Cookie : petit fichier déposé dans l'espace du navigateur par un site visité et les domaines tiers. Exclusif au domaine qui l'a déposé et porte le nom de ce domaine

cr  01.01.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Un cookie est un « post-it » (un petit fichier texte, 4096 caractères maximum, également appelé « HTTP cookie » ou « témoin de navigation ») déposé dans l'espace de votre navigateur WEB (Firefox, Opera, Safari, Chrome, Internet Explorer, Edge, etc.) par un site visité (et par chaque domaine tiers qui participe au site visité).

Un cookie est à l'usage exclusif du domaine qui l'a déposé dans le navigateur. Il porte d'ailleurs le nom de ce domaine.

Les données contenues dans un cookie ne sont pas partageables entre plusieurs domaines. Pour combattre cette interdiction, les données sont remontées vers les serveurs des domaines avec un GUID pour consolider les données surveillées d'un même internaute, quels que soient les sites visités.

Il est rare qu'un site ne dépose aucun cookie. Ils en déposent généralement plusieurs.

Si le même site est visité avec divers navigateurs (Firefox, Opera, Safari, Chrome, Internet Explorer, Edge, etc.), il y aura les mêmes cookies déposés dans l'espace de chaque navigateur utilisé.

Cette fonction de « post-it », prévue et utilisée pour les paniers d'achats, était la finalité des cookies lors de l'invention des cookies, par la société Netscape, et c'est encore leur usage quotidien dans beaucoup de cas. Il y a plus de 2 milliards de sites et des dizaines de milliards de cookies tout à fait légitimes. Ils sont utilisés, par exemple, dans le capping ou pour savoir quelles sont la date et l'heure de votre dernière visite d'un forum afin de vous présenter les nouveaux messages depuis cette date, ou votre préférence de langue sur tel site, etc.

Par contre, il y a deux usages déviants :

1. Cookies de tracking
   Les cookies à GUID servent à l'analyse comportementale et au profiling. Tous les internautes du monde sont touchés à leur insu. Les cookies contenant un GUID permettent d'attribuer à un internaute précis la totalité de ce qu'il fait sur le Web : mots clés recherchés, URLs visitées, temps passé, déplacements, horodatage, géolocalisation... Tout est capturé, enregistré et conservé dans d'immenses bases de données, dont les clickstreams, sans aucune limite (ni de temps ni de volume).
   
   L'établissement des profils de consommations et de centres d'intérêt de chaque internaute du monde permet de proposer des publicités ciblées adaptées aux besoins après analyses comportementales. L'intégralité des annonceurs publicitaires et autres sociétés de tracking (1, 2, 3, 4, 5, 6, 7, 8) et des régies qui gèrent leurs budgets jure que les publicités ciblées sont bien plus rentables que les publicités non ciblées. Or la publicité représente le modèle économique du WEB. C'est le seul type de profiling avoué dans le seul but avoué : le « marketing comportemental ». Tous les autres types de profilings (sexualité, maladies, tendances politiques, racisme, terrorisme, religiosité, etc.) sont supposés être des délires paranoïaques d'obsédés de la protection de la vie privée. Mais, de temps en temps, des affaires sortent dans la presse et font alors scandale en même temps qu'elles apportent la preuve que ces autres analyses comportementales existent bel et bien.
   
   Si l'on fait un décompte des « cookies de tracking » recensés (1, 2, 3, 4, 5, 6, 7, 8), ils ne sont que quelques milliers, mais avec un pouvoir de nuisances considérable.
   

2. Cookies à spyware
   Un autre usage des cookies est l'espionnage, au-delà du profiling comportemental. Certains cookies servent aux spywares durant notre navigation. Les cookies ne sont pas et ne peuvent pas être, directement, des spywares, (ils ne peuvent pas contenir du code exécutable, cela est surveillé), mais ils contiennent des informations qui sont relevées par les spywares. On parle alors de « cookies à spywares ».
   

Les cookies sont apparus en 1995 avec la version 2 de Netscape qui les a inventés et déployés. Ce sont des mécanismes qui permettent certaines fonctionnalités destinées, initialement, à améliorer le confort de l'internaute.

