Comment les sites web suivent les utilisateurs grâce aux Cookies | OnlineSim

Comment les sites web suivent les utilisateurs grâce aux cookies

Si vous vous enregistrez sur un site web, puis fermez votre navigateur, puis le rouvrez et retournez sur la page, il est peu probable que vous ayez besoin de vous reconnecter. La ressource stocke des cookies sur votre ordinateur et les utilise pour s’authentifier.

Outre l'authentification, ils sont également utilisés à d'autres fins : personnalisation du contenu, publicité, ainsi que pour la surveillance et le vol d'identité.

Dans ce troisième article de notre série « Sécurité sur Internet », nous examinons ce que sont les cookies et comment ils sont utilisés pour suivre les personnes.

Que sont les cookies ?

Les cookies sont de petits fragments de fichiers qu'un web server collecte et stocke lorsque vous interagissez avec une page web. Les fichiers sont stockés sur l'ordinateur de l'utilisateur et sont renvoyés vers le site lorsque l'utilisateur le visite à nouveau. Les cookies contiennent des informations sur la manière dont une personne a interagi avec le site, en mémorisant les paramètres de votre PC, de votre navigateur, etc.

Un cookie peut contenir des informations vous concernant : votre historique de navigation, les données que vous avez saisies dans des formulaires, votre historique de recherche sur Internet et votre localisation. La quantité d'informations fournies dépend de ce que les propriétaires des ressources veulent savoir sur vous.

Vous pouvez vous protéger d’un cookie en utilisant le mode incognito. En mode incognito, le cookie principal du navigateur n'est pas utilisé, seul celui de session est stocké. Lorsque vous fermez la fenêtre incognito, le cookie disparaît, aucune information n'est stockée.

En quoi consiste un cookie ?

Un cookie est un code composé d'un ensemble de mots.

Ils ressemblent à ceci : 

Set-Cookie : __Secure-name=value ; max-age=31536000 ; domain=example.com ; path=/ ; secure ; httponly ; samesite=lax

Chaque phrase est responsable d'un paramètre spécifique :

• Name indique le nom du cookie.

• Value permet d'identifier l'utilisateur, elle contient des informations sur le service.

• Expires et max-age définissent la durée de vie d'un cookie. À L'expiration, les fichiers sont supprimés.

Si la valeur est nulle, les fichiers sont automatiquement supprimés lorsque vous fermez votre navigateur.

Expires est spécifié dans le format Mon, 08-Aug-2022 13:35:22 GMT. Et max-age spécifie la durée de vie d'un cookie en secondes depuis que le paramètre a été défini dans le browser .

• Path spécifie le chemin sur le site où le cookie est disponible.   Si vous spécifiez le répertoire racine «/», les fichiers seront accessibles à toutes les pages de la ressource.

• Domain indique le domaine ou le sous-domaine qui peut visualiser les cookies. Pour les rendre disponibles à l'ensemble de la page web, spécifiez le nom de domaine «example.com».

• L'option Secure définit que le cookie est envoyé par une connexion HTTPS sécurisée, et non par une connexion HTTP normale.

Une connexion HTTP normale n'est pas protégée par un cryptage SSL ou TLS.

• Httponly refuse l'accès aux cookies JavaScript via la propriété Document.cookie. Cela permet de se protéger contre le vol d'informations entre sites.

• Samesite restreint l'échange de cookies entre sites. Cela permet de se protéger contre la falsification des requêtes intersites (CSRF). 

CSRF est une attaque contre une page web à l'aide d'un site ou d'un script malveillant. Il oblige le browser de l' utilisateur à effectuer une action non désirée sur un site de confiance où celui-ci est connecté. Pour que l'attaque fonctionne, ce dernier doit cliquer sur le lien du pirate.

Par exemple, une personne s'est connectée au site web d'une banque et ouvre accidentellement un lien frauduleux demandant de transférer de l'argent sur le compte du voleur. La banque traitera la transaction à l'insu du client, puisqu'il est autorisé sur son compte personnel.

