Cookie propriétaire (cookie interne) : créé, complété et collecté par l’auteur du site, essentiellement pour fluidifier la navigation et faire des statistiques.

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Lorsque vous visitez une « page Web », vous vous rendez sur un « site Web » (qui peut n'être fait que d'une seule page, comme un curriculum vitae) hébergé sur un « serveur Web » sous son nom de « domaine Web ».

Exemple avec le domaine assiste.com :

• Dans assiste.com, le « domaine Web » est assiste.com.

• L'auteur d'assiste.com a « acheté » (une location d'environ 12 € par an) ce « nom de domaine Web » qui était libre (pas utilisé).

• Le site assiste.com est hébergé sur un « serveur Web ».

• Lorsque assiste.com, dans ses pages, fait appel à des ressources externes, celles-ci sont des ressources tierces, sur des sites tiers hébergés sur des serveurs tiers, tandis qu'assiste lui-même est le site first (domaine first) sur un serveur first.

  • Le site first (site propriétaire) dépose dans votre navigateur Web, s'il en a besoin, pour des raisons légitimes ou de pistage et suivi, un ou des cookies first (cookies propriétaires - first-party cookies).

  • Les sites tiers déposent également dans votre navigateur Web, pour les mêmes bonnes ou mauvaises raisons, un ou des cookies tiers (third-party cookies).

• Dans assiste.forum.free.fr, le « domaine Web » est free.fr (le forum d'Assiste est hébergé sur le « domaine Web » « free.fr » et n'est qu'un sous-domaine du « domaine Web » free.fr).

Si la « page Web » visitée contient des appels à des ressources externes (images, sons, vidéos, scripts, gadgets, widgets, émoticons, boutons, Web Bug, bannières publicitaires, etc.) se trouvant sur d'autres « domaines Web » hébergés sur d'autres « serveurs Web », le domaine visité est le domaine premier (ou first, ou principal) et les autres domaines sont dits « domaines tiers ». Ce sont des « tiers », ils n'appartiennent pas au « domaine premier » que vous visitez, ils sont « autres ». Le serveur du « domaine premier » est, par analogie, dit « serveur premier » et les serveurs des « domaines tiers » sont dits des « serveurs tiers ».

L'appel à une ressource sur un « domaine tiers » se fait en utilisant les mécanismes techniques totalement légitimes du Web, sans aucun dispositif spécial qui serait dédié à l'espionnage (sans aucun spyware, etc.). L'appel se fait par la simple utilisation d'une URL, exactement comme si vous cliquiez sur un lien. Cet appel provoque, tout à fait normalement, une « requête » vers cette ressource. Cette « requête » embarque, tout à fait normalement, dans son entête HTTP, des informations sur vous et sur la page Web d'où vous venez (le « referrer » - la page sur laquelle vous iriez si vous cliquiez sur le bouton « page précédente » de votre navigateur) et une foule d'informations sur votre ordinateur, les applications installées, etc..

À cause de ces « referrers », il est possible

1. à votre « FAI » (Fournisseur d'Accès Internet)
2. au « domaine visité »
3. aux « domaines tiers » incrustés dans le « domaine visité »

de savoir d'où vous venez (quelle page Web avez-vous visitée avant d'atterrir sur la page Web en cours).

Bien d'autres informations sont collectées avec d'autres moyens, simultanément, sans qu'il soit besoin du moindre logiciel d'espionnage (spyware) pour ce faire. Il y a, entre autres, la construction de l'historique intégral de vos moindres mouvements sur le Web : les clickstream. Voir :

• Dossier : Sommes-nous espionnés ?

• Dossier : Qui êtes-vous - Vos traces sur le Web.

Le problème n'est pas que ce « referrer » et les autres traces externes existent, mais que tous ces opérateurs des « domaines tiers » les recopient et les conservent, sans notre autorisation expresse et éclairée, dans des bases de données infinies, en durée et en volume. De page en page, tous ces « surveillants » (espions) connaissent et ont en mémoire la totalité de nos déplacements sur le Web. Ils connaissent tous nos centres d'intérêt et ils établissent nos profils.

