Alertes failles
de sécurité et
de mises à jour

Contribuer - Questionner
Faire un lien

Assiste.com

Evercookie : Cookies permanents (cookies persistants)

Evercookie est une application JavaScript créée par Samy Kamkar (le 20 09 2010) qui génère des cookies intentionnellement impossibles à supprimer (dupliqués en plusieurs endroits, cachés et protégés).

cr 01.04.2012 r+ 21.08.2020 r- 20.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)

Dossier (collection) : Encyclopédie
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender)

Sommaire (montrer / masquer)
01 Evercookie : Cookies permanents (cookies persistants) Mesures curatives Références et notes FAQ

Evercookie : Cookies permanents (cookies persistants)

Evercookie=Cookies permanents (cookies persistants).

Evercookie est le nom donné à un type de cookies et à une technique, dus à Samy Kamkar qui a publié son travail le 20.09.2010 ⁽¹⁾.

Cookies standards

petits fichiers de type texte, de 4096 caractères maximum
déposés dans un navigateur Web
par le site Web visité
sous le nom du site Web qui l'a déposé
qui ne peut être lu/relut que par le site Web (le serveur) qui l'a déposé. Ça, c'est le principe. Dans la réalité, il existe des techniques pour autoriser les sites que vous visitez à lire les cookies qui ne les regardent pas, les « cookies tiers ». Vous, l'internaute, vous pouvez tous les lire, mais leur contenu est généralement incompréhensible, compressé, voire crypté.
ayant une durée de vie (d'expiration) contenue/fixée dans le cookie
servant, à de rares exceptions près, au suivi/pistage des internautes

Si vous consultez le même site Web sous 10 navigateurs Web différents, il y aura 10 cookies standards créés (1 dans chaque navigateur Web) pour ce site.

Si vous consultez 10.000 sites Web différents sous 10 navigateurs Web différents, il y aura 100.000 cookies standards créés (10.000 dans chaque navigateur Web). En plus, généralement, un site Web crée 4, 5, 10, 20... cookies standards.

Les internautes ont pris l'habitude de supprimer les cookies standards, voire de carrément les interdire.

Evercookie (qui n'a de cookie que le nom) est une panoplie de techniques de stockage des informations contenues dans les cookies standards dont le but est simplement de rendre les données permanentes... permanentes.

Evercookie stocke les mêmes données en plusieurs endroits, et de plusieurs manières, afin qu'elles ne puissent que très difficilement être localisées et détruites. Un client (un navigateur Web, dans une relation client/serveur) peut atteindre ces localisations. Si l'une quelconque des copies de ces données est perdue (par exemple en effaçant le cookie standard et plusieurs Evercookies), les données peuvent être retrouvées, reconstruites automatiquement, et continuer à être utilisées.

Evercookie rend les cookies réellement persistant. Son objectif est de continuer à identifier un client (client/serveur) et celui qui s'en sert (vous, l'internaute), même après avoir supprimé les cookies standards, les cookies Flash (Local Shared Objects ou LSO) et d'autres.

Evercookie est basé sur une API en JavaScript (qui utilise quelques technologies additionnelles comme Java, SilverLight, Flash LSO, PNG, etc.) Samy Kamkar dit avoir écrit cette API comme une simple preuve de faisabilité (POC - Proof Of Concept). Toutefois il la publie en Open Source, donc avec l'intention manifeste de diffusion et d'utilisation.

La NSA utilise EverCookie contre les utilisateurs de TOR

L'utilisation d'« EverCookie » apparaît dans les documents top secrets de la NSA révélés par Edward Snowden. La NSA se sert d' « EverCookie » pour traquer les utilisateurs de TOR, le réseau censé procurer des communications totalement anonymes.

Samy Kamkar - Un personnage controversé

Article Samy Kamkar.

Avis aux webmasters : un site Web utilisant EverCookie obtient une très mauvaise réputation

Avis aux webmasters : il est considéré comme particulièrement agressif et irrespectueux de ses visiteurs d'utiliser « EverCookie » alors que les législations (Opt-Out et RGPD - Règlement Général sur la Protection des Données) obligent à rendre la main aux internautes. Tenez compte de votre réputation et de votre public lorsque vous utilisez « EverCookie » en production.

