Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les « requêtes HTTP » sont le « cheval de Troie »
de la « charge utile » que sont les « entêtes HTTP »

Les « requêtes HTTP » sont le « cheval de Troie » de la « charge utile » que sont les « entêtes HTTP »
Tout est bon pour provoquer des requêtes HTTP afin de permettre cet espionnage pudiquement appelé tracking, le truc qu'il faut bloquer/interdire.

Le navigateur Firefox permet l'ajout de modules additionnels (extensions) qui modifient ou vident le champ " Referer " dans les Requêtes HTTP.

Pour Safari, Chrome et Internet Explorer, il n'y a pas de solution connue.

Remarques :
On ne peut pas faire grand chose de simple, dans le genre "installé et oublié", en matière d'effacement ou de modification du contenu " Referer " des entêtes des Requêtes HTTP, puisqu'il s'agit du fonctionnement natif d'Internet. Certains sites refusent de répondre si le Referer est vide. D'autres vérifient si le Referer est cohérant (par exemple en cas de demande d'authentification sur un site alors que les données du champ « Referer » ont été remplacées par des données bidon) et rejettent les requêtes incohérentes.

Le champ « Referer » des entêtes des Requêtes HTTP, ne sert plus à rien dans la " mise au point d'Internet " mais sert encore, parfois, en particulier dans certaines fonctions d'authentification et, bien entendu, dans le profiling et la construction des clickstream.

Malheureusement, ce champ et recopié, historié et conservé par les milliers de sociétés et organisation qui surveillent tous les internautes du monde. Cela permet de reconstituer toute la navigation de chaque internaute (tous ses goûts, ses intérêts, etc. ...). Dans cette action de Tracking, imaginez que ceux qui nous surveillent utilisent, dans votre navigateur, le bouton (universellement représenté par une flèche à gauche et qui s'appelle sous Firefox, + sous Opera, sous Internet Explorer, sous Safari, sous Chrome, etc. ...). Ils remontent ainsi jusqu'au tout début de votre navigation, le premier jour où vous êtes allé sur le Web, il y a peut-être des années) et analysent ainsi toutes vos personnalités, tous vos profils...

Le champ « Referer » ne peut être totalement effacé (ou remplacé par une information totalement fausse et forgée) - il faut, parfois, le maintenir, ce qui empêche tout automatisme qui forgerait systématiquement un contenu " bidon " (le champ « Referer » ne peut pas être vide).

On cherche donc à installer un module additionnel au navigateur qui automatiserait le plus possible cette action, tout en permettant d'avoir une liste blanche de sites pour lesquels le « Referer » ne doit pas être effacé / forgé.

Il faut aussi, pour des raisons tout autre et très importantes aux yeux des créateurs de sites internet, que le champ « Referer » ne soit pas effacé / forgé lorsque les déplacements de l'internaute se font d'une page à l'autre dans le même site (cela pour des raisons de classement dans les moteurs de recherche - par exemple le fameux " pagerank " de Google qui calcule le temps moyen passé par les internautes sur un même site et en déduit un niveau de qualité du site).

Donc un outil capable de forger, lorsque c'est possible, le champ « Referer » des entête HTTP, gênera le tracking et le profiling (qui, pour être rendu encore un peu plus difficile, devra également être adossé à la destruction des GUID, donc à la destruction des cookies de tracking ou leur inhibition / stérilisation avec des outils comme NoScript, Ghostery, DoNotTrackMe, Disconnect, Adblock Plus, EasyPrivacy, AntiSocial).

Note :
Le navigateur Opera comporte, de manière native, un paramètre de « Suppression du Referrer » (note : on ne sait pas bien comment il fonctionne car il n'est pas documenté. Comme l'option apparaît dans les " Préférences rapides ", il est probable qu'il fonctionne au niveau du site, comme un bouton Marche / Arrêt, et conserve son positionnement Marche / Arrêt jusqu'à ce que l'utilisateur bascule son réglage. Il ne semble pas y avoir de liste blanche / liste noire.
Opera > Outils > Préférences rapides > Décocher la case " Informer de quel site vous venez ".
On en parle ici.

Note :
Un webmaster peut parfaitement demander à ce que ses requêtes HTTP vers des serveurs externes (autres que son propre serveur) ne contiennent pas de referrer (ceci est légal depuis HTML 5). Il suffit d'écrire (attention : referrer avec 2 « r » contrairement à la faute historique du nom du champ, dans l'entête et dans la RFC, qui est écrit avec un seul « r ») :
Lien sans referrer
<a title="#" rel="noreferrer" href="https://quelquepart.com" target="_blank">Lien sans referrer</a>