Qu’est-ce que le suivi dans les URL?
Une URL n’est pas seulement une chaîne de caractères qui indique l’emplacement d’une page web.
Dans une URL, il peut y avoir des informations qui indiquent non seulement quelle page ouvrir, mais aussi de quelle publicité vient la visite, quelle publication sur les réseaux sociaux a été cliquée, ou pour quel utilisateur le lien a été émis.
Même si aucun nom ni aucune adresse e-mail n’est écrit, les paramètres laissés dans une URL peuvent devenir des indices sur la source du trafic, les termes de recherche, la campagne, l’ID de clic, le référent ou les informations de session.
Quand on réfléchit à l’anonymat, il est dangereux de vérifier seulement le texte et les images, puis de coller telle quelle l’URL que l’on partage.
Cet article explique ce qu’est le suivi dans les URL, quelles parties d’une URL vérifier, et comment juger avant de partager.
Qu’est-ce que le suivi dans les URL?
Le suivi dans les URL est un mécanisme qui utilise les informations attachées à une URL pour mesurer les sources de trafic et le comportement des utilisateurs.
Par exemple, les publicités, newsletters, publications sur les réseaux sociaux, liens d’affiliation et pages de campagne peuvent ajouter des informations à la fin de l’URL.
Ces informations supplémentaires sont souvent placées après ? dans l’URL.
Exemple:
https://example.com/article?utm_source=newsletter&utm_campaign=spring
La partie après ? s’appelle la chaîne de requête. Elle peut contenir des conditions de recherche, des numéros de page, des IDs produit, des IDs de clic, des IDs publicitaires, des IDs de référent et des valeurs similaires.
Pour les exploitants de sites web, le suivi dans les URL sert à l’analyse d’audience et à la mesure de l’efficacité publicitaire.
Mais du point de vue de l’anonymat, il peut devenir un indice sur la personne qui a partagé l’URL ou sur le chemin par lequel elle a été cliquée.
Quelle partie de l’URL regarder?
Quand on vérifie une URL, il est important de ne pas la traiter comme un bloc unique.
Une URL contient des parties qui ont des significations différentes.
| Partie | Exemple | Point à vérifier pour l’anonymat |
|---|---|---|
| Domaine | sample.test | Indique à quel site on va se connecter |
| Chemin | /article/network | Indique quelle page ou quelle fonction va s’ouvrir |
| Chaîne de requête | ?id=123&utm_source=sns | Peut contenir des termes de recherche, des identifiants ou des informations de suivi |
| Nom de paramètre | utm_source, ref, gclid | Indice pour deviner le type d’information |
| Valeur de paramètre | newsletter, abc123 | Peut indiquer une source de trafic, un ID individuel ou une campagne |
| Fragment | #section | Souvent non envoyé au serveur dans les requêtes HTTP ordinaires |
Il faut surtout prêter attention à la chaîne de requête.
Toutes les chaînes de requête ne sont pas dangereuses. Les pages de résultats de recherche et les pages produit peuvent avoir besoin de certaines valeurs pour s’afficher correctement.
En revanche, des paramètres de suivi inutiles au partage peuvent être attachés.
L’important est de distinguer: "la page s’ouvre-t-elle sans cette valeur?" et "cette valeur sert-elle à identifier quelqu’un?"
Paramètres de suivi courants
Les valeurs souvent vues dans le suivi par URL suivent certains motifs.
| Type | Exemples | Signification |
|---|---|---|
| UTM | utm_source, utm_medium, utm_campaign | Mesure la source du trafic, le support et la campagne |
| ID de clic publicitaire | gclid, fbclid, msclkid | Identifie les clics publicitaires ou venant des réseaux sociaux |
| Référent | ref, referrer, source | Indique d’où quelqu’un vient |
| Affiliation | affiliate, aff, partner | Indique l’apporteur ou la source partenaire |
| ID de partage | share, invite, campaign_id | Peut indiquer des liens de partage ou des chemins d’invitation |
| Valeur proche d’une session | session, sid, token | Peut être proche d’un état individuel ou d’une authentification |
Certaines valeurs, comme les UTM et les IDs de clic, sont clairement destinées au suivi.
En revanche, certains noms comme id ou token ne peuvent pas être jugés à partir du nom seul. Un id peut être un ID d’article, ou un identifiant émis pour chaque utilisateur.
Il n’est pas prudent de traiter une valeur inconnue comme "probablement sans danger".
Échecs qui se produisent lors du partage d’URL
Les échecs liés au suivi dans les URL ne nécessitent pas forcément des attaques techniquement complexes.
Beaucoup se produisent simplement quand on colle telle quelle une URL copiée.
| Échec | Ce qui se produit |
|---|---|
| Partager telle quelle une URL publicitaire | L’ID de clic publicitaire ou les informations de campagne restent présents |
| Coller tel quel un lien reçu par e-mail | Des informations d’identification liées à l’envoi de l’e-mail peuvent rester |
| Partager une URL de résultats de recherche | Les termes ou conditions de recherche peuvent rester dans l’URL |
| Partager une URL après connexion | Des informations de session ou d’écran individuel peuvent être mélangées |
| Partager une URL raccourcie sans la développer | La destination et le suivi ne peuvent pas être vérifiés |
Par exemple, supposons qu’une personne présente un article depuis un compte anonyme.
