À Propos
Contact
vu sur le blog du hacker france 2
leblogduhacker
Le Blog du HackerCe qui est sécurisé à 99% n'est pas sécurisé

Comment les Cookies fonctionnent (« Loi Cookies » & RGPD)

  1. Accueil
  3. Actualités
  5. Comment les Cookies fonctionnent (« Loi Cookies » & RGPD)

Cela fait maintenant plusieurs années que l’on peut voir un message sur la plupart des sites web demandant l’autorisation d’utiliser des cookies pour continuer la navigation. Sachez que l’Union européenne prévoit d’assouplir cette loi Cookies pour 2018.

EDIT: Le RGPD « remplace » la « loi cookies », je ne sais pas d’où j’ai eu l’info selon laquelle la loi serait assouplie, car elle s’est plutôt endurcie. Je vous propose de comprendre au travers de cet article ce que sont les cookies et comment tout cela fonctionne. Suivez le guide !

« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêt »

loi cookies

Que sont les cookies ?

Avant de commencer, on va tout d’abord s’intéresser à ces fameux cookies. Je vous passe la blague avec le fameux biscuit aux pépites de chocolat ? pour parler directement du « cookie informatique » qui est une information textuelle reçue par un site web visité et stockée sur votre ordinateur.

Voici quelques caractéristiques des cookies :

  • Chaque cookie a une taille maximum de 4Ko environ (l’équivalent de quelques phrases).
  • Environ 50 cookies par site (domaine) maximum (cela change en fonction des navigateurs).
  • Chaque cookie ne peut contenir que du texte, et ne peut donc pas être exécuté comme un programme ni contenir de « virus ».
  • Chaque site à ses propres cookies et ne peut donc pas lire les cookies d’un autre site (politique de même origine).
  • Les cookies sont habituellement enregistrés dans un seul fichier, parfois il y a un fichier par cookie (selon le navigateur).
  • Les cookies ont habituellement une date d’expiration, qui oscille entre quelques secondes et plusieurs dizaines d’années. Mais ils peuvent être supprimés librement et à tout moment via le navigateur sans attendre une quelconque date.

Voici comment un cookie est créé du côté du site web :

Set-Cookie: nom=nouvelle_valeur; expires=date_expiration; path=/; domain=www.leblogduhacker.fr

Dans l’exemple précédent, « nouvelle_valeur » est le nom du cookie, « expires » la date d’expiration, « path » le chemin relatif sur lequel le cookie s’applique, et « domain » le (sous) domaine sur lequel le cookie s’applique. Le paramètre « path » permet de spécifier uniquement certaines pages sur lesquelles appliquer un cookie. Par exemple « path=/forum;  » appliquera le cookie uniquement sur les pages commençant par « www.leblogduhacker.fr/forum ».

À quoi servent (exactement) les cookies ?

Le but des cookies était (et est toujours) de donner une mémoire au web. À l’origine, les programmeurs les avaient nommés « magic cookies » pour leur donner un nom plus attirant que « objet persistant d’état client ».

Les cookies peuvent avoir plusieurs buts différents, mais qui ont tous un point commun, retenir une information :

  • Se souvenir du nombre de pages de résultats de recherche à afficher.
  • Se souvenir d’un pseudonyme sur un site.
  • Se souvenir d’un panier rempli par l’internaute sur un site de eCommerce.
  • Se souvenir des divers choix de l’internaute (couleurs, ordre d’un menu, affichage personnalisé…etc).
  • etc…

En simplifiant, les cookies permettent tout d’abord de personnaliser et accélérer la navigation, en offrant une expérience adaptée à chaque internaute.

