Les cookies : indigestes ?

Temps de lecture estimé : 15 minutes

A la base tout à fait nécessaires au web moderne, les cookies ont vite été détournés de leur but premier pour nous traquer sur internet. Par qui ? Les réseaux publicitaires et les sites d'e-commerce. Et comment s'en protéger ? En utilisant un browser configuré pour protéger votre vie privée, et 2 ou 3 extensions utiles contre le tracking...

Les cookies ont été inventés en 1994 et ont été très vite adoptés par tous les browsers, car ils apportaient une fonctionnalité importante au web moderne : la possibilité d'être reconnu par un site web.

En effet, le protocole HTTP, qui est utilisé pour consulter une page web, ne permet pas à la base au serveur web de faire le lien entre un utilisateur qui demande une page du site, et le même utilisateur qui demande quelques secondes plus tard une nouvelle page du site ; ceci empêche de gérer le panier d'un site d'e-commerce, ou simplement de retenir que l'utilisateur est déjà connecté à son compte. Bref, pour tout ce qui fait le web moderne, on a besoin que le site web puisse nous reconnaître d'une page à l'autre, et c'est exactement ça le but premier des cookies !

Ici, on va décortiquer l'interaction entre le browser et le site web pour comprendre comment fonctionnent les cookies. Ce sont des petits fichiers de données (maximum 4 KB) liées à un site web, qui sont stockés sur votre ordinateur par votre browser. Si par exemple je me connecte à https://www.shogunweb.be avec Firefox (mais c'est pareil pour tous les browsers : Chrome, Edge, IE, Opera, Brave...), la première chose que Firefox va vérifier c'est : est-ce que j'ai déjà un cookie pour le domaine www.shogunweb.be ? Imaginons que je ne me sois jamais connecté à www.shogunweb.be : Firefox n'a alors pas encore de cookie ; il envoie alors la requête HTTP pour obtenir la page www.shogunweb.be, en précisant qu'il n'a pas de cookie.

Le site web reçoit la requête, voit qu'il n'y a pas de cookie et envoie en retour le code HTML de la page web demandée, ainsi qu'un cookie.

Firefox stocke le cookie pour www.shogunweb.be, et il commence à lire le code HTML. Ce code HTML n'est que du texte : il contient tout le texte et la structure de la page, mais il contient également des références vers d'autres fichiers à télécharger pour afficher correctement la page : images/vidéos, polices de caractères, feuilles de style, scripts javascript...

Firefox télécharge une à une toutes ces ressources sur www.shogunweb.be en créant à chaque fois une requête HTTP, qui cette fois contient le cookie www.shogunweb.be ; à chaque fois, le site web envoie en retour la ressource demandée, éventuellement accompagnée d'un nouveau cookie que Firefox stocke en écrasant le précédent.

Que contient le cookie ? A la base il contient au moins un identifiant généré par le site web, qui lui permet de reconnaître l'utilisateur lorsqu'il demande une nouvelle ressource (l'identifiant de session). Cette entrée a un nom (par exemple "session_id"), une valeur (par exemple "ae3457fdxqw"), une durée de vie (par exemple "session"), et quelques autres propriétés (domaine, dernier accès...). Un cookie peut contenir plusieurs entrées : un site web peut par exemple en ajouter pour retenir les produits du panier, retenir le choix de l'utilisateur pour la langue française, retenir le nom de l'utilisateur...

En bref, il contient toutes des informations qui permettent au site web de personnaliser son contenu pour l'utilisateur, sans devoir stocker l'info dans sa base de données interne.

Vous me direz : rien de bien méchant finalement, surtout que le site www.shogunweb.be ne voit que les cookies qu'il a lui-même créés.

Mais du coup : comment peut-on être traqué par un cookie ?

Jusqu'ici on n'a parlé que des cookies internes (first-party cookies en anglais), générés par un site pour son usage propre. On a vu que les cookies sont envoyés par Firefox à chaque fois qu'il demande une ressource. Quand il demande une image stockées sur www.shogunweb.be, il envoie le cookie relatif à www.shogunweb.be dans sa requête.

Mais que se passe-t-il quand la page nécessite de télécharger une ressource sur un autre serveur ? Imaginons par exemple que la page contienne le bouton de "partage" officiel de Facebook, qui nécessite de télécharger un script sur facebook.com : Firefox envoie donc cette fois une requête HTTP à facebook.com. Si je me suis déjà connecté auparavant à Facebook, Facebook a demandé à mon browser d'enregistrer un cookie avec un identifiant unique qui lui permet de m'identifier. Et par défaut, si le cookie existe, mon browser l'envoie avec la requête HTTP...

Facebook sait donc grâce à ce cookie que c'est moi qui suis en train de visiter www.shogunweb.be !

Pour être complet, je dois également expliquer comment Facebook connaît l'adresse de la page que je visite. Pour ça il faut regarder plus en détail les autres infos contenues dans cette requête HTTP envoyée par le browser. On y trouve notamment :

- le type de requête effectué

- l'URL de la ressource demandée (par exemple "https://facebook.com/share.js")

- l'adresse de la page qui demande la ressource (par exemple "https://www.shogunweb.be/les-cookies-indigestes")

- les infos sur le browser utilisé (par exemple "Mozilla/5.0 (Windows NT 10.0; Win64; x64)")

- et une série d'infos moins pertinentes pour notre sujet...

Donc oui, Facebook reçoit bien l'info sur la page que je visite, et grâce à son cookie il peut m'identifier si je me suis déjà connecté à mon compte Facebook.

Evidemment ça fonctionne de la même manière pour chaque ressource externe demandée par la page, par exemple :

- le script Google Analytics (Google)

- une publicité provenant d'un serveur de pub (Google ou autres)

- le "Facebook pixel"

- la plupart des boutons de partage ou de login sur les réseaux sociaux

Certains sites contiennent plusieurs dizaines de ressources externes, permettant chacune à une société tierce de suivre votre navigation sur le site, et potentiellement de vous suivre de site en site (si les traqueurs sont présents sur d'autres sites). C'est le principe des cookies tiers (third-party cookies en anglais), qui sont en fait utilisés comme traqueurs par les réseaux de publicité pour vous profiler et, au final, vous envoyer de la publicité ciblée.

Pour info : selon le site "Who tracks Me", environ 80% des sites contiennent un traqueurs de Google (Google Analytics ou pubs Google) - ce qui en fait LE traqueur n°1 du web, et de très loin -, 18% contiennent un traqueur Facebook, et 17% un traqueur Amazon.

Tous les browsers ne se valent pas concernant le respect de votre vie privée. J'en conseille en particulier deux : Firefox et Brave. Ces deux browsers sont open source (les spécialistes en sécurité peuvent donc auditer leur fonctionnement), faciles à utiliser, respectueux des standards du web et surtout, ils sont configurés par défaut pour protéger votre vie privée.

Et Chrome ?

Je vous déconseille très fortement d'utiliser Chrome si vous êtes soucieux de votre vie privée : Chrome appartient à Google, dont le business model repose exclusivement sur la publicité, et le profilage des utilisateurs. Malgré des effets d'annonce, Google renâcle toujours à intégrer par défaut une véritable protection de la vie privée pour les utilisateurs de Chrome. Les paramètres de protection de la vie privée dans Chrome sont plus ou moins cachés ou découragés, et les mises à jour de Chrome comportent régulièrement des nouvelles fonctionnalités non respectueuses de la vie privée.

Un exemple de nouvelle fonctionnalité qui va à l'encontre de votre vie privée : Google a forcé en 2019 la connexion automatique à votre compte Chrome (même si vous n'en avez pas) dès que vous vous connectez à votre compte Google (par exemple pour consulter vos mails sur GMail), ce qui permet à Google de récupérer votre historique de navigation.

De même, le nouvel outil "Software Reporter Tool", inclus avec Chrome sous Windows et qui est sensé rechercher de possibles malwares dans les add-ons de Chrome, scanne manifestement l'entièreté de votre disque dur, ralentissant au passage considérablement votre machine - pour y chercher quelle info exactement ?

Ici je ne parlerai que de Firefox, qui est le browser que j'utilise le plus.

Dans les paramètres de Firefox, ouvrez l'onglet "Vie privée". Tout en haut vous pouvez configurer le niveau de sécurité et de protection de la vie privée : je vous conseille "Stricte", qui est aujourd'hui le meilleur point de départ et qui, de mon expérience, fonctionne avec tous les sites.

Le paramètre suivant est l'envoi du signal "Ne pas me pister" aux sites web que vous visitez : vous avez au moins déclaré votre intention pour les sites honnêtes, même s'il est évidemment peu probable que ça arrête tous les traqueurs... Je vous conseille également de cocher "Supprimer les cookies et les données de site à la fermeture de Firefox" : en faisant régulièrement le ménage dans vos cookies, vous laissez moins de traces derrière vous.

Enfin, ça vaut la peine de parler sécurité : Firefox propose par défaut un premier niveau de sécurité contre les contenus trompeurs et logiciels dangereux. Il propose également de vérifier la validité certificats SSL (pour les connexions https).

Firefox peut également forcer la connexion https chaque fois que c'est possible (au lieu de la communication non chiffrée http) : c'est évidemment un plus, même si vous constaterez que certains sites gèrent mal le https tout en le laissant accessible ; vous devrez donc parfois manuellement forcer la version http du site (c'est heureusement de plus en plus rare).

Voilà, j'espère que cet article vous aura permis de mieux comprendre le fonctionnement des cookies, et la différence entre les cookies internes (first-party cookies) utilisés pour vous faciliter la vie, et les cookies tiers (third-party cookies) utilisés pour vous traquer. Vous disposez également de quelques pistes pour vous protéger.

Que nous réserve l'avenir ? Heureusement, grâce à la prise de conscience progressive des utilisateurs, les navigateurs bloquent de plus en plus par défaut les cookies tiers et autres scripts de traçage. Malheureusement, la publicité ciblée est un marché tellement rentable que de nouvelles pratiques voient le jour pour tracer les utilisateurs sans leur consentement, identifiées collectivement sous le nom de "super-cookies", plus difficiles à détecter et prévenir. Mais ce sera l'objet d'un article suivant !

* Note : les images d'illustration utilisées dans cet article sont issues de Pixabay, banque d'images gratuites