Elle n’écrit pas d’informations personnelles dans le texte. Mais si l’URL collée contient encore un ID d’envoi d’e-mail ou un ID de clic publicitaire, cela devient un élément montrant par quel chemin elle a obtenu le lien.
Cela seul ne révèle pas nécessairement un vrai nom.
Mais combiné avec l’heure de publication, le compte, les cookies, l’état de connexion et les journaux d’accès, cela renforce l’impression qu’il s’agit de la même personne.
En matière d’anonymat, il est important de ne pas minimiser ces petits indices.
Valeurs que l’on peut supprimer et valeurs à ne pas supprimer
Il ne faut pas supprimer aveuglément tous les paramètres d’une URL.
Certaines valeurs sont nécessaires pour que la page s’ouvre correctement.
| Type | Traitement | Raison |
|---|---|---|
| utm_source et similaires | Souvent supprimables | Souvent utilisés pour l'analyse d'audience et inutiles à l'affichage de la page |
| gclid, fbclid et similaires | Souvent supprimables | Souvent utilisés pour mesurer les clics publicitaires ou sociaux |
| ref, affiliate et similaires | Vérifier le contenu | Peut être lié aux informations de référent ou à la mesure de revenus |
| page, q, id et similaires | Vérifier avec prudence | Peut être nécessaire pour l’affichage de la page ou les conditions de recherche |
| token, sid, session et similaires | Préférer ne pas partager | Peut être proche d’un état individuel ou d’une authentification |
Le jugement de base est simple.
Si la même page s’ouvre après suppression, la valeur est peut-être inutile pour le partage.
Si la suppression mène à une autre page, change les résultats de recherche ou fait perdre une information nécessaire, la valeur est liée au contenu de la page.
Cependant, les URL contenant des valeurs comme token ou session ne conviennent pas au partage public dès le départ.
Plutôt que d’essayer de nettoyer cette URL, il est plus sûr de chercher séparément un lien officiel de partage.
Procédure de vérification avant partage
Avant de partager une URL, vérifiez dans l’ordre suivant.
| Ordre | À vérifier | Raison |
|---|---|---|
| 1 | Vérifier l’URL entière | Voir s’il y a des informations inutiles après ? |
| 2 | Chercher des paramètres qui ressemblent à du suivi | Vérifier utm, gclid, fbclid, ref et valeurs similaires |
| 3 | Classer les valeurs inconnues | Séparer les valeurs nécessaires à l’affichage des valeurs proches d’identifiants |
| 4 | Rouvrir l’URL après suppression | Confirmer que le même contenu apparaît |
| 5 | Développer les URL raccourcies | Vérifier la destination finale et les intermédiaires |
Si possible, vérifiez sans être connecté ou dans un autre navigateur.
Si vous vérifiez dans votre navigateur habituel, les cookies et l’état de connexion peuvent vous amener à partager une URL qui "s’ouvre pour vous, mais pas pour les autres".
Pour un usage anonyme, une simple vérification dans un environnement séparé avant le partage peut déjà réduire les erreurs.
L’URL seule ne détermine pas l’anonymat
Même si vous nettoyez une URL, cela ne vous rend pas anonyme à lui seul.
Une URL est un indice parmi d’autres.
La même publication implique aussi le texte, les images, l’heure de publication, le compte, le chemin de communication, l’état de connexion et les publications passées.
Par exemple, même si vous retirez les paramètres de suivi d’une URL, si vous publiez en étant connecté à un compte en nom réel, l’anonymat s’affaiblit.
Inversement, même avec ou , si l’URL partagée contient encore un ID individuel, une corrélation peut se produire ailleurs que dans les mesures réseau.
La vérification de l’URL est une étape dans l’ensemble de l’anonymat.
Résumé
Le suivi dans les URL est un mécanisme qui utilise les paramètres contenus dans une URL pour mesurer les sources de trafic et les comportements.
Les UTM, IDs de clic, codes de parrainage, URL raccourcies et redirections peuvent devenir des indices sur la source du partage ou le chemin d’accès.
Quand on réfléchit à l’anonymat, il faut vérifier non seulement le texte et les images, mais aussi l’URL que l’on partage.
L’important est de distinguer les valeurs qui peuvent être supprimées de celles qui ne doivent pas l’être. Les paramètres de suivi peuvent souvent être supprimés, tandis que des valeurs comme les termes de recherche ou les IDs de page peuvent être nécessaires à l’affichage.
Si une valeur inconnue reste présente, ne la traitez pas comme sûre. Retardez le partage, cherchez un autre lien officiel ou vérifiez dans un environnement séparé.
Une URL ressemble à une petite chaîne de caractères.
Mais pour l’anonymat, cette petite chaîne peut indiquer le chemin d’une action.