Comparatif des meilleurs outils gratuits pour vérifier un site internet : WHOIS, VirusTotal, Scamdoc, URLScan. Méthode complète en 5 minutes.
Vous avez reçu un lien suspect ou vous hésitez avant de passer commande sur un site inconnu ? Il existe des outils gratuits pour vérifier un site internet en moins de cinq minutes, sans compétences techniques particulières. Voici lesquels utiliser, dans quel ordre, et comment interpréter les résultats — une méthode directement applicable.
Chaque année, le phishing et les faux sites marchands coûtent des centaines de millions d'euros aux particuliers français. Selon le rapport 2024 de Cybermalveillance.gouv.fr, les arnaques en ligne représentent la première cause de saisine de la plateforme, avec plus de 280 000 demandes d'assistance sur l'exercice. L'ANSSI rappelle que 80 % des incidents de sécurité impliquent une interaction humaine avec un site ou un lien malveillant — autrement dit, un simple réflexe de vérification suffit dans la majorité des cas à éviter le piège.
Ce comparatif couvre huit outils accessibles gratuitement, leur niveau de technicité, leurs forces et leurs limites. Un tableau synthétique vous permet de choisir rapidement selon votre situation.
En 2024, l'équipe PHAROS (la plateforme de signalement du gouvernement français) a recensé plus de 220 000 signalements de contenus frauduleux en ligne, dont une part croissante correspond à des sites d'e-commerce contrefaits ou à des pages d'hameçonnage imitant des banques, administrations ou opérateurs télécom. Europol signale que la durée de vie moyenne d'un site de phishing est inférieure à 72 heures — le temps de collecter des données avant d'être détecté et supprimé.
Sites de phishing : copient à l'identique une page légitime (banque, CAF, impôts) pour voler identifiants et mots de passe. L'URL diffère légèrement de l'originale — impots-gouv.fr au lieu de impots.gouv.fr.
Faux sites marchands : encaissent le paiement, n'envoient jamais le produit ou livrent une contrefaçon. Ils disparaissent après quelques semaines et renouvellent le nom de domaine sous une autre identité.
Sites à logiciels malveillants : le simple fait de visiter la page déclenche un téléchargement automatique (drive-by download) ou affiche des pop-ups piégés. Même sans rien cliquer, une visite peut suffire à compromettre votre appareil.
Systématiquement avant de : saisir un numéro de carte bancaire, fournir une pièce d'identité, créer un compte avec votre email principal, télécharger un fichier, ou cliquer sur un lien reçu par SMS ou email non sollicité. La vérification prend moins de temps que de contester un prélèvement auprès de votre banque.
| Outil | Gratuit | Technicité | Ce qu'il détecte | Délai résultat |
|---|---|---|---|---|
| Google Safe Browsing | Oui | Faible | Phishing, malwares connus | Immédiat |
| WHOIS (ICANN / who.is) | Oui | Faible | Âge domaine, registrant caché | Immédiat |
| VirusTotal | Oui | Faible | Malwares, URL blacklistées (70+ moteurs) | < 30 s |
| Scamdoc.com | Oui | Très faible | Score confiance global | Immédiat |
| URLVoid | Oui | Faible | Réputation IP, blacklists | Immédiat |
| URLScan.io | Oui | Moyen | Comportement page, ressources chargées | < 60 s |
| Web of Trust (WOT) | Freemium | Très faible | Avis communauté, score global | Immédiat |
| SSL Checker | Oui | Faible | Validité certificat HTTPS | Immédiat |
URL : transparencyreport.google.com/safe-browsing/search
Google Safe Browsing alimente les alertes de Chrome, Firefox et Safari. Son moteur analyse des milliards d'URL chaque jour et met à jour sa base de données toutes les 30 minutes. Pour vérifier un site, il suffit de coller l'URL dans le champ de recherche du Transparency Report.
