Outils de cybersécurité

10 octobre 2024

Un cookie n'est jamais qu'un Post-it pour ordinateur. Qui permet de faire du suivi, dans le temps à votre insu. Et on pourrait bien s'en passer et redevenir sournois. 😈

Il existe déjà pas mal de sites qui expliquent ce que sont les cookies, aussi ne vous attendez pas à trouver un dossier détaillé ici, mais uniquement un résumé et des liens vers plus d'information.

Ceci dit, il est probable que certains aspects vous surprennent, surtout si vous avez une vague idée de ce que c'est. Eh puis j'ai imaginé une analogie avec le monde réel, peut-être plus parlante.

Post-it

C'est vraiment quoi un cookie ?
😒 Évitons la blague récurrente et éculée.
C'est un fichier qui est déposé sur ton ordinateur lorsque tu visites un site web.
Je te propose une analogie réelle.
😮 Réelle ?
C'est toi qui es le navigateur, et tu te promènes dans une ville en visitant des lieux, des magasins.
Pourquoi pas. Allez, je vais chez Chanel.
Tu peux te promener incognito, personne ne te connais.
Bien sûr. Et les cookies ? Ils vont m'en offrir ?
😊
Chanel va surtout coller un Post-it invisible et indécollable sur ton front.
Vous voilà avec un cookie sur le front.
😋 Le Post-it, c'est le cookie ?
Exactement.

À quoi ça sert ?

Si le Post-it est invisible, quelle est son utilité ?
Il est visible par Chanel, car il a mis son nom dessus.
C'est comme si tu te promenais avec un badge, mais visible uniquement par Chanel.
Si je vais chez Ferrari, ils ne verront rien ?
Ben non, pas le Post-it-cookie Chanel.
Seulement le Post-it-cookie Ferrari, qu'ils n'auront pas oublié de te coller.
😒 Mais si je retourne plus tard chez Chanel, alors ils sauront que je suis déjà venu !
T'as compris. Et ça peut être une autre boutique, pas dans la même ville.
Et Chanel aura pris soin d'écrire sur le Post-it que tu étais intéressé par ce foulard et ce petit sac à main si mignon. 👜 💕
😮 Ah ! 🙃 OK ! C'est mon panier de courses.
Voilà à quoi ça sert.
🤔 😣
Ouais, enfin Chanel n'a pas besoin de me coller un Post-it sur le front pour faire ça !
Sauf que tu peux changer d'apparence, et ils ne reconnaitront pas. 😎
Ah oui, c'est vrai que je peux changer de navigateur et de machine.
Et surtout, il y a toutes les chances pour que ton adresse IP ait changée !
🫣 Mais quelque part, il doit être possible de faire la même chose sans Post-it, on verra ça plus loin

Contenu

Et qu'est-ce qu'ils peuvent écrire sur ce fameux Post-it-cookie ?
Ce qu'ils veulent, toutes les informations qu'ils peuvent obtenir.
La tête que tu as, ce que tu portais comme vêtements lors de ta visite.
🤔 Je vois. Le nom du navigateur Internet, Chrome, Firefox, et/ou mon système d'exploitation, Windows, Android, iOS...
Par exemple.
😈 Et si tu as donné ton nom à la vendeuse...
🙄 Tout Chanel le connaitra. 🙎 Soupir !

Quelles informations ?

Tout ce que le navigateur peut collecter.

  • Adresse IP, machine, navigateur...
  • Historique de navigation
  • Annonces cliquées (avec date), temps passé... (permet d'envoyer des annonces ciblées)
  • Préférences du site web (taille du texte...)
  • Produits achetés
  • Données personnelles si vous avez le malheur de les donner
    • Age (ce qui permettra au site de prouver que vous avez déclaré un âge légal)
    • Nom
    • Adresse email
    • Mot de passe
  • ... (liste infinie)

Départ arrêté, le cookie est plutôt une bonne idée car il permet d'exécuter des actions commodes, qui dépendent de l'utilisateur, qu'un site web ne peut connaitre à l'avance :

  • Vos préférences de navigation, comme la couleur du fond d'écran ou la taille des caractères.
  • Éviter de taper votre mot de passe à chaque fois que vous consultez un site, comme votre boite aux lettres.
  • L'état de votre panier de courses.
  • ...
  • Sans oublier votre consentement explicite aux cookies. 😉

Tout ceci sans avoir besoin de se connecter avec un identifiant.

