Comment les Cookies fonctionnent (« Loi Cookies » & RGPD)
Cela fait maintenant plusieurs années que l’on peut voir un message sur la plupart des sites web demandant l’autorisation d’utiliser des cookies pour continuer la navigation. Sachez que l’Union européenne prévoit d’assouplir cette loi Cookies pour 2018.
EDIT: Le RGPD « remplace » la « loi cookies », je ne sais pas d’où j’ai eu l’info selon laquelle la loi serait assouplie, car elle s’est plutôt endurcie. Je vous propose de comprendre au travers de cet article ce que sont les cookies et comment tout cela fonctionne. Suivez le guide !
« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêt »
Table des matières
Que sont les cookies ?
Avant de commencer, on va tout d’abord s’intéresser à ces fameux cookies. Je vous passe la blague avec le fameux biscuit aux pépites de chocolat ? pour parler directement du « cookie informatique » qui est une information textuelle reçue par un site web visité et stockée sur votre ordinateur.
Voici quelques caractéristiques des cookies :
- Chaque cookie a une taille maximum de 4Ko environ (l’équivalent de quelques phrases).
- Environ 50 cookies par site (domaine) maximum (cela change en fonction des navigateurs).
- Chaque cookie ne peut contenir que du texte, et ne peut donc pas être exécuté comme un programme ni contenir de « virus ».
- Chaque site à ses propres cookies et ne peut donc pas lire les cookies d’un autre site (politique de même origine).
- Les cookies sont habituellement enregistrés dans un seul fichier, parfois il y a un fichier par cookie (selon le navigateur).
- Les cookies ont habituellement une date d’expiration, qui oscille entre quelques secondes et plusieurs dizaines d’années. Mais ils peuvent être supprimés librement et à tout moment via le navigateur sans attendre une quelconque date.
Voici comment un cookie est créé du côté du site web :
Set-Cookie: nom=nouvelle_valeur; expires=date_expiration; path=/; domain=www.leblogduhacker.fr
Dans l’exemple précédent, « nouvelle_valeur » est le nom du cookie, « expires » la date d’expiration, « path » le chemin relatif sur lequel le cookie s’applique, et « domain » le (sous) domaine sur lequel le cookie s’applique. Le paramètre « path » permet de spécifier uniquement certaines pages sur lesquelles appliquer un cookie. Par exemple « path=/forum; » appliquera le cookie uniquement sur les pages commençant par « www.leblogduhacker.fr/forum ».
À quoi servent (exactement) les cookies ?
Le but des cookies était (et est toujours) de donner une mémoire au web. À l’origine, les programmeurs les avaient nommés « magic cookies » pour leur donner un nom plus attirant que « objet persistant d’état client ».
Les cookies peuvent avoir plusieurs buts différents, mais qui ont tous un point commun, retenir une information :
- Se souvenir du nombre de pages de résultats de recherche à afficher.
- Se souvenir d’un pseudonyme sur un site.
- Se souvenir d’un panier rempli par l’internaute sur un site de eCommerce.
- Se souvenir des divers choix de l’internaute (couleurs, ordre d’un menu, affichage personnalisé…etc).
- etc…
En simplifiant, les cookies permettent tout d’abord de personnaliser et accélérer la navigation, en offrant une expérience adaptée à chaque internaute.
Sans cookies, les sites web que vous visitez seraient identiques à chaque fois que le navigateur est fermé puis rouvert. Cela implique que vous auriez beaucoup de tâches additionnelles à (ré)accomplir : re-cliquer sur les boutons fermer des fenêtres pop-up, vous reconnecter à vos comptes, remettre vos articles dans le panier, et bien d’autres…
Les cookies servent également à gérer les sessions. C’est-à-dire les connexions et déconnexions des utilisateurs ainsi que la possibilité de « Se souvenir de vous » lorsque vous vous connectez à un site. De façon simplifiée, le site remarque un internaute qui n’a pas de cookie défini dans son navigateur. Il va donc assigner un cookie avec des données arbitraires ou aléatoires et une date d’expiration. Durant les prochaines visites, et même si le navigateur est fermé entre temps, le site reconnaîtra l’utilisateur par son cookie et le connectera donc automatiquement dans le cadre des sessions.
Un problème : le pistage
Eh oui, vous êtes peut-être venus ici en pensant aux cookies de façon négative, et c’est sans doute pour cette raison. Les cookies permettent effectivement de suivre les internautes grâce à cette « mémoire » offerte aux sites web sur les activités de leurs visiteurs.
On pourrait donc imaginer des façons un peu plus douteuses d’utiliser les cookies comme :
- Suivre toutes les actions des internautes et le recouper à travers différents sites (cas de la publicité ciblée).
- Enregistrer des informations personnelles comme le mot de passe dans les cookies (le rendant ainsi peu sécurisé car visible à travers le navigateur ainsi que sur le réseau).
Les vilains Cookies tierce partie
Nous arrivons donc au point problématique qui rend les internautes méfiants au sujet des cookies. Nous allons tenter d’apporter un maximum d’informations pour éclaircir les choses et bien comprendre ce qu’il se passe.
