• Aspects techniques

Rendre les liens anonyme : avantages et inconvénients des services antiréférent

Une fonction fondamentale d’Internet concerne les hyperliens d’un site Web à un autre. Si un utilisateur Internet clique sur un tel lien, le navigateur de ce dernier envoie une requête HTTP au serveur Web qui édite la page cible. Celle-ci contient en règle général en en-tête, à côté du nom d’hôte du serveur et la ressource souhaitée, un référent. Il s’agit d’un composant optionnel qui contient l’URL de la page Web de référence et transmet ainsi des informations sur l’origine du visiteur au serveur.

Note

Le terme Referrer est dérivé du verbe anglais to refer (en français : « renvoyer à »). Contrairement au verbe, le substantif s’écrit avec deux r. L’orthographe incorrecte utilisée dans l’environnement HTTP est due à une erreur d’orthographe dans la demande initiale de commentaires  RFC 1945. Dans d’autres standards, comme le Document Object Model (DOM), la notation correcte est utilisée (voir document.referrer).

La fonction du référent peut être illustrée par un exemple :

La note ci-dessus contient un lien vers la RFC 1945. Si vous la suivez, votre navigateur Web enverra alors en quelques millisecondes  une requête GET au serveur Web de l’Internet Engineering Task Force (IETF). Le clic sur l’hyperlien ordonne votre navigateur Web à contacter l’hôte portant le nom tools.ieft.org et à requérir le fichier /rfc/rfc1945.txt. La page de référence (Referrer) est l’URL de cet article. L’en-tête HTTP utilisé contient les champs suivants (entre autres) :

GET /rfc/rfc2068.txt HTTP/1.1
Host: www.ietf.org
Referer: https://www.ionos.fr/digitalguide/

L’opérateur du serveur Web apprend ainsi quels sites Web renvoient à l’offre en ligne qu’Il fournit. Il peut ainsi traiter ces informations dans le cadre d’analyse en ligne et, le cas échéant, jouer sur des contenus spécifiques utilisateurs.

Généralement, d’autres champs de l’en-tête HTTP contiennent des informations sur l’agent utilisateur que vous employez, ainsi que sur les formats, langue, jeux de caractères ou méthodes de codage pris en charge. La quantité d’informations transmises dépend du navigateur Web que vous utilisez et de la façon dont il est configuré.

Données du référent dans l’analyse Web

En règle générale, les serveurs Web stockent dans un fichier journal, appelé Logfile, toutes les informations qui leur sont transmises dans le cadre des demandes clients. Chaque demande est enregistrée sur une ligne distincte dans le protocole. Les exploitants de sites Web utilisent ces données comme base d’analyse, ce qui leur fournit des informations utiles sur les visiteurs de leur offre en ligne. De plus, un logiciel d’analyse, qui est basé sur des scripts et recueille des informations de référence ainsi que d’autres mesures, est utilisé.

Les informations transmises dans le champ de référence permettent notamment des évaluations statistiques qui montrent la provenance des flux de visiteurs arrivant sur le site Web. Ainsi, les mesures marketing telles que les bannières publicitaires, les liens d’affiliation, les entrées payantes dans les annuaires professionnels ou les articles d’invités sur des sites Web de tiers peuvent être évaluées de manière fiable et leur efficacité peut être vérifiée. L’analyse du référent fournit également des informations importantes dans le contexte de l’optimisation des moteurs de recherche.

Note

Aucune information de référence n’est transmise pour les entrées directes. C’est le cas, par exemple, lorsqu’un utilisateur saisit manuellement l’URL souhaitée dans la barre de recherche du navigateur Web ou lorsqu’il accède à la page Web via un favori.

Les outils d’analyse Web permettent de lire automatiquement le champ de référence et préparer les données collectées sous la forme d’un rapport clair. Lors de l’entrée sur le site Web via le moteur de recherche, les mots-clés peuvent également être enregistrés, ce qui permet aux chercheurs d’accéder au site Web via Google et Co.

