En termes de violation de la vie privée, LSO (Local Shared Objects) (Flash Cookies) est un bien meilleur outil de tracking que les cookies.
LSO (Local Shared Objects) (Object Local Partagé) est une forme de stockage locale de données (côté client, dans l'ordinateur de l'utilisateur), rendue possible avec la technologie Flash, ressemblant aux cookies traditionnels (d'où son appellation, parfois, de Flash cookies).
Les LSO (Local Shared Objects) sont manipulés par la technologie Flash. Ils se libèrent ainsi de la contrainte des cookies standards (http) : les cookies standards sont limités à un seul domaine, ce qui complique la vie des pratiquants de tracking pour consolider tous les espionnages d'un même internaute à travers toutes les pages de tous les sites qu'il visite. Ils sont obligés de développer et utiliser des principes de GUID. Les navigateurs ne savent rien des LSO (Local Shared Objects) (Flash Cookies) qui sont :
- Des objets faisant partie de Flash, or Flash est une technologie unique, disponible à tous les navigateurs simultanément (trans-navigateurs) dans un ordinateur (partagée)
- Des objets disponibles (partageables) à tous les domaines (sites) simultanément (trans-domaines), ce qui représente un rêve pour les pratiquants du tracking. Un Flash Cookie particulier contient la liste de tous les domaines visités.
Les cookies traditionnels sont stockés dans les répertoires d'un seul navigateur, à raison d'un à plusieurs centaines de cookies par domaine (par site). Si vous visitez 5.000 domaines (sites) faisant usage de cookies avec Internet Explorer, il y aura 5.000 cookies minimum dans les répertoires d'Internet Explorer. Si vous visitez les mêmes 5.000 domaines avec Firefox, il y aura également 5.000 cookies minimum dans les répertoires de Firefox. Dito avec Opera, Chrome, Safari, K-Meleon, etc. ...
Les LSO (Local Shared Objects) sont dit " partagés " car ils se trouvent dans l'unique répertoire Flash Player de la machine, tous navigateurs confondus et tous domaines de premier niveau confondus. Les domaines tiers (second niveau et suivants) n'ont pas accès aux LSO (Local Shared Objects).
Les navigateurs disposent de mécanismes de gestion / suppression des cookies standards, mais les LSO (Local Shared Objects) leur échappent complètement. Détruire les cookies avec les dispositifs de protection de la vie privée des navigateurs ne donne pas accès aux LSO (Local Shared Objects) (Flash Cookies).
BetterPrivacy permet à Firefox de gérer les Flash Cookies comme de simples cookies
BetterPrivacy est un add-on pour le navigateur Firefox disposant d'une option permettant à Firefox de gérer les Flash Cookies comme des cookies standards et, donc, de permettre aux internautes de les supprimer au même rythme que les cookies standards.
On fera attention à certains Flash Cookies qui contiennent, par exemple, les paramètres et états de progressions dans un jeux en ligne développé en Flash.
Comme les cookies standard (http cookies), les LSO (Local Shared Objects) (Flash Cookies) peuvent contenir une quantité non limitée d'informations, celles-ci pouvant être de n'importe quelle forme, y compris compressées, chiffrées (cryptées) et binaires (exécutables).
Comme les cookies standard (http cookies), les LSO (Local Shared Objects) (Flash Cookies) peuvent avoir une durée de vie illimitée.
Un site Internet peut reconstituer (reconstruire) un cookie standard qui aurait été détruit en utilisant les données sauvegardées (copiées) dans un Flash Cookies. C'est l'une des techniques utilisées par Evercookie.
Emplacements des LSO (Local Shared Objects) (Flash Cookies)
Les mécanismes de gestion des plugins, pour ajouter des fonctionnalités aux navigateurs, reposent sur deux API : NPAPI ou PPAPI. Sans ces APIs, les navigateurs ne reconnaîtraient que le langage HTML (et les images embarquées). La première fonctionnalité ainsi intégrée à un navigateur fut Adobe Acrobat Reader (la reconnaissance, par les navigateurs, du format PDF).
Les LSO (Local Shared Objects) (Flash Cookies) sont des fichiers au suffixe .sol
Avec l'API NPAPI (Netscape Plugin Application Programming Interface), utilisé par tous les navigateurs, l’emplacement des LSO (Local Shared Objects) dépend du système d’exploitation :
- Windows :
- %APPDATA%MacromediaFlash Player#SharedObjects
- %APPDATA%MacromediaFlash Playermacromedia.com
- pour les applications AIR : %APPDATA%<Nom de domaine inversé>Local Store#SharedObjects
- Mac OS X :
- ~/Library/Preferences/Macromedia/Flash Player/#SharedObjects/
- ~/Library/Preferences/Macromedia/Flash Player/macromedia.com/
- pour les applications AIR : ~/Library/Preferences/<Nom de domaine inversé>/Local Store/#SharedObjects
- Linux/Unix :
- ~/.macromedia/Flash_Player/macromedia.com/support/flashplayer/sys/
- ~/.macromedia/Flash_Player/#SharedObjects/[XXXXXX]//[www.visited.web.sites]
Avec l'API PPAPI (Pepper Plugin Application Programming Interface) - (Pepper Flash pour l'API Flash), développée par Google, l’emplacement des LSO (Local Shared Objects) dépend aussi du système d’exploitation mais les emplacements sont différents (seul Google Chrome supporte l'API PPAPI). La Fondation Mozilla a déclaré ne pas être intéressée par Pepper Flash. Google met en avant le développement de PPAPI pour une meilleure portabilité trans-plateforme des plugins (permettant un meilleur tracking des internautes, surtout avec les super cookies LSO (Local Shared Objects)) :
- Windows :
- %localappdata%GoogleChromeUser DataDefaultPepper DataShockwave FlashWritableRoot#SharedObjects
- Mac OS X :
- ~/Library/Application Support/Google/Chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/
- Linux :
- ~/.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/
