LegitURL
Comme une étiquette nutritionnelle pour les liens — LegitURL vous montre à quel point un site est sécurisé et digne de confiance, en se basant sur son comportement technique, pas sa réputation.
Conçue pour iOS, avec la confidentialité au cœur. Aucune collecte. Analyse en un seul geste.
Il était une fois un TLS
Le lien, le garde du corps, et la boutique
Une petite histoire de 2 minutes sur ce qu’il se passe vraiment quand vous accedez une URL
Le garde du corps est votre navigateur, le client c'est vous, le lien est la boutique
1 · Vérification du badge à l’entrée
Est-ce que la boutique est réelle ?
Avant toute chose, le garde du corps vérifie le badge de la boutique — le certificat TLS.
- Un badge basique (DV) dit juste : “Cette boutique existe.”
- Un badge pro (OV) montre le nom réel de l’entreprise.
- Un badge élite (EV) prouve une identité vérifiée par l'État.
Si le badge est manquant, expiré ou faux :
“Désolé, sans badge vérifié — vous n'entrez pas.”
2 · Lecture du règlement
Avant d’entrer, que permet la boutique ?
Le garde entrouvre la porte pour lire les règles affichées — les en-têtes HTTP :
Content-Security-Policy→ “Pas de feux d’artifice ni de livraisons douteuses.”HSTS,Referrer-Policy→ “Ne pas crier de secrets dehors.”Permissions-Policy→ “Pas de flash surprise.”
Si les règles sont absentes, floues, ou mal rédigées :
Le garde fronce les sourcils. “Cette boutique est déjà suspecte.”
3 · L’autocollant sur votre veste
La boutique veut vous étiqueter avant même que vous regardiez.
Les boutiques utilisent des cookies pour coller des étiquettes sur votre veste. Certaines sont inoffensives, d’autres vous suivent partout.
| Type d’étiquette | Signification du cookie |
|---|---|
| Impossible à modifier | HttpOnly |
| Valide seulement ici | SameSite=Lax ou Strict |
| Fonctionne partout | SameSite=None (traceur !) |
| Encre permanente | Date d’expiration très lointaine |
Les boutiques polies gardent les étiquettes discrètes. Les autres vous collent un code-barres aussi grand que votre torse.
4 · Taille, langue et plan des lieux
Quelle est la taille de la boutique ? Peut-on la comprendre ?
Une fois à l’intérieur, le garde vérifie :
- Quelle langue est parlée ? (
lang=) - Le plan des lieux est-il du HTML valide ?
- Y a-t-il les éléments de base (titre, doctype, charset) ?
Si l’escalier est cassé ou s’il y a un trou dans le sol :
Le garde essaiera de réparer… mais ça ne lui plaît pas.
5 · Personnel et livraisons
Qui est autorisé à vous parler à l’intérieur ?
Le garde lit la politique des scripts (Content-Security-Policy: script-src) :
- Seuls des employés connus sont-ils autorisés ?
- Les indésirables sont-ils bloqués ?
- Des badges d’identité sont-ils exigés ? (nonces, hashes)
“Script non autorisé de shadycdn.ru ? Un coup de pied et dehors.”
Si la boutique utilise nonce ou sha256, seuls les scripts avec un badge valide peuvent agir.
Avec strict-dynamic, même leurs amis doivent se faire contrôler.
6 · À l’intérieur de la boutique
Vous vous promenez. Que se passe-t-il vraiment ?
Le garde à l’œil ouvert :
- Y a-t-il des trappes dans le sol ? (
eval, redirections invisibles) - Quelqu’un espionne-t-il votre autocollant, ou essaye t'il d en ajouter ? (accès à
document.cookie) - Quelqu'un essaye t'il de vous faire faire une action sans votre accord ? (formulaires auto-envoyés)
Les bonnes boutiques vous laissent regarder tranquillement. Les mauvaises essaient de fouiller vos poches… ou d’y glisser quelque chose.
✅ Liste finale
Le garde prend des notes pendant toute la visite :
- ✅ Le badge est-il réel et valide ?
- ✅ Le règlement est-il strict et présent ?
- ✅ Les étiquettes (cookies) sont-elles respectueuses ?
- ✅ Le code est-il propre et sans piège ?
- ✅ Seul le personnel autorisé vous a-t-il parlé ?
C’est ça, votre Score de Légitimité.