Evercookie se sert de toutes les technologies disponibles (installées) dans un ordinateur et capables de stocker de l'information, indépendamment de la plateforme (Windows, Linux, Mac, etc. ...) puisqu'il est écrit en JavaScript, pour stocker avec ces technologies des copies cachées, parfois appelées zombies, des cookies standards. Les technologies utilisées incluent :

#	Méthodes ou technologies utilisées par Evercookie	Contremesure
	Cookies HTTP standard Standard HTTP cookies	Tous les gestionnaires de cookies des navigateurs Web et tous les outils de gestion des Cookies
	LSO (Local Shared Objects) (Flash Cookies) local shared objects (Flash cookies)	BetterPrivacy Si la technologie Flash n'est pas installée (en principe elle est interdite depuis fin 2016 - Quelle est ma version de Flash Player et mise à jour de Flash Player), la création de cet « EverCookies » échouera. Avis aux Webmasters tentés d'utiliser cette technologie : sur certaines machines, cela peut être un processus très lent avec énormément d'accès disque. Sur les anciens appareils mobiles, cela peut rendre votre site inutilisable.
	Silverlight Isolated Storage Stockage isolé Silverlight	Ghostery Si la technologie Silverlight n'est pas installée (Quelle est ma version de Silverlight et mise à jour), la création de cet « EverCookies » échouera. Avis aux Webmasters tentés d'utiliser cette technologie : sur certaines machines, cela peut être un processus très lent avec énormément d'accès disque. Sur les anciens appareils mobiles, cela peut rendre votre site inutilisable.
	CSS History Knocking	Je sais où vous êtes allé. Le traitement de l'historique CSS peut générer un grand nombre de demandes HTTP lorsqu'un cookie est défini pour la première fois.
	Storing cookies in RGB values of auto-generated, force-cached PNGs ⁽⁴⁾ using HTML5 Canvas tag ⁽⁵⁾ to read pixels (cookies) back out Stockage des cookies dans des valeurs RVB de fichiers PNG générés automatiquement et mis en cache de force ⁽⁴⁾ à l'aide de la balise HTML5 Canvas ⁽⁵⁾ pour la lecture des pixels (cookies)	La technologie PNG est disponible dans tous les navigateurs Web.
	Storing cookies in Web history Stockage de cookies dans l'historique Web	Tous les navigateurs Web dispose d'un historique. Tous dipose d'un paramètre pour vider l'historique.
	Storing cookies in HTTP ETags - Backend server required Stockage des cookies dans HTTP ETags - Serveur principal requis	Les ETags peuvent être effacés en vidant le cache du navigateur Web utilisé (Caches des navigateurs - Ajustement de la taille du cache et Vider le cache) et en empêchant les mises en cache ultérieures (taille zéro du cache), dans les paramètres du navigateur Web (mais les implémentations de la gestion du cache varient d'un navigateur Web à l'autre et l'implémentation de la gestion du cache n'est pas visible, sauf dans Firefox, dont le code est Open Source). Cache Navigateurs Internet Cache des navigateurs Internet Vider cache Internet Explorer 7 Vider cache Internet Explorer 8 Vider cache Internet Explorer 9 Vider cache Internet Explorer 10 Vider cache Internet Explorer 11 Vider cache Firefox (dernière version) Vider cache Internet d'Opera 11 Vider cache Internet d'Opera 12 Vider cache Internet d'Opera 15 Vider cache Google Chrome (dernière version) Vider cache Safari pour Windows
	Storing cookies in Web cache - Backend server required Stockage des cookies dans le cache Web - Serveur principal requis	Tous les navigateurs Web dispose d'un Cache (accélération par le principe d'anticipation) - (Caches des navigateurs - Ajustement de la taille du cache et Vider le cache). Tous dipose d'un paramètre pour vider le cache.
	HTTP Strict Transport Security (HSTS) Pinning (works in Incognito mode) Pinning HSTS (HTTP Strict Transport Security) (fonctionne en mode de navigation privée)
	window.name caching ⁽²⁾. Mise en cache du window.name (nom de la fenêtre) ⁽²⁾.
	Internet Explorer userData storage Stockage de données utilisateur Internet Explorer	Cet « EverCookie » ne peut être créé que si l'on utilise le pire navigateur Web qui soit, générateur de failles de sécurité en flux continue Internet Explorer.
	HTML5 Session Web storage Stockage de session HTML5
	HTML5 Local Web storage Stockage local HTML5
	HTML5 Global Storage Stockage global HTML5
	HTML5 Database Storage via SQLite Stockage en base de données HTML5 via SQLite
	HTML5 IndexedDB Base de données indexée HTML5
	Java JNLP PersistenceService Service de persistance JNLP Java	Quelle est ma version de Java - Mise à jour ou Installation de Java
	Java CVE-2013-0422 exploit (Attempts to escape the applet sandbox and write cookie data directly to the user's hard drive.) ⁽³⁾ Exploitation de la faille Java CVE-2013-0422 (- Tente d'échapper à la sandbox de l'applet et d'écrire des données de cookie directement sur le disque dur de l'utilisateur.) ⁽³⁾	Sauf à vivre dans une grotte (sans électricité, sans couverture Internet et batterie vide), l'application du correctif à cette faille de sécurité (CVE-2013-0422) doit être faite depuis 2013 !
	Projet 2019 - TLS Session Resumption Identifiers/Tickets (works in Incognito mode)
	Projet 2019 - Generating HTTP Public Key Pinning (HPKP) certificates per user
	Projet 2019 - Caching in HTTP Authentication
	Projet 2019 - Google Gears
	Projet 2019 - Using Java to produce a unique key based off of NIC info

