Mozilla vient d’annoncer que Firefox 87 marquerait un changement dans les règles de confidentialité en terme d’en-tête Referrer. Les informations transmises via l’URL en cas de changement de site seront beaucoup plus limitées.
La fondation Mozilla vient d’annoncer que la nouvelle version de Firefox allait améliorer la confidentialité de la navigation Internet en réformant les règles de l’en-tête Referer. Ce dernier permet aux serveurs hébergeant les sites web de savoir d’où viennent les internautes qui arrivent chez eux. Cet en-tête contient l’origine (le nom de serveur), le chemin d’accès (la page visité) et les paramètres de requête (comment l’internaute a obtenu un lien vers la nouvelle page).
Avant, Firefox n’interdisait le transfert d’en-tête Referrer qu’en cas de passage de HTTPS vers HTTP
Certes, certaines limitations existent dans la quasi-totalité des navigateurs Internet. Par exemple, cet en-tête Referrer n’est pas transmis si la ressource d’origine est un fichier local (si vous cliquez sur un lien dans un document PDF ou de traitement de texte), ou si vous passez d’un site HTTPS (crypté) vers un site HTTP (non-crypté).
Mais ces règles semblent désormais insuffisantes à la fondation Mozilla. Ainsi, à partir de Firefox 87, le navigateur va abandonner la règle par défaut sur le Referer, qui était « no-referrer-when-downgrade ». En clair : l’origine, le chemin d’accès et les paramètres de requête étaient transmis quand le niveau de sécurité était le même (HTTP vers HTTP, HTTPS vers HTTPS) ou s’améliorait (HTTP vers HTTPS). Et ne l’étaient pas uniquement dans le cas d’un passage vers une destination moins sécurisée (HTPPS vers HTTP).
A partir de Firefox 87, les informations de l’en-tête Referrer seront grandement limitées
Mais la quasi-disparition des sites en HTTP dans les pages les plus visitées limite grandement l’effet de cette règle. En pratique, la quasi-totalité des serveurs de domaines HTTPS disposent donc de l’origine, du chemin d’accès et des paramètres de requête de chaque internaute. Ce qui pose des problèmes de confidentialité évidents, par exemple quand l’internaute vient d’un moteur de recherche.
A partir de Firefox 87, les trois informations seront envoyées si et seulement si les requêtes ont la même origine. Ainsi, si l’internaute reste sur le même nom de domaine, le site pourra connaître le chemin d’accès et les paramètres de recherche. En revanche, pour le passage d’une origine à une autre, avec des adresses externes sécurisées (d’un nom de domaine HTTPS à un autre en HTTPS), l’en-tête Referrer se limitera au chemin d’origine. Rien ne sera envoyé pour un passage d’HTTPS vers HTTP.
En pratique, cela signifie qu’avant Firefox 87 (et donc dans les autres navigateurs, comme Chrome, Edge ou Safari…), si vous arrivez sur un site en provenance d’un moteur de recherche, le site disposait du nom du moteur de recherche (origine), du type de recherche, classique, par images, par actualité, « shopping »… (chemin d’accès) et, surtout, de votre chemin de requête (les mots que vous avez tapé dans le moteur de recherche). A partir de Firefox 87, le site ne connaîtra que le nom du moteur de recherche utilisé, sans précision. Un vrai gain pour la confidentialité.