Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Referrer

Le « Referrer » (le « Référent ») , dans toutes les requêtes HTTP (tous les clics sur un lien pour aller sur une page Web), indique au serveur d'où vous venez. C'est ainsi que vous êtes suivi de page en page.

Referrer - Referrer (Referrer HTTP, Referer HTTP, Référent HTTP) Referrer (Referrer HTTP, Referer HTTP, Référent HTTP)Ecrire à Assiste.com - Referrer - Referrer (Referrer HTTP, Referer HTTP, Référent HTTP) Referrer Referrer

Le « Referrer » est un terme anglais courant, le terme français « Référent » n’étant quasiment pas utilisé.

Nota : une faute d’orthographe, courante en anglais, s’est glissée jusque dans les spécifications officielles du W3C (l’organisme de gouvernance du Web, qui édite les « recommandations » ayant force de standards – le W3C est dirigé par l’inventeur du Web), où « Referrer » a été écrit avec un seul « r » : « Referer ». Le champ lui-même, la zone dans les « entêtes HTTP », s’appelle « Referer ».

Le « Referrer » est le nom d’un champ (une zone) de l’entête des Requêtes HTTP, sur le Web, qui identifie l’URL (l’adresse, l’URI, le lien hypertexte) qui a été à l’origine d’une demande d’accès à une ressource. En gros, lorsque vous atterissez sur une page Web, celle-ci (son serveur) sait d'où vous venez.

Exemple : une requête Referrer (Referer) un Referrer

Vous êtes sur cette page, « Referrer », dont l'URI est :
http://assiste.com/Referrer.html

Vous cliquez sur le lien (vous faites une requête) , dont l'URI est :
http://assiste.com/PEBCAK_Virus.html
Virus PEBCAK

Le serveur reçoit la requête avec, dans le champ « Referrer » de l'entête de cette requête :
Referer : http://assiste.com/Referrer.html

Dit comme celà, c'est anodin, ne croyez-vous pas ? Le « Referrer », c’est le lien vers lequel vous êtes dirigés lorsque vous cliquez, dans votre navigateur, sur le bouton « Reculer d’une page » (retourner à la page précédente).

Oui, mais, ce n'est pas tout ! Lorsque vous naviguez sur les Web :

  • Vous passez à une troisième page Referrer (Referer) la seconde sait d'où vous venez.
  • Vous passez à une quatrième page Referrer (Referer) la troisième sait d'où vous venez.
  • Vous passez à une cinquième page Referrer (Referer) la quatrième sait d'où vous venez.
  • Vous passez à une Sixième page Referrer (Referer) la cinquième sait d'où vous venez.
  • Vous passez à une Septième page Referrer (Referer) la sixième sait d'où vous venez.
  • Etc. ... etc. ... etc. ... 200, 300, 500 fois par jour (probablement plus de 1000 fois par jour pour certains, comme moi).

Bon ! Et alors ?

Et alors ?... Les opérateurs du Web cherchent à être présents dans tous les sites Web du monde. Par exemple, vous ne pouvez échapper à Google et son Principe d'encerclement. ou Microsoft et son principe d'encerclement, ou Apple et son principe d'encerclement, etc. ... Pour une raison ou pour une autre, les opérateurs du premier cercle du pouvoir sont présents partout, à tous les étages.

Et alors, direz-vous !

Et alors ?... Vous avez entendu parler des GUID ? Ce sont des identificateurs uniques liés à votre matériel et à vos logiciels. Quelle que soit votre méthode de navigation sur le Web, même si vous saisissez l'adresse (URL) où vous voulez aller dans la barre d'adresse de votre navigateur Web, pour échapper au « Referrer » (il n'y a pas de « Referrer » dans ce cas), le GUID vous ratrappe et de nombreux opérateurs du Web vous suivent à la trace et reconstituent la totalité de votre navigation.

Et alors, me direz-vous ?

Et alors ?...

Dans toutes vos pages visitées, aujourd'hui, ces derniers jours, mois, années... depuis que vous vous êtes connecté sur le Web la première fois, il y a des années, pages que des centaines d'opérateurs connaissent et conservent dans des bases de données illimitées et se vendent et s'achêtent entre eux, il ressort que :