« La raison pour laquelle les internautes se méfient des cookies »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedInL’internaute paranoïaque typique, que vous êtes peut-être, est celui qui va penser de la façon suivante : « ils peuvent savoir tout ce que je fais sur Internet ! », « ils espionnent nos moindres faits et gestes ! ». Il faut cependant prendre du recul sur ces affirmations. Pour rappel, le cookie ne peut contenir que des informations textuelles de petite taille. Il peut également être supprimé facilement à travers le navigateur (on va voir comment), et il peut même être visionné. Ce n’est donc pas le cookie en lui-même qui est responsable, mais tout le système, on va voir comment tout de suite.
La grande majorité des cookies de suivi ont un but marketing :
- Si vous avez cliqué sur le bouton « acheter » de tel produit, celui-ci sera noté dans les cookies pour proposer des produits similaires plus tard aux internautes ayant le cookie.
- Si vous avez voulu acheter une nouvelle voiture, des publicités de voitures pourront s’afficher sur les sites que vous visitez par la suite.
Ce dernier point est possible grâce à ce que l’on appelle des « Cookies tierce partie« . Rappelez-vous qu’un site ne peut pas lire les cookies d’un autre site. Mais cela n’empêche pas un site « d’intégrer un autre site » dans son code source pour permettre au site « intégré » d’enregistrer lui aussi des cookies suivant les pages visitées.
Prenons un exemple pour comprendre avec les publicités Google :
- Un internaute visite un site d’annonces autos pour acquérir une nouvelle voiture.
- Ce site charge des publicités Google, il intègre donc un script de Google.
- Google est donc « présent » lors de la navigation et sait qu’un internaute cherche à acheter une voiture.
- L’internaute visite un autre site divers.
- Ce site charge également des publicités Google, et intègre aussi un script de Google.
- Google reconnaît qu’une personne est intéressée par des voitures car il était présent et avait enregistré un cookie. Il lui affiche des publicités de voitures.
Cela fonctionne de la même manière avec Facebook et avec d’autres plateformes publicitaires. Le but est de rendre tout le monde gagnant y compris les internautes qui devraient trouver des informations qui les intéressent à travers les publicités (mais cela en empiétant sur leur vie privée…).
Voir ici pour plus d’informations sur le fonctionnement de la publicité sur Internet :
Comment fonctionne la publicité sur Internet et quels risques pour les internautes
Le recoupement et le pistage concret se fait donc à la racine, c’est-à-dire chez Facebook et Google qui possèdent les informations sur l’identité des membres, et qui peuvent donc les associer aux intérêts et comportements suivis via les cookies. Et ce sont les internautes eux-mêmes qui ont donné leur identité… de leur plein gré…et souvent sans savoir qu’il pouvaient ensuite être aussi bien suivis.
La loi cookie pour éviter le problème de vie privée ?
Nous y arrivons. Les cookies tierce partie font donc partie des responsables du pistage des internautes.
Et c’est donc sur les cookies en général que la commission européenne a décidé de s’attaquer il y a quelques années en forçant les webmasters à afficher un message demandant l’autorisation aux internautes d’utiliser les cookies. Le but était non seulement de sensibiliser les internautes sur le pistage possible lié aux cookies mais surtout de permettre aux internautes de bloquer l’utilisation de ces cookies.
L’internaute doit donner son accord pour déposer des cookies de ciblage « comportementaux » (suivi des visites, suivi publicitaire etc…). Un bandeau doit donc s’afficher et les webmasters sont obligés de faire en sorte qu’aucun cookie de ciblage comportemental ne soit déposé avant acceptation.
Une bonne idée à la base, mais qui pose rapidement beaucoup de problèmes :
- Il est contraignant et difficile d’ajouter des dispositifs bloquant certains cookies avant une action de la part de l’internaute. Tous les webmasters ne sont pas des spécialistes en programmation web.
- Les publicités (basées sur le pistage) sont le gagne-pain de beaucoup de sites web, qui n’ont plus de raisons d’accepter les internautes qui les bloquent (même problème qu’avec les bloqueurs de publicités).
- Beaucoup d’éditeurs ont simplement décidé de refuser l’accès au site si l’internaute n’autorise pas les cookies. Les forçant donc à accepter le pistage quoi qu’il arrive.
- Les cookies peuvent être supprimés après leur dépôt et même refusés automatiquement avant leur dépôt via le navigateur. Voir ici pour supprimer les cookies et voir ici pour refuser des cookies sous Chrome et sous Firefox. Sans compter la « navigation privée » qui empêche automatiquement les pisteurs. Cela rend donc l’affichage du bandeau « inutile ».
- Les cookies sont presque déjà dépassés, HTML 5 a introduit le Web Storage qui permet de faire la même chose que les cookies, sans en être. Bloquer les cookies n’est donc pas forcément LA solution anti-pistage…
Le RGPD ou la loi Cookies ?