Sans cookies, les sites web que vous visitez seraient identiques à chaque fois que le navigateur est fermé puis rouvert. Cela implique que vous auriez beaucoup de tâches additionnelles à (ré)accomplir : re-cliquer sur les boutons fermer des fenêtres pop-up, vous reconnecter à vos comptes, remettre vos articles dans le panier, et bien d’autres…

Les cookies servent également à gérer les sessions. C’est-à-dire les connexions et déconnexions des utilisateurs ainsi que la possibilité de « Se souvenir de vous » lorsque vous vous connectez à un site. De façon simplifiée, le site remarque un internaute qui n’a pas de cookie défini dans son navigateur. Il va donc assigner un cookie avec des données arbitraires ou aléatoires et une date d’expiration. Durant les prochaines visites, et même si le navigateur est fermé entre temps, le site reconnaîtra l’utilisateur par son cookie et le connectera donc automatiquement dans le cadre des sessions.

Un problème : le pistage

Eh oui, vous êtes peut-être venus ici en pensant aux cookies de façon négative, et c’est sans doute pour cette raison. Les cookies permettent effectivement de suivre les internautes grâce à cette « mémoire » offerte aux sites web sur les activités de leurs visiteurs.

On pourrait donc imaginer des façons un peu plus douteuses d’utiliser les cookies comme :

  • Suivre toutes les actions des internautes et le recouper à travers différents sites (cas de la publicité ciblée).
  • Enregistrer des informations personnelles comme le mot de passe dans les cookies (le rendant ainsi peu sécurisé car visible à travers le navigateur ainsi que sur le réseau).

Les vilains Cookies tierce partie

Nous arrivons donc au point problématique qui rend les internautes méfiants au sujet des cookies. Nous allons tenter d’apporter un maximum d’informations pour éclaircir les choses et bien comprendre ce qu’il se passe.

« La raison pour laquelle les internautes se méfient des cookies »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

L’internaute paranoïaque typique, que vous êtes peut-être, est celui qui va penser de la façon suivante : « ils peuvent savoir tout ce que je fais sur Internet ! », « ils espionnent nos moindres faits et gestes ! ». Il faut cependant prendre du recul sur ces affirmations. Pour rappel, le cookie ne peut contenir que des informations textuelles de petite taille. Il peut également être supprimé facilement à travers le navigateur (on va voir comment), et il peut même être visionné. Ce n’est donc pas le cookie en lui-même qui est responsable, mais tout le système, on va voir comment tout de suite.

La grande majorité des cookies de suivi ont un but marketing :

  • Si vous avez cliqué sur le bouton « acheter » de tel produit, celui-ci sera noté dans les cookies pour proposer des produits similaires plus tard aux internautes ayant le cookie.
  • Si vous avez voulu acheter une nouvelle voiture, des publicités de voitures pourront s’afficher sur les sites que vous visitez par la suite.

Ce dernier point est possible grâce à ce que l’on appelle des « Cookies tierce partie« . Rappelez-vous qu’un site ne peut pas lire les cookies d’un autre site. Mais cela n’empêche pas un site « d’intégrer un autre site » dans son code source pour permettre au site « intégré » d’enregistrer lui aussi des cookies suivant les pages visitées.

Prenons un exemple pour comprendre avec les publicités Google :

  1. Un internaute visite un site d’annonces autos pour acquérir une nouvelle voiture.
  2. Ce site charge des publicités Google, il intègre donc un script de Google.
  3. Google est donc « présent » lors de la navigation et sait qu’un internaute cherche à acheter une voiture.
  4. L’internaute visite un autre site divers.
  5. Ce site charge également des publicités Google, et intègre aussi un script de Google.
  6. Google reconnaît qu’une personne est intéressée par des voitures car il était présent et avait enregistré un cookie. Il lui affiche des publicités de voitures.

Cela fonctionne de la même manière avec Facebook et avec d’autres plateformes publicitaires. Le but est de rendre tout le monde gagnant y compris les internautes qui devraient trouver des informations qui les intéressent à travers les publicités (mais cela en empiétant sur leur vie privée…).

