Evercookie

Evercookie = Cookies permanents (cookies persistants).

Evercookie est le nom donné à un type de cookies, et à une technique, duent à Samy Kamkar qui a publié son travail le 20.09.2010 ⁽¹⁾.

Evercookie est une technique de stockage d'infirmations dont le but est simplement de rendre les données permanentes... permanentes.

Evercookie stocke les mêmes données dans plusieurs endroits, et de plusieurs manières, de telle manière qu'ils ne puissent que très difficilement être localisés et détruits. Un client (un navigateur Internet dans une relation client/serveur) peut atteindre ces localisations. Si l'une quelconque des copies de ces données est perdue (par exemple en effaçant les cookies), les données peuvent être retrouvées, reconstruites automatiquement, et continuer à être utilisées.

Evercookie rend les cookies réellement persistents. Son objectif est de continuer à identifier un client (un navigateur Web, au sens de la relation client/serveur) et celui qui s'en sert, même après avoir supprimé les cookies standard utilisés en cookies de pistage, les cookies Flash (Local Shared Objects ou LSO) et d'autres.

Evercookie est basé sur une API en JavaScript. Samy Kamkar dit avoir écrit cette API comme une simple preuve de faisabilité (proof of concept). Toutefois il la publie en Open Source, donc avec une intention manifeste de diffusion et d'utilisation. L'utilisation de son invention des Evercookie apparaît dans les documents top-secrets de la NSA révélés par Edward Snowden. La NSA se sert d'Evercookie pour traquer les utilisateurs de TOR, le réseau censé procurer des communications totalement anonymes.

Evercookie se sert de toutes les technologies disponibles (installées) dans un ordinateur et capables de stocker de l'information, indépendemment de la plateforme (Windows, Linux, Mac, etc. ...) puisqu'écrit en JavaScript, pour stocker avec ces technologies des copies cachées, appelées zombies, des cookies naturels. Les technologies utilisées incluent :

#	Méthode utilisée par Evercookie	Contremesure
	Cookies HTTP standard	Tous les gestionnaires de cookies des navigateurs et tous les outils de gestion des Cookies
	LSO (Local Shared Objects) (Flash Cookies)	BetterPrivacy
	Silverlight Isolated Storage	Ghostery
	Storing cookies in RGB values of auto-generated, force-cached
	PNGs using HTML5 Canvas tag to read pixels (cookies) back out
	Storing cookies in Web History
	Storing cookies in HTTP ETags
	Storing cookies in Web cache
	window.name caching
	Internet Explorer userData storage
	HTML5 Session Storage
	HTML5 Local Storage
	HTML5 Global Storage
	HTML5 Database Storage via SQLite
	HTML5 IndexedDB
	Java JNLP PersistenceService
	Java CVE-2013-0422 exploit (applet sandbox escaping)

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesures

BetterPrivacy uniquement contre les LSO (Local Shared Objects).
How to remove Evercookie from Firefox
How to remove Evercookie from Safari (OS/X)
How to remove Evercookie from Google Chrome

Références

1. Publication de Samy Kamkar, le 20.09.2010.

Ressources

02.11.2010 - SecurityWeek - Customer or Fraudster: Tossed Your Cookies Lately?
22.09.2010 - Ars Technica - Zombie cookie wars: evil tracking API meant to “raise awareness”

Requêtes similaires