie des clics est précieuse pour votre SOC, mais vous achetez ces données avec l'aveuglement de vos utilisateurs. Est-ce un échange équitable ?
  • Perception versus réalité. Désactiver la réécriture paraît "moins sûr" à la direction et aux auditeurs, même si cela rend vos gens plus résilients avec le temps. Vous devez oser expliquer un choix qui paraît moins sûr.
  • Commodité versus dépendance. Plus vous vous appuyez sur le contrôle automatique, plus vous devenez dépendant d'un seul fournisseur qui prive vos gens de l'effort de réflexion.

Pas Microsoft — c'est vous, l'administrateur, qui décidez

Il est tentant de dire "Microsoft n'a qu'à améliorer la fonction". Mais la fonction n'est pas sur le bureau de Microsoft — elle est sur le vôtre. Vous décidez dans la stratégie Safe Links si les liens sont réécrits, si l'URL d'origine reste visible et quelles exceptions s'appliquent. Le pouvoir et la responsabilité reviennent à l'administrateur.

Le message n'est donc pas "tout désactiver", mais : cessez d'activer la réécriture par réflexe. Ne la traitez pas comme une sécurité gratuite en plus, mais comme une intervention qui a un prix. Pesez sciemment la valeur de l'analyse (au moment du clic, télémétrie, blocage centralisé) contre le prix que vous payez : des gens qui n'apprennent plus à regarder. Dans beaucoup d'organisations, ce prix est supérieur au gain, surtout si vous investissez en parallèle dans la résilience des personnes.

Ce qu'il vaut mieux faire

Une approche mature combine technique et comportement au lieu de sacrifier le second au premier :

  • Gardez l'analyse, repensez la réécriture. Utilisez la valeur de détection et de blocage de Defender, mais demandez-vous sérieusement si masquer l'URL vaut cette valeur.
  • Investissez dans la littératie des URL. Apprenez aux gens à lire les domaines : où finit le vrai domaine, ce qu'est un sous-domaine, à quoi ressemble une extension anormale. C'est une compétence, pas une connaissance à mémoriser.
  • Mesurez le comportement avec des simulations de phishing. Non pour piéger les gens, mais pour voir si la reconnaissance et le signalement s'améliorent. Pilotez sur le taux de signalement, pas seulement sur le taux de clic.
  • Rendez le signalement facile et sûr. Un bouton pour signaler un mail suspect, sans que personne ne se sente bête. Les signalements rapides sont votre meilleure alerte précoce.
  • Combinez avec une authentification résistante au phishing. Avec FIDO2 ou les passkeys, un mot de passe volé vaut bien moins, même si quelqu'un clique une fois.

Comment former les collaborateurs à la vraie analyse d'URL

Soyez honnête : l'analyse d'URL n'est pas facile. Quiconque clame "les gens n'ont qu'à vérifier le lien, c'est simple" ne la comprend pas assez. Les domaines peuvent être trompeurs, les sous-domaines déroutants, et les attaquants jouent délibérément avec vos attentes. Formez-la donc comme une compétence, avec de la répétition et de vrais exemples.

Un détail important : tant que Safe Links réécrit les URL, vous ne pouvez même pas mener cette formation correctement — il ne reste plus rien à lire pour vos gens. Si vous voulez apprendre aux gens à regarder, l'URL réelle doit être visible. Commencez petit : dans de courts exercices récurrents, montrez à chaque fois une poignée d'URL et faites désigner le vrai domaine. Montez ensuite vers des cas plus difficiles : homoglyphes, longues chaînes de sous-domaines, et liens qui semblent corrects au premier regard mais ne le sont pas tout à fait.

Comment les attaquants déguisent une URL — exemples à pratiquer

Utilisez ce type d'exemple dans votre formation. Laissez les gens désigner eux-mêmes ce qui cloche :

  • Homoglyphes : goog1e.com (un chiffre 1 au lieu de la lettre l) ou g00gle.com (deux zéros). Visuellement presque identique, techniquement un autre domaine.
  • Sous-domaine trompeur : microsoft.login.secure-verify.ru. Le vrai domaine est secure-verify.ru ; "microsoft" et "login" ne sont que des sous-domaines qui inspirent confiance.
  • Mauvaise extension : paypal-secure.com au lieu du vrai paypal.com. Marque connue, juste le mauvais domaine.
  • Redirection ouverte : un lien vers un domaine de confiance qui redirige via un paramètre vers un site malveillant, par exemple ...?redirect=https://phish.example.

FAQ

Non. L'analyse au moment du clic, le blocage centralisé des domaines malveillants connus et surtout la télémétrie des clics pour votre SOC ont une vraie valeur. Le problème n'est pas la détection en arrière-plan, mais la réécriture du lien visible et le faux sentiment de sécurité qu'elle crée. On ne jette pas le bébé avec l'eau du bain ; on repense seulement la réécriture.

Dois-je désactiver Safe URLs tout de suite ?

Pas aveuglément. Mais ne l'activez pas aveuglément non plus. Traitez-le comme un arbitrage délibéré : pesez le gain d'analyse et de télémétrie contre le prix que vos gens ne peuvent plus lire la destination et deviennent négligents. Si vous choisissez la réécriture, faites-le les yeux ouverts et compensez par une formation à l'analyse d'URL. Dans beaucoup d'organisations, la lisibilité et la résilience des personnes valent plus avec le temps que la couche automatique supplémentaire.

Comment reconnaître moi-même si un lien est sûr ?

Lisez vers la fin du domaine : le vrai domaine se trouve juste avant la première barre oblique simple (l'extension comme .fr ou .com et le mot qui la précède). Tout ce qui est avant sont des sous-domaines qu'un attaquant peut remplir librement. Méfiez-vous des homoglyphes (chiffre 1 pour la lettre l, zéro pour o), des noms de marque sur le mauvais domaine et des paramètres de redirection. En cas de doute ? Ne cliquez pas, mais rendez-vous vous-même sur le site connu ou appelez l'expéditeur à un numéro que vous avez déjà.

Que faire si un employé clique quand même sur un lien malveillant ?

Réagissez vite et sans reproche. Faites signaler l'employé à l'informatique immédiatement, déconnectez l'appareil du réseau en cas de suspicion de logiciel malveillant, et réinitialisez aussitôt les mots de passe et les sessions actives des comptes concernés. Vérifiez que la MFA est encore intacte et consultez les journaux pour voir qui d'autre a reçu le même e-mail. Un signalement rapide et calme limite les dégâts bien plus qu'un silence coupable.

Où est la limite entre prudence et paranoïa ?

La prudence est une habitude fixe lors d'actions à risque : se connecter, payer, ou tout ce qui touche à des données sensibles. Là, vous vérifiez toujours. La paranoïa, c'est se figer à chaque e-mail et n'oser plus rien. Tracez la limite sur le processus : pour les demandes financières ou de connexion inhabituelles, vous vérifiez via un canal indépendant ; pour le courrier interne ordinaire, vous faites confiance à votre instinct formé. Vous restez ainsi à la fois opérationnel et résilient.

Besoin d'aide pour la mise en œuvre ?

Réservez une courte démo ou discutez de votre cas d'usage. Nous répondons rapidement.

Réserver une démo Voir le support