Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Requête HTTP - Entête HTTP (et tracking)

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
11.05.2015 - 00h00 - Paris - (Assiste - Pierre Pinard) - Correction du lien vers la vidéo " Collusion "

Lorsque vous cliquez sur un lien, vous provoquez une " Requête HTTP " vers un serveur. De même, pour qu'une image s'affiche sur une page Web, une " Requête HTTP " est effectuée vers un serveur. Chaque appel à une ressource Web se fait par une requête formelle (standard du Web) contenant des informations plus ou moins nécessaires au fonctionnement de l'Internet et du Web. En matière de protection de la vie privée sur l'Internet, ce sont certaines de ces informations, dans l''entête de la " Requête HTTP ", qui posent problème et participent à une forme d'espionnage de type " RG ", contre 100% des internautes du monde, et pudiquement appelé " Tracking ".

Assiste.com - Requête HTTP - Entête HTTP (et tracking)

Requête HTTPRequête HTTPRequête HTTP


Action rapide - Pas le temps de lire.

Bloquer la surveillance, les Web-Bugs, l'exploitation du contenu des entêtes des requêtes HTTP, le tracking, le profiling, etc. ... passe par le blocage des mécanismes publicitaires et des mécanismes assimilés, qui servent d'alibi à la surveillance, sous prétexte d'analyse comportementale pour permettre un marketing comportemental. Deux approches :

  1. Installer Adblock Plus seul (très insuffisant)
    • Télécharger et installez Adblock Plus dans votre navigateur
    • Sur la page vous confirmant la bonne installation d'Adblock Plus, tirez immédiatement à droite les trois boutons suivants.

      Adblock Plus - Installation
      Adblock Plus - Installation

      Il n'y a rien d'autre à faire, ni maintenant ni plus tard (vous n'avez rien à faire de particulier).

      Cela correspond à vos inscriptions aux bases de signatures et de règles suivantes :

      1. AntiSocial (Fanboy's Social Blocking List) - Blocage de l'espionnage et de la surveillance ( pudiquement appelé tracking ) par les réseaux sociaux avec leurs boutons (J'aime, Plus 1, etc. ...) servant de Web-Bug

        Bloquer totalement la publicité sur le Web - AntiSocial - Exemples de tags des réseaux sociaux
        Bloquer totalement la publicité sur le Web - AntiSocial - Exemples de tags des réseaux sociaux

      2. EasyPrivacy - Blocage de l'espionnage et de la surveillance ( pudiquement appelé tracking ) par les acteurs de pur tracking (sans activité publicitaire), comme :

        1. Les sites de statistiques pour webmasters qui n'ont d'autre raison d'être que de faire du tracking et de vendre ces données volées (offrir des statistiques gratuites aux webmasters n'est que l'alibi pour être présent dans toutes les pages les sites visités).
        2. Les sites de gadgets (inutiles et hostiles dans 99,999%) qui n'ont d'autre raison d'être que de faire du tracking et de vendre ces données volées (le gadget en lui-même (météo, horloge, news, etc. ...) n'est que l'alibi pour être présent et actif en continu dans les ordinateurs).
        3. Les sites qui se greffent à d'autres sites, comme Disqus, etc. ...) qui n'ont d'autre raison d'être que de provoquer des requêtes http afin de capturer des entêtes de requêtes, de faire du tracking et de vendre ces données volées. Pourquoi croyez-vous que ces " services ", qui nécessitent de très gros moyens en data-center et bande passante, soient gratuits.
        4. Les sites qui offrent des trucs gratuits en ligne, non copiables mais utilisables uniquement en faisant des appels à des serveurs afin de faire du tracking (dont vos centres d'intérêts par l'exploitation des entêtes HTTP dans les requêtes HTTP) et d'exploiter et / ou vendre ces données surveillées et collectées :
          1. Services (Sites) offrant des smileys et émoticônes
          2. Services (Sites) hébergeant votre avatar pour le retrouver sur de nombreux forums et blogs. Le site Gravatar est l'un des plus importants sites d'espionnage et de surveillance après Google)
          3. Services (Sites) hébergeant polices de caractères (serveurs de Google)
          4. Serveurs d'APIs (serveurs de Google)
          5. Etc. ...
          Voir, par exemple, le Principe d'encerclement de Google (tous les autres grands acteurs du Web en font autant) qui n'a d'autre raison d'être que de faire du tracking.
        5. Etc. ...