L'origine du nom « cookie » vient du nom d'un petit gâteau inventé par un japonais aux États-Unis vers les années 1915 (dont les restaurants chinois américains et canadiens se sont emparés et qui fut introduit en Chine en 1992), le « fortune cookie », qui contient un petit texte (généralement une prédiction de « bonne fortune » d'où son nom, parfois un aphorisme, une stance de sagesse, une citation biblique, une maxime de Confucius) dans un bout de papier roulé à l'intérieur du gâteau (images Wikipédia).

• Un site multilingue peut se souvenir, grâce à ce mécanisme, que votre langue préférée est le français plutôt qu'une autre et, lors de votre prochaine visite, il s'affichera immédiatement dans votre langue.

• Un forum peut se souvenir de la date de votre dernière visite et, lors de votre prochaine visite, vous signaler les nouveaux messages depuis cette date.

• Un moteur de recherche mémorise vos préférences (afficher les résultats par paquets de 25, 50 ou 100 lignes, trouver les résultats en français et en anglais uniquement, etc.)

• Capping

• Etc.

Les « cookies » sont, physiquement, de petits fichiers de données (de type « texte »), stockés sur votre disque dur. Internet Explorer les stocke comme autant de petits fichiers dans une bibliothèque appelée "c:\windows\cookies" (ou plusieurs bibliothèques s'il y a une notion de profils d'utilisateurs). Netscape, Firefox, Google Chrome, Safari ou Opera les stockent à l'intérieur d'un unique fichier.

Remarques

Sur le plan purement technique, la solution « fichier unique de cookies » de Netscape, Firefox, Google Chrome, Safari ou Opera est préférable à celle d'Internet Explorer. Le système de gestion de fichiers n'a qu'une seule unité logique à assigner et ouvrir au lancement du navigateur au lieu d'ouvrir et fermer les cookies à chaque changement de site visité.

Les cookies de Netscape, Firefox, Google Chrome, Safari ou Opera ne sont mis à jour, sur votre disque dur, qu'une fois, à la fermeture du navigateur. Entre-temps les manipulations ont lieu en mémoire.

Microsoft a bien vu qu'il y avait un problème technique et l'a résolu avec les fichiers index.dat qui constituent donc un problème parallèle aux cookies (et à d'autres traces de notre activité laissées sur nos ordinateurs).

Dans Internet Explorer, les cookies sont au format ".txt" (format texte banal) et vous pouvez en lire et modifier le contenu simplement avec le bloc-notes de Windows (Microsoft NotePad ou WordPad) ou votre traitement de texte préféré. Leur collection constitue une mini base de données. Les autres navigateurs offrent de véritables outils de manipulations, dédiés et bien plus souples.

Ce sont les navigateurs qui gèrent, physiquement, les cookies, pour le compte des sites demandeurs. Ils prennent en charge et exécutent les demandes de création, ouverture, lecture, modification, écriture, ré-écriture, fermeture et destruction de ces fichiers. Depuis quelque temps, ils permettent aussi aux internautes de plus ou moins surveiller ce qui se passe. Chaque navigateur le fait à sa manière mais on retrouve toujours la possibilité pour chaque internaute, et pour chacun de ses navigateurs s'il en a installé plusieurs, de créer des règles d'acceptation, de refus, de limite de validité et de destructions des cookies.

Les mécanismes mis en place par Netscape et adoptés par tous les autres navigateurs sont devenus des normes de fait, entre autres :

• Les informations contenues dans un cookie ne peuvent être manipulées (lecture / écriture) que par le domaine Web (le site) qui a initialement créé le cookie et uniquement pour ses interactions privées entre lui-même et le visiteur.

• Corollaire : les serveurs Web ne peuvent lire, par les mécanismes normalisés des navigateurs, les cookies crées par d'autres serveurs Web - malheureusement, il y a les espions (les spywares, ...).

• Chaque cookie peut stocker jusqu'à 4096 caractères et les navigateurs autorisent la création d'un maximum de 20 cookies par site (ces chiffres peuvent varier selon les navigateurs), le nombre total maximum de cookies crées sur votre ordinateur ne pouvant dépasser les 300.

• Les cookies peuvent être temporaires (ils sont effacés automatiquement dès la fin d'une séance de surf sur le Web) ou être accompagnés d'une date limite de validité (éventuellement d'une « validité permanente »).

Dans la pratique, mis à part le cas des cookies à spywares, ils contiennent de petites quantités d'informations (de l'ordre de 2 à 100 caractères par cookie). Il est rare qu'un site crée plus de 3 cookies. Ci-après, le cas d'un site créant 11 cookies.

