Rendre les liens anonyme : avantages et inconvénients des services antiréférent

Une fonction fondamentale d’Internet concerne les hyperliens d’un site Web à un autre. Si un utilisateur Internet clique sur un tel lien, le navigateur de ce dernier envoie une requête HTTP au serveur Web qui édite la page cible. Celle-ci contient en règle général en en-tête, à côté du nom d’hôte du serveur et la ressource souhaitée, un référent. Il s’agit d’un composant optionnel qui contient l’URL de la page Web de référence et transmet ainsi des informations sur l’origine du visiteur au serveur.

Note

Le terme Referrer est dérivé du verbe anglais to refer (en français : « renvoyer à »). Contrairement au verbe, le substantif s’écrit avec deux r. L’orthographe incorrecte utilisée dans l’environnement HTTP est due à une erreur d’orthographe dans la demande initiale de commentaires  RFC 1945. Dans d’autres standards, comme le Document Object Model (DOM), la notation correcte est utilisée (voir document.referrer).

La fonction du référent peut être illustrée par un exemple :

La note ci-dessus contient un lien vers la RFC 1945. Si vous la suivez, votre navigateur Web enverra alors en quelques millisecondes  une requête GET au serveur Web de l’Internet Engineering Task Force (IETF). Le clic sur l’hyperlien ordonne votre navigateur Web à contacter l’hôte portant le nom tools.ieft.org et à requérir le fichier /rfc/rfc1945.txt. La page de référence (Referrer) est www.1and1.fr/digitalguide/, l’URL de cet article. L’en-tête HTTP utilisé contient les champs suivants (entre autres) :

GET /rfc/rfc2068.txt HTTP/1.1
Host: www.ietf.org
Referer: https://www.1and1.fr/digitalguide/

L’opérateur du serveur Web apprend ainsi quels sites Web renvoient à l’offre en ligne qu’Il fournit. Il peut ainsi traiter ces informations dans le cadre d’analyse en ligne et, le cas échéant, jouer sur des contenus spécifiques utilisateurs.

Généralement, d’autres champs de l’en-tête HTTP contiennent des informations sur l’agent utilisateur que vous employez, ainsi que sur les formats, langue, jeux de caractères ou méthodes de codage pris en charge. La quantité d’informations transmises dépend du navigateur Web que vous utilisez et de la façon dont il est configuré.

Données du référent dans l’analyse Web

En règle générale, les serveurs Web stockent dans un fichier journal, appelé Logfile, toutes les informations qui leur sont transmises dans le cadre des demandes clients. Chaque demande est enregistrée sur une ligne distincte dans le protocole. Les exploitants de sites Web utilisent ces données comme base d’analyse, ce qui leur fournit des informations utiles sur les visiteurs de leur offre en ligne. De plus, un logiciel d’analyse, qui est basé sur des scripts et recueille des informations de référence ainsi que d’autres mesures, est utilisé.

Les informations transmises dans le champ de référence permettent notamment des évaluations statistiques qui montrent la provenance des flux de visiteurs arrivant sur le site Web. Ainsi, les mesures marketing telles que les bannières publicitaires, les liens d’affiliation, les entrées payantes dans les annuaires professionnels ou les articles d’invités sur des sites Web de tiers peuvent être évaluées de manière fiable et leur efficacité peut être vérifiée. L’analyse du référent fournit également des informations importantes dans le contexte de l’optimisation des moteurs de recherche.

Note

Aucune information de référence n’est transmise pour les entrées directes. C’est le cas, par exemple, lorsqu’un utilisateur saisit manuellement l’URL souhaitée dans la barre de recherche du navigateur Web ou lorsqu’il accède à la page Web via un favori.

Les outils d’analyse Web permettent de lire automatiquement le champ de référence et préparer les données collectées sous la forme d’un rapport clair. Lors de l’entrée sur le site Web via le moteur de recherche, les mots-clés peuvent également être enregistrés, ce qui permet aux chercheurs d’accéder au site Web via Google et Co.