C'est peut-être casse-pied de retaper son mot de passe, mais si vous êtes sur une machine inconnue, méfiez-vous !
N'activez pas l'option « garder la connexion ».

Historique des cookies

C'est déjà décrit sur pas mal de sites. C'est Netscape qui a commencé en 1994.

Comment ça marche ?

Pour ne pas mourir idiot, voici le mécanisme de base.

Lorsque vous demandez une page web, le serveur répond avec le contenu, mais il peut aussi insérer la commande « Set-Cookie » :


Et cette histoire de cookie est totalement transparente pour l'utilisateur.
Jusqu'à ce qu'une loi impose de le prévenir.

Puis le navigateur renvoie le cookie lors d'une nouvelle demande : le serveur saura alors d'où vient la demande.

🥴 M'enfin, le serveur sait bien d'où vient la demande, puisqu'il a ton adresse IP pour pouvoir répondre !
C'est vrai.
Mais il est probable que plusieurs jours plus tard, lors d'une autre session, l'adresse IP ne sera pas la même.
🤦 Ah oui. Tu l'as déjà dit.

Ce fonctionnement est bien expliqué sur Wikipédia.

Ceci dit, on peut limiter la quantité d'information dans les cookies stockés sur votre ordinateur.

Il suffit de stocker sur le serveur un identifiant de session (= un numéro unique) ainsi que dans le cookie, et tout le reste de l'information est stocké sur le serveur.

Ce qui limite de facto les tentatives d'attaques sur les cookies (cookie poisoning). Enfin, pour les sites qui pratiquent cette méthode.

Localisation des cookies

🤚 Au fait, il y déjà plein de fichiers qui sont déposés, le fichier html, les images...
Effectivement.

Vous pouvez sauver la page web que vous regardez sur votre machine pour voir tout le paquet de fichiers téléchargés :

  • Menu : Fichier ➞ Enregistrer sous...

Mais aucun cookie parmi ces fichiers.

🙋 Où sont rangés ces fameux cookies ?
Planqués dans les fichiers temporaires du navigateur.
Ils sont illisibles, pour des raisons de sécurité un peu évidentes.

Par exemple, dans les données locales de l'utilisateur :
%LOCALAPPDATA%\Google\Chrome\User Data\Default

Vous devriez trouver dans un sous-sous-menu de votre navigateur la liste des sites ayant un cookie sur votre machine, et pouvoir sélectivement les détruire, une opération très pénible à réaliser si vous voulez en garder quelques-uns. Et les gens ont peur de faire des bêtises, alors ils ne changent rien. Ils n'ont pas entièrement tort, car devoir se retaper les mots de passe n'est pas toujours agréable à faire.

Généralement, il vaut mieux tout dézinguer en bloc. Voire aller sévir directement dans les fichiers temporaires du navigateur pour être sûr de tout détruire. Parole de parano.

Pour rappel ou info, on peut aussi parfois bloquer les cookies tiers dans un sous-menu du navigateur (de manière plus ou moins pratique du reste). Et naviguer en mode privé, ça limitera le suivi.