Exemple de cookies dans un navigateur - ici Firefox
Ici, ont peut voir que le domaine (le site) 123count.com a déposé 3 cookies

Les cookies peuvent mémoriser des données anodines vous concernant :

1. Afin de rendre votre navigation plus confortable :

   1. Vos préférences : par exemple utiliser tel site dans sa version française ou dans sa version anglaise.

   2. Vos réponses à quelques questions qui vous ont déjà été posées ce qui vous évitera d'avoir à y répondre à nouveau chaque fois que vous reviendrez sur le site.

   3. Quand êtes-vous venus pour la dernière fois sur le site afin de vous afficher automatiquement, lors de votre prochaine visite, la liste des nouveautés.

   4. Etc.

2. Afin d'accélérer votre navigation :

   1. Votre localisation géographique afin de vous connecter au serveur le plus proche.

   2. La référence de la bannière publicitaire actuellement affiché ce qui permet au serveur de publicités de changer efficacement de publicité à intervalles réguliers.

   3. Etc.

Exemple d'un cookie de confort
Ici, le site se souviendra de présenter sa version française.

Les données contenues dans un cookie peuvent aussi être sensibles (mots de passe, données personnelles, données confidentielles...). Souvent, ces données sont codées (cryptées) afin :

• de les rendre difficiles à manipuler trop simplement, avec le bloc-notes de Windows ou votre traitement de texte par exemple.

• de les rendre difficiles à comprendre par un tiers extérieur (l'internaute lui-même...).

• de les compresser pour qu'elles prennent moins de place.

Exemple d'un cookie au contenu obscur (crypté).

Contenu crypté du cookie ci-dessus - Cela fait beaucoup

Les cookies ne peuvent pas être des malveillances actives (virus, etc.), car ils ne peuvent être exécutés. Les cookies sont purement passifs. Toutefois rien n'empêche d'imaginer qu'un site malveillant utilise une vingtaine de cookies, soit une possibilité de 4.096 * 20 = 81.920 caractères pour introduire une malveillance quelconque. C'est largement suffisant. Les gros virus pèsent, par exemple, environ 50.000 caractères. La malveillance est alors découpée en tronçons. Un contrôle ActiveX agissant en binder est aussi introduit avec la page Web. Au chargement de la page, le binder réassemble et installe la malveillance qui agira selon ses caractéristiques (à une date ultérieure de préférence de manière à donner le temps au site malveillant d'infester un grand nombre d'appareils).

L'infestation aura donc utilisé simplement et normalement :

1. Votre navigateur WEB, qui aurait dû être préparé (protection des navigateurs).

2. Le protocole http/https.

3. Le port 80.

Donc l'infestation sera passée légalement à travers ces 3 règles de votre pare-feu (firewall).

Seul le contrôle ActiveX pourrait être vu si les réglages du navigateur ne sont pas trop laxistes et, peut-être, l'installation de la consigne de lancement automatique de la malveillance si un utilitaire de surveillance de la liste des actions et programmes exécutés au démarrage de Windows est mis en place. Et pour de plus grosses malveillances, on peut utiliser plusieurs serveurs et plusieurs noms.

Le cookie dévoyé

La plupart des sites ne font qu'utiliser les cookies dans leur destination initiale, mais pas tous. Le mécanisme des cookies a été dévoyé.

Théorie :

Les principaux utilisateurs des cookies à problèmes, les régies publicitaires et les sociétés de mesure d'audience, installent 1 ou 2 cookies sur votre ordinateur en prétendant (c'est en partie vrai) :

• Vérifier, pour le compte de leurs clients, les annonceurs, combien d'internautes ont vu les pubs qu'elles véhiculent vers les internautes avant de rémunérer les webmasters. Ce sont des compteurs de "hit", obligatoires pour tous sites comptant sur une rémunération en acceptant de véhiculer de la publicité.

• Assurer une bonne gestion des comptes publicité de leurs clients et donc envoyer, sur nos écrans, à intervalles réguliers, une nouvelle publicité en remplacement de la précédente, par exemple toutes les 20 secondes. En assurant cette rotation, elles permettent à tous leurs annonceurs d'être vus.

• Assurer à leurs clients que nous avons eu le temps matériel de voir l'annonce (même d'une manière subliminal, sans la lire), c'est-à-dire que nous sommes bien restés un certain temps sur la page, sans sauter immédiatement à une autre page.

