Web

Les URLs : pratiques mais dangereuses

Juin 2026 · 5 min de lecture

Une URL, c'est quoi ? C'est l'adresse d'une page web. Quand tu tapes "google.com" c'est une URL. Quand tu vas sur "amazon.fr/products/laptop" c'est aussi une URL. C'est simple. C'est l'adresse du site que tu veux visiter.

Une URL c'est composé de plusieurs parties. D'abord le protocole : "https://" ça veut dire que c'est chiffré (sécurisé). "http://" c'est la même chose mais sans chiffrement (dangereux). Ensuite le domaine : "google.com". Puis le chemin : "/search". Puis les paramètres : "?q=chat". C'est tout ça ensemble qui fait une URL.

Les paramètres c'est important. Quand tu fais une recherche Google, l'URL ça va être "google.com/search?q=chat". Le "?q=chat" c'est un paramètre qui dit "cherche le mot chat". L'URL change selon ce que tu fais. C'est pratique parce que tu peux partager l'URL avec quelqu'un d'autre et il va voir exactement la même page.

Une URL c'est fondamentalement comment le web marche. Tu tappes une adresse, le navigateur envoie une demande au serveur, le serveur regarde l'adresse et répond avec la page. Simple.

Maintenant il y a un gros problème : beaucoup de gens oublient que l'URL c'est visible et modifiable. Tu peux voir l'URL. Tu peux la copier. Tu peux la modifier. Et c'est là que commencent les problèmes de sécurité.

« Une URL c'est pas sécurisée. C'est visible. C'est modifiable. Et c'est un vecteur d'attaque énorme. »

Imagine un site de banque. L'URL c'est "bank.com/account/12345". Le "12345" c'est ton numéro de compte. Si quelqu'un change l'URL en "bank.com/account/67890", il accède à un autre compte. C'est une faille de sécurité. C'est ce qu'on appelle une vulnérabilité de contrôle d'accès. Le site ne vérifie pas vraiment si tu as le droit d'accéder à ce compte.

Il y a aussi l'injection SQL. L'URL peut contenir des paramètres malveillants. Par exemple "site.com/search?q=chat OR 1=1". Si le site n'est pas bien sécurisé il va exécuter cette requête à la base de données et ça peut retourner toutes les données. Ça s'appelle une attaque par injection.

Il y a aussi le XSS (Cross Site Scripting). Tu peux mettre du JavaScript dans l'URL. Par exemple "site.com/search?q=<script>stealCookies()</script>". Si le site affiche juste la recherche sans la nettoyer, le script va s'exécuter. Et tu peux voler les cookies de l'utilisateur.

Et puis il y a les données sensibles. Les gens mettent parfois des mots de passe ou des tokens dans l'URL. "site.com/login?username=john&password=123456". C'est folie. L'URL est visible dans l'historique du navigateur, visible dans les logs du serveur, visible si quelqu'un regarde l'écran par-dessus ton épaule. Jamais de données sensibles dans l'URL.

Un bon site n'utilise l'URL que pour les données non-sensibles. Choses tu peux mettre en URL : des IDs (12345), des paramètres de recherche (q=chat), des filtres (category=electronics). Choses que tu ne dois JAMAIS mettre en URL : mots de passe, tokens d'authentification, numéros de carte bancaire, informations personnelles.

C'est pour ça que tu vois des sites sérieux qui utilisent "POST" au lieu de "GET". "GET" met les données dans l'URL. "POST" les met dans le corps de la requête (invisible). Si tu dois envoyer des données sensibles tu utilises POST.

En résumé : une URL c'est l'adresse d'une page web. C'est simple et pratique. Mais c'est un vecteur d'attaque énorme. Jamais de données sensibles dans l'URL. Et un bon site valide et nettoie TOUT ce qui vient de l'URL avant de l'utiliser.