Qu'est-ce que l'usurpation d'agent utilisateur ?
Usurpation d'identifiant utilisateur Il s'agit de la pratique consistant à modifier délibérément la chaîne « User-Agent » (UA) dans l'en-tête d'une requête HTTP afin de se faire passer pour un navigateur, un système d'exploitation ou un appareil différent de celui qui effectue réellement la requête. Les serveurs lisent la chaîne UA pour identifier les clients ; par conséquent, la modifier change la perception qu’a le serveur de l’entité à laquelle il s’adresse. Cette pratique est courante dans le web scraping, les tests automatisés et les outils de protection de la vie privée.
Comment fonctionne l'usurpation d'identifiant « User-Agent »
Une chaîne « User-Agent » est un en-tête au format texte brut envoyé avec chaque requête HTTP. Tout client HTTP peut lui attribuer la valeur de son choix. L'envoi User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)... À partir d'un script Python, par exemple, cela indique au serveur qu'il communique avec un navigateur Chrome sous Windows.
De par leur conception même, les navigateurs ont rendu la détection des chaînes UA peu fiable. MDN Web Docs (2025) souligne que les navigateurs masquent systématiquement leur chaîne UA ; c'est pourquoi MDN déconseille formellement de l'utiliser pour la détection des navigateurs. La solution moderne qui la remplace, les « User-Agent Client Hints », exige que les serveurs s'y inscrivent explicitement via un Accept-CH en-tête de réponse.
L'usurpation de la chaîne UA ne suffit souvent pas à elle seule à contourner la détection des bots. Les systèmes de détection établissent des corrélations entre la réputation de l'adresse IP, l'empreinte TLS, les schémas temporels et de nombreux autres signaux, en plus de l'en-tête UA. Une chaîne UA usurpée envoyée depuis une adresse IP de centre de données peut tout de même être signalée, car le type d'adresse IP contredit l'identité du navigateur déclarée. Associer une chaîne UA réaliste à une adresse IP résidentielle, provenant d’un véritable appareil grand public, permet de lever cette contradiction de manière plus fiable.
Foire aux questions
C'est rarement utilisé seul. La plupart des systèmes de détection de bots considèrent la chaîne UA comme un indice parmi tant d'autres. Une chaîne UA usurpée envoyée depuis une adresse IP de centre de données peut tout de même être identifiée grâce au comportement TLS, à la réputation de l'adresse IP et au timing des requêtes. Il est généralement plus efficace de se concentrer sur l'indice lié à l'adresse IP que de se contenter de l'usurpation de la chaîne UA.
La réponse dépend du contexte et de la juridiction applicable. L'usurpation d'un identifiant utilisateur (UA) à des fins de tests de compatibilité des navigateurs ou de recherche sur l'accessibilité ne soulève généralement aucune controverse. En revanche, l'utiliser pour contourner les contrôles d'accès ou enfreindre les conditions d'utilisation d'un site peut entraîner des risques juridiques ou contractuels. Veillez à toujours consulter les conditions d'utilisation du site cible avant d'envoyer des requêtes automatisées.
MDN Web Docs (2025) désigne les « User-Agent Client Hints » comme la solution de remplacement garantissant la protection de la vie privée. Les serveurs doivent envoyer un Accept-CH en-tête de réponse permettant de demander des indications spécifiques, ce qui donne aux clients davantage de contrôle sur les informations qu'ils divulguent.