Cookies tiers

🙇 Bon, jusqu'à présent, pas de quoi fouetter un chat 🐈 avec cette histoire de Post-it-cookie !
C'est le cas des cookies que l'on peut qualifier de raisonnables ou d'utiles.
Il peut même exister plein de cookies pour un seul magasin, pour le panier, les couleurs préférées, que sais-je...
Certes, pourquoi pas ?
Mais imagine que Chanel et Ferrari se mettent d'accord.
😮 D'accord sur quoi ?
Que lorsque tu vas visiter Chanel, non seulement tu récupères quelques Post-it-cookies de chez Chanel...
😒 Oui, on a déjà vu ça.
Eh bien Chanel pose également quelques Post-it-cookies de chez Ferrari.
😈 Au passage.
😲 On peut faire ça ?
Pourquoi pas ? Chanel et Ferrari se sont acoquinés, si tu vas chez Ferrari, tu te récupèreras probablement un Post-it-cookie de chez Chanel.
😱 Aaaah ! Les fourbes !
Mais s'ils sont une centaine de vendeurs à se mettre d'accord, ils vont tous savoir mes préférences, mes habitudes, ma vie privée.
La réalité : plein de Post-it-cookies, tous posés par votre marchand.
Et pas forcément uniquement les siens... de plein d'autres sites.
😱 Aaaaaaaaah ! 😠
Ça s'appelle des « cookies tiers ».
La règlementation essaye de faire prendre conscience de cela en obligeant à obtenir notre consentement...

Le fonctionnement habituel passe par un serveur publicitaire dédié pour rassembler et partager plus facilement les informations, plutôt que chaque site doive se mettre d'accord avec les autres sites, ce qui serait vraiment très malcommode. Et puis c'est le job des publicitaires...

Un serveur publicitaire collecte les informations pour divers sites.

Ces cookies tiers ou de traçage sont d'une utilité extraordinaire pour les 🤑vendeurs🤑 qui peuvent alors faire des publicités ciblées 🤑 en partageant des informations privées.


Vous trouverez des distinguos subtils entre les cookies publicitaires et les cookies qui servent à l'analyse du trafic. Ainsi que des définitions de cookies persistant ou éphémères, mais tout ceci est très secondaire.

Il n'est pas si évident de comprendre que certains cookies soient nécessaires, requis, alors que d'autres ne le soient pas. Qui peut juger cela, et comment faire confiance au site web, au contrôleur ? Ils vous expliquent cela plus ou moins au moment du consentement lorsque vous commencer à regarder les détails, et vous noient dans de la prose très casse-pied à lire, qui ne sert qu'à protéger leurs fesses des attaques juridiques.
Et ça m'énerve.

ben oui, ça m'énerve

Les lois

La plupart des lois concernant ces histoires de cookies de suivi obligent à :

  • Informer l'utilisateur de l'usage des cookies de suivi.
  • Donner la possibilité de refuser ces cookies.
  • Donner la possibilité de changer d'avis facilement et à tout moment.
  • Obtenir le consentement actif des utilisateurs.

Si vous voulez connaitre la liste des lois en vigueur (RGPD, CCPA, LGPD, POPIA, PIPL, LPRPDE, COPPA...), vous pouvez lire ce dossier :

Cookie wall

Quand on te demande ton avis sur l'utilisation des cookies, tu réponds quoi ?
😒 Je refuse, surtout quand je trouve le bouton de refus
qui n'est pas toujours bien visible.
🙄 Comme la plupart des gens à présent.
Mais des fois, quand tu refuses, il faut s'inscrire, voire carrément payer !
C'est un « cookie-wall ».
Acceptez, inscrivez-vous ou payez pour passer.
Et tu payes ?
😠 Tu rigoles ? Pour éviter des cookies que j'ai probablement déjà en magasin ?
Surtout qu'en t'inscrivant, tu les aides.
Tu leur fournis sur un plateau ton identité, tes coordonnées...
Qu'ils garderont soigneusement pour eux, tu peux les croire.
😬 Mais bien sûr. Prends-moi pour un 🦨 blaireau !

Enfin si vous donnez votre vrai nom et votre vrai email. Vous pouvez toujours vous créer une nouvelle identité numérique avec une adresse email poubelle. Je dis ça, je dis rien.

Détecter les cookies

Avec la réglementation, il est utile de savoir si un site web, celui que vous mettez en ligne par exemple, va poser des cookies, et lesquels.

