Puis-je masquer mon User Agent ?

Les extensions et les outils de développement peuvent le falsifier (spoofing), mais les sites peuvent procéder à des vérifications croisées à l'aide des Client Hints, des API JavaScript ou de votre comportement. Une falsification cohérente et durable est plus difficile que la simple modification d'un en-tête.

Pourquoi des chaînes UA incorrectes altèrent-elles le fonctionnement des sites ?

Le code hérité utilise des branches basées sur des sous-chaînes comme 'MSIE' ou des tokens spécifiques de WebKit. Des UA figés et trop génériques peuvent orienter le trafic vers la mauvaise branche d'exécution à moins que les développeurs ne modernisent la détection des fonctionnalités.

Les User Agents constituent-ils des données personnelles ?

Seuls, ils sont généralement imprécis (famille de navigateur + OS). Combinés à d'autres signaux, ils contribuent au fingerprinting ; les régulateurs peuvent traiter le fingerprinting en vertu de règles du type ePrivacy.

16 avril 2026 · 13 min de lecture

Que révèle votre User Agent sur vous ? Une analyse complète pour 2026

Comment se construisent les chaînes UA, pourquoi les serveurs les lisent et comment les Client Hints et la réduction des UA modifient le paysage de la confidentialité.

Chaque requête HTTP de votre navigateur peut transporter un en-tête User-Agent — un bloc de texte structuré qui, historiquement, indiquait le nom du navigateur, le moteur de rendu, le système d'exploitation et parfois la catégorie de l'appareil. Les serveurs l'utilisent pour les analyses, les correctifs de compatibilité et parfois le blocage. Il n'a jamais été conçu comme un outil de confidentialité, et l'industrie en réduit lentement le niveau de détail.

Anatomie d'une chaîne UA classique

Un exemple d'affichage sur Chrome pour ordinateur peut indiquer :

Mozilla/5.0 — token hérité que de nombreux moteurs conservent pour des raisons de compatibilité historique.
Plateforme — Windows NT 10.0; Win64; x64 ou Macintosh; Intel Mac OS X 10_15_7.
AppleWebKit/537.36 (KHTML, like Gecko) — indication de la lignée WebKit conservée par compatibilité.
Chrome/124.0.0.0 — marque et version principale du navigateur.
Safari/537.36 — autre écho de compatibilité.

L'ordre exact et les tokens varient d'un navigateur à l'autre (Chrome, Firefox, Safari), mais l'objectif reste le même : s'identifier pour permettre des aiguillages côté serveur.

Pourquoi les sites web analysent encore les UA

Activation des fonctionnalités — proposer des pages simplifiées à de très anciens moteurs de rendu (en déclin).
Gestion des bots — différencier les robots d'indexation (crawlers), l'automatisation sans interface graphique (headless) et les bibliothèques héritées.
Statistiques — tableaux de bord sur les parts de marché (complétés de plus en plus par des métriques internes).
Tests de mise en page A/B — indications globales sur la catégorie de l'appareil.

Les meilleures pratiques modernes privilégient la détection des fonctionnalités (matchMedia, requêtes de support CSS, amélioration progressive) plutôt que l'analyse (sniffing) de l'UA — bien que les grandes plateformes conservent des processus d'analyse des UA pour des raisons opérationnelles.

User-Agent Client Hints (UA-CH)

Les navigateurs de la famille Chromium peuvent envoyer des Client Hints (Sec-CH-UA-*) selon les autorisations et politiques, exposant des informations structurées sur la marque et la version avec un meilleur contrôle qu'une simple chaîne figée. Les serveurs doivent demander ces indices (Accept-CH, Critical-CH) et respecter les modes de confidentialité. C'est important car la défense en profondeur contre le fingerprinting consiste à limiter à la fois l'entropie de l'UA et celle des Client Hints.

« Réduction de l'UA » et versions majeures figées

Les navigateurs ont évolué vers des chaînes UA fixes ou globales pour les contextes non privilégiés — par exemple, en figeant la version majeure ou en utilisant des tokens de plateforme génériques — afin de limiter le fingerprinting passif. Cela renforce l'égalité pour les utilisateurs ordinaires, mais complique la tâche des équipes de support technique qui s'appuyaient sur des numéros de version précis dans les journaux d'erreurs (logs).

Relation avec le fingerprinting

Un UA brut n'est qu'un signal parmi d'autres. Les scripts de suivi peuvent l'associer à :

La taille de l'écran et la profondeur des couleurs
Les polices installées (lorsqu'elles sont détectables)
Les variations de rendu des shaders Canvas / WebGL
Les mesures de temps de la pile audio
Le fuseau horaire et la langue

L'UA apporte une entropie peu coûteuse dès le début de la connexion (couche HTTP), avant l'exécution du JavaScript — d'où la volonté de le réduire.

En pratique

Si vous déboguez ce que votre navigateur transmet, utilisez notre page User Agent pour voir la chaîne exacte émise par votre session, puis comparez-la avec les en-têtes de requête dans l'onglet Réseau (Network) des DevTools. Si vous créez un site, privilégiez les Client Hints lorsque cela est possible, évitez les tests fragiles de sous-chaînes et documentez explicitement vos listes de robots (bots) autorisés.

Pour la plupart des lecteurs : traitez l'UA comme des métadonnées opérationnelles, pas comme un secret. Associez des outils réseau à des bandeaux de cookies pertinents et réduisez les scripts tiers au minimum si vous vous souciez du suivi de votre navigation.