• Faire le distinguo entre visiteurs et visites (il peut y avoir 1 visiteur qui fait plusieurs visites), car l'adresse IP n'est pas un identifiant suffisant (elle change à chaque connexion dans certains cas comme les connexions par modem sur ligne téléphonique). Elles y mettent un GUID et l'heure de dernière visite. Utile pour les statistiques de visite d'un site comme pour les régies publicitaires, car certains contrats rémunèrent un site (un webmaster) au nombre de visiteurs uniques venus sur le site et non pas au nombre de visites.

Des sociétés ou associations ou personnes physiques, comme de grands opérateurs comme l'état, développent des sites les plus attractifs ou indispensables possibles pour de nombreux visiteurs. Outre leurs finalités (leurs contenus), ils ont là un moyen de collecter de l'information sur leurs visiteurs. D'autres, aux desseins opaques, comme les sectes ou les cybercriminels, développent aussi des sites et collectent aussi de l'information. Les réseaux sociaux y vont aussi de leurs collectes approfondies avec des visiteurs qui ne cherchent même pas à avoir une vie privée, mais, au contraire, croient naïvement avoir une vie publique (faire partie du spectacle).

• Les données sont collectées par les serveurs : celles que saisit l'internaute et qui peuvent être des numéros de carte bancaire ou de compte, des informations sanitaires, sociales, la traque des URLs visitées, etc.

• Liste des données privées officiellement collectées.

• Les cookies contiennent des données collectées/calculées localement par les gestionnaires de cookies développés par les auteurs des sites WEB (des scripts dans les pages WEB visitées). Ils sont régulièrement lus/recopiés par leurs serveurs respectifs.

• Les cookies contiennent un identifiant unique qui est comme un code-barre tatoué sur la peau de l'internaute : le GUID.
  
  Dans la quasi-totalité des cas, l'internaute se connecte au WEB par l'intermédiaire d'un Fournisseur d'Accès Internet (un FAI) et un numéro d'accès temporaire (l'adresse IP) lui est attribué à la volée. S'il se reconnecte 100 fois dans la journée, il risque d'être vu comme 100 internautes différents (pas en ADSL où l'adresse IP est souvent attribuée pour un bail de 24 heures, voire plus, même si vous vous déconnectez, et en fibre optique l'adresse IP sera toujours la même).
  
  Pour avoir un identificateur permanent et pertinent, un Identifiant unique - GUID (ou toute autre méthode) est calculé. Le risque d'erreur d'identification est éliminé. Anciennement, des méthodes abracadabrantesques tentaient d'individualiser les différentes personnes se partageant un même appareil : vitesse de frappe, vitesse du double clic, récurrence de fautes d'orthographe, etc.).
  
  Si vous avez installé un login (identifiant/mot de passe) des personnes se présentant devant l'ordinateur, les cookies sont stockés séparément pour chaque compte utilisateur.

• Les URLs des pages WEB visitées (et les URLs des pages précédentes - les référents) sont stockées en temps réel sur les serveurs (clickstream). Vous avez visité une page de telle voiture neuve chez tel constructeur ? On vous diffusera sans cesse durant des jours et des jours de la pub sur cette voiture (et de la pub "crédit auto", de la pub "assurances auto", de la pub "chargeur de batterie", de la pub accessoires de voitures, etc.). Une manière de ne voir le WEB que de manière obtue, avec des œillères.

Vos profils (de consommateur, d'électeur, de pion social, fiscal, votre moralité, vos penchants, votre niveau de biens d'équipement, votre patrimoine, votre argent, etc.) sont établis grâce, entre autres, aux cookies et aux algorithmes de profiling. Au bout de quelques jours de navigation, les sociétés de profiling vous connaissent mieux que vous ne vous connaissez vous-même, mieux que votre mère ne vous connait. Ces informations sont recoupées avec des données provenant d'autres sources (achats nominatifs grâce aux paiements avec votre carte bancaires, passage de votre véhicule à des péages, identification bluetouth de votre smartphone devant toutes les vitrines et les afficheurs publicitaires numériques, etc.).

D'une manière générale, l'usage des cookies recule et de grands opérateurs, comme Google depuis 2013, évoquent leur abandon total et définitif (projet adID de Google de supprimer totalement les cooies tiers).