      3. Malwaredomains - Blocage de l'accès à tous les sites identifiés comme présentant un danger (au sens de la sécurité de votre ordinateur et / ou de vos données).

  2. Installer Adblock Plus dans le cadre d'une procédure plus vaste
    Procédure complète de blocage de la publicité et de protection de la vie privée

Lorsque vous souhaitez consulter une page Web (une page d'un site Internet), vous cliquez sur un lien ou vous saisissez vous-même ce lien dans la zone d'adresse de votre navigateur. Dans ces deux cas, vous provoquez une " Requête HTTP " envoyée par votre navigateur Internet vers le serveur de la page souhaitée.

Création naturelle d'une requête HTTP - Une seule requête, vers un seul serveur, est créée
Création naturelle d'une requête HTTP
Une seule requête, vers un seul serveur, est créée
Création naturelle d'une requête HTTP - Une seule requête, vers un seul serveur, est créée
Création naturelle d'une requête HTTP
Une seule requête, vers un seul serveur, est créée

Lorsqu'une page s'affiche, elle est généralement constituée de nombreux objets provenant de nombreux serveurs tiers. L'affichage ou l'exécution (script) de chacun de ces objets, qu'ils soient visibles ou invisibles, oblige le navigateur à envoyer autant de " Requête HTTP ", vers autant de serveurs tiers, qu'il y a d'objets incrustés dans la page. Il est possible d'identifier et de bloquer une partie de ces serveurs (et donc de semer les sociétés qui nous espionnent) :


Exemple avec un site français : Comment ça marche

Avec l'outil "Ghostery", gratuit, créé pour répondre aux obligations légales imposées dans les pays démocratiques, dont les pays d'Europe et d'Amérique du Nord, on peut voir que cette page va chercher des objets sur 11 autres serveurs en plus du sien. L'outil "Ghostery" est l'un des outils de notre "Tableau de préparation des navigateurs".

Avec l'outil "Ghostery", gratuit, créé pour répondre aux obligations légales imposées dans les pays démocratiques, dont les pays d'Europe et d'Amérique du Nord, on peut voir que cette page va chercher des objets sur 11 autres serveurs en plus du sien. L'outil "Ghostery" est l'un des outils de notre "Tableau de protection des navigateurs, de la navigation et de la vie privée".
Avec l'outil "Collusion", gratuit, il est possible de voir, graphiquement, avec qui communique le site visité. Chaque fois qu'une page du site, au centre du graphique, est affichée, elle oblige le navigateur utilisé à faire des requêtes à chacun des serveurs d'autres domaines (sites). Chaque Requête HTTP envoie des informations sur vous à chacune des sociétés qui opèrent ces serveurs.

Avec l'outil "Collusion", gratuit, il est possible de voir, graphiquement, avec qui communique le site visité. Chaque fois qu'une page du site, au centre du graphique, est affichée, elle oblige le navigateur utilisé à faire des requêtes à chacun des serveurs d'autres domaines (sites). Chaque Requête HTTP envoie des informations sur vous à chacune des sociétés qui opèrent ces serveurs.



Exemple avec un site français : Cnet (C|Net) France

Avec l'outil "Ghostery", gratuit, créé pour répondre aux obligations légales imposées dans les pays démocratiques, dont les pays d'Europe et d'Amérique du Nord, on peut voir que cette page va chercher des objets sur 19 autres serveurs en plus du sien. L'outil "Ghostery" est l'un des outils de notre "Tableau de préparation des navigateurs".