Protocole de test d'Evercookie et localisation/découverte des « ever cookies »

Alors que les internautes ont appris à supprimer à tour de bras les bêtes petits cookies standards, au simple format texte, dans leur navigateur Web, le chercheur Samy Kamkar démontre à l'inverse et en open-source, comment le rendre invulnérable en le dupliquant, le disséminant, le rendant hautement technologique, cachant ces duplications, etc.

Lors de la création d'un cookie standard par un site Web, si le script « EverCookie » est utilisé par ce site Web, ce script essai de faire de très nombreux miroirs de ce cookie standard et de les stocker à différents endroits du navigateur Web utilisé, dans différentes technologies dont, par exemple, la technologie PNG.

Technologie PNG - universelle

Un fichier en .png est un fichier avec un contenu au format d'image graphique PNG (Portable Network Graphics). Il s'agit d'un format libre améliorant le format breveté GIF (fichiers .gif) et l'évacuant lorsque le propriétaire de ce brevet a prétendu vouloir le mettre sous licence payante. Certains fichiers PNG sont, peut-être, des « EverCookies », insaisissables, la technologie PNG étant universelle et servant, dans ce cas là, à crypter le contenu du cookie standard et à le faire passer inaperçu. Impossible de les identifier – ils ressemblent aux milliers d'autres fichiers .png dans le cache du navigateur Web utilisé.

Technologie JAVA - universelle

Quelle est ma version de Java - Mise à jour ou Installation de Java.

Technologie SilverLight - N'existe plus

« Silverlight » est une technologie de Microsoft, concurrente d'Adobe Flash, Flex, JavaFX ou QuickTime.

Quelle est ma version de Silverlight et mise à jour.

Elle existait en mode développeur et en mode utilisateur (côté internaute [client] avec son navigateur Web). Dans sa partie utilisateur (client dans le contexte client/serveur), elle fonctionnait avec un plugin installé dans les navigateurs Web. Le principe même des plugins ayant été interdit à partir de fin 2016, pour des questions de sécurité (et de déploiement d'HTML5), Silverlight n'est plus supporté nulle part. Microsoft a annoncé la fin du développement de Silverlight en 2012 et la fin de son support le 12 octobre 2021.