Types de cookies

Session. Ils sont collectés lorsqu'une personne visite une page web. Lorsque cette dernière ferme le navigateur → les cookies de session sont supprimés.

Persistant. Ils persistent jusqu'à leur expiration. Ils sont envoyés à la ressource chaque fois qu'une personne la visite. Ils sont divisés en deux catégories : 

• Direct. Les cookies du site web sur lequel l'utilisateur se trouve. Les autres ressources ne sont pas conscientes de la collecte de ceux-ci. Ils vous aident à vous connecter automatiquement et à sauvegarder votre panier dans les boutiques en ligne.

• Tiers. Cookies provenant d'une autre page web, qui n'est pas celle où se trouve la personne. Par exemple, medium.com dispose d'un bouton « partager » de Twitter. Un tel bouton utilise un cookie de suivi que Twitter connaît. Ces cookies sont le plus souvent des traceurs publicitaires. Ils aident les sites à mettre en place des publicités ciblées.

Cookies sécurisés. Cookies qui ne peuvent être envoyés qu'à un web server utilisant le protocole HTTPS.

Cookies HTTPonly. Les cookies qui ne sont pas accessibles via une API. Protègent contre le vol d'informations intersites.

Cookies zombies. Ces cookies peuvent être récupérés à partir de sauvegardes, même si vous les supprimez de votre PC. Les copies sont conservées séparément des autres cookies navigateur, par exemple sur Internet ou dans des dossiers cachés de votre PC.

Supercookies. Ce sont les mêmes que les cookies ordinaires. Ils suivent le comportement de l'utilisateur et son historique de navigation. La différence est que les supercookies ne sont pas stockés sur le PC de l'utilisateur, mais sur des serveurs ou ailleurs. Ils peuvent recréer des profils d'utilisateurs même après la suppression des cookies normaux.

Les supercookies ne fonctionnent qu'avec une connexion HTTP non cryptée. Par conséquent, pour se débarrasser de ces derniers, il faut visiter uniquement les sites HTTPS. Ils utilisent des certificats SSL ou TLS qui permettent d'éviter le pistage par les supercookies.

Pourquoi utiliser des cookies

Pour se souvenir du nom d'utilisateur, du mot de passe, des souhaits de l'utilisateur et des produits qu'il veut acheter. Il s'avère que la collecte de cookies améliore l'expérience du client et facilite l'interaction avec le site.

Lier le site à un utilisateur spécifique. Les cookies correspondent à la session d'un utilisateur et à un compte spécifique. La prochaine fois qu'une personne visitera une page web, elle recevra une publicité personnalisée grâce à un cookie unique.

Garder une trace des ressources que les utilisateurs visitent. Ces informations sont envoyées à un cookie serveur web, puis renvoyées à la page web lorsqu'une personne la visite à nouveau.

Analyser les actions des utilisateurs. Google Analytics, Yandex.Metrika et d'autres outils légitimes d'analyse du web sont connectés à tous les sites web. Ils recueillent des informations par le biais de cookies, qui sont créés automatiquement et envoyés à un web server. 

Les propriétaires de sites Web utilisent les services d'analyse pour développer et améliorer une ressource, pour établir un profil de leur public cible.

Pourquoi on écrit : notre site utilise des cookies ?

Ce sont les règles du GDPR, le règlement européen sur la protection des données. Si un blog est utilisé par des Européens, il doit avertir les visiteurs qu'il utilise des cookies pour ses propres besoins.

Les règles de la directive exigent que les utilisateurs soient informés de la manière dont la page web utilise les cookies. Et ensuite accepter que les données soient traitées. 

Certaines ressources collectent des cookies même si l'utilisateur n'a pas consenti au traitement des données. Ces derniers sont considérés comme des fichiers qui doivent être collectés pour que la page web fonctionne.