Stop tracking

Si un domaine tiers du domaine visité est présent sur la page Web visitée (est appelé depuis la page Web visitée), il est très probable que l'appel aux services qu'il rend sert également à vous traquer. On ne cherche pas à bloquer les services rendus (tant qu'ils ne sont pas malicieux), mais c'est le travail des :

• Antivirus (Kaspersky vivement recommandé)

• Antimalwares (Malwarebytes vivement recommandé)

• Filtres du Web (« link checker », « vérificateur de liens »)

On cherche à empêcher les sites tiers/serveurs tiers de collecter la moindre information sur vous. On cherche à les empêcher de vous pister/surveiller. Les domaines tiers sont aveuglés - c'est comme si vous aviez soudainement disparu. Voir, paragraphe suivant, la préparation/réglage « Stop tracking » du navigateur.

• 01 Installer le navigateur Firefox (gratuit)

  Naviguez sur le Web exclusivement avec Firefox. Il est le plus rapide et, de très loin, le plus agréable à utiliser, outre qu'il soit le seul réellement et intégralement open source et le plus protecteur de la vie privée (une véritable obsession de la Fondation Mozilla).

  Téléchargez et installez Firefox

  Téléchargez et installez Firefox

  
  

• 02 Paramétrer la « Vie privée » de Firefox (gratuit)

  Par défaut, Firefox utilise les paramètres de protection de la vie privée les plus durs. Il n'y a rien à faire. Si vous voulez voir cela : Ouvrir le menu Options Vie privée et sécurité

  
  Firefox - About préférences - vie privée et sécurité 01
  
  
  Firefox - About préférences - vie privée et sécurité 02
  
  
  Firefox - About préférences - vie privée et sécurité 03
  
  
  Firefox - About préférences - vie privée et sécurité 03a
  
  
  Firefox - About préférences - vie privée et sécurité 03b
  
  
  Firefox - About préférences - vie privée et sécurité 03c
  
  
  Firefox - About préférences - vie privée et sécurité 04
  

  
  

• 03 Installer Privacy Badger (gratuit)

  Dans Firefox, installez l'outil antitracking de la puissante et crainte EFF (Privacy Badger)

  Privacy Badger

  Privacy Badger

  
  

• 04 Installer Ghostery (gratuit)

  Dans Firefox, installez l'outil antitracking Ghostery

  Ghostery - Un outil d'anti-tracking

  
  

• 05 Installer Decentraleyes (gratuit)

  Dans Firefox, installez l'outil antitracking Decentraleyes

  Decentraleyes

  
  

• 06 Installer Disconnect (gratuit)

  Disconnect permet de bloquer le tracking d'une large liste de trackers. Il est inutile de l'installer dans Firefox qui utilise, nativement, cette liste.

  Par curiosité, vous pouvez lire :

  Disconnect - Protection de la vie privée - Anti-tracking

  Disconnect - Protection de la vie privée - Anti-tracking

  
  

• 07 Installer NoScript (gratuit)

  Il n'existe pas d'outil de sécurisation d'un navigateur Web et de la navigation Web plus puissant que NoScript. NoScript fonctionne (Firefox uniquement) sur le principe « Tout est bloqué sauf... ». NoScript bloque, par défaut, l’exécution de tous les contenus Web actifs trouvés dans les pages Web visitées et basés sur les langages ou technologies JavaScript, Java, Flash, Silverlight et autres (dont les technologies en plug-in) sauf si la page ou le site est approuvé par l’utilisateur (qui peut l’ajouter à une liste blanche personnelle). Donc NoScript n'est pas à mettre entre toutes les mains. Il faut avoir la notion de technologies actives et être capable de dire, pour chaque page Web : « j'accepte que ce script s'exécute, mais pas celui-là » ou « j'accepte que tous les scripts s'exécutent sur cette page » ou « j'accepte que tous les scripts s'exécutent sur tout ce site ».