Forces : couverture massive, réponse immédiate, aucune inscription. Limites : les sites très récents (moins de 24–48 h d'existence) peuvent ne pas encore être indexés dans la base. Un résultat "aucun contenu dangereux détecté" n'est donc pas une garantie absolue sur un domaine enregistré hier.
Conseil pratique : utilisez-le en premier filtre. S'il signale un danger, stoppez-vous là. S'il ne signale rien, continuez avec les outils suivants.
URL : lookup.icann.org — who.is — whois.domaintools.com
Le WHOIS est l'annuaire public des noms de domaine. Il révèle la date d'enregistrement, le bureau d'enregistrement (registrar), le pays du propriétaire et — lorsqu'il n'est pas masqué — les coordonnées du registrant. Un site qui prétend exister depuis 10 ans mais dont le domaine a été enregistré il y a 3 semaines est un signal d'alarme immédiat.
Ce qu'il faut regarder en priorité :
Forces : informations de première main, gratuites, aucune inscription. Limites : depuis le RGPD, les données personnelles des registrants européens sont systématiquement masquées — ce qui limite la portée de l'information.
URL : virustotal.com
VirusTotal soumet l'URL à plus de 70 moteurs antivirus et bases de réputation simultanément. Il retourne un rapport consolidé indiquant combien de moteurs ont marqué l'URL comme malveillante, avec le détail par moteur. Même si un seul moteur signale un problème, c'est suffisant pour déclencher une investigation complémentaire.
Ce qu'il faut regarder :
Forces : profondeur d'analyse imbattable pour un outil gratuit, rapport historique consultable. Limites : les URL très récentes peuvent n'avoir aucun historique, ce qui donne un faux sentiment de sécurité. VirusTotal analyse l'URL transmise, pas nécessairement les sous-pages du site.
URL : scamdoc.com
Scamdoc est un agrégateur de réputation orienté grand public. Il calcule un score de confiance de 0 à 100 en croisant âge du domaine, présence sur des listes noires, avis utilisateurs et signaux WHOIS. L'interface est pensée pour les non-techniciens : un score rouge sous 50 doit immédiatement alerter.
Forces : résultat lisible en deux secondes, bonne couverture des sites francophones. Limites : la base de données est alimentée en partie par les signalements communautaires — un site frauduleux très récent peut avoir un score élevé faute de signalements. Ne pas interpréter un score de 80/100 comme une certification de confiance.
Conseil pratique : Scamdoc est particulièrement efficace pour les sites e-commerce qui ont déjà piégé des victimes — celles-ci laissent des avis et le score chute rapidement.
URL : urlvoid.com
URLVoid agrège des dizaines de bases de réputation IP et de listes noires (Spamhaus, Google Safe Browsing, PhishTank, etc.) et indique pour chaque source si le domaine ou l'IP associée est blacklisté. L'outil affiche également l'hébergeur, la géolocalisation du serveur et l'adresse IP résolue.
Forces : vue consolidée de la réputation réseau, utile pour repérer des infrastructures partagées entre plusieurs sites frauduleux. Limites : moins précis que VirusTotal sur l'analyse comportementale réelle de la page.
URL : urlscan.io
URLScan.io visite réellement la page dans un navigateur sandboxé et capture une screenshot, la liste des ressources chargées (scripts, images, iframes), les redirections et les domaines tiers contactés. C'est l'outil le plus proche d'une navigation réelle — sans risque pour vous.
Ce qu'il faut regarder :
Forces : niveau de détail supérieur à tous les autres outils pour comprendre le comportement réel d'une page. Limites : les scans sont publics par défaut — ne soumettez pas d'URL contenant des données personnelles ou des tokens d'authentification.
URL : mywot.com — Extension disponible Chrome/Firefox
WOT affiche un badge de réputation dans votre navigateur pour chaque site visité, basé sur les évaluations de sa communauté d'utilisateurs. Il catégorise les sites selon leur fiabilité, leur respect de la vie privée et leur sécurité pour les enfants.