Le Règlement Général sur la Protection des Données personnelles établit de nouvelles directives pour améliorer la sécurité des données personnelles pour les internautes européens. La CNIL se chargera de son application au niveau français et la « loi Cookies » sera amenée à laisser placer au RGPD. Des nouveautés ont été introduites comme la portabilité des données visant à permettre aux internautes de transférer leur données d’un service à un autre. Les restrictions imposées aux entreprises sont plus nombreuses notamment concernant la transparence et les façons de traiter les données. Cliquez sur le lien ci-dessus pour avoir plus d’informations à ce sujet.
Les liens pour refuser les cookies sous Chrome ou Firefox sont cités plus haut, je rajoute Safari et Edge. Pour vous donner un idée des « bons » et « méchants » pisteurs, vous pouvez vous rendre sur le site disconnect.me qui maintien une liste de sites bloqués et autorisés. À vous de placer ces sites dans la liste noire des pisteurs via votre navigateur.
Plus d’informations sur l’anonymat en ligne : Être anonyme sur Internet
5 Commentaires
Cliquez ici pour ajouter un commentaire
Article intéressant sur les cookies ! Sans être parano cela peut être inquiétant d’être toujours pisté par des cookies ou autres moyens. C’est à se demander si la vie privée existe encore. D’un autre côté les sites on besoin de gagner des revenus et qu’on puisse continuer d’avoir un internet gratuit.
Content de voir que ce site existe toujours et que les articles sont toujours aussi intéressants:)
Je me permet de rajouter un petit lien vers la cnil qui donne pas mal d’info sur les cookies 😉
https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi
Ohh Daybatsu ! Content de te revoir et merci pour le lien ! J’espère que tout roule pour toi, n’hésite pas à donner des news 🙂
bonjour michel sympas le sujet sûr les cookie très bon petit gâteau
avec un café. je plaisante bien sur. tu à beaucoup plus vicieux que cela.
pour le profilage des gens le web bug. donc je ferait un sujet dans un prochain
commentaire.
bonjours lucien sympas comme sujet les cookies tu le dit très bien ou va la vie priver des gents. ? michel parle très bien des
cookies tiers dans sont article mais tu à plus vicieux que cela pour pister les gents.petit rappelle sur les cookies tiers.
il sont créés par un autre domaine que celui que vous visitez ils serve au suivi inter site et notamment au ciblage
publicitaire. d’un point de vue technique il n’y à pas de différence avec les cookies propriétaires lorsque le cookie
propriétaire est créé. quand vous visitez un site un ou plusieurs autres cookies peuvent être crée et porté un nom différent
du domaine visité. et donc pointé vers une url différente la raison pour laquelle on les nomme cookies tiers. ce type de
cookies pose énormément de problème en termes d’anonymat et de confidentialité. car les actions des utilisateurs
sont traquées. voila ou ce trouve le vice de la part des géants du web le pixel transparent. ou mouchard est en réalité
une balise http placée sur un site ou e-mail utilisé pour surveiller l’activité des utilisateurs. pixel de suivi pixel 1×1
ou pixel tag. est donc un graphique de taille 1 pixel sur 1 qui est chargé lors d’ouverture d’une page web. ou d’un e-mail.
ces graphiques sont conçu pour être totalement invisible pour l’utilisateur qui ne sont de tout façon pas censés les voir.
ces derniers restent plus fiables que les cookies car l’utilisation de cookies peut être complètement bloqué par l’utilisateur
et donc fournir des données imprécises. inexactes voir pas du tout de données. alors que le pixel transparent ne peut
pas être bloqué par le navigateur normal sauf ajout de plugins spéciaux pour navigateur. voici quelques données récoltées.
par ces mouchard transparents nom et version du navigateur logiciel de messagerie type de support adresse ip
date – heure activités sur site en question avec plusieurs mouchard. nom et version du système d’information
combiné aux cookies cette techniques devient une source importante de données notamment avec l’utilisation.
du langage java script qui permet d’en savoir beaucoup sur le navigateur et l’utilisateur et généralement les outils
d’analyses comme google analytic. nécessitent. l’implémentation de ce type de traqueur beaucoup contestent
ces pratiques car en termes d’anonymat et de confidentialité il est évident que ce droit est violé car cela implique
un transfert de données sans consentement. tout d’abord ces mouchard sont camouflés et généralement directement
implémentées dans le code des sites la plupart des sites web on besoin de statistiques et pour ce faire.
l’utilisation des outils d’analyse proposer par les géants du web son primordiales. cela implique donc l’intégration
de pixel transparent qui font office de traqueur. d’autres les utilisent pour la publicité et là encore se sont les géants
du web et leurs régis publicitaires qui proposent l’intégration de pixel transparent. ces traqueurs sont une réelle
menace pour l’anonymat et la vie privée des internautes. en plus de pouvoir collecter des données ultra sensibles
c’est la pratique la plus malhonnête vis- à vis des utilisateurs. d’ailleurs les opérateurs des sites ne peuvent pas également
avoir la maîtrise de ces pratiques et ne savent donc pas quelles données ont été collectées ou non sur leurs utilisateurs.