  NoScript

  NoScript - NoScript Security Suite

  
  

• 08 Installer AdBlock Plus - bloqueur de publicités (gratuit)

  AdBlock Plus est un bloqueur de publicités, de pisteurs (tracking) et de malveillances, gratuit. Une longue liste de critères doivent scrupuleusement être respectés par la régie pour être autorisée à passer au travers d'AdBlock Plus (être introduite dans une liste blanche débrayable par l'utilisateur). Quelques-unes de ces régies sont alors considérées « propres », « non intrusives » et « non agressives ». Elles permettent la monétisation des sites WEB. L'analyse du respect des critères est facturée aux régies, ce qui assure les revenus et la pérénité d'AdBlock Plus tandis que les autres bloqueurs disparaissent ou tuent le WEB (la publicité est le modèle économique du WEB).

  AdBlock Plus

  Adblock Plus

  
  

• 09 Paramétrer les paramètres avancés de vie privée (privacy) dans Firefox (gratuit)

  Firefox privacy tweeks

  • Entrez dans « about:config » de Firefox

    Entrez dans les paramètres avancés de Firefox en saisissant « about:config » dans la barre d'adresse de Firefox. Appuyez sur Entrée.

    Appuyez sur le bouton « Accepter le risque et poursuivre ».

  • Saisissez, un par un, les noms des paramètres suivants

    Appliquer le réglage conseillé (en faisant un double clic sur l'état actuel du paramètre).

    1. privacy.firstparty.isolate = true

       L'isolement de première partie (First Party Isolation), également connu, dans Tor - The onion router, sous le nom de « Cross-Origin Identifier Unlinkability » (Dissociation des identifiants d'origine croisée), est un concept du navigateur Tor (basé sur Firefox). L'idée est d’attacher chaque source d'identification (par exemple un cookie d'identification) avec le domaine indiqué dans la barre d'adresse du navigateur (URL du domaine de première partie, par opposition aux domaines tiers [les trackers tiers] présents dans la page WEB visitée). Cela rend tout accès aux identifiants distincts les uns des autres et empêche l’utilisation croisée d’un unique cookie d’identification entre un domaine de première partie et les domaines de tierce partie. Considérez ce paramètre comme un bloqueur des cookies tiers. Si ce paramètre ne peut pas être manipulé dans « about:config », utilisez le module complémentaire « First Party Isolation ». La valeur par défaut est à « false ». La mettre à « true ».

       Code open source de First Party Isolation

    2. privacy.resistFingerprinting = true

       Suite aux efforts de Tor Browser (le navigateur Tor basé sur Firefox), cette préférence rend Firefox plus résistant à l'empreinte du navigateur (browser fingerprinting). La valeur par défaut est à « false ». La mettre à « true ».

       Le plus utilisé des outils de fingerprinting est FingerprintJS qui, hypocritement, se présente comme un outil de détection de fraudes (si quelqu'un essaie d'utiliser le même appareil (ordinateur, tablette ou téléphone) pour s'inscrire plusieurs fois quelque part, soumettre un vote plusieurs fois, utiliser plusieurs cartes de crédit ou effectuer tout autre type d'activité suspecte).

    3. browser.cache.offline.enable = false

       Désactive le cache hors ligne.

       Les versions récentes de Mozilla offrent un « cache hors ligne » que les applications Web peuvent utiliser pour stocker des données à récupérer même lorsque le navigateur est hors ligne. Combiné avec des événements en ligne / hors ligne, les développeurs peuvent écrire du JavaScript qui agit intelligemment jusqu'à ce que la connexion soit rétablie. Cette préférence détermine si le cache hors ligne est activé. La valeur par défaut est à « true ». La mettre à « false ».

    4. browser.send_pings = false

       S'assurer que cet attribut est sur « false », sinon il permettrait aux sites Web tiers de suivre les clics des visiteurs. La valeur par défaut est à « false ». Vérifier qu’elle n’a pas bougé.

    5. browser.sessionstore.max_tabs_undo = 0

       Même avec Firefox configuré pour ne pas se souvenir de l'historique, vos onglets fermés sont stockés temporairement dans Menu Historique Onglets récemment fermés. La valeur par défaut est à 25. La mettre à zéro.