Il existe une palanquée de sites permettant cette analyse, certains donnant même le rôle des plus connus :

  • CookieYes
    Une analyse simple d'un site web, gratuite, sans avoir besoin de donner un email.
    0 cookies pour mainguet.org, normal
    Cookieyes s'analysant lui-même.
  • Du même tonneau : Cookie Script
  • ...

Essayez avec un site marchand, vous serez effaré, je vous le garantis. Par exemple les 102 cookies (valeur variable) d'« alibaba.com ». Et curieusement, certains sites n'exhibent qu'un seul et unique cookie, comme amazon.com ou fnac.com. Difficile à croire, ya un truc.


Vous remarquerez au passage qu'une durée de vie est donnée à un cookie. Mais bon, on peut mettre l'infini, alors c'est d'une utilité secondaire de votre point de vue.

Logiciel de suivi de cookies

Comme j'écris manuellement le site que vous êtes en train de consulter avec un éditeur de texte, je sais parfaitement que mon site ne contient aucun cookie, en particulier ajouté par inadvertance (par exemple en ajoutant un lien actif vers un site social).

Il existe carrément des logiciels spécialisés dans l'analyse en temps réel de votre site web pour adapter les messages de conformité sur l'utilisation des cookies, et demander le consentement à l'utilisateur. Parce que les sites deviennent tellement complexes, avec tellement de publicités et de tiers inclus à droite, à gauche qu'il devient impossible de donner une liste systématique pour toutes les pages...

Par exemple CookieBot. Mais il faut donner son email.

Ça s'appelle un « logiciel de suivi de cookies ».

Visualisation des liens

La CNIL a développé une application montrant les liens entre les sites web, au fur et à mesure de votre navigation. Ça s'appelle de la « visualisation de données », dataviz de son petit nom.

Pour cela, il vous propose un petit navigateur où vous allez visiter des sites, et une autre fenêtre montrera une espèce de toile qui relie les cookies qui se connaissent...

1 seul site, le mien, et zéro cookie. Normal.

Le logiciel marche assez mal, le navigateur rame ou n'arrive pas à suivre, la mise à jour de la visualisation des cookies est très suspecte, soyez vraiment très patient pour un résultat mitigé.

Après 16 sites... Oui, ils ont des liens entre eux.

Il existe des extensions pour les navigateurs qui permettent de voir plus ou moins ces trackers, (genre Firefox Lightbeam) mais je n'ai pas trouvé une qui soit probante. Il existe aussi des applications pour les bloquer.

Cookies et proxy, VPN

À part l'adresse IP, les cookies se fichent bien du transport entre le serveur d'origine et votre machine. Proxy et VPN assurent que les ordres et les fichiers arrivent bien à destination, et donc les cookies fonctionneront normalement.

Ne pensez pas que vous êtes protégés par le VPN ou le proxy que vous utilisez.

La fin des cookies ?

La vie serait plus simple pour les publicitaires et autres traqueurs si chacun d'entre nous avait une identification unique et fiable, non ?
😒 Et pendant que tu y es, avec obligation de montrer patte blanche à chaque interaction !
Et la vie privée ?
Les cookies deviendraient totalement inutiles puisqu'il suffirait de bêtement stocker toutes les informations et interactions sur des serveurs.
🙄 Un Big Brother numérique.
Imagine qu'il soit possible de faire une sorte d'empreinte numérique du demandeur.
😮 Comment ça ?
Eh bien une procédure ad-hoc prendrait des caractéristiques particulières de ton système d'exploitation, machine, mémoire, disque dur, plus quelques données sur la manière dont tu te sers de la souris.
😕 Ah, je vois. Une sorte de reconnaissance faciale.
Du coup, quand je reviens, il me reconnait, même si j'ai changé d'adresse IP, sans avoir besoin de poser un cookie.
Mais ça ne marchera pas si je change de machine, si je passe du PC au smartphone par exemple.
C'est vrai, mais les serveurs finiront bien par faire le lien entre les deux.
Surtout si tu achètes quelque chose. Tu auras donné ton nom et tes moyens de paiement.
🤔 Ça ne semble pas impossible.
Ça marquerait la fin des cookies tiers.
🥴 Et ça se fait ?
Des tentatives existent.
Certains proposent ce genre de mécanisme tout en respectant la vie privée, disent-ils.
😒 Ils ne manquent pas d'air.
À partir du moment où on fait une reconnaissance quelconque, c'est intrusif !
Note que l'on peut contrer cette méthode assez facilement si on sait comment ça marche, accessoirement.