Conseil

Selon W3-Techs 83% de tous les exploitants de sites Web qui analysent automatiquement les données sur le trafic s’appuient sur l’outil Google Analytics. Nous avons d’ailleurs à ce sujet compilé de bonnes alternatives au leader du marché dans un article comparatif.

Cependant : tous les internautes n’apprécient pas l’idée que l’opérateur d’une destination de lien (le site Web vers lequel un hyperlien renvoie) soit en mesure de retracer l’origine de ses visiteurs. En principe, le référent fournit des informations sur le comportement utilisateur des visiteurs du site Web. Certains internautes craignent donc que les données du référent soient utilisés comme base pour les protocoles de mouvement. Ils décident alors de désactiver le champ référent côté client pour les requêtes HTTP.

Les opérateurs de sites Web ont également diverses options pour empêcher la transmission automatique du référent. Auparavant, les services dits antiréférent étaient principalement utilisés. Aujourd’hui, le nouveau standard HTML (version 5) offre un attribut natif noreferrer.

L’utilisation des technologies antiréférent est, en règle générale, motivée par des préoccupations de sécurité : par le passé, des pirates informatiques utilisaient des informations du référent pour récupérer de manière répétée des données personnelles dans des zones Web non publiques. L’antiréférent et des technologies similaires sont donc utilisées pour cacher les URL, et donc les paramètres GET possibles ou un ID de session, dans la chaîne de requête à l’opérateur du la cible du lien. Une autre raison liée à la désactivation du référent concerne la prévention des spams.

Le spam référent

Le référent HTTP a parfois été bien ou mal utilisé par le passé dans le contexte du spamming dans le cadre de pratiques Black-Hat-SEO! L’objectif était de falsifier les statistiques de référencement et d’augmenter ainsi la pertinence de votre propre site Web pour les moteurs de recherche. Les pages Web ont été automatiquement interrogées à l’aide de scripts afin de laisser leurs propres URL dans les fichiers journaux de pages Web sélectionnées en grande quantité. Les blogs qui publient leurs statistiques de référent offraient donc aussi des liens de spam, une plateforme accessible à la fois aux utilisateurs et aux moteurs de recherche. Beaucoup de sites pornographiques ont réussi à s’imposer comme une source de trafic supposée importante.

Qu’est-ce qu’un antiréférent ?

Un antiréférent (aussi : anonymiseur de liens) est une page Web qui est connectée entre la source du lien et la cible du lien. Il sert au transfert des utilisateurs. Le but est de cacher l’URL du site Web concerné et empêcher ainsi la possibilité de traçage.

Services antiréférent

Sur Internet, vous trouvez de nombreux fournisseurs qui proposent des fonctions antiréférent. Généralement, cela se fait par l’intermédiaire d’un site Web spécialement conçu à cet effet. Il manipule la requête HTTP du client en utilisant la balise meta refresh et les scripts côté serveur. Un navigateur Web remplacera alors le référent original par sa propre URL ou une chaîne de caractères aléatoires. Les antiréférents bien connus sont :

Grâce à tous les antiréférents listés, vous pouvez, en tant qu’opérateur de site Web, créer des liens anonymes directement via le site du fournisseur. Suivez les instructions ci-dessous :

  1. Entrez l’URL : entrez l’adresse de destination souhaitée dans le formulaire en ligne prévu à cet effet.
  2. Générez un lien antiréférent : créez le lien anonyme en confirmant votre entrée en cliquant sur  « générer ».

Copiez ensuite le lien antiréférent sur votre site Web, à l’endroit souhaité.

En plus de la possibilité de générer des liens via une application Web, tous les fournisseurs listés livrent des scripts qui, une fois intégrés dans le code source du site Web, redirigent tous les liens sortants via l’antiréférent correspondant.

Antiréférent : avantages et inconvénients en un coup d’œil

Dès lors que vous rendez anonyme les liens sortants via un antiréférent, vous cachez l’URL du site Web concerné à l’opérateur du lien cible, mais le fournisseur du service antiréférent reçoit un accès complet à toutes les données transmises. Ressemblant à l’utilisation d’un serveur proxy, Proxy-Servers, cela ouvre une brèche de sécurité importante. Les sceptiques vont même jusqu’à affirmer que l’espionnage de données pourrait être une motivation essentielle derrière les services gratuits d’anonymisation sur le Web. En particulier les services secrets, susceptibles d’avoir un grand intérêt à découvrir ce que les utilisateurs de ces services veulent garder confidentiel.

