Les tribulations infernales du Cookie
Données mémorielles, le cookie est-il une madeleine ?
Lorsque vous surfez sur un site Internet, les documents html qui le constituent n'ont pas de mémoire. S'il n'y avait des artifices pour combler cette lacune, vous seriez considéré comme un visiteur totalement inconnu tout au long de votre visite. L'une des méthodes les plus courantes pour pallier à ce manque est l'utilisation des cookies de session. Ceux-ci permettent de suivre vos mouvements d'une page à une autre afin d'éviter que vous n'ayez à fournir de multiples fois des informations déjà saisies (mot de passe, pages déjà consultées, articles figurant dans le panier d'achat, etc.) Un cookie est constitué d'une chaîne de caractères qui commence par Set-Cookie: suivie de paires CLE=VALEUR, séparées par des points-virgules correspondants aux choix que vous avez effectué. Les informations précédemment mémorisées sont ainsi transmises à l'ouverture de chaque nouvelle page.
Pixabay imageIl m'est arrivé une fois d'utiliser des cookies sur un site internet afin de stocker les liens visités lors de la navigation. Dans la pratique, la récupération de ces données liées au navigateur est assez aléatoire si l'on tente de s'en tenir au javascript. Ceci me permettait de gérer une mise en page particulière en fonction du parcours du visiteur. Leurs fonctions étaient purement décorative et j'aurais certainement pu en faire l'économie. Évidemment, la totalité des cookies créés dans ce cas précis étaient détruit lorsque l'internaute mettait un terme à sa visite. Autre exemple, sur le site web "Aneartiste.com" que vous visitez actuellement, il n'y a absolument aucun cookie. Comme on le devine aisément, les cadres nécessitant impérativement leur utilisation sont assez limités (Sites d'e-commerce, comptes privés de réseau sociaux, et sites sur lesquels vous pouvez accéder à une session utilisateur personnalisée.)
Pourtant, vous rencontrerez des cookies sur la très grande majorité des sites. Chacun d'entre eux faisant l'autopromotion de ce dispositif à l'aide de phrases toutes faites maintes fois rencontrées : Les cookies nous permettent d'améliorer nos services. grâce aux cookies nous pourront vous proposer des contenus adaptés et pertinents en fonction de votre position géographique... Il y a en réalité un déséquilibre flagrant entre ses quelques avantages et la quantité de données collectées sans aucune transparence. Théoriquement, le cookie ne doit en aucun cas contenir d'informations privées et sa durée de vie doit être la plus proche possible de celle correspondant à la session de l'utilisateur. S'il en était réellement ainsi, pour quelles raisons la gestion de ces intrigants cookies bénéficierait-elle de "contraintes" aussi exhorbitantes : un client ne peut pas avoir plus de 300 cookies sur son disque, un serveur ne peut créer que 20 cookies maximum chez le client, chaque cookie ne pouvant dépasser les 4000 octets (env. 4 Ko)... 20 fois 4000 octets, cela fait quand-même 8 mégaoctets de données... et si l'on multiplie ce chiffre par 300 on dépasse allègrement les 2 Go !
Pixabay imageCookies tiers, traqueurs et data leakage
En principe le serveur ne peut lire que les cookies qu’il a lui-même créé, et n'a donc pas accès à ceux générés par les autres sites Internet. Mais il existe des techniques permettant d'offrir aux sites que vous visitez le droit d'accéder à ces cookies normalement interdits. Ce sont les "cookies tiers". Un cookie tiers est un cookie placé sur l’ordinateur de l’internaute par le serveur d’un domaine distinct de celui du site visité (par exemple si le créateur d'un site a installé Google Analytics afin de surveiller la fréquentation de ses pages, les données récoltées seront accessibles à partir de toutes autres pages où il est implanté, par l’intermédiaire d’un tag, permettant ainsi de « reconnaître » l'internaute et de suivre sa navigation sur un ensemble de sites distincts. Les services d’analyse d’audience de Google, Facebook Connect (l’outil qui permet de vous inscrire à des services tiers grâce à votre compte Facebook), mais aussi Adsense, DoubleClick, Tag Manager et d'autres utilisent ces cookies tiers destiné au ciblage comportemental. Ce processus sert entre autres à analyser l’audience, à mesurer des conversions (quantité d'achats ou engagement en ligne), à déterminer des attributions (combinaison d'événements aboutissant à une conversion), ou tout simplement à enrichir la data publicitaire. Plusieurs dizaines de cookies tiers peuvent de cette façon être placés sur l’ordinateur du visiteur par les différents prestataires marketing et technologiques du site visité. Le data leaking correspond à cette forme de fuite de données passivement acceptée, souvent par sentiment d'impuissance. Ces données de ciblage transmises à d'autres annonceurs seront la cause cachée de ces publicités ciblées étrangement pertinentes que vous avez surement déjà rencontrées.