En Chine, les cookies sont collectés par le gouvernement et utilisés pour évaluer la fiabilité en fonction des pages visitées par l'utilisateur. Cela influence ensuite la décision d'accorder un prêt ou le coût de l'assurance.

Les cookies sont-ils sûrs ?

Les cookies eux-mêmes sont sûrs et ne peuvent pas nuire à l'utilisateur. Il s'agit de codes en texte clair qui ne contiennent que des informations et ne peuvent pas contenir de logiciels malveillants. Les cookies ne peuvent pas faire de copies d’eux-mêmes, modifier les paramètres de votre PC ou se propager sur d'autres réseaux pour être exécutés à nouveau.

Mais les pirates et les fraudeurs qui utilisent les cookies à leurs propres fins peuvent causer des dommages. Par exemple, pour établir un lien entre l'activité en ligne d'une personne et son identité réelle. Ils utilisent ensuite ces informations pour faire de la publicité non désirée, pour espionner l'utilisateur ou pour voler des informations et de l'argent.

Le vol par cookie est courant. Voici quelques histoires :

En novembre 2010, le ver Koobface a utilisé les cookies des utilisateurs de Facebook (interdit dans la Fédération de Russie), volé les données de connexion et utilisé les comptes d'autres personnes.

En 2019, les copies des services de blocage des publicités, AdBlock et uBlock, ont utilisé des cookies à leurs propres fins. Ils ont secrètement injecté ces derniers dans les navigateurs des utilisateurs qui ont installé des extensions et modifié les cookies. Les bloqueurs ont ajouté un paramètre garantissant que les auteurs de l'extension recevraient une commission sur tout paiement effectué par les utilisateurs sur les sites.

Et en 2021, des pirates ont utilisé des cookies pour voler les informations de connexion de comptes YouTube célèbres. Les comptes volés ont ensuite été vendus sur diverses places de marché.

Inconvénients des cookies

Authentification inexacte. Si une personne utilise plusieurs navigateurs et comptes, elle enregistre différents ensembles de cookies. Aussi avec un compte pour plusieurs clients : les cookies n'appartiennent pas à un utilisateur spécifique, mais au compte dans son ensemble.

Usurpation de cookies. Les fraudeurs peuvent voler les cookies et modifier les informations qu'ils contiennent. Disons que le coût d'un article est inscrit dans un cookie. Les pirates peuvent entrer dans un paramètre de cookie et modifier le coût pour payer moins.

Vol de cookies. Les fraudeurs s'introduisent dans les sessions, volent les cookies ou les envoient à un autre serveur pour obtenir des informations sensibles. Ils l'utilisent ensuite pour se connecter à des réseaux sociaux, des courriels ou d'autres plateformes en ligne. Il n'est pas rare de voler les coordonnées d'une carte bancaire si elles sont enregistrées sur une page web et contenues dans un cookie.

Cookies intersites. Différents sites web peuvent partager entre eux les cookie informations, ce qui revient à se vendre mutuellement les informations personnelles des utilisateurs.

Instabilité entre le client et le serveur. Les cookies web peuvent donner des informations incorrectes aux serveurs. Par exemple, une personne accepte de traiter un cookie dans une boutique en ligne et ajoute un article à son panier. Il a ensuite changé d'avis et a cliqué sur « retour », mais l'achat reste dans le panier. Cela peut conduire à des commandes erronées et à une diminution de la loyauté envers l'entreprise.

Cookies perpétuels. Les cookies perpétuels ont été critiqués car ils permettent aux sites de suivre continuellement les utilisateurs et de leur donner un profil précis pour la personnalisation des publicités. Et les pirates peuvent utiliser ces derniers pour voler des informations.

Que se passera-t-il si vous désactivez les cookies ?