Forces : protection proactive en temps réel sans action manuelle de votre part. Limites : la couverture dépend du volume d'utilisateurs ayant visité le site — les domaines très récents ou très niche peuvent avoir peu ou pas d'évaluations. L'extension collecte des données de navigation dans sa version gratuite.
URL : sslshopper.com/ssl-checker.html ou ssllabs.com/ssltest
Un certificat SSL (le cadenas HTTPS dans votre navigateur) est aujourd'hui délivré gratuitement par des autorités comme Let's Encrypt — y compris aux sites frauduleux. Son absence est un signal d'alarme certain. Sa présence, en revanche, ne garantit rien sur la légitimité du site. Le SSL Checker vérifie que le certificat est valide, non expiré, et correspond bien au domaine visité.
Ce qu'il faut regarder :
Suivez ces étapes dans l'ordre. Arrêtez dès qu'un signal d'alarme apparaît.
Étape 1 — Vérification visuelle de l'URL (30 secondes)
Regardez l'URL dans la barre d'adresse. Cherchez les substitutions de caractères (rn au lieu de m, 0 au lieu de o), les sous-domaines trompeurs (paypal.secure-login.com ≠ paypal.com), les extensions inhabituelles (.xyz, .top, .shop pour un site qui se prétend officiel).
Étape 2 — Google Safe Browsing (1 minute) Copiez l'URL sur transparencyreport.google.com/safe-browsing/search. Un résultat négatif (site dangereux) = arrêt immédiat.
Étape 3 — WHOIS : âge du domaine (1 minute) Sur who.is, vérifiez la date de création. Moins de 6 mois pour un site commercial = vigilance élevée. Moins de 1 mois = refus quasi-systématique recommandé.
Étape 4 — VirusTotal (1 minute) Soumettez l'URL sur virustotal.com. Zéro détection = bon signe. 1 détection ou plus = ne pas continuer.
Étape 5 — Scamdoc pour les sites e-commerce (1 minute) Score inférieur à 60/100 sur scamdoc.com = avis très défavorable, cherchez une alternative connue.
Étape 6 — Recherche Google (1 minute)
Tapez "nom du site" arnaque ou "nom du site" avis dans Google. Les forums de consommateurs (Trustpilot, Signal-Arnaques, UFC-Que Choisir) remontent rapidement. Si aucun avis n'existe sur un site qui prétend des années d'existence, c'est suspect.
Aucun outil n'est infaillible. Ces signaux visuels et comportementaux complètent l'analyse technique.
Absence de HTTPS ou certificat invalide : tout site collectant des données personnelles sans HTTPS en 2026 est soit négligent, soit frauduleux. Les deux sont des raisons suffisantes pour quitter la page.
Domaine enregistré il y a moins de 3 mois : les sites frauduleux changent d'identité régulièrement. Un domaine récent combiné à des prix agressifs et une mise en page léchée est le schéma classique du faux site marchand.
WHOIS entièrement masqué + absence totale de mentions légales : en France, tout site de vente en ligne doit afficher des mentions légales complètes (L. 111-1 du Code de la consommation). Leur absence est une infraction et un signal d'alerte majeur.
Paiement uniquement par virement bancaire ou cryptomonnaie : ces méthodes sont irréversibles. Aucun marchand légitime n'exclut la carte bancaire pour des raisons légitimes. C'est le mode opératoire le plus courant des arnaques à la commande.
Fautes d'orthographe et traduction approximative : un site professionnel relit son contenu. Des textes manifestement traduits automatiquement depuis une autre langue indiquent soit un site créé en masse, soit un site étranger se faisant passer pour français.
Offres trop belles pour être vraies : iPhone dernier modèle à 199 €, Nike à -90 %. Ces prix n'existent pas dans le commerce légal. Ils servent d'appât dans 100 % des cas.
URL qui diffère subtilement de la marque officielle : vérifiez toujours en allant directement sur le site officiel via un moteur de recherche plutôt qu'en cliquant sur un lien reçu.