Technologie Flash (LSO (Local Shared Objects) (Flash Cookies)) - N'existe plus

Les « LSO (Local Shared Objects) (Flash Cookies) » pouvaient être déposés grâce à la technologie Flash. Elle fonctionnait avec un plugin installé dans les navigateurs Web. Le principe même des plugins ayant été interdit à partir de fin 2016, pour des questions de sécurité (et de déploiement d'HTML5), Flash n'est théoriquement plus supporté. Une tolérance persiste (hors plugin) à cause de l'immense quantité d'objets existant en Flash et qui ne seront jamais convertis en HTML5, jusqu'à ce qu'un convertisseur à la volée soit mis au point.

« EverCookie » utilise 13 de ces technologies afin que le simple effacement du « cookie standard » n'impacte jamais ses miroirs technologiques ni leur contenu. C'est tellement puissant que même les informaticiens de très haut niveau ne pourront pas les identifier et les localiser tous pour les détruire, alors vous pensez bien que l'immense majorité des victimes, tous les internautes du monde, restera sur le carreau, dans l'ignorance. Et c'est justement cette immense majorité d'ignorants, cette masse mondiale de moutons à tondre, que les acteurs du Web suivent et profilent à coups de cookies de suivi (cookies de pistage ; cookies d'espionnage ; cookies de tracking ; etc.). Et ces acteurs du Web trouvent qu'il y a trop de bloqueurs de profilage et d'effaceurs de cookies, qu'il n'est pas possible d'espionner en rond. Pour eux, « EverCookie » est le Saint Graal.

Le protocole ci-après permet d'identifier les emplacements où sont stockés les miroirs « EverCookie » d'un « cookie standard ».

Se rendre sur la page

Protocole de démonstration

Respecter strictement la progression de ce protocole de démonstration. La séquence de ces étapes est importante pour supprimer tous les « EverCookies » de votre navigateur.

Dans votre navigateur Web utilisé, il faut ôter certaines protections :

Désactivez les outils anti-tracking de votre navigateur, comme Privacy Badger, Ghostery, AdBlock Plus, etc.
Désactivez ce que vous auriez put paramétrer dans votre navigateur Web, dans votre pare-feu et dans votre antivirus.
Désactivez les outils anti-script comme NoScript

Se rendre sur la page d'exploitation du script EverCookie

Différence entre la réalité d'EverCookie et cette démonstration

Normalement, « EverCookie » devrait créer un long identifiant, de type hashcode, unique à chaque utilisateur, lié :
- au navigateur Web utilisé
- aux paramètres de fonctionnement du navigateur (les polices de caractères reconnues, les types MIME reconnus, les plugins installés, etc.)
- à certaines caractéristiques du matériel comme la résolution d'écran, la profondeur de couleurs
- à la machine utilisée (qui est bourrée d'identifiants uniques comme le numéro de série du processeur, le numéro de série de la carte graphique, le numéro de série de la carte-mère, le numéro de série de la machine dans le BIOS UEFI
- les adresses MAC des diverses cartes réseau
- le compte utilisateur ouvert
- etc.
Dans ce protocole de démonstration de Samy Kamkar, le code identifiant un est chiffre aléatoire entre 0001 et 1000, donc aucune crainte à avoir.
Les éditeurs de navigateurs Web s'efforcent de combler nombre des failles exploitées par « EverCookie ». C'est une bonne chose pour Internet, mais cela signifie que ce qui fonctionne aujourd'hui avec « EverCookie » peut ne pas fonctionner aussi bien demain.

1 Lancer la fabrication des ever cookies
Ouvrez un nouvel onglet dans votre navigateur
Se rendre sur la page d'exploitation du script EverCookie (https://samy.pl/evercookie/)
Clic sur le bouton « Click to create an ever cookie » (« Cliquez pour créer un ever cookie »).

EverCookie (Ever Cookie) - Samy Kamkar
2 Qu'est-ce qu'EverCookie a fabriqué ?
Samy Kamkar affiche la liste des ever cookies qu'il a créé.

