Enquête sur les en-têtes HTTP « server » : Cloudflare domine, l’humour s’invite

Une vaste collecte de données

Un développeur a entrepris de sonder les en-têtes HTTP « server » des dix millions de domaines les plus visités au monde, selon une liste publique. Après avoir ajusté la fréquence de ses requêtes pour ne pas saturer son serveur DNS local, il a analysé 170 000 domaines, obtenant des réponses exploitables pour 131 265 d’entre eux – soit environ 90 % des sites contactés. Parmi ces réponses, près de 90 % comportaient l’en-tête « server », ce qui a fourni une base solide pour les classements.

Le podium des serveurs web

Sans surprise, Cloudflare arrive en tête avec 34 % des en-têtes collectés. Viennent ensuite nginx (16 %), Apache (13 %), LiteSpeed (3 %) et Microsoft-IIS/10.0 (2 %). Ces cinq premiers représentent à eux seuls 68 % des serveurs identifiés. La liste complète des valeurs distinctes compte 2 814 entrées, dont 1 676 ne reviennent qu’une seule fois – soit 60 % de l’ensemble.

L’auteur de l’étude précise toutefois que le chiffre de Cloudflare doit être nuancé : beaucoup de sites utilisent Cloudflare comme CDN (réseau de diffusion de contenu) tout en hébergeant leurs fichiers ailleurs. Le CDN réécrit alors l’en-tête « server », masquant le serveur d’origine. Son propre blog, par exemple, était hébergé sur AWS S3 avant de migrer entièrement vers Cloudflare.

Des en-têtes qui sortent de l’ordinaire

Au-delà des chiffres, la collecte a permis de dénicher des en-têtes « server » pour le moins originaux. Certains sont des clins d’œil techniques, d’autres des messages volontairement absurdes ou ironiques. En voici une sélection :

• portswigger.net : ' ; DELETE carlos FROM users -- – une injection SQL simulée, comme un clin d’œil aux spécialistes en sécurité.
• fastly.com : Artisanal bits – un message humoristique revendiquant un serveur « artisanal ».
• evropa2.cz : Guido – référence à Guido van Rossum, créateur du langage Python.
• shredderchess.com : HTTP Server – une description à la fois générique et exacte.
• cbs.nl : "" – deux guillemets littéraux, probablement une tentative avortée de champ vide.
• ikea.co.id : une chaîne hexadécimale changeant à chaque requête (0879f696, 30ad7d76…), suggérant une valeur unique par conteneur.
• collabora.com : Hidden.
• uppolice.gov.in : My httpd server.
• palemoon.org : NGinX – une capitalisation inhabituelle du nom de nginx.
• research.samsung.com : Null.
• murata.com : This is a Web Server – une affirmation d’une exactitude imparable.
• axa.com : aws – seul site interrogé à afficher ainsi son hébergement Amazon.
• nationalgeographic.co.id : netgeo.
• raiffeisen.ru : nope.
• starlink.com : whydoyoucare? – question rhétorique à laquelle l’étude répond par… la curiosité.
• techcircle.in : windows/1.0 – probablement faux.
• sites.utu.fi : From a free people to free science and learning – une devise inspirante.
• army.mil.kr : WEBâ\x80\x9d – résultat d’un copier-coller malencontreux d’un guillemet droit Unicode.
• saskatchewan.ca : ReplaceHeaderValue – comme un mémo oublié.

Détails méthodologiques et limites

Pour chaque domaine, le script a d’abord tenté de récupérer la racine du site (/). En cas d’échec, il essayait le fichier robots.txt, spécialement destiné aux robots. L’en-tête « server » n’étant pas obligatoire en HTTP, son absence n’a pas été pénalisée. L’auteur note que certains en-têtes amusants ne sont visibles que lors d’appels programmatiques (avec curl ou Python) et non dans un navigateur classique.

Le classement complet des valeurs les plus fréquentes (avec au moins 100 occurrences) fait apparaître des acteurs comme AmazonS3 (2 628 occurrences), Vercel (2 542), GitHub.com (1 946), openresty (1 537), Pepyaka (1 525) ou Netlify (1 217). Les versions précises de nginx et Apache, souvent associées à leur système d’exploitation (Ubuntu, Debian), sont également détaillées.