Analyseur de User-Agent

Analyseur User-Agent - Comprenez vos visiteurs

L'en-tête User-Agent est la petite chaîne d'identification que chaque client HTTP envoie avec chaque requête pour dire au serveur quel logiciel demande. Cela ressemble à 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36' — un format en couches intentionnellement confus qui a grandi accidentellement sur 30 ans alors que chaque nouveau navigateur essayait de s'identifier comme le précédent dominant pour la compatibilité (chaque navigateur moderne prétend encore être Mozilla et la plupart revendiquent encore l'héritage WebKit/Safari même en exécutant Chromium ou Gecko). Sous la cérémonie, quatre informations utiles sont typiquement présentes : le NAVIGATEUR (Chrome, Firefox, Safari, Edge, Opera, Brave, Samsung Internet, plus les crawlers comme Googlebot/Bingbot/GPTBot), sa VERSION (majeur.mineur qui corrèle souvent avec le niveau de patch de sécurité), le SYSTÈME D'EXPLOITATION (Windows 11, macOS Sonoma, iOS 17, Android 14, distros Linux, ChromeOS), et le FORMAT D'APPAREIL (bureau / téléphone / tablette / smart TV / bot). Cet analyseur extrait tout cela depuis n'importe quelle chaîne UA que vous collez, plus le MOTEUR de rendu sous-jacent (Blink pour les navigateurs Chromium, Gecko pour Firefox, WebKit pour Safari, Trident/EdgeHTML pour MS legacy). Cliquez 'Utiliser Mon User-Agent' pour inspecter ce que VOTRE navigateur actuel envoie. Utile pour les tableaux de bord d'analyse, le triage de rapports de bugs, l'investigation de log-line, le développement de bloqueurs de contenu, et confirmer que les règles de détection côté serveur se comportent comme prévu.

Qu'est-ce qu'une chaîne User-Agent ?

Chaque navigateur envoie un identifiant textuel avec les requêtes HTTP. Il contient :\n\n- Le nom/version du navigateur (Chrome 120, Firefox 121, Safari 17)\n- Le système d'exploitation (Windows 11, macOS 14, Android 13)\n- Le type d'appareil (desktop, mobile, tablette)\n- Le moteur de rendu (Blink, Gecko, WebKit)\n- Des infos de plate-forme (x64, ARM)\n\nLes serveurs utilisent ces infos pour adapter le contenu, mesurer l'audience et optimiser l'affichage.

Comment utiliser le parseur ?

1. Cliquez sur « Utiliser mon User-Agent » pour préremplir avec votre navigateur actuel\n2. Ou collez toute chaîne User-Agent\n3. Cliquez sur « Analyser »\n4. Consultez les sections navigateur, OS, appareil, plateforme et moteur\n\nL'outil détecte automatiquement tous les éléments utiles.

Quelles informations peut-on détecter ?

- Navigateur : Chrome, Firefox, Safari, Edge, Opera, IE...\n- Version : numéros majeur et mineur\n- Système : Windows, macOS, Linux, Android, iOS, ChromeOS\n- Version OS : lorsque disponible\n- Type d'appareil : ordinateur, mobile, tablette ou bot\n- Plateforme : architecture (x64, ARM, etc.)\n- Moteur : Blink, Gecko, WebKit, Trident\n\nTout est extrait de la chaîne User-Agent.

Pourquoi les sites utilisent-ils ces informations ?

Pour :\n\n- Optimiser le contenu (mobile vs desktop)\n- Appliquer des correctifs spécifiques à un navigateur\n- Suivre les statistiques d'usage\n- Filtrer les bots malveillants\n- Tester la compatibilité multi-navigateurs\n- Activer les fonctionnalités en fonction des capacités\n\nAttention : le sniffing UA doit rester prudent et idéalement complété par la détection de fonctionnalités.

Peut-on falsifier un User-Agent ?