EverCookie (Ever Cookie) - Samy Kamkar
Toujours sous Firefox et dans l'onglet Samy, faire : Menu Developpement Web Inspecteur de stockage, regardez chacune des 5 zones de stockage

EverCookie (Ever Cookie) - Samy Kamkar
3 Ouvrez un nouvel onglet et fermez celui sur le site Samy
Ouvrez un nouvel onglet dans votre navigateur et passez à cet onglet
Fermez l'onglet Samy
4 On regarde ce qu'en dit le navigateur.
Exemple avec Firefox :
En faisant : Menu Options Vie privée et sécurité Paragraphe Cookies et données de site Clic sur Gerer les données et saisir Samy

EverCookie (Ever Cookie) - Samy Kamkar
5 On vide les historiques, les cookies, les données et les caches du navigateur
Exemple avec Firefox :
- Menu Option Vie privée et sécurité Paragraphe Cookies et données de sites
- Ou accès rapide dans la barre d'adresse : about:preferences#privacy
S'y reprendre éventuellement à plusieurs fois jusqu'à obtenir une taille d'occupation du cache à zéro. Si le cache est très rempli cela peut durer un certain temps.

EverCookie (Ever Cookie) - Samy Kamkar

EverCookie (Ever Cookie) - Samy Kamkar
Menu Developpement Web Inspecteur de stockage
- Dans le volet de gauche : Cookies Dans le volet central, s'il y a des données : Clic droit Tout supprimer
- Dans le volet de gauche : Stockage de session Dans le volet central, s'il y a des données : Clic droit Tout supprimer
- Dans le volet de gauche : Stockage cache Dans le volet central, s'il y a des données : Clic droit Tout supprimer
- Dans le volet de gauche : Indexed DB Dans le volet central, s'il y a des données : Clic droit Tout supprimer
- Dans le volet de gauche : Stockage local Dans le volet central, s'il y a des données : Clic droit Tout supprimer
EverCookie (Ever Cookie) - Samy Kamkar
6 On vide les technologies SilverLight et Flash
- Technologie Silverlight :
  Ouvrez le panneau de configuration de « Silverlight » (à condition que « Silverlight » soit installé dans votre machine, sinon la création de cet « EverCookies » aura échoué et il n'existe pas).
  Pour atteindre ce panneau de configuration, deux méthodes simples :
  1. Clic droit sur n'importe quelle application Silverlight et choisir « Silverlight »
  2. Aller directement à son exécutable. Par exemple :
    C: \ Program Files (x86) \ Microsoft Silverlight \ 5.1.10411.0 \ Silverlight.Configuration.exe
  l'onglet de stockage vous permet de voir et de supprimer les fichiers, par application/site. Dans le cas présent, supprimer les fichiers du site « samy.pl » - Bouton « Delete » ou « Supprimer » et confirmez (Bouton « Yes » ou « Oui ».
  Les chemins d'accès au répertoire Silverlight Isolated Storage sont :
  Windows 7 and Windows Vista
  %userprofile%\AppData\LocalLow\Microsoft\Silverlight\is
  Windows XP
  %userprofile%\Local Settings\Application Data\Microsoft\Silverlight\is
  MacOS
  /Users/<user>/Library/Application/Support/Microsoft/Silverlight/is
- Technologie Flash
  Ouvrez le panneau de configuration de « Flash » (à condition que le plug-in « Flash » soit installé dans votre navigateur, sinon la création de cet « EverCookies » aura échoué et il n'existe pas).
  Note :
  La technologie « Flash » n'existe plus. Le principe même des plug-in est abandonné fin 2016.
  Ouvrez ensuite la page du panneau « Paramètres de stockage Flash » pour le site Web « samy.pl » et supprimez le LSO (Flash Local Shared Objects).
7 Que reste t-il ?

EverCookie (Ever Cookie) - Samy Kamkar
8 Ouvrir un nouvel onglet et aller sur le domaine samy.pl
Ouvrir un nouvel onglet et se rendre sur la page d'exploitation du script EverCookie (https://samy.pl/evercookie/)
Le script affiche les ever cooie samy.pl (avec l'identifiant précédent). Il n'y en a plus.

EverCookie (Ever Cookie) - Samy Kamkar