  • Vous avez visité plusieurs pages traitant du sida, de ses thérapies, de l'hôpital Gustav Roussy à Villejuif, de Sida Info Service, de molécules farfelues prétendant guerrir du sida, etc. ... D'innombrables opérateurs du Web en déduisent, par analyse de votre navigation, que vous avez le SIda. Un emplyeur peut acheter cette information et rejeter votre candidature. Une compagnie d'assurances peut acheter cette information et ne pas prendre le risque de vous assurer. Un conjoint potentiel peut acheter cette information et répondre « Non »" . Votre progression de carrière peut être détruite. Vos cercles de connaissances peuvent s'évaporer. Etc. ... Parceque vous avez été profilé.
  • Depuis plusieurs jours, mois, etc. ... vous visitez des sites de recettes de cuisines, ou de produits alimentaires cacher. Vous pouvez être juif ou musulmam. Mais il n'y a jamais de connection Internet le samedi (du vendredi soir au samedi soir). Vous êtes juif.
  • Depuis plusieurs jours, mois, etc. ... vous visitez des sites de casting pour enfants. Vous pouvez avoir des enfants et vouloir les faire connaître et reconnaître dans les métiers du spectacle / cinéma; etc. ... Oui mais, vous fréquentez aussi des sites pornographiques avec, dans les pages visitées, des mots clés comme « Teen » etc. ... Vous êtes probablement un déviant sexuel, voire un pédophile à surveiller.
  • Des explosifs, armes, munitions, etc. ... Terroriste !
  • Des drogues, etc. ... Drogué !
  • Des produits culinaires professionnels, etc. ... Chef de cuisine !
  • Du viagra, etc. ... impuissant !
  • Des retardateurs, huiles, vibro, préservatifs, etc. ... Actif !
  • Des caméras invisibles, des sites porna, etc. ... Voyeur !
  • Des médicaments anti-cholestérol, des appareils de mesure, des régimes et aliments anti-cholestérol ou 0%, etc. ... Personne à risque : ne pas assurer ou majorer sa prime d'assurance...
  • Des médicaments anti-diabète, des appareils de mesure du taux de sucre, des régimes et aliments anti-diabète ou sans sucre, etc. ... Personne à risque : ne pas assurer ou majorer sa prime d'assurance...
  • Etc. ... vous pouvez tout imaginer, et surtout imaginer que cela se retourne contre vous. Et nous ne parlons pas de vos bavardages sur les réseaux sociaux, qui révèlent vos cercles de connaissances, votre niveau intellectuel, vos photos publiées avec leurs données EXIF et les reconnaissances faciales que pratiquent de nombreux opérateurs du Web, etc. ...

Le « Referrer », c'est une partie de votre vie privée qui s'étale et, comme votre vie et de plus en plus virtuelle, sur le Web, c'est toute votre vie qui s'étale.

Et le « Referrer » dans tout ça ? En fait, qu'est-ce que c'est ?

Le Web fonctionne, sur le réseau Internet, dans un mode dit « Client / serveur ».

Dans le cas le plus connu, il s’agit d’une interaction entre un utilisateur internaute qui, avec son client de navigation (Firefox, Microsoft Internet Explorer, Microsoft Edge, Opera, Google Chrome, Safari, K-Meleon, etc. ...) ou son client de messagerie (Thunderbird, IncrediMail, etc. ...), clique sur un lien pour aller ailleurs sur le Web. Chaque fois que vous cliquez sur un lien, pour consulter une page Web, votre navigateur, appelé le « client », va chercher cette page sur un ordinateur distant, appelé le « serveur » : il fait une « requête ». Il n’y a pas que les navigateurs qui font cela :

  • Toutes les applications connectées font des « requête » et sont, à un moment donné, « clientes ».
  • Il n’y a pas forcément une interaction entre un utilisateur et le Web. Des applications peuvent faire des « requêtes », qui seront de la même forme (recommandation du W3C), de leur propre chef. Votre antivirus, par exemple, fait une « requête » de mise à jour de sa base de signature toutes les 10 ou 15 minutes.

Une page Web est constituée d’énormément d’ « objets » (images, sons, scripts, APIs, vidéos, fichiers, Web-Bug, boutons « J’aime », feuilles de style, frameworks divers, publicités, statistiques pour le webmaster, etc. ...) qui se trouvent sur le même serveur ou sur des « serveurs tiers ». Chaque appel à l’un de ces objets se fait par une « requête » au serveur détenant la ressource.

Une page Web envoie donc énormément de requêtes à énormément de « serveurs », l’un étant le serveur de la page visitée et tous les autres des « serveurs tiers », un peu partout dans le monde, on ne sait où, appartenant à on ne sait qui.

Pour des raisons historiques de développement, test et mise au point du Web, diverses informations sont « passées », par le client, dans chaque « requête ». L’une de ces informations est l’URL (l’adresse sur le Web) de la page Web d’où vient la « requête » (« Coucou, je suis la page « http://monpetitsite.fr/page truc bidule.html », c’est moi qui fais cette requête et, s’il y a un problème, vous pouvez remonter jusqu’à moi pour chercher l’erreur »). Savoir d’où vient la « requête » est très utile dans ce cas là.

