Toujours réfléchir avant d’agir
La désinformation peut prendre de nombreuses formes, mais elle essaye généralement de se faire passer pour légitime en copiant (souvent grossièrement) des sites officiels. Ajoutez l’empressement des utilisateurs à partager des informations sans vérifier outre-mesure et vous avez un combo gagnant (enfin perdant). Les Twitter Cards en sont victimes en ce moment, mais ce ne sont pas les seules.
Comme l’explique Wikipédia, le cloaking (ou masquage) est une technique qui consiste « à présenter un contenu de page web différent suivant que le client distant est un robot de moteur de recherche ou un internaute humain ».
Cette distinction peut se faire suivant différentes techniques, l’adresse IP et l’user-agent sont les deux principales. L’user-agent est une chaine de caractères permettant d’identifier le type de navigateur, sa version, le système d’exploitation de la machine, etc.
Deux salles, deux ambiances
Cela permet ainsi d’afficher une mise en page différente sur un smartphone et sur un ordinateur de bureau. On peut aussi adapter la page au navigateur, ce qui était parfois indispensable à l’âge d’or d’Internet Explorer de Microsoft.
Mais l’utilisation de l’user-agent peut aussi être détourné. Google donne un exemple de ce qu’il ne faut pas faire : afficher « une page sur des destinations de voyage pour les moteurs de recherche et une autre sur des médicaments à prix réduit pour les utilisateurs ».
Les Twitter Cards détournées
C’est ce qui se passe en ce moment sur certaines publications X (anciennement Twitter), même si le phénomène n’est pas nouveau ni limité à ce réseau social. Les Twitter Cards sont en effet détournées pour rediriger des utilisateurs sur des fausses informations, tout en se faisant passer pour des sites légitimes.
En voici un exemple :
La Twitter Card indique que l’aperçu vient de « lemonde.fr ». C’est vrai, mais ce n’est pas forcément cette page que l’utilisateur va voir s’il clique sur le lien, comme l’explique Nico Popy sur X. Suivant votre user-agent (mais cela peut être un autre paramètre), vous serez redirigé vers le site officiel du Monde, ou bien vers un site frauduleux en insidetodayreportsnow[.]xyz.
Ce dernier reprend un design proche de celui du Monde. La supercherie ne tient pas longtemps si on regarde un tant soit peu attentivement. Il suffit par exemple d’essayer de cliquer sur le bandeau supérieur (qui ne se déroule pas). Cette mise en page peut néanmoins suffire à tromper des utilisateurs. Sur ce site, on retrouve donc une fausse information montée de toutes pièces.
Sur l’image ci-dessous, la même URL (t.co/xxxx) redirige vers un site frauduleux si on ne change pas notre user-agent, alors qu’on arrive sur Le Monde avec un user agent ne correspondant pas à celui d’un navigateur.
Une redirection peut en cacher une autre
Mais comment se fait-il qu’il existe deux versions ? Un petit passage par Wheregoes (qui permet de suivre les redirections d’un lien sans cliquer dessus) donne la réponse : il y a deux redirections différentes. La première, en 301 (redirection permanente) renvoi vers le site frauduleux insidetodayreportsnow[.]xyz. La seconde, en 302 (redirection temporaire) vers le site du Monde.
Les utilisateurs classiques restent bloqués à la première redirection, tandis que ceux avec un user-agent spécifique (les moteurs de recherche par exemple) sont renvoyés vers la seconde page.
Dans le cas de Twitter ou d’autres applications proposant un aperçu, c’est le second site qui est pris en compte, avec donc la miniature et la provenance du Monde. Les utilisateurs ont ainsi l’impression de se rendre sur un site légitime, alors que non.
Nous avons testé le lien dans différentes applications proposant une prévisualisation. LinkedIn, Twitter et Mattermost par exemple propose un aperçu du site du Monde, alors que les internautes verront bien (trop) souvent le site frauduleux.
Résultat des « cards » de prévisualisation sur Mattermost et LinkedIn.