Toutefois, même si vous avez choisi un service antiréférent qui semble être digne de confiance, il n’est pas exclu qu’il soit piraté au fil du temps. Dans ce cas, des informations que vous vouliez garder secrètes seraient divulguées de manière inaperçue à des tiers. Les fournisseurs d’applications Web utilisent donc généralement des antiréférents autoalimentés pour protéger les informations sensibles telles que les identifiants de session ou les paramètres GET contre l’accès de tiers.

Les fournisseurs de messagerie Web, par exemple, remplacent généralement les liens dans les e-mails par des redirections via un service antiréférent interne. Cela permet d’éviter le piratage de session. Autrement, les opérateurs de sites Web malveillants pourraient utiliser les ID de session transmis par le référent pour prendre en charge la session de Web mailing d’un visiteur non averti.

Attention : Parfois, l’information de référence est utilisée pour rendre certaines fonctions du site Web disponibles aux visiteurs. Par exemple, certains contenus d’un site Web peuvent être liés à une URL spécifique d’un pays. Si vous êtes renvoyés sur une telle page via un lien anonyme, les visiteurs de votre site Web peuvent ne pas voir ce que vous vouliez montrer.

Avantages Inconvénients
L’URL du référent reste secrète (protection contre le piratage de session) Le fournisseur de l’antiréférent a accès à l’ensemble du trafic de données
  Les sites Web qui utilisent les informations du référent pour leur offre ne fonctionnent possiblement plus comme prévu.

Alternatives aux services antiréférent

Vous voulez rendre les liens anonymes, mais vous ne voulez pas accepter les inconvénients et risques de sécurité associés aux services antiréférent ? Pas de problème. Nous vous montrons ci-dessous comment désactiver la fonction de référent de votre navigateur Web sans aucune extension et comment marquer les hyperliens comme renvois anonymes au moyen de l’attribut HTML5 rel="noreferrer".

Désactiver le référent dans le navigateur

L’antiréférent s’adresse en premier lieu aux exploitants de sites Web voulant empêcher que des hyperliens sortants ne soient tracés vers leur propre site Web. Les internautes qui souhaitent protéger leur vie privée peuvent implémenter les services antiréférent via l’extension de navigateur. Dans ce cas, le navigateur Web redirige chaque lien sur lequel on clique via un site Web antiréférent. Le fournisseur utilisé peut généralement être adapté. Les extensions correspondantes sont disponibles pour Mozilla Firefox et Google Chrome. Cependant, elles ne sont pas nécessaires. Les deux navigateurs Web disposent d’une option pour désactiver de façon permanente la fonction du référent.

Mozilla Firefox

Il n’est possible de désactiver la fonction du référent dans Mozilla Firefox que dans les paramètres cachés du navigateur. Pour les personnaliser, suivez ces étapes :

  1. Ouvrez les paramètres cachés : ouvrez Firefox et tapez about:config dans la barre d’adresse.

Vous serez averti que les changements apportés aux paramètres avancés du navigateur peuvent affecter la sécurité, la stabilité et les performances de votre navigateur Web.

Cliquez sur « Je suis conscient des risques ! »

  1. Cherchez les paramètres : utilisez la barre de recherche pour naviguer jusqu’au paramètre network.http.sendRefererHeader. C’est lui qui est responsable de la mise à disposition des informations du référent.
  1. Régler les paramètres : double-cliquez sur l’entrée  network.http.sendRefererHeader. Réglez la valeur du paramètre de 2 à 0 et confirmez votre saisie avec « OK ».

Firefox envoie maintenant des requêtes HTTP sans référent.