Conseil

Selon W3-Techs 83% de tous les exploitants de sites Web qui analysent automatiquement les données sur le trafic s’appuient sur l’outil Google Analytics. Nous avons d’ailleurs à ce sujet compilé de bonnes alternatives au leader du marché dans un article comparatif.

Cependant : tous les internautes n’apprécient pas l’idée que l’opérateur d’une destination de lien (le site Web vers lequel un hyperlien renvoie) soit en mesure de retracer l’origine de ses visiteurs. En principe, le référent fournit des informations sur le comportement utilisateur des visiteurs du site Web. Certains internautes craignent donc que les données du référent soient utilisés comme base pour les protocoles de mouvement. Ils décident alors de désactiver le champ référent côté client pour les requêtes HTTP.

Les opérateurs de sites Web ont également diverses options pour empêcher la transmission automatique du référent. Auparavant, les services dits antiréférent étaient principalement utilisés. Aujourd’hui, le nouveau standard HTML (version 5) offre un attribut natif noreferrer.

L’utilisation des technologies antiréférent est, en règle générale, motivée par des préoccupations de sécurité : par le passé, des pirates informatiques utilisaient des informations du référent pour récupérer de manière répétée des données personnelles dans des zones Web non publiques. L’antiréférent et des technologies similaires sont donc utilisées pour cacher les URL, et donc les paramètres GET possibles ou un ID de session, dans la chaîne de requête à l’opérateur du la cible du lien. Une autre raison liée à la désactivation du référent concerne la prévention des spams.

Le spam référent

Le référent HTTP a parfois été bien ou mal utilisé par le passé dans le contexte du spamming dans le cadre de pratiques Black-Hat-SEO! L’objectif était de falsifier les statistiques de référencement et d’augmenter ainsi la pertinence de votre propre site Web pour les moteurs de recherche. Les pages Web ont été automatiquement interrogées à l’aide de scripts afin de laisser leurs propres URL dans les fichiers journaux de pages Web sélectionnées en grande quantité. Les blogs qui publient leurs statistiques de référent offraient donc aussi des liens de spam, une plateforme accessible à la fois aux utilisateurs et aux moteurs de recherche. Beaucoup de sites pornographiques ont réussi à s’imposer comme une source de trafic supposée importante.

Qu’est-ce qu’un antiréférent ?

Un antiréférent (aussi : anonymiseur de liens) est une page Web qui est connectée entre la source du lien et la cible du lien. Il sert au transfert des utilisateurs. Le but est de cacher l’URL du site Web concerné et empêcher ainsi la possibilité de traçage.

Services antiréférent

Sur Internet, vous trouvez de nombreux fournisseurs qui proposent des fonctions antiréférent. Généralement, cela se fait par l’intermédiaire d’un site Web spécialement conçu à cet effet. Il manipule la requête HTTP du client en utilisant la balise meta refresh et les scripts côté serveur. Un navigateur Web remplacera alors le référent original par sa propre URL ou une chaîne de caractères aléatoires. Le antiréférent bien connu est :

Grâce à tous les antiréférents listés, vous pouvez, en tant qu’opérateur de site Web, créer des liens anonymes directement via le site du fournisseur. Suivez les instructions ci-dessous :

  1. Entrez l’URL : entrez l’adresse de destination souhaitée dans le formulaire en ligne prévu à cet effet.
  2. Générez un lien antiréférent : créez le lien anonyme en confirmant votre entrée en cliquant sur  « générer ».

Copiez ensuite le lien antiréférent sur votre site Web, à l’endroit souhaité.

Rendre les liens anonymes avec anonym.to
Rendre les liens anonyme grâce à anonym.to / Source: https://anonym.to/en.html

En plus de la possibilité de générer des liens via une application Web, tous les fournisseurs listés livrent des scripts qui, une fois intégrés dans le code source du site Web, redirigent tous les liens sortants via l’antiréférent correspondant.

