Le Web est un terrain de jeu ouvert, vulnérable à de nombreuses menaces de cybersécurité. Afin d'assurer une navigation plus sûre, diverses méthodes et en-têtes HTTP ont vu le jour au fil du temps. Aujourd'hui, nous nous intéressons à l'un de ces composants technologiques : l'en-tête « Referer », et à son importance en matière de cybersécurité.
Avant d'aller plus loin, il est essentiel de clarifier ce qu'est exactement un en-tête « referer ». Lorsque vous cliquez sur un lien hypertexte d'une page web, votre navigateur envoie une requête au serveur hébergeant la page de destination. Cette requête, souvent une requête HTTP GET, peut inclure un en-tête « referer ». Cet en-tête indique simplement au serveur l'URL de la page web qui a permis d'accéder à la page ou à la ressource de destination. Conçu initialement à des fins d'analyse, il peut également contribuer à renforcer la sécurité web.
Le rôle de l'en-tête Referer
Du suivi du flux de navigation des utilisateurs à la vérification de la source des requêtes Web, en passant par la prévention des attaques CSRF (Cross-Site Request Forgery), le rôle joué par l'en-tête Referer est important.
Les sites web peuvent analyser les en-têtes de référent pour suivre le parcours des clients sur leur site, ce qui leur permet d'optimiser la conception de leur site et d'améliorer ainsi leurs taux de conversion. De plus, en vérifiant que les requêtes proviennent bien de leurs propres pages (présumées plus fiables), ils renforcent la sécurité.
L'en-tête Referer joue également un rôle crucial dans la lutte contre les attaques CSRF. En inspectant cet en-tête et en confirmant que la requête provient bien de son propre site, une application web peut se protéger plus efficacement contre ces attaques.
Problèmes potentiels liés aux en-têtes Referer
Malgré ses avantages, l'en-tête Referer n'est pas sans défaut : il peut également exposer des informations sensibles. Imaginons qu'un utilisateur navigue d'une page protégée par mot de passe vers une autre page web. Dans ce cas, l'en-tête Referer envoyé avec la requête à la seconde page contient l'URL de la page protégée, exposant potentiellement des données sensibles contenues dans cette URL.
Atténuer les risques
En raison de ces risques, une gestion rigoureuse des en-têtes Referer s'avère indispensable. La « Referrer-Policy », un en-tête HTTP introduit par le W3C, permet à un site web de contrôler la quantité d'informations incluses dans l'en-tête Referer. Un site web peut définir cette politique à différents niveaux, allant de l'absence totale d'en-tête Referer (« no-referrer ») à l'envoi de l'URL complète (« unsafe-url »), sans tenir compte des risques de sécurité.
De plus, compte tenu de la nature sensible des informations susceptibles d'être transmises dans les en-têtes Referer, leur envoi uniquement via HTTPS pourrait constituer une approche efficace pour garantir leur confidentialité.
L'avènement des alternatives à l'en-tête Referer
La protection de la vie privée des utilisateurs étant devenue un enjeu de plus en plus crucial, on observe une tendance à réduire la dépendance aux en-têtes Referer. Dans cette optique, le W3C a proposé une alternative : l’en-tête « Sec-Fetch-Site », qui ne contient pas de données de page spécifiques et renseigne plutôt sur la relation entre la ressource et le site référent.
Il convient également de considérer l'en-tête « origin », qui permet d'isoler les dommages potentiels causés par un script dont l'origine diffère de celle de la page web. Ces deux en-têtes offrent des avantages en matière de confidentialité par rapport aux en-têtes « referer » et méritent d'être étudiés.
En conclusion
En conclusion, l'en-tête Referer joue un rôle essentiel dans le suivi de la navigation web, la vérification des requêtes de ressources et la protection contre les attaques CSRF. Son principal inconvénient réside dans le risque d'exposition de données sensibles, ce qui a conduit au développement d'alternatives telles que les en-têtes « Sec-Fetch-Site » et « Origin ». La compréhension de ces technologies nous permettra de mieux gérer les applications et les données web, et ainsi de garantir un espace web plus sûr pour tous.