Vous perdrez vos données de connexion. Si vous désactivez les cookies, certains sites vous oublieront et vous ne pourrez pas vous connecter automatiquement en utilisant votre nom d'utilisateur et votre mot de passe. Vous devrez saisir à nouveau vos coordonnées chaque fois que vous rafraîchirez la page ou que vous passerez à une autre section.

Vous devrez remplir les formulaires vous-même. Lorsque vous remplissez un formulaire, le navigateur se souvient des détails et vous propose de le remplir automatiquement la prochaine fois. Si vous désactivez les cookies web, vous devez saisir vous-même les informations à chaque fois.

Et certains sites comportant des étapes et des formulaires peuvent ne pas fonctionner correctement. Par exemple, si le blog se recharge, vous devrez reprendre vos pas depuis le début.

La publicité va changer. Sans les cookies, il sera plus difficile pour les sites de suivre les informations vous concernant. Par conséquent, les web servers ne pourront pas vérifier quelles ressources vous visitez et cesseront de proposer des publicités personnalisées. Très probablement, les publicités ne correspondront pas à vos intérêts.

Les paniers d'achat en ligne vont disparaître. Si vous ajoutez des articles au panier, le serveur les mémorisera grâce aux cookies site. Si vous les désactivez, les produits disparaîtront également, jusqu'à ce que vous les ajoutiez à nouveau.

Comment désactiver les cookies

Après avoir désactivé tous les cookies, vous serez déconnecté de tous les comptes personnels dans le navigateur. Les informations de connexion devront être ressaisies.

Désactiver les cookies dans Google Chrome

1. Allez dans les paramètres de votre navigateur. Pour ce faire, cliquez sur les trois points dans le coin supérieur droit de l'écran → cliquez sur les paramètres (settings).

1. Dans les paramètres, allez dans « Confidentialité et sécurité » (Privacy and security), puis dans « Cookies et autres données de la page web ».

1. Pour désactiver tous les cookies, sélectionnez l'option correspondante dans les paramètres. Si vous souhaitez désactiver uniquement les cookies tiers, cliquez sur « bloquer les cookies tiers ».

Désactiver les cookies dans Mozilla Firefox

1. Allez dans les paramètres de votre navigateur. Pour ce faire, cliquez sur l'engrenage dans le coin supérieur droit de l'écran.

2. Dans les paramètres, allez dans « Confidentialité et sécurité » (Privacy and security).

1. Allez à « custom ». Ouvrez la liste des cookies et choisissez si vous voulez désactiver les cookies tiers ou tous les cookies.

Firefox se protège des cookies en créant un environnement distinct pour chaque page web que vous visitez. Autrement dit, chaque blog crée ses propres cookies, mais il n'aura accès qu'à ces derniers.

Cela permet de maintenir la page web en fonctionnement et d'éviter les traqueurs de publicité. En outre, la fonction est activée par défaut, vous n'avez pas besoin de la rechercher vous-même.

Mais la protection totale contre les cookies n'isole pas ceux provenant de différents onglets ouverts sur le même groupe de sites. Par exemple, si vous avez Gmail, Google Météo et Google Shopping ouverts dans des onglets différents, Google saura que vous avez les trois pages ouvertes et reliera leurs traces de cookies. 

Ce problème peut également être résolu en installant des extensions spéciales de conteneurs qui garantissent que chaque blog n'a accès qu'à ses cookies. Même si plusieurs sites Google s'ouvrent dans des onglets différents, ou si la page web comporte des widgets Facebook intégrés. Pour obtenir ces extensions, allez dans la boutique de plugins de Firefox et recherchez des conteneurs pour différents services via « containers ».

N'oubliez pas que tous les plugins ne sont pas officiels. Lisez donc les avis et regardez le classement de l'extension avant de l'installer.

Une autre option consiste à se connecter à différents sites avec des comptes différents.

Désactiver les cookies dans Opera

C'est aussi comme Google Chrome : allez dans paramètres (settings) → confidentialité et sécurité (privacy and security) → cookies et autres données du site.