Aperçu des valeurs possibles pour le paramètre network.http.sendRefererHeader :

Valeur Signification
  URL du référent jamais envoyée
1 URL du référent seulement envoyée si les liens sont cliqués
2 URL du référent et toutes les ressources intégrées (par ex : images, scripts, CSS, etc.)envoyées lorsque les liens sont cliqués (réglage par défaut)
Note

notez que la plupart des navigateurs Web ne transfèrent pas seulement les informations du référent lorsque vous visitez une page Web. Le référent est généralement aussi transmis lorsque des ressources telles que des images, des scripts ou des CSS intégrés dans le site Web sont interrogés par des serveurs externes.

Firefox n’offre en outre la possibilité de désactiver la transmission du référent qu’uniquement pour les sites tiers.

Dans ce cas de figure, laissez la valeur du paramètre network.http.sendRefererHeader sur 2 et réglez à la place le paramètre network.http.referer.XOriginPolicy. Vous pouvez choisir parmi les options suivantes :

Valeur Signification
  URL du référent toujours envoyée (standard)
1 URL du référent seulement envoyée si le nom de domaine des serveurs concernés correspond à celui des serveurs
  Exemple : un lien de mail.example.com à www.example.com inclura l’envoi du référent.
2 Référent seulement envoyé si le nom d’hôte des serveurs impliqués correspond
  Exemple : un lien de mail.example.com vers www.example.com n’inclura pas l’envoi du référent.

Google Chrome

Le navigateur Web de Google ne fournit pas d’interface de configuration pour le paramétrage des fonctions du référent mais Chrome reçoit une commande au démarrage du programme pour désactiver la fonction du référent. Procédez de la manière suivante :

  1. Créez un raccourci : dans un premier temps, créez un raccourci vers votre installation Chrome. Entrez le nom du programme dans le champ de recherche du menu Démarrer et cliquez avec le bouton droit de la souris sur l’icône Chrome.

Cliquez sur « Envoyer à » dans le menu contextuel et sélectionnez « Bureau (Créer un raccourci) »

  1. Personnalisez les propriétés : cliquez avec le bouton droit de la souris sur le raccourci nouvellement créé et sélectionnez « Propriétés » dans le menu contextuel.

Sous l’onglet « Lien », le chemin d’accès au fichier est affiché dans le champ « Destination ». Complétez par l’ajout --no-referrers. Si vous utilisez le chemin d’installation par défaut, il devrait maintenant ressembler à ceci :

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-referrers

Sauvegardez les réglages en cliquant sur « Appliquer ».

Ouvrez Chrome en double cliquant sur le raccourci du bureau. Les requêtes HTTP seront désormais envoyées sans référent.

Note

si la fonction du référent du navigateur Web est complètement désactivée, alors certaines fonctions des sites Web que vous visiterez ne seront peut-être plus disponibles.

Les navigateurs Web Apple Safari et Microsoft Edge ne laissent pour l’instant pas la possibilité à l’utilisateur de configurer manuellement la fonction référent.

HTML5: noreferrer dans l’attribut rel

Avec le lancement due la nouvelle norme HTML le 28 octobre 2014, les opérateurs de sites Web disposent clairement de plus de possibilités pour définir des hyperliens via des relations de liens. Il s’agit notamment du mot-clé noreferrer (écrit correctement avec deux « r » selon la spécification HTML5), qui peut être utilisé en combinaison avec l’attribut rel dans les élements a et area.

<a rel="noreferrer" href="www.example.com">Anonym zu example.com</a>

Si un opérateur de site Web définit l’attribut rel avec le mot-clé noreferrer dans un lien sortant, tous les navigateurs Web qui prennent en charge cette fonction seront invités à envoyer la requête HTTP à la cible du lien sans spécifier le référent. Le mot-clé noreferrer dans l’attribut rel est maintenant supporté par les dernières versions de tous les navigateurs Web populaires.

De plus, les opérateurs de site Web peuvent désactiver le référent pour tous les liens sortants avec une seule ligne de code dans l’élément d’en-tête HTML (head) :

<meta name="referrer" content="no-referrer">

Veuillez noter que cette fonction n’est pas encore prise en charge par tous les navigateurs Web, notamment en raison d’une modification de la spécification.