Un site avec HTTPS est-il forcément sûr ? Non. Le cadenas HTTPS signifie uniquement que la connexion entre votre navigateur et le serveur est chiffrée. Il ne dit rien sur l'honnêteté du propriétaire du site. Des milliers de sites de phishing utilisent HTTPS via des certificats gratuits (Let's Encrypt). C'est une condition nécessaire mais absolument pas suffisante pour faire confiance à un site.
Que faire si un site est signalé comme dangereux par VirusTotal mais que j'ai déjà cliqué dessus ? Fermez immédiatement l'onglet. Ne saisissez aucune information. Si vous êtes sur mobile, redémarrez le navigateur. Sur ordinateur, vérifiez avec votre antivirus que rien n'a été téléchargé. Si vous avez saisi un mot de passe, changez-le immédiatement sur tous les services où vous l'utilisez. Si vous avez saisi des données bancaires, contactez votre banque sans délai pour bloquer la carte.
Les outils WHOIS donnent-ils toujours des résultats exploitables depuis le RGPD ? Depuis l'entrée en vigueur du RGPD en 2018, les données personnelles des propriétaires de domaines européens sont systématiquement masquées dans les enregistrements WHOIS publics. Il reste néanmoins l'information cruciale : la date de création, le registrar, et le statut du domaine. Ces données seules permettent d'évaluer l'ancienneté et la provenance du nom de domaine.
Scamdoc donne un score de 85/100 à un site, est-ce une garantie ? Non. Scamdoc agrège des signaux disponibles publiquement et les avis de ses utilisateurs. Un site frauduleux très récent peut afficher un score élevé faute de signalements. Le score doit être interprété en complément des autres vérifications, pas à la place. Un score bas est très fiable ; un score élevé sur un domaine récent l'est beaucoup moins.
Peut-on vérifier un site depuis un smartphone ? Oui. Tous les outils cités dans cet article fonctionnent depuis un navigateur mobile. Pour URLScan.io et VirusTotal, copiez simplement l'URL suspecte et collez-la dans le champ de recherche de l'outil. L'extension WOT est disponible sur les navigateurs mobiles compatibles (Firefox pour Android notamment).
Existe-t-il un outil officiel du gouvernement français pour signaler un site frauduleux ? Oui. La plateforme officielle est signal.conso.gouv.fr pour les arnaques commerciales, et www.internet-signalement.gouv.fr (PHAROS) pour les contenus illicites en général. Cybermalveillance.gouv.fr propose également un diagnostic personnalisé et une mise en relation avec des prestataires de confiance en cas d'incident.
Quels outils recommander à quelqu'un qui n'est pas à l'aise avec la technique ? Dans l'ordre : (1) Scamdoc — le plus simple à interpréter, score de 0 à 100. (2) Google Safe Browsing — résultat binaire, aucune interprétation requise. (3) L'extension WOT sur navigateur — protection automatique et passive. Ces trois outils couvrent la majorité des situations courantes sans aucune compétence technique.
URLScan.io rend mes scans publics — est-ce un problème ? Si vous soumettez une URL publique (la page d'accueil d'un site suspect), non. En revanche, ne soumettez jamais une URL contenant un token de réinitialisation de mot de passe, un lien de confirmation d'email, ou tout paramètre d'URL contenant des données personnelles. Dans ce cas, utilisez plutôt VirusTotal qui offre une option de scan privé (compte gratuit requis).
Vérifier un site internet en 2026 ne demande ni expertise technique ni abonnement payant. Trois réflexes suffisent à éliminer la grande majorité des risques :
Pour aller plus loin dans votre protection : explorez nos guides sur les arnaques en ligne, consultez notre méthode de vérification d'entreprise, ou parcourez l'ensemble de nos guides OSINT pratiques. VériSources centralise les outils, les méthodes et les signalements pour que vous puissiez naviguer en ligne avec des certitudes plutôt que des doutes.
Nouvelles méthodes OSINT, alertes arnaques et analyses — chaque semaine dans votre boîte mail.