← Tous les articles

Les limites de la réécriture d’URL et du scan de liens

GottaPhish Team · 30 juin 2026

La réécriture d'URL au moment du clic est l'une des fonctions de sécurité e-mail les plus appréciées : chaque lien est remplacé par une URL détenue par la passerelle, afin de revérifier la destination à l'instant où l'utilisateur clique. Elle attrape une grande part du phishing et mérite d'être en place. Mais ce n'est pas le filet de sécurité que beaucoup d'équipes imaginent, et connaître ses angles morts maintient les attentes — et les défenses — honnêtes.

Comment fonctionnent la réécriture et le scan de liens

À l'arrivée du courrier, la passerelle réécrit les liens pour les faire transiter par son propre service d'analyse :

Original  : https://example.com/doc
Réécrit   : https://urldefense.example/v3/__https://example.com/doc__;!!TOKEN

Au clic, l'utilisateur atteint d'abord la passerelle, qui évalue la destination — réputation, détonation en bac à sable, analyse de contenu — puis autorise, avertit ou bloque. Le principe est sain : vérifier le lien au moment qui compte, pas seulement à la livraison. Le problème est qu'un attaquant déterminé contrôle précisément ce qui est vérifié.

Pourquoi c'est imparfait

Le scanner est un visiteur connu et distinguable

La réécriture ne fonctionne que si la passerelle suit le lien, et ce fetch diffère du navigateur d'une vraie victime. Les attaquants détectent le scanner et lui servent quelque chose de propre.

Scanner passerelle → CAPTCHA / page anodine → verdict : propre
Victime humaine     → franchit le portail → page d'identifiants active

Le lien change après avoir été jugé

Même un scan parfait n'est qu'un instantané.

Les chaînes de redirection blanchissent la destination

Le lien réécrit peut pointer vers un domaine réputé qui se contente de rediriger : une redirection ouverte, un raccourcisseur d'URL, un tracker marketing légitime, ou une suite de sauts finissant sur une infrastructure fraîchement enregistrée. Les scanners ne suivent qu'un nombre limité de sauts, et la destination finale peut être remplacée ou verrouillée indépendamment de la première.

L'hébergement de confiance résiste au blocage

Quand la destination est SharePoint, Google Drive ou un domaine derrière Cloudflare, un verdict propre est souvent correct sur le moment — le fichier ou la page y est bien hébergé — alors que le contenu est l'appât. Le scanner ne peut bloquer la plateforme en bloc.

La réécriture vérifie un lien selon les conditions de l'attaquant. Qui contrôle la destination contrôle ce que voit le scanner, et peut le changer après le verdict.

La défense en profondeur

La réécriture d'URL devrait être une couche parmi plusieurs, précieuse mais jamais porteuse à elle seule :

L'objectif n'est pas de se méfier de la réécriture, mais de cesser de traiter un verdict au clic comme une preuve de sécurité. C'est une entrée probabiliste parmi d'autres, et les attaques conçues pour la franchir sont celles que vos autres couches existent pour attraper.

Comment GottaPhish aide

La réécriture d'URL au moment du clic attrape beaucoup de choses, mais ce n'est pas le filet de sécurité que beaucoup d'équipes imaginent : camouflage, pages à portail, liens à usage unique et chaînes de redirection trompent régulièrement le scan automatisé, si bien que la couche de scan de liens laisse toujours des angles morts à elle seule. GottaPhish et son équipe d'experts vous montrent ce que la réécriture d'URL arrête vraiment — et ce qu'elle manque — via des simulations autorisées et intégralement auditées reproduisant ces techniques en toute sécurité, avec des données par utilisateur et par service sur qui atteint la page et qui la signale. Nos experts vous aident à concevoir les scénarios, déployer les campagnes et interpréter les tableaux de bord, afin que cette preuve affine vos priorités de défense en profondeur. Résultat : vos équipes deviennent une dernière ligne de détection fiable là où le scan automatisé peut être trompé.