Avec l'outil "Ghostery", gratuit, créé pour répondre aux obligations légales imposées dans les pays démocratiques, dont les pays d'Europe et d'Amérique du Nord, on peut voir que cette page va chercher des objets sur 19 autres serveurs en plus du sien. L'outil "Ghostery" est l'un des outils de notre "Tableau de préparation des navigateurs".

Avec l'outil "Collusion", gratuit, il est possible de voir, graphiquement, avec qui communique le site visité. Chaque fois qu'une page du site, au centre du graphique, est affichée, elle oblige le navigateur utilisé à faire des requêtes à chacun des serveurs d'autres domaines (sites). Chaque Requête HTTP envoie des informations sur vous à chacune des sociétés qui opèrent ces serveurs.

Avec l'outil "Collusion", gratuit, il est possible de voir, graphiquement, avec qui communique le site visité. Chaque fois qu'une page du site, au centre du graphique, est affichée, elle oblige le navigateur utilisé à faire des requêtes à chacun des serveurs d'autres domaines (sites). Chaque Requête HTTP envoie des informations sur vous à chacune des sociétés qui opèrent ces serveurs.
Avec l'outil "Ghostery", gratuit, créé pour répondre aux obligations légales imposées dans les pays démocratiques, dont les pays d'Europe et d'Amérique du Nord, on peut voir que cette page va chercher des objets sur 19 autres serveurs en plus du sien. L'outil "Ghostery" est l'un des outils de notre "Tableau de préparation des navigateurs".

Outil gratuit DoNotTrackMe (Do Not Track Me) actif (Avec l'outil "Ghostery" également actif et l'outil NoScript désactivé). On s'apperçoit que "Ghostery" ne tient pas compte des sociétés qui vous pistent mais ne font pas partie de leur "Club Better Advertising". L'outil "DoNotTrackMe (Do Not Track Me)" est l'un des outils de notre "Tableau de préparation des navigateurs".
Avec l'outil "Collusion", gratuit, il est possible de voir, graphiquement, avec qui communique le site visité. Chaque fois qu'une page du site, au centre du graphique, est affichée, elle oblige le navigateur utilisé à faire des requêtes à chacun des serveurs d'autres domaines (sites). Chaque Requête HTTP envoie des informations sur vous à chacune des sociétés qui opèrent ces serveurs.

NoScript en action et interactions ! Même page qu'en haut à gauche, tous autres réglages du navigateur étant identiques par ailleurs. NoScript bloque tous les scripts (bloque les communications avec les serveurs tiers), que ce soit ceux des adhérents à Ghostery ou tous les autres, invisibles ici. Par contre, NoScript ne voit pas les objets qui ne sont pas manipulés par des scripts (les Web Bug).


Quand avez-vous donné votre autorisation pour être filé 24/24
par des dizaines de milliers d'espions ? Jamais !

Tout est dit dans cette vidéo de 06'40" où Gary Kovacs, président de la Fondation Mozilla, présente Collusion (en anglais, sous-titré en français).


Chargement...

Collusion - Annonce et démonstration par Gary Kovacs, président de la Fondation Mozilla



Que contiennent les entêtes HTTP et qu'est-ce qui pose problèmeQue contiennent les entêtes HTTP et qu'est-ce qui pose problèmeQue contiennent les entêtes HTTP et qu'est-ce qui pose problème

Voici ce qu'envoi votre navigateur. Ceci est visible en temps réel en utilisant "Live HTTP Headers".
Le serveur du site visité récupère également d'autres informations, par exemple les
Voir également :
Analyse d'un Entête HTTP (HTTP Header)
  1. Contenu brut de l'entête d'une requête HTTP
    Ici, c'est un clic sur un lien se trouvant sur une page du CNet (C|Net) pour se rendre sur une autre pas du même site.
    Contenu du cookie coupé en plusieurs lignes à cause des contraintes d'affichage.