Antiréférent : avantages et inconvénients en un coup d’œil

Dès lors que vous rendez anonyme les liens sortants via un antiréférent, vous cachez l’URL du site Web concerné à l’opérateur du lien cible, mais le fournisseur du service antiréférent reçoit un accès complet à toutes les données transmises. Ressemblant à l’utilisation d’un serveur proxy, Proxy-Servers, cela ouvre une brèche de sécurité importante. Les sceptiques vont même jusqu’à affirmer que l’espionnage de données pourrait être une motivation essentielle derrière les services gratuits d’anonymisation sur le Web. En particulier les services secrets, susceptibles d’avoir un grand intérêt à découvrir ce que les utilisateurs de ces services veulent garder confidentiel.

Toutefois, même si vous avez choisi un service antiréférent qui semble être digne de confiance, il n’est pas exclu qu’il soit piraté au fil du temps. Dans ce cas, des informations que vous vouliez garder secrètes seraient divulguées de manière inaperçue à des tiers. Les fournisseurs d’applications Web utilisent donc généralement des antiréférents autoalimentés pour protéger les informations sensibles telles que les identifiants de session ou les paramètres GET contre l’accès de tiers.

Les fournisseurs de messagerie Web, par exemple, remplacent généralement les liens dans les e-mails par des redirections via un service antiréférent interne. Cela permet d’éviter le piratage de session. Autrement, les opérateurs de sites Web malveillants pourraient utiliser les ID de session transmis par le référent pour prendre en charge la session de Web mailing d’un visiteur non averti.

Attention : Parfois, l’information de référence est utilisée pour rendre certaines fonctions du site Web disponibles aux visiteurs. Par exemple, certains contenus d’un site Web peuvent être liés à une URL spécifique d’un pays. Si vous êtes renvoyés sur une telle page via un lien anonyme, les visiteurs de votre site Web peuvent ne pas voir ce que vous vouliez montrer.

Avantages Inconvénients
L’URL du référent reste secrète (protection contre le piratage de session) Le fournisseur de l’antiréférent a accès à l’ensemble du trafic de données
  Les sites Web qui utilisent les informations du référent pour leur offre ne fonctionnent possiblement plus comme prévu.

Alternatives aux services antiréférent

Vous voulez rendre les liens anonymes, mais vous ne voulez pas accepter les inconvénients et risques de sécurité associés aux services antiréférent ? Pas de problème. Nous vous montrons ci-dessous comment désactiver la fonction de référent de votre navigateur Web sans aucune extension et comment marquer les hyperliens comme renvois anonymes au moyen de l’attribut HTML5 rel="noreferrer".

Désactiver le référent dans le navigateur

L’antiréférent s’adresse en premier lieu aux exploitants de sites Web voulant empêcher que des hyperliens sortants ne soient tracés vers leur propre site Web. Les internautes qui souhaitent protéger leur vie privée peuvent implémenter les services antiréférent via l’extension de navigateur. Dans ce cas, le navigateur Web redirige chaque lien sur lequel on clique via un site Web antiréférent. Le fournisseur utilisé peut généralement être adapté. Les extensions correspondantes sont disponibles pour Mozilla Firefox et Google Chrome. Cependant, elles ne sont pas nécessaires. Les deux navigateurs Web disposent d’une option pour désactiver de façon permanente la fonction du référent.

Mozilla Firefox

Il n’est possible de désactiver la fonction du référent dans Mozilla Firefox que dans les paramètres cachés du navigateur. Pour les personnaliser, suivez ces étapes :

  1. Ouvrez les paramètres cachés : ouvrez Firefox et tapez about:config dans la barre d’adresse.
Page de démarrage de Firefox
La requête about:config ouvre les paramètres avancés de l’installation Firefox

Vous serez averti que les changements apportés aux paramètres avancés du navigateur peuvent affecter la sécurité, la stabilité et les performances de votre navigateur Web.

Message d’avertissement de Firefox concernant la garantie du fournisseur
Avant de pouvoir apporter des modifications aux paramètres avancés du navigateur, vous serez avisé que cela mettra fin à la garantie du fournisseur.

Cliquez sur « Je suis conscient des risques ! »

  1. Cherchez les paramètres : utilisez la barre de recherche pour naviguer jusqu’au paramètre network.http.sendRefererHeader. C’est lui qui est responsable de la mise à disposition des informations du référent.
Firefox: Fonction recherche des paramètres avancés
Fonctions référent configurées via le paramètre network.http.sendRefererHeader
  1. Régler les paramètres : double-cliquez sur l’entrée  network.http.sendRefererHeader. Réglez la valeur du paramètre de 2 à 0 et confirmez votre saisie avec « OK ».
Configuration du paramètre network.http.sendRefererHeader
La configuration du paramètre network.http.sendRefererHeader se fait par l’entrée d’une valeur entière

Firefox envoie maintenant des requêtes HTTP sans référent.

Aperçu des valeurs possibles pour le paramètre network.http.sendRefererHeader :

Valeur Signification
0 URL du référent jamais envoyée
1 URL du référent seulement envoyée si les liens sont cliqués
2 URL du référent et toutes les ressources intégrées (par ex : images, scripts, CSS, etc.)envoyées lorsque les liens sont cliqués (réglage par défaut)
Note

notez que la plupart des navigateurs Web ne transfèrent pas seulement les informations du référent lorsque vous visitez une page Web. Le référent est généralement aussi transmis lorsque des ressources telles que des images, des scripts ou des CSS intégrés dans le site Web sont interrogés par des serveurs externes.

Firefox n’offre en outre la possibilité de désactiver la transmission du référent qu’uniquement pour les sites tiers.

Dans ce cas de figure, laissez la valeur du paramètre network.http.sendRefererHeader sur 2 et réglez à la place le paramètre network.http.referer.XOriginPolicy. Vous pouvez choisir parmi les options suivantes :

Valeur Signification
0 URL du référent toujours envoyée (standard)
1 URL du référent seulement envoyée si le nom de domaine des serveurs concernés correspond à celui des serveurs
  Exemple : un lien de mail.example.com à www.example.com inclura l’envoi du référent.
2 Référent seulement envoyé si le nom d’hôte des serveurs impliqués correspond
  Exemple : un lien de mail.example.com vers www.example.com n’inclura pas l’envoi du référent.

Google Chrome

Le navigateur Web de Google ne fournit pas d’interface de configuration pour le paramétrage des fonctions du référent mais Chrome reçoit une commande au démarrage du programme pour désactiver la fonction du référent. Procédez de la manière suivante :

  1. Créez un raccourci : dans un premier temps, créez un raccourci vers votre installation Chrome. Entrez le nom du programme dans le champ de recherche du menu Démarrer et cliquez avec le bouton droit de la souris sur l’icône Chrome.
Windows 7: Fonction recherche dans le menu Démarrer
Fonction recherche dans le menu de démarrage de Windows 7

Cliquez sur « Envoyer à » dans le menu contextuel et sélectionnez « Bureau (Créer un raccourci) »

Créer un raccourci dans le menu contextuel
La commande « Envoyer à » > « Bureau » crée un raccourci de l’élément choisi.
  1. Personnalisez les propriétés : cliquez avec le bouton droit de la souris sur le raccourci nouvellement créé et sélectionnez « Propriétés » dans le menu contextuel.
Windows 7: Menu contextuel
Configurez le raccourci via l’onglet « Paramètres » dans le menu contextuel.

Sous l’onglet « Lien », le chemin d’accès au fichier est affiché dans le champ « Destination ». Complétez par l’ajout --no-referrers. Si vous utilisez le chemin d’installation par défaut, il devrait maintenant ressembler à ceci :

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-referrers

Propriétés Google Chrome
Ajoutez le complément noreferrers dans le champ « Destination »

Sauvegardez les réglages en cliquant sur « Appliquer ».

Ouvrez Chrome en double cliquant sur le raccourci du bureau. Les requêtes HTTP seront désormais envoyées sans référent.

Note

si la fonction du référent du navigateur Web est complètement désactivée, alors certaines fonctions des sites Web que vous visiterez ne seront peut-être plus disponibles.

Les navigateurs Web Apple Safari et Microsoft Edge ne laissent pour l’instant pas la possibilité à l’utilisateur de configurer manuellement la fonction référent.

HTML5: noreferrer dans l’attribut rel

Avec le lancement due la nouvelle norme HTML le 28 octobre 2014, les opérateurs de sites Web disposent clairement de plus de possibilités pour définir des hyperliens via des relations de liens. Il s’agit notamment du mot-clé noreferrer (écrit correctement avec deux « r » selon la spécification HTML5), qui peut être utilisé en combinaison avec l’attribut rel dans les élements a et area.

<a rel="noreferrer" href="www.example.com">Anonym zu example.com</a>

Si un opérateur de site Web définit l’attribut rel avec le mot-clé noreferrer dans un lien sortant, tous les navigateurs Web qui prennent en charge cette fonction seront invités à envoyer la requête HTTP à la cible du lien sans spécifier le référent. Le mot-clé noreferrer dans l’attribut rel est maintenant supporté par les dernières versions de tous les navigateurs Web populaires.

De plus, les opérateurs de site Web peuvent désactiver le référent pour tous les liens sortants avec une seule ligne de code dans l’élément d’en-tête HTML (head) :

<meta name="referrer" content="no-referrer">

Veuillez noter que cette fonction n’est pas encore prise en charge par tous les navigateurs Web, notamment en raison d’une modification de la spécification.

  • Aspects techniques

Articles similaires

Spam referrer : modèles d’attaques et contre-mesures

Spam referrer : modèles d’attaques et contre-mesures

Vous enregistrez d’énormes flux de visiteurs de sources douteuses ? Il n’y a pas de quoi s’inquiéter. Les opérateurs de sites Web rencontrent souvent des incohérences dans les rapports d’outils d’analyse établis par Google Analytics, Piwik ou etracker. La raison ? Le spam referrer falsifie les statistiques des visiteurs. Apprenez comment les hackers manipulent les informations du referrer et les…

Spam referrer : modèles d’attaques et contre-mesures
Systèmes hyperconvergents : le centre de données compact

Systèmes hyperconvergents : le centre de données compact

Le centre de données classique pourrait être grandement simplifié par des systèmes hyperconvergents. L’élimination des infrastructures très complexes et des différents domaines de travail devrait rendre l’informatique pour les entreprises plus efficace, dynamique et économique. Ceci est rendu possible grâce au matériel standard préfabriqué et à la virtualisation complète. Qu’est-ce qui se cache…

Systèmes hyperconvergents : le centre de données compact
SSL stripping : notions de base et options de protection

SSL stripping : notions de base et options de protection

La transmission de données via SSL/TLS est l’un des moyens les plus efficaces pour sécuriser un projet Web. Avant même que les paquets ne soient envoyés, de puissants algorithmes assurent le chiffrement des données. Si des tiers interceptent les données sur le chemin de transmission, le véritable contenu est alors caché. Cependant, le problème se pose lorsque les hackeurs utilisent des outils…

SSL stripping : notions de base et options de protection
L’arrêt « Playboy » restreint l’utilisation des liens hypertextes

L’arrêt « Playboy » restreint l’utilisation des liens hypertextes

L’utilisation et la légalité des hyperliens comportent des limites. La Cour de justice de l’Union européenne vient de le confirmer dans son arrêt du 8 septembre 2016. Les exploitants de sites Web qui établissent des liens hypertextes dans un but commercial sont tenus de vérifier la légalité des contenus en ligne auxquels ils renvoient. Selon la CJUE, les particuliers ne peuvent pas faire l’objet…

L’arrêt « Playboy » restreint l’utilisation des liens hypertextes