    6. browser.urlbar.speculativeConnect.enabled = false

       Désactivez le préchargement des URL de saisie semi-automatique. Firefox précharge les URL qui se complètent automatiquement lorsqu'un utilisateur tape dans la barre d'adresse, ce qui est une préoccupation si des URL sont suggérées auxquelles l'utilisateur ne veut pas se connecter. La valeur par défaut est à « true ». La mettre à « false ».

    7. dom.battery.enabled = false

       Les propriétaires de sites Web peuvent suivre l'état de la batterie de votre appareil. La valeur par défaut est à « true ». La mettre à « false ».

    8. dom.event.clipboardevents.enabled = false

       Désactivez le fait que les sites Web peuvent recevoir des notifications chaque fois que vous copiez, collez ou coupez quelque chose sur une page Web. Cela leur permet de savoir quelle partie de la page a été sélectionnée. La valeur par défaut est à « true ». La mettre à « false ».

    9. geo.enabled = false

       Désactive la géolocalisation. La valeur par défaut est à « true ». La mettre à « false ».

    10. media.navigator.enabled = false

        Les sites Web peuvent suivre l'état du microphone et de la caméra de votre appareil. La valeur par défaut est à « true ». La mettre à « false ».

    11. network.cookie.cookieBehavior = 1

        Désactiver les cookies - La valeur par défaut est à « 4 » (???). La mettre à « 1 ».
        0 = Accepter tous les cookies par défaut
        1 = Accepter uniquement du site d'origine (bloquer les cookies tiers)
        2 = Bloquer tous les cookies par défaut

    12. network.cookie.lifetimePolicy = 2

        Les cookies sont supprimés à la fin de la session - La valeur par défaut est à « 0 ». La mettre à « 2 ».
        0 = Accepter les cookies normalement
        1 = invite pour chaque cookie
        2 = Accepter pour la session en cours uniquement
        3 = Accepter pendant N jours

    13. network.http.referer.trimmingPolicy = 2

        Envoyer uniquement le schéma, l'hôte et le port dans l'en-tête Referer - La valeur par défaut est à « 0 ». La mettre à « 2 ».
        0 = Envoyer l'URL complète dans l'en-tête Referer
        1 = Envoyer l'URL sans sa chaîne de requête dans l'en-tête Referer
        2 = Envoyer uniquement le schéma, l'hôte et le port dans l'en-tête Referer

    14. network.http.referer.XOriginPolicy = 2

        N'envoyez l'en-tête referrer (page d'origine dans toutes les requêtes HTTP) que lorsque les noms d'hôte complets correspondent. (Remarque: si vous observez une rupture importante, vous pouvez essayer la valeur 1 combinée avec un ajustement XOriginTrimmingPolicy ci-dessous.) - La valeur par défaut est à « 0 ». La mettre à « 2 ».
        0 = Envoyer un référent dans tous les cas
        1 = Envoyer le référent vers les mêmes sites eTLD
        2 = Envoyer Referer uniquement lorsque les noms d'hôte complets correspondent

        Nota : une faute d’orthographe, courante en anglais, s’est glissée jusque dans les spécifications officielles du W3C (World Wide Web Consortium) (l’organisme de gouvernance du Web, qui édite les « recommandations » ayant force de standards – le W3C est dirigé par l’inventeur du Web), où « Referrer » a été écrit avec un seul « r » : « Referer ». Le champ lui-même, dans la zone des « entêtes HTTP », s’appelle « Referer » (avec un seul « r »).

    15. network.http.referer.XOriginTrimmingPolicy = 2

        Lors de l'envoi de referrer sur plusieurs origines, envoyez uniquement le schéma, l'hôte et le port dans l'en-tête Referer des requêtes d'origine croisée - La valeur par défaut est à « 0 ». La mettre à « 2 ».
        0 = Envoyer l'URL complète dans Referer
        1 = Envoyer l'URL sans chaîne de requête dans Referer
        2 = Envoyer uniquement le schéma, l'hôte et le port dans Referer

    16. webgl.disabled = true

        WebGL est un risque potentiel pour la sécurité. La valeur par défaut est à « false ». La mettre à « true ».