    http://www.cnetfrance.fr/cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm

    GET /cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm HTTP/1.1
    Host: www.cnetfrance.fr
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    DNT: 1
    Referer: http://www.cnetfrance.fr/produits/dell-xps-13-full-hd-39788156.htm
    Cookie: bbproduction_lastvisit=1363885598; bbproduction_lastactivity=0; s_getNewRepeat=1363886306777-New;
    s_lv_cnetfr=1363886306779; __utma=114781269.1340294670.1363885672.1363885672.1363885672.1;
    __utmz=114781269.1363885672.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none);
    bwp2=960ae55a60deb4ff2739cc11da479c4f,15.4332736580731,v1; LDCLGFbrowser=0e82ddba-f5d6-4c84-96da-840136fe227d;
    s_fid=22B508C8D2B2D196-234333110059C88A; s_vnum=1366478272913%26vn%3D1;
    cnetfr%3Aproduction%3Asid=nluvbguaiqpcrss7gh3eu5jmh2;
    RT=s=1363901815679&r=http%3A%2F%2Fwww.cnetfrance.fr%2Fproduits%2Fdell-xps-13-full-hd-39788156.htm
    Connection: keep-alive

    HTTP/1.1 200 OK
    Date: Thu, 21 Mar 2013 21:35:48 GMT
    Server: Apache
    Expires: Thu, 19 Nov 1981 08:52:00 GMT
    Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
    Pragma: no-cache
    Vary: Accept-Encoding
    Content-Length: 63852
    Keep-Alive: timeout=20, max=45
    Connection: Keep-Alive
    Content-Type: text/html; charset=UTF-8



  2. Le même contenu, commenté, de l'entête d'une requête HTTP.
    En rouge, ce qui pose problème

    La ressource web demandée par l'internaute
    Lorsqu'une page Web est demandée (votre "clic" sur un lien...), le serveur de la page demandée reçoit une "requête" contenant des informations sur votre "requête". Que le serveur reçoive l'URL de la page demandée est logique et on ne peut y échapper (il faut bien dire au serveur quelle page on souhaite voir, même si cela lui permet de pister ma navigation et mes centres d'intérêts).
    http://www.cnetfrance.fr/cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm

    Spécification du type de requête - La méthode GET demande la ressource brute (aucun traitement)
    GET /cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm HTTP/1.1

    Le domaine de la ressource demandée par l'internaute
    N'est réellement utile que si la ressource est sur un serveur mutualisé, hébergeant plusieurs domaines à la même adresse IP.
    Host: www.cnetfrance.fr

    Le navigateur utilisé par l'internaute
    Était très utile aux temps où chaque éditeur d'un navigateur tentait d'imposer ses propres élucubrations et tentait d'élever ses bizarreries au rang de standards. Le serveur devait savoir à quel navigateur il avait à faire pour adapter ce qu'il envoyait aux incompatibilités du client. Aujourd'hui, les recommandations du W3C sont suivies et cette information n'a plus lieu d'être. Le serveur n'a pas à savoir quel navigateur j'utilise et certains petits outils d'anonymisation permettent d'effacer cette zone des entêtes HTTP, où d'y inscrire une imbécilité sans queue ni tête.
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0

    Ordre de préférences de l'internaute pour recevoir la réponse
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Ordre de préférences de langue de l'internaute pour recevoir la réponse
    Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3

    L'internaute (son navigateur) accepte la compression
    Accept-Encoding: gzip, deflate