Voir ici pour plus d’informations sur le fonctionnement de la publicité sur Internet :

Comment fonctionne la publicité sur Internet et quels risques pour les internautes

Le recoupement et le pistage concret se fait donc à la racine, c’est-à-dire chez Facebook et Google qui possèdent les informations sur l’identité des membres, et qui peuvent donc les associer aux intérêts et comportements suivis via les cookies. Et ce sont les internautes eux-mêmes qui ont donné leur identité… de leur plein gré…et souvent sans savoir qu’il pouvaient ensuite être aussi bien suivis.

La loi cookie pour éviter le problème de vie privée ?

Nous y arrivons. Les cookies tierce partie font donc partie des responsables du pistage des internautes.

Et c’est donc sur les cookies en général que la commission européenne a décidé de s’attaquer il y a quelques années en forçant les webmasters à afficher un message demandant l’autorisation aux internautes d’utiliser les cookies. Le but était non seulement de sensibiliser les internautes sur le pistage possible lié aux cookies mais surtout de permettre aux internautes de bloquer l’utilisation de ces cookies.

L’internaute doit donner son accord pour déposer des cookies de ciblage « comportementaux » (suivi des visites, suivi publicitaire etc…). Un bandeau doit donc s’afficher et les webmasters sont obligés de faire en sorte qu’aucun cookie de ciblage comportemental ne soit déposé avant acceptation.

Une bonne idée à la base, mais qui pose rapidement beaucoup de problèmes :

  • Il est contraignant et difficile d’ajouter des dispositifs bloquant certains cookies avant une action de la part de l’internaute. Tous les webmasters ne sont pas des spécialistes en programmation web.
  • Les publicités (basées sur le pistage) sont le gagne-pain de beaucoup de sites web, qui n’ont plus de raisons d’accepter les internautes qui les bloquent (même problème qu’avec les bloqueurs de publicités).
  • Beaucoup d’éditeurs ont simplement décidé de refuser l’accès au site si l’internaute n’autorise pas les cookies. Les forçant donc à accepter le pistage quoi qu’il arrive.
  • Les cookies peuvent être supprimés après leur dépôt et même refusés automatiquement avant leur dépôt via le navigateur. Voir ici pour supprimer les cookies et voir ici pour refuser des cookies sous Chrome et sous Firefox. Sans compter la « navigation privée » qui empêche automatiquement les pisteurs. Cela rend donc l’affichage du bandeau « inutile ».
  • Les cookies sont presque déjà dépassés, HTML 5 a introduit le Web Storage qui permet de faire la même chose que les cookies, sans en être. Bloquer les cookies n’est donc pas forcément LA solution anti-pistage…

Le RGPD ou la loi Cookies ?

Le Règlement Général sur la Protection des Données personnelles établit de nouvelles directives pour améliorer la sécurité des données personnelles pour les internautes européens. La CNIL se chargera de son application au niveau français et la « loi Cookies » sera amenée à laisser placer au RGPD. Des nouveautés ont été introduites comme la portabilité des données visant à permettre aux internautes de transférer leur données d’un service à un autre. Les restrictions imposées aux entreprises sont plus nombreuses notamment concernant la transparence et les façons de traiter les données. Cliquez sur le lien ci-dessus pour avoir plus d’informations à ce sujet.

Les liens pour refuser les cookies sous Chrome ou Firefox sont cités plus haut, je rajoute Safari et Edge. Pour vous donner un idée des « bons » et « méchants » pisteurs, vous pouvez vous rendre sur le site disconnect.me qui maintien une liste de sites bloqués et autorisés. À vous de placer ces sites dans la liste noire des pisteurs via votre navigateur.

Plus d’informations sur l’anonymat en ligne : Être anonyme sur Internet

Crédits image: Surlan Soosay – flickr.

Articles similaires

Réseaux sociaux

29400
abonnés
Instagram
155000
abonnés
YouTube

Articles Populaires

 

cyberiniFORMEZ-VOUS, apprenez en ligne à VIE et faites carrière dans la cybersécurité.
Accéder à Cyberini
Menu