Transparence

Comment fonctionne Cactus

Cactus utilise des vérifications automatisées, pas de la magie. Voici exactement ce que chaque outil examine, d'où viennent nos données et ce que nous ne pouvons pas promettre - pour que vous puissiez juger les résultats vous-même.

Notre approche

Chaque outil suit les mêmes principes :

  • Aucun verdict n'est jamais à 100 %. L'analyse automatisée peut repérer des signaux d'alerte, mais elle ne peut pas certifier qu'une chose est sûre. Notre score de lien est plafonné à 95 % pour cette raison précise - « aucun signe d'alerte » ne veut pas dire « garanti sûr ».
  • Langage clair. Nous expliquons pourquoi quelque chose semble risqué, au lieu de donner seulement un score.
  • La vie privée d'abord. Nous envoyons le minimum aux tiers, et plusieurs outils fonctionnent entièrement sur votre appareil ou en mémoire. La page Confidentialité en donne les détails.
  • Uniquement des signaux publics. Nous lisons des données publiques - DNS, journaux de certificats, listes de menaces. Nous ne piratons rien, ne scannons aucun port et ne nous connectons à aucun compte.

Vérificateur de liens

Le vérificateur de liens combine un examen immédiat de l'adresse et quelques consultations en direct de sources fiables :

  • L'adresse elle-même. Nous vérifions le HTTPS, les adresses IP brutes, les raccourcisseurs de liens, les noms de marque imités ou usurpés (comme paypa1.com), les homographes (punycode et mélange d'alphabets), les extensions suspectes, les sous-domaines d'hébergement gratuit jetables, le nombre excessif de sous-domaines et les noms de confiance cachés au mauvais endroit (paypal.com.evil.com).
  • Où il mène réellement. Nous suivons les redirections jusqu'à la destination finale - en refusant celles qui pointent vers des adresses privées ou internes - et nous vérifions aussi cette page.
  • Listes de menaces connues. Nous comparons l'adresse à Google Web Risk, la base de Google des URL reconnues malveillantes.
  • Âge du domaine. Nous consultons la date d'enregistrement du domaine via rdap.org. Un domaine tout neuf est un signal d'arnaque fréquent.
  • Certificat. Nous examinons le certificat TLS du site : expiration, non-correspondance du nom d'hôte ou auto-signature.
  • Le score. Chaque signal ajuste un score qui part de 100 (plafonné à 95) : 85+ risque faible, 65-84 faible préoccupation, 40-64 suspect, 15-39 risque élevé, sous 15 risque très élevé.

Vérificateurs de textos et de courriels

Ils recherchent les schémas dont dépendent les fraudeurs : urgence et menaces, demandes de vérifier un compte ou de fournir un code, appâts d'argent, de prix ou de remboursement, usurpation de transporteurs et de marques, et liens risqués (raccourcisseurs, adresses IP brutes, domaines inhabituels). Chaque signal détecté est pondéré pour donner une cote faible, moyenne ou élevée, expliquée en langage clair. L'analyse se fait en mémoire sur notre serveur et votre message n'est jamais stocké.

Vérificateur de fuites de mots de passe

Votre mot de passe est haché dans votre navigateur, et seuls les cinq premiers caractères de ce haché sont envoyés au service Have I Been Pwned (une technique appelée k-anonymat). La correspondance se fait dans votre navigateur - votre mot de passe, et son haché complet, ne nous parviennent jamais.

Authentification du courriel et hygiène DNS

Nous lisons les enregistrements DNS publics d'un domaine - SPF, DKIM et DMARC - et évaluons leur capacité à empêcher l'usurpation, puis nous indiquons aussi DNSSEC, CAA, MTA-STS et TLS-RPT. Cela reflète la politique publiée par le domaine à ce moment; cela ne peut pas juger si un message en particulier est authentique.

Les autres vérificateurs

  • Vérificateur SSL/TLS - lit le certificat en direct (émetteur, expiration, version TLS, HSTS) et l'évalue.
  • En-têtes de sécurité - récupère la page et évalue ses en-têtes de sécurité HTTP (HSTS, Content-Security-Policy, etc.).
  • Domaines imitateurs - génère les variantes courantes (fautes de frappe, homoglyphes) d'un domaine et vérifie lesquelles sont actives dans le DNS.
  • Transparence des certificats - cherche dans les journaux CT publics (via crt.sh) les certificats et sous-domaines d'un domaine.
  • Vérificateur de codes QR - décode le code sur notre serveur, puis passe le lien qu'il contient dans le vérificateur de liens.

D'où viennent nos données

Cactus s'appuie sur ces services publics : Google Web Risk (URL malveillantes connues), Have I Been Pwned (mots de passe ayant fuité, par k-anonymat), rdap.org (dates d'enregistrement des domaines), crt.sh (transparence des certificats) et le DNS public. Ce que chaque outil envoie à un tiers est précisé sur la page Confidentialité.

Limites et honnêteté

Les vérifications automatisées peuvent se tromper dans les deux sens : un site légitime tout neuf peut sembler risqué, et une arnaque habile peut sembler nette. Considérez Cactus comme un deuxième avis éclairé, pas une garantie. Quand c'est important, confirmez par un canal officiel que vous trouvez vous-même - pas un lien ou un numéro tiré du message.

Vous voulez savoir exactement ce que chaque outil envoie à des tiers ?

Lire la page Confidentialité