En 2020, Google annonçait l’arrêt progressif de l’usage des cookies tiers dans son navigateur Chrome d’ici à 2022, repoussé à 2025 puis officiellement annulé en juillet 2024.

Google n'allait quand même pas tuer la poule aux œufs d'or. Ils devaient penser que la puissance de leurs serveurs rendrait l'identification des utilisateurs possible...

  • Matomo jure la main sur le cœur que sa technique sans cookie n'est pas intrusive concernant la vie privée, et du coup, nulle obligation de demander un quelconque consentement.

Voici des liens qui détaillent nettement mieux que moi les alternatives :

Pixel espion

Un pixel espion, ou pixel invisible, ou balise web.

Tu connais les pixels espions ?
😲 Un pixel qui serait un espion ?
😒 C'est quoi cette histoire ?
Quand tu charges une page web avec ton navigateur, elle contient souvent des images, hein ?
😕 Bah oui, c'est moche sinon.
Cela arrive aussi avec les emails.
Certes.
Le navigateur va donc demander au serveur l'image à afficher.
😏 Ça me parait normal.
Imagine que l'image ne contienne qu'un seul pixel. Voire zéro. 😈
Il n'y a rien à afficher alors.
Eh bien on peut profiter de cette demande d'image pour te traquer.
😣 Comment ça ?
Il suffit de mettre, avec la requête de l'image, un identificateur unique, qui aura été calculé au moment où le serveur reçoit la requête.

Comment mettre en œuvre un pixel espion ?

Il suffit d'ajouter dans le code html de la page web demandée un champ de ce genre, qui sera totalement invisible pour l'utilisateur
sauf s'il a la curiosité de regarder le code dans le menu
Outils ➞ Outils du navigateur ➞ Code source de la page

<img src="https://tracking.com?pixel.png?APN=81867&pid=TLHS_0b" width="0" height="0">

Remarquez la taille nulle de l'image. Et l'image peut provenir d'un autre serveur que celui qui délivre la page html demandée.

Alternativement, le nom de l'image peut être un nom unique, ce n'est qu'un exemple. Ainsi le serveur saura à qui il a envoyé la page html et pourra faire le lien avec d'autres requêtes. Et déposer un cookie correspondant à cette requête spécifique.

Pour les paranoïaques

Si vous voulez vraiment naviguer et être sûr que tout est effacé à la fin, sur un PC :

  • Créer un RAMDISK, un nouveau disque (comme votre C:) dans votre mémoire vive.
  • Copier un exécutable portable de votre navigateur sur votre RAMDISK. Prenez soin de déclarer les fichiers temporaires aussi sur votre RAMDISK. Vous aurez intérêt à créer un fichier DOS (à l'ancienne) pour lancer ça facilement.
  • Naviguer
  • Au moment où vous éteindrez votre PC, la mémoire vive sera effacée. Cookies, navigation, favoris également (ce qui n'est pas forcément très pratique).
  • Commode en cas d'attaque : le virus se retrouve sur un disque bizarre où il n'y a presque rien, alors il ne saura pas trop où chercher des données. Si vous avez un doute concernant un malware, il suffit de couper le courant.
  • Pour mettre à jour, il faudra lancer la vraie version sur disque dur, celle qui sera copiée en RAM.

Accessoirement, votre navigateur deviendra une flèche en exécution, vu que tout est calculé en RAM.


Pour aller plus loin :


J'espère avoir un peu démystifié cette histoire de cookies.