    L'Internaute a activé Do Not Track (Voir DNT)
    DNT: 1

    L'internaute venait de cette page lorsqu'il a demandé la nouvelle ressource (permet de pister l'internaute et de remonter toute sa navigation)
    Pour des raisons historiques de mise au point et maintenance du réseau Internet, le serveur reçoit également l'URL de la page précédente (celle sur laquelle vous pouvez revenir en cliquant sur le bouton "Reculer d'une page"). Envoyer cette information était utile pour chercher d'où venaient les erreurs de fonctionnement du réseau, il y a 40 ou 50 ans. Elle n'est plus d'aucune utilité technique aujourd'hui mais continue d'être envoyée. Il est donc possible, de "hop" en "hop", de suivre et reconstituer l'intégralité des déplacements de chaque internautes. Par lecture des contenus des pages visitées, puis analyse, des déductions diverses sont faites, appelées "Profils".
    Referer: http://www.cnetfrance.fr/produits/dell-xps-13-full-hd-39788156.htm

    Le contenu du cookie de tracking du domaine pour cet internaute (dont un Identificateur Unique - GUID)
    Cookie: bbproduction_lastvisit=1363885598; bbproduction_lastactivity=0; s_getNewRepeat=1363886306777-New;
    s_lv_cnetfr=1363886306779; __utma=114781269.1340294670.1363885672.1363885672.1363885672.1;
    __utmz=114781269.1363885672.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none);
    bwp2=960ae55a60deb4ff2739cc11da479c4f,15.4332736580731,v1; LDCLGFbrowser=0e82ddba-f5d6-4c84-96da-840136fe227d;
    s_fid=22B508C8D2B2D196-234333110059C88A; s_vnum=1366478272913%26vn%3D1;
    cnetfr%3Aproduction%3Asid=nluvbguaiqpcrss7gh3eu5jmh2;
    RT=s=1363901815679&r=http%3A%2F%2Fwww.cnetfrance.fr%2Fproduits%2Fdell-xps-13-full-hd-39788156.htm

    Conserver une connexion persistante
    (un code fantôme qui ne sert plus mais est maintenu, au cas où on verrait passser du HTTP/1.0 . Ce truc remonte à la RFC 1945 (en 1990)
    Connection: keep-alive

    ________________________________
    Réponse du serveur
    ________________________________

    Réponse du serveur (Protocole et code de statut - La signification des Codes - Liste en français)
    Le code 200 signifie que "tout va bien" mais ce pourrait être 403 (accès interdit) ou 404 (n'existe pas) etc. ...
    HTTP/1.1 200 OK

    Réponse du serveur (Horodatage de l'acusé de réception)
    Date: Thu, 21 Mar 2013 21:35:48 GMT

    Réponse du serveur (Nature du serveur)
    Server: Apache

    Réponse du serveur (Expiration de la ressource (obsolescence) après qui, ne plus la garder en cache)
    Une telle date fait en sorte que la ressource est toujours considérée obsolète, donc jamais conservée en cache.
    Expires: Thu, 19 Nov 1981 08:52:00 GMT

    Réponse du serveur (Coment utiliser le cache)
    Ici, la ressource doit être entièrement rechargée, ce qui gonfle les compteurs de visites de la page, force les "hits" des publicités et les oblige à être mises à jour.
    Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

    Réponse du serveur (Coment utiliser le cache)
    Pragma: no-cache

    Réponse du serveur (Si utilisation du cache, infos sur la forme du contenu du cache)
    Vary: Accept-Encoding

    Réponse du serveur (Longueur, en octets, du message envoyé)
    Content-Length: 63852

    Keep-Alive: timeout=20, max=45
    Connection: Keep-Alive

    Réponse du serveur (Encodage utilisé)
    Avec Content-Type, le serveur dit à votre navigateur quel est le type du fichier envoyé (ici, c'est "text/html" - d’autres fichiers pourraient être d'autres types comme "text/plain", "text/css", "image/png", etc. ...).
    Avec Content-Type, le serveur dit également à votre navigateur quel est l’encodage des caractères utilisé (ici "UTF-8").
    Content-Type: text/html; charset=UTF-8

Se protéger du tracking exploitant les entêtes des requêtes HTTPSe protéger du tracking exploitant les entêtes des requêtes HTTPSe protéger du tracking exploitant les entêtes des requêtes HTTP

Le navigateur Firefox permet l'ajout de modules additionnels (extensions) qui modifient ou vident le champ " Referer " dans les Requêtes HTTP.