Il a vite été découvert d’autres utilités, d’autres intérêts à la présence systématique de cette information :

  • Un webmaster développe un site, le dépose sur un serveur, et fait prendre note, par le serveur, de toutes les pages du Web qui pointent vers son site. Ceci permet au webmaster de savoir quels sites du Web parlent de son site. Très précisément, cela permet au webmaster de suivre ces liens pour lire ce qui est dit / écrit à propos de son site et s’en servir pour répondre, ou, au contraire, pour corriger / compléter son propre site, etc. ...
  • Pour des raisons de contrôle d’accès, un webmaster peut ne donner accès à son site, ou à certaines de ses pages, qu’à partir du moment où le visiteur vient d’une liste restrictive d’URLs. Le « Referrer » est alors comparé à cette liste restrictive et les requêtes non conformes sont rejetées.
  • Un Webmaster peut demander au serveur de son site de noter dans un journal les erreurs de type 404 (la page / la ressource demandée sur son site et qui n’existe pas) afin de savoir quelles pages, sur le Web, font des erreurs de liens. Le webmaster écrira alors aux Webmasters de ces autres sites pour les inciter à corriger les liens erronés (ce qui est important en SEO).
  • Etc. ...

Où est le problème (où sont les problèmes) ?

Il y a deux problèmes :

  • La surveillance (de tous les internautes du monde)
  • La solution technique pour arrêter cette surveillance

En cas d’interaction entre un internaute et le Web, par navigateur interposé, l’internaute dit, à son insu : j’étais en train de lire cette page juste avant de demander à aller sur telle autre.

Il tombe sous le sens que si un individu se pointe derrière votre épaule et vous colle à la peau, même 1 minute, pour noter ce que vous lisez dans le journal (votre intérêt politique, économique, people, nouvelles technologies, sports, arts culinaires, concerts, spectacles, nécrologie, santé, voyages, manifestations et grèves, religions, etc. ...), ce que vous consommez (dans votre assiette, verre, etc. ...), ce que vous regardez (à la télévision, au cinéma, dans une salle de concert, à l'opéra, dans un cafconc, dans la rue, etc. ...), à quel temple, église, sinagogue, mosquée vous allez, les personnes que vous rencontrez, les discussions que vous avez, les médicaments que vous achetez, les médecins que vous allez voir (géolocalisation à quelques centimètres près), les hôpitaux où vous allez, les magasins où vous entrez, etc. ... :

  1. Cet individu tente de savoir ce à quoi vous vous intéressez, vos maladies, vos habitudes, votre catégorie socio-professionnelle, tout de vous...
  2. Vous lui fichez votre poing dans la figure, vous lui arrachez son matériel avec lequel il prend ses notes sur vous et vous le détruisez

Normal, non ! Tout cela ressemble aux surveillances des anciens RG, à de l'espionnage, de la prise en filature, et est inadmissible.

Sur le Web, avec le « Referrer », ce sont des centaines de serveurs (et donc de propriétaires de ces serveurs, des inconnus on ne sait où), qui prennent ces notes, en temps réel, en continu, 24/24 365/365.

Est-ce parce que c’est silencieux, invisible, qu’il faut laisser faire ? Car, avec les centaines de pages visitées chaque jour, tout cela noté depuis le premier jour où vous vous êtes connecté sur le Web, tous ces gens analysent le moindre de vos faits et gestes, le moindre de vos centres d’intérêt, le moindre de vos états (mental, santé, situation financière, amis, connaissances, relations professionnelles, risques, désirs, catégorisation sociale, catégorisation professionnelle (CSP), penchants, déviances, fragilités, faiblesses, malléabilité, religions, haines, etc. ...).

Ils vous connaissent mieux que vous ne vous connaissez vous-mêmes, mieux que votre mère ne vous connaît.

La communication des « Referrer » est l'une des plus graves atteintes à la vie privée. Ce risque et cette violation sont connues de longue date :

De nombreux documents, appelés RFC, depuis près de 25 ans lors de la rédaction de cet article (2016), font état de cette atteinte à la vie privée.

1992 - HTTP Request fields

En 1992 (Lire : WWW - Le Web vient de naître le 06 août 1991 et Naissance du Web), c'est très simple : le champ « Referrer » est, purement et simplement, optionnel ! Champs des requêtes HTTP. On peut voir également Header field définitions dans la RFC 2616 de juin 1999.

"This optional header field allows the client to specify, for the server's benefit, the address ( URI ) of the document (or element within the document) from which the URI in the request was obtained.