Les cookies sont utilisés par des conglomérats de sites qui se les partagent, contrairement aux règles de fonctionnement de base de cette technologie. Ce sont les RGPD et les normalisations d'usages dites Plate-forme de Gestion du Consentement - CMP (TCF 2.1 en 2021). Ils permettent à des sites de se partager de l'information sur nous-mêmes et collectent de l'information de multiples opérateurs pour la partager avec les autres opérateurs (1, 2, 3, 4, 5, 6, 7, 8).

Si les données collectées, dont grâce à l'usage des cookies par les sites WEB, les réseaux sociaux, etc., sont utilisées directement par leurs opérateurs naturels (régies publicitaires et annonceurs publicitaires), il existe d'autres opérateurs qui, sous prétexte de services gratuits offerts aux webmasters (statistiques, etc.) collectent les données des internautes, même sur les sites WEB n'ayant aucun mécanisme publicitaire, et en font commerce.

Exemple de « commerce du gratuit » avec le scandale du cartel Avast, AVG, Piriform (CCleaner), Jumpshot.

À peu près tout le monde dépose un ou des cookies et les fait fonctionner de concert avec un Web Bug.

• Tous les sites ou presque, y compris le moindre microscopique site perso, font appel à des outils gratuits de mesure d'audience (là, il y aurait un gros travail à faire sur l'ego des webmasters). Ces statistiques permettent aux webmasters de savoir, par exemple, quelles sont les pages les plus visitées de leurs sites et donc d'en déduire quelles orientations donner ou quelles pages doivent être plus travaillées que d'autres, etc. Ces statistiques permettent de savoir également comment se situe un site par rapport aux autres de même nature grâce aux classements bruts basés sur le nombre de visiteurs et de pages vues ainsi que grâce aux classements qualitatifs basés sur les votes de vos visiteurs dans les différents panels.
  
  Afin d'affiner et de rendre crédibles ces statistiques, tous ces outils ont besoin d'installer un à une dizaine de cookies, ne serait-ce que pour empêcher quelqu'un de voter pour un site plusieurs fois par jour (j'ai vu les statistiques d'un site dont le webmaster avait pu voter pour lui-même (pour son site) 1.900 fois dans la journée alors que son site ne reçoit que 30 à 35 visiteurs par jour !).
  
  Ces mesures d'audience « gratuites » qui nécessitent des centaines d'ordinateurs et de très larges bandes passantes avec des foultitudes d'accès simultanés rapportent beaucoup d'argent à ces services « gratuits » grâce aux tags disséminés dans toutes les pages de tous les sites du monde. Liste des services de statistiques pour webmasters : ce sont des champions du commerce de l'espionnage, du traçage, du tracking, etc.

• Tous les sites qui affichent de la publicité. Ils sont rémunérés par les régies publicitaires qui ont besoin des cookies pour le profiling, mais aussi pour lutter contre une astuce des webmasters payés au nombre de pages vues : les webmasters écrivaient des petits programmes qui faisaient défiler les pages de leurs sites à toute vitesse pour gonfler les compteurs (ou utilisaient le vieux truc de la page "rafraîchie" automatiquement toutes les 5 ou 10 secondes). L'usage de cookies rend ce genre d'arnaques inopérant.

Assiste.com est constitué de 2 sites (2 hébergements).

• Le site Assiste
  Le site Assiste n'utilise strictement aucun cookie.

• Le forum d'Assiste
  Le forum utilise le script phpBB (un script « open source ») sans passer par une tierce partie. phpBB utilise 4 cookies stockant la date de votre dernière visite, le dernier sous-forum visité, le dernier message (topic) lu et votre identifiant de session afin de vous signaler les nouveaux messages lors de votre prochaine visite. Il est recommandé, pour des questions de confort, d'autoriser de manière permanente le forum d'Assiste à déposer des cookies. Les 4 cookies ont pour noms (ceci peut changer en cas de modification / mise à jour du script phpBB) :

  • assiste.forum.free.fr cookie_forum_sid

  • assiste.forum.free.fr cookie_forum_f

  • assiste.forum.free.fr cookie_forum_t

  • assiste.forum.free.fr cookie_forum_data

• Un peu de publicité, en désespoir de cause (les donations étant de l'ordre de 50€ par an !) afin de tenter une survie à Assiste. Les tierces parties (régies publicitaires) déposent leurs propres cookies.

JavaScript et Tracking par l'exemple : code source d'une page réelle utilisant : script, pop-under, interstitiel, bannières, adservers et Cookie.