Defaults.Exposed

Defaults.Exposed › Rapports

Ce que vos en-têtes de serveur révèlent aux attaquants : le rapport sur la divulgation de la pile (2026)

Publié 2026-06-29

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées issues d’en-têtes de réponse HTTP observés (Server, X-Powered-By). Voir comment nous évaluons.

La majorité du web révèle volontairement ce qu’elle fait tourner : 71,4% des sites nomment leur serveur web dans les en-têtes de réponse, et 8,1% vont plus loin et dévoilent leur pile applicative — souvent avec la version exacte. Rien de tout cela n’est requis, et chaque détail est un indice gratuit pour un attaquant qui décide de sa cible. La divulgation de la version est le pire : un en-tête annonçant un logiciel en fin de vie est une invitation.

Ce que le web annonce

L’en-tête Server nomme le logiciel du serveur web. Au 2026-06-29, les valeurs les plus courantes parmi les 71,4% de sites qui en envoient un :

En-tête ServerPart des sites qui en envoient un
cloudflare21,7%
nginx16,0%
apache14,9%
openresty9,2%
squarespace4,9%

Le nom du serveur à lui seul présente un faible risque. La véritable exposition est X-Powered-By, que 8,1% des sites envoient — et qui inclut fréquemment une version précise. Les valeurs les plus courantes incluent asp.net et des builds PHP spécifiques comme php/7.4.33.

Pourquoi la divulgation de la version est importante

Un attaquant qui scanne internet à la recherche d’une vulnérabilité connue filtre exactement sur ces en-têtes. Un site annonçant php/7.4.33 — une version de PHP en fin de vie qui ne reçoit plus de correctifs de sécurité — indique à chaque scanner qu’il peut être exploitable, avant même un seul sondage. La divulgation ne crée pas la vulnérabilité, mais elle supprime le coût de reconnaissance de l’attaquant et propulse un site non corrigé en tête de liste.

La solution est gratuite et n’a aucun inconvénient pour les visiteurs : supprimez ou génériquez ces en-têtes. Il n’y a aucune raison fonctionnelle de diffuser publiquement la version de votre pile.

Comment cesser de divulguer votre pile

  1. Supprimez X-Powered-By entièrement — il ne sert à rien pour les visiteurs. (Une directive dans PHP/votre framework ou un retrait d’en-tête au niveau du proxy.)
  2. Génériquez Server — retirez la version, ou l’en-tête, au niveau de votre serveur web ou CDN.
  3. Maintenez la pile à jour quoi qu’il en soit — masquer la version gagne du temps, cela ne remplace pas les mises à jour.
  4. Vérifiez à nouveau pour confirmer que les en-têtes ont disparu.

Foire aux questions

Qu’est-ce que l’en-tête X-Powered-By ? Un en-tête de réponse qui annonce le framework de l’application et souvent sa version exacte (par exemple, un build PHP spécifique). Il est facultatif et n’apporte aucun avantage aux visiteurs — uniquement aux attaquants. 8,1% des sites en envoient un.

Révéler le logiciel de mon serveur est-il une vulnérabilité ? Pas en soi, mais c’est une divulgation d’information : elle permet aux attaquants de filtrer les vulnérabilités connues dans votre pile et votre version spécifiques, réduisant leur reconnaissance à zéro. La bonne pratique est de la supprimer.

Dois-je masquer l’en-tête Server ? Le génériquer (en retirant la version) est une bonne pratique. Le plus grand gain est de supprimer X-Powered-By et de maintenir le logiciel à jour.

Cela nuit-il au SEO ou aux visiteurs ? Non. Ces en-têtes sont invisibles pour les utilisateurs et sans importance pour les moteurs de recherche. Les supprimer n’a que des avantages.

Vérifiez ce que vos en-têtes révèlent

Voyez exactement ce que votre site annonce — et ce qu’il faut retirer — gratuitement et en toute confidentialité.

Vérifiez votre domaine → · Le bulletin des en-têtes de sécurité HTTP → · Données agrégées uniquement. Données stockées et traitées dans l’UE.