This allows a server to generate lists of back-links to documents, for interest, logging, etc. It allows bad links to be traced for maintenance.

If a partial URI is given, then it should be parsed relative to the URI of the object of the request.

Example:
Referer: http://www.w3.org/hypertext/DataSources/Overview.html"

Traduction d'Assiste
« Ce champ d'entête optionnel permet au client (ndlr : le navigateur Web utilisé) de préciser, à l'usage du serveur, l'adresse ( URI ) du document (ou d'un élément à l'intérieur du document) à partir duquel l'URI dans la requête a été obtenue.

Cela permet à un serveur de générer des listes de rétro-liens (ndlr : liens entrants) vers des documents, pour analyse, contrôle d'accès, etc. ... Cela permet de tracer les liens erronés dans le cadre de la maintenance.

Si une URI partielle est donnée, alors elle devrait être analysée par rapport à l'URI objet de la demande. »

1996 - RFC 1945 du mai 1996 - Protocole HTTP - Referrer

Si on lit la « RFC 1945 » (protocole HTTP) de mai 1996, du W3C, qui a valeur de norme de fonctionnement du Web, page 44, section 10.13 : Referrer, il est écrit en toutes lettres :

Because the source of a link may be private information or may reveal an otherwise private information source, it is strongly recommended that the user be able to select whether or not the Referer field is sent. For example, a browser client could have a toggle switch for browsing openly/anonymously, which would respectively enable/disable the sending of Referer and From information.

Traduction Assiste :
« Dans la mesure où l’origine d'un lien peut être une information privée ou peut révéler une information qui, par ailleurs, serait privée, il est fortement recommandé que l'utilisateur soit en mesure de choisir si oui ou non le champ Referrer doit être envoyé. Par exemple, un navigateur pourrait disposer d’un commutateur pour opter entre une navigation Web révélée / anonyme, qui permettrait, respectivement, d’autoriser / d'interdire l'envoi des informations « Referrer » et « From » ».

Nota : le champ « From » contient, généralement, l'adresse eMail de l'expéditeur d'un message électronique, lors de l'utilisation d'un client de messagerie, afin que le destinataire puisse répondre. Ce champ peut être « Forgé » (contenir une information « bidon », comme dans les cas de spam, lorsqu'aucune réponse n'est attendue, afin de masquer l'expéditeur).

janvier 1997 - RFC 2069 - HTTP et authentification sécuriée

En janvier 1997, Phillip Hallam-Baker (l'auteur de la faute « Referer » avec un seul « r »), avec d'autres, rédige la RFC 2069.

Alteration of Referer or From is not important, as these are only hints.

Traduction d'Assiste
« L'altération du Referrer ou de From n'a pas d'importance, car ceux-ci ne sont que des remarques. »

Juin 1999 - Hypertext Transfer Protocol -- HTTP/1.1
Chapitre 15 - Security Considerations

Encore plus clair : RFC 2616 de juin 1999, chapitre 15. Le « Referrer » est une donnée sensible !

Le paragraphe 15.1.2 précise qu'il s'agit d'informations sensibles.

Le paragraphe 15.1.3 déclare que les header HTTP ne doivent jamais contenir de « Referrer » si la connexion n'est pas sécurisée (n'est pas en HTTPS.

Juin 2014 - Standard produit par l'IETF

RFC 7231 de juin 2014, page 45
Cette remarque, dans un standard, permet une astuce « légale » pour masquer le Referrer - nous en parlons dans le paragraphe sur les contre-mesures côté utilisateur.

"If the target URI was obtained from a source that does not have its own URI (e.g., input from the user keyboard, or an entry within the user's bookmarks/favorites), the user agent MUST either exclude the Referer field or send it with a value of "about:blank".

« Si l'URI cible est obtenue d'une source qui n'a pas son URI propre (par exemple, saisie à partir du clavier de l'utilisateur, ou un élément des favoris / marque-pages de l'utilisateur), l'agent utilisateur (ndlr : le navigateur Web utilisé) DOIT soit exclure le champ Referer ou l'envoyer avec la valeur "about:blank"

ndlr : c'est Assiste qui surligne en rouge.


Dans ces paragraphes, ce n'est pas tant l'aspect technique qui nous interesse, que la répétition, sans cesse, que le champ « Referrer » contient une donnée sensible, privée, présentant des dangers si elle est transmise...

"The Referer field has the potential to reveal information about the request context or browsing history of the user, which is a privacy concern if the referring resource's identifier reveals personal information (such as an account name) or a resource that is supposed to be confidential (such as behind a firewall or internal to a secured service). Most general-purpose user agents do not send the Referer header field when the referring resource is a local "file" or "data" URI. A user agent MUST NOT send a Referer header field in an unsecured HTTP request if the referring page was received with a secure protocol."