Pixabay image« Cookie : Anciennement petit gâteau sucré, qu’on acceptait avec plaisir. Aujourd’hui : petit fichier informatique drôlement salé, qu’il faut refuser avec véhémence. »
—Luc Fayard
Le tracking first-party
À l’inverse du contenu 3rd-party qui est hébergé sur un domaine différent du site principal, le tracking 1st-party, beaucoup plus pervers, provient directement du site visité lui-même. (voir à ce propos l'article de imirhil sur NullPointerException) L'astuce consiste à utiliser le CNAME pour modifier l'adresse Ip de destination lors de la demande de connexion. Dans la terminologie du DNS (entité gérant la correspondance entre nom de domaine et adresse Ip) CNAME est l'acronyme anglais de canonical name; par exemple Daredevil étant l'alias de Matthew Murdock, cela donne : dardevil IN CNAME matthew.murdock. Si vous taper un Url dans votre navigateur, celui-ci va se tourner vers le DNS pour connaître l'adresse Ip de connexion. Il se verra notifié que l'alias du nom de domaine demandé correspond à "autre_nom_de_domaine" et se verra retourner en place de l'Ip initialement demandée, l'adresse Ip nouvellement attribuée. L'opération est invisible pour le navigateur et toutes les demandes de connexion transiteront directement par une entreprise spécialisée dans la collecte de data e-marketing via la DMP (telles que Eulerian, Equancy, Net-helium... ) permettant de contourner efficacement les protections mises en places par les internautes. À ce sujet, la page de publicité d'Eulerian Technologies, Data Management Platforms du groupe Altis, est édifiante.
Le pistage inter-sites
Cette technique utilise le cookie DNS. Lorsque vous vous connectez à un domaine, le serveur DNS vous attribue un nombre imprévisible. Votre navigateur renverra ce nombre à chaque requête, prouvant qu'il reçoit bien les réponses, et n'a donc pas triché sur son adresse Ip. La différence fondamentale avec le cookie HTTP est que celui-ci est persistant et demeure identique, même, dans certain cas, si l'adresse Ip du client change, ou si le client se connecte via un VPN. Comme avec les cookies HTTP traditionnels, le cookie DNS peut donc être utilisés pour pister un utilisateur, et comme il est lié à l'ordinateur et non au navigateur, il peut être récupéré depuis n'importe quelles application, par exemple pour détecter un achat survenu après la lecture d’un email, ou pour suivre une inscription dans une application mobile après avoir consulté un site web. Les cookies DNS fonctionnent d'ailleurs avec presque toutes les applications réseau (navigateurs web, clients de messagerie, applications mobiles, etc.) et aucun Javascript n'est requis. Sa durée de vie maximale peut aller de quelques minutes à plusieurs semaines. Le DNS Cookie est utilisé de façon courante avec la technologie du First Tracking. Vous pouvez tester la présence de votre DNS Cookie depuis le site dnscookie.com.
Pixabay image« Madeleine : Petit gâteau qui nous jette notre passé à la gueule. »
—Laurent Baffie
Les détecteurs d'empreinte numérique
L’empreinte numérique est une méthode de plus en plus utilisée de nos jours. C’est l’équivalent d’une carte d'identité qui recenserait tous vos signes particuliers, mais appliquée à votre ordinateur/Téléphone mobile. le procédé permet de repérer un internaute particulier sur chaque site visité. Comment ? En analysant l'ordinateur à l'aide de l'API html5 "Canvas". La technique est basée sur le fait qu'une même image sera rendue différemment suivant l'ordinateur utilisé. Le contrôle se situe au niveau du navigateur web : moteurs de traitement d'image, d'options d'exportation, de niveau de compression; et du systême d'exploitation : taille de l’écran, polices de caractère disponibles, extensions installées, algorithmes et paramètres pour l'anti-crénelage et le rendu sous-pixel, etc. Il est donc possible de savoir qui est qui (avec une certaine marge d'erreur cependant car l'empreinte numérique n'est pas forcément unique). En plus de vous pister sans votre consentement, le suivi d’empreinte numérique peut ralentir votre navigation.
Le Local Storage/Stockage web local
Il s'agit d'une nouveauté apparue avec le html5 : Auparavant le stockage local était limité au vulnérable fichier témoin de l’entête HTTP, à la merci des attaques Cross-Site Scripting (XSS). Le "stockage local" apparait donc à priori comme plus sécuritaire. Le procédé permet de stocker des données dans le navigateur sans utiliser de cookies et la quantité de données sauvegardées est nettement supérieures aux capacités des cookies (5 à 10 Mo contre 4 Ko). Il existe deux façons de faire : le stockage local et le stockage de session, correspondant respectivement aux cookies persistants et aux cookies de session. Par défaut, les informations contenues dans la base locale ne sont pas systématiquement renvoyées au serveur web à chaque requête. Elles sont cependant récupérables sur demande (par exemple via des instructions JavaScript). Dans le cas de Mozilla Firefox, ces données sont stockées dans une base de données de type SQLite, nommée webappsstore.sqlite. Il est possible de consulter ces cookies avec un logiciel permettant de lire une base de données SQLite (par exemple, l'extension Firefox SQLite Manager).
Pixabay imageUn monde sans cookies ?
Avec l'application du RGPD (entré en application le 25 mai 2018 en Europe), et la part de plus en plus grande d'internautes utilisant des bloqueurs de publicités, certains éditeurs de navigateurs web (Chrome, Firefox ou Safari – et donc leurs dérivés) ont décidé de limiter ou bloquer par défaut les traqueurs ou les cookies tiers. Si ce mouvement est globalement positif, il va de soi que les motivations de Firefox et de Google ne sont pas identiques (logiquement, lorsque le blocage de ces outils de mesure se généralise, les initiateurs de ces processus les abandonnent). En accompagnant ces changements, Google qui détient plus de 80% des parts de marché dans le domaine des moteurs de recherche, n'a pas grand chose à perdre et redore son blason à bon compte. D'autant que comme nous venons de le voir, d'autres alternatives se profilent...