Oui, très facilement : extensions, outils de dev ou bots peuvent envoyer un UA custom. Par conséquent :\n\n- Ne basez jamais la sécurité uniquement sur le User-Agent\n- Considérez-le comme un indice, pas une preuve\n- Utilisez la détection de fonctionnalités pour déterminer les capacités réelles\n- Combinez plusieurs signaux pour les vérifications critiques

Que sont les Client Hints et pourquoi remplacent-ils les chaînes User-Agent ?

Les chaînes User-Agent sont un passif en termes de vie privée et de fiabilité : elles exposent plus d'infos que l'analyse n'en a besoin, permettent le fingerprinting (la combinaison de UA, taille d'écran, polices, fuseau horaire identifie de manière unique la plupart des navigateurs), et sont facilement usurpées. Depuis 2020, Google a progressivement gelé la chaîne User-Agent dans Chrome (en supprimant les numéros de version mineure, les versions exactes d'OS, et le modèle d'appareil) et la remplace par les User-Agent Client Hints (UA-CH), un nouveau système standardisé sous RFC 9651 en 2023. Le serveur envoie un en-tête de réponse Accept-CH listant quels hints il veut ('Accept-CH: Sec-CH-UA-Platform-Version, Sec-CH-UA-Model'), et à la requête suivante le navigateur envoie SEULEMENT ces points de données spécifiques en tant qu'en-têtes de requête Sec-CH-UA-* séparés. Cela donne aux sites les données qu'ils utilisent réellement tout en limitant le fingerprinting passif. Les hints par défaut (toujours envoyés) incluent Sec-CH-UA (liste de marques à faible entropie), Sec-CH-UA-Mobile (booléen), Sec-CH-UA-Platform (famille d'OS). Les hints à haute entropie nécessitent un Accept-CH opt-in explicite. Firefox et Safari sont plus lents à adopter mais suivent des patterns similaires. Pour le parsing UA, cela signifie : en 2025-2026 la chaîne User-Agent devient progressivement moins informative, et l'analyse moderne doit consommer les en-têtes Sec-CH-UA-* à ses côtés.

Comment détecter les bots et crawlers depuis les chaînes User-Agent ?

La plupart des crawlers légitimes s'identifient clairement. Patterns identifiables courants : 'Googlebot' (Google Search), 'Bingbot' (Bing), 'YandexBot' (Yandex), 'Baiduspider' (Baidu), 'DuckDuckBot' (DuckDuckGo), 'facebookexternalhit' (aperçus de lien), 'Twitterbot' (aperçus de lien), 'LinkedInBot' (aperçus de lien), 'GPTBot' / 'OAI-SearchBot' (entraînement OpenAI et navigation ChatGPT), 'ClaudeBot' / 'anthropic-ai' (Claude d'Anthropic), 'Google-Extended' (opt-out d'entraînement Bard/Gemini), 'CCBot' (Common Crawl, alimente de nombreux datasets IA). Tous ceux-ci contiennent des sous-chaînes 'bot', 'crawler', 'spider' ou 'fetcher' quelque part — une regex insensible à la casse /bot|crawler|spider|fetcher|wget|curl/i attrape >95% d'entre eux en un seul passage. Pour la vérification (certains acteurs malveillants faussent les UAs de bots légitimes pour contourner les paywalls), combinez toujours le matching d'UA avec la validation DNS inverse : les IPs de Googlebot résolvent inversement vers *.googlebot.com ou *.google.com ; les imposteurs échoueront ce contrôle. Le User-Agent seul est un indice, pas un identifiant.

Mes données sont-elles privées ?

Oui :\n\n- Toute l'analyse est locale dans votre navigateur\n- Aucun User-Agent n'est envoyé à un serveur\n- Rien n'est stocké ni journalisé\n- Fonctionne hors ligne après chargement\n- Pas de suivi ni d'analytics\n\nVérifiez dans l'onglet Réseau : aucune requête n'est émise durant l'analyse.