« Le champ Referer est susceptible de révéler des informations à propos du contexte de la requête, ou l’historique de navigation de l'utilisateur, ce qui est un problème de « vie privée » si l'identifiant de la ressource référent révèle des informations personnelles (comme le nom d’un compte) ou une ressource qui est censée être confidentielle (telle que derrière un pare-feu ou interne à un service sécurisé). La plupart des agents utilisateurs (ndlr : le navigateur Web utilisé) généralistes (ndlr : il existe énormément de navigateurs spécialisés) n’envoient pas le champ d'entête « Referer » lorsque la ressource référent est un « fichier » local ou une URI de "données". Un agent utilisateur (ndlr : le navigateur Web utilisé) NE DOIT PAS envoyer un champ d'entête « Referer » dans une requête HTTP non sécurisée si la page de référence a été reçue avec un protocole sécurisé (ndls : HTTPS). »

ndlr : c'est Assiste qui surligne en rouge.

Avec le champ « Referrer », la fondation Mozilla (éditrice du navigateur Web Firefox) a tenté de mettre en place ce commutateur « autorisation / opposition » avec le switch « DNT - Do Not Track ». Mais cela s'est heurté à un tollé, une levée de boucliers, une hostilité débridée de la part de tous les opérateurs de tracking et d'espionnage du Web (dont les publicistes qui sont et font le modèle économique du Web).

« DNT - Do Not Track » a alors été fait de telle manière qu'il ne soit plus « actif » (comme peut l'être une demande de retrait d'un numéro de téléphone des annuaires téléphoniques), mais exprime simplement un souhait de l'internaute. Le respect de l'application de ce souhait est entre les mains des opérateurs des serveurs et serveurs tiers. Cela devient une histoire de « confiance » dans le respect des choix des internautes par ces opérateurs, or les opérateurs ont carrément dit qu'ils ne le respecteraient pas. Après des années de tergiversations, « DNT - Do Not Track » est toujours en discussions et, dans la réalité, est totalement dans l’impasse.

Ont été avancés, de manière publique, ou dans le cadre de commissions très discrêtes :

  • Une nécessité économique :
    La publicité est le seul modèle économique du Web, il n’y en a pas d’autre (mis à part le Web marchand). Le « Referrer » permet la surveillance et l’espionnage des internautes (enfin... ce n'est pas dit en ces termes) afin d’affiner leur profils et donc de délivrer des messages publicitaires mieux ciblés : une meilleure économie du Web.
  • Une nécessité sécuritaire :
    La surveillance de tous les citoyens de tous les pays du monde, après le 11 septembre, conformément aux Constitutions, qui font obligations aux gouvernants de protéger les citoyens. Les NSA s'en délectent.

La confiance est vraiment la dernière chose à laquelle on peut s’attendre sur le Web.

Les sites ont déclaré ouvertement qu’ils ne respecteraient pas « DNT - Do Not Track ».

Les « RFC » du W3C ont peut être, dans la pratique, valeur de « normes » du Web, mais elles restent des « recommandations ». Elles n’emportent aucune obligation, et, surtout, elles ne contraignent pas et n’appliquent pas de sanctions.

Donc, pour que l’internaute ait réellement ce contrôle sur les « Referrers » il doit se prendre en charge lui-même et installer, dans son navigateur, un commutateur permettant de s’opposer à l’envoi d’informations concernant sa vie privée.

Il faut toutefois savoir que certains sites s’opposent totalement à l’absence de « Referrer » :

  • Officiellement pour contrôler des choses comme l’utilisation de leurs images dans d’autres sites (afin de préserver leurs hébergements et leur bande passante)
  • Officieusement, car la surveillance et l’espionnage des internautes permet d’affiner leurs profils et donc de délivrer des messages publicitaires mieux ciblés.
  • Silencieusement, car la surveillance et l’espionnage de tous les citoyens du monde est le graal des NSA et Cie (tous les pays du monde ayant leur NSA).

Utilisez Referrer-Control.

Referrer - Referrer (Referrer HTTP, Referer HTTP, Référent HTTP)

Referrer - Contre-mesures côté utilisateurContre-mesures côté utilisateurEcrire à Assiste.com - Referrer - Contre-mesures côté utilisateur ReferrerReferrer

Referrer - Contre-mesures côté webmasterContre-mesures côté webmasterEcrire à Assiste.com - Referrer - Contre-mesures côté webmaster Referrer

Referrer - Ressources RessourcesReferrer - Ressources Referrer