Pour Safari, Chrome et Internet Explorer, il n'y a pas de solution connue.

Remarques :
On ne peut pas faire grand chose de simple, dans le genre "installé et oublié", en matière d'effacement ou de modification du contenu " Referer " des entêtes des Requêtes HTTP, puisqu'il s'agit du fonctionnement natif d'Internet. Certains sites refusent de répondre si le Referer est vide. D'autres vérifient si le Referer est cohérant (par exemple en cas de demande d'authentification sur un site alors que les données du champ « Referer » ont été remplacées par des données bidon) et rejettent les requêtes incohérentes.

Le champ « Referer » des entêtes des Requêtes HTTP, ne sert plus à rien dans la " mise au point d'Internet " mais sert encore, parfois, en particulier dans certaines fonctions d'authentification.

Malheureusement, ce champ et recopié, historié et conservé par les milliers de sociétés et organisation qui surveillent tous les internautes du monde. Cela permet de reconstituer toute la navigation de chaque internaute (tous ses goûts, ses intérêts, etc. ...). Dans cette action de Tracking, imaginez que ceux qui nous surveillent utilisent, dans votre navigateur, le bouton (universellement représenté par une flèche à gauche et qui s'appelle sous Firefox, + sous Opera, sous Internet Explorer, sous Safari, sous Chrome, etc. ...). Ils remontent ainsi jusqu'au tout début de votre navigation, le premier jour où vous êtes allé sur le Web, il y a peut-être des années) et analysent ainsi toutes vos personnalités, tous vos profils...

Le champ « Referer » ne peut être totalement effacé (ou remplacé par une information totalement fausse et forgée) - il faut, parfois, le maintenir, ce qui empêche tout automatisme qui forgerait systématiquement un contenu " bidon " (le champ « Referer » ne peut pas être vide).

On cherche donc à installer un module additionnel au navigateur qui automatiserait le plus possible cette action, tout en permettant d'avoir une liste blanche de sites pour lesquels le « Referer » ne doit pas être effacé / forgé.

Il faut aussi, pour des raisons tout autre et très importantes aux yeux des créateurs de sites internet, que le champ « Referer » ne soit pas effacé / forgé lorsque les déplacements de l'internaute se font d'une page à l'autre dans le même site (cela pour des raisons de classement dans les moteurs de recherche - par exemple le fameux " pagerank " de Google qui calcule le temps moyen passé par les internautes sur un même site et en déduit un niveau de qualité du site).

Donc un outil capable de forger, lorsque c'est possible, le champ « Referer » des entête HTTP, gênera le tracking et le profiling (qui, pour être rendu encore un peu plus difficile, devra également être adossé à la destruction des GUID, donc à la destruction des cookies de tracking ou leur inhibition / stérilisation avec des outils comme NoScript, Ghostery, DoNotTrackMe, Disconnect, Adblock Plus, EasyPrivacy, AntiSocial).

Note :
Le navigateur Opera comporte, de manière native, un paramètre de « Suppression du Referer » (note : on ne sait pas bien comment il fonctionne car il n'est pas documenté. Comme l'option apparaît dans les " Préférences rapides ", il est probable qu'il fonctionne au niveau du site, comme un bouton Marche / Arrêt, et conserve son positionnement Marche / Arrêt jusqu'à ce que l'utilisateur bascule son réglage. Il ne semble pas y avoir de liste blanche / liste noire.
Opera > Outils > Préférences rapides > Décocher la case " Informer de quel site vous venez ".
On en parle ici.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Sécurité informatique - Contre-mesuresSécurité informatique - Contre-mesuresSécurité informatique - Contre-mesures

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "