La nouvelle version de Firefox va rehausser la confidentialité des internautes, lorsqu’ils se baladent sur le net. Avec l’arrivée de Firefox 87, Mozilla souhaite réviser la politique de l’en-tête Referer en introduisant une règle plus stricte. Désormais, le navigateur web transmettra moins d’informations au site sur lequel l’internaute se rend, au sujet du site que celui-ci vient de quitter.
Cet en-tête Referer, explique la documentation de Mozilla, sert aux serveurs hébergeant les sites web de déterminer d’où viennent les internautes lorsqu’ils arrivent chez eux. Cette information peut servir à des fins statistiques ou techniques, Mais elle soulève aussi des enjeux de confidentialité, puisque cet élément indique d’où l’internaute vient. D’où le souhait de Mozilla d’atténuer l’effet du Referer.
Un exemple est donné par Stéphane Bortzmeyer, ingénieur R&D à l’AFNIC, l’organisme qui gère le domaine de premier niveau réservé à la France (.fr), dans un article de 2014. Si l’on visite l’article de Wikipédia sur Le Petit Chaperon Rouge et que l’on se rend sur un lien extérieur, depuis cette page de l’encyclopédie, le serveur qui héberge cet autre site recevra du navigateur l’élément :
Cet en-tête pose des difficultés au niveau de la vie privée. « Il peut renseigner le serveur sur l’historique de navigation, les requêtes effectuées dans un moteur de recherche, etc. », écrit-il. Certes, les navigateurs web appliquent des règles pour ne pas transmettre cet en-tête dans certaines circonstances, par exemple si la ressource d’origine est un fichier local ou si l’on est passé d’un site en HTTPS à un site en HTTP.
Firefox appliquera des règles plus strictes
Jusqu’à Firefox 87, la règle par défaut était le Referer « no-referrer-when-downgrade ». Dans ce cas-là, l’origine, le chemin d’accès et les paramètres de requête sont envoyés quand le niveau de sécurité du protocole reste le même (HTTP vers HTTP, HTTPS vers HTTPS) ou s’améliore (HTTP vers HTTPS). Par contre, ces éléments ne sont pas envoyés dans le sens inverse (HTTPS vers HTTP).
Dorénavant, la nouvelle règle par défaut sera « strict-origin-when-cross-origin ». L’origine, le chemin d’accès et les paramètres de requête sont envoyés pour les requêtes de même origine. Dans le cas des adresses externes sécurisées (HTTPS vers HTTPS), c’est-à-dire vers un autre site, cela n’envoie que l’origine. Enfin, rien n’est envoyé si la destination est moins sécurisée (HTTPS vers HTTP).
L’ancienne politique « est une relique du web d’antan », commente Mozilla ». « Aujourd’hui, le web est bien différent : il est en passe de devenir exclusivement HTTPS et les navigateurs prennent des mesures pour limiter les fuites d’informations entre les sites web ». Dans ce cadre, un référent qui pouvait être « https://example.com/Path?query » ne sera plus que « https://example.com », c’est-à-dire sans le chemin d’accès ni la requête.
De fait, Firefox 87 va réduire les informations sensibles de l’utilisateur accessibles dans l’URL. « Avec cette mise à jour, Firefox appliquera la nouvelle politique par défaut à toutes les demandes de navigation, les demandes redirigées et les demandes de sous-ressources (image, style, script), offrant ainsi une expérience de navigation nettement plus privée », se félicite la fondation Mozilla.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !