Cookie et Cookies

Cookie et Cookies

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Cookie
Les cookies sont de petits fichiers, sur votre disque dur, qu'un site manipule grâce à votre navigateur. Plusieurs de ces cookies servent aux spywares. Les cookies ne sont pas et ne peuvent pas être, directement, des spywares, mais ils contiennent des informations qui sont relevées par les spywares - on parle de "cookies à spywares".

Un cookie est un "post-it" pour le serveur d'un site visité, déposé chez le client (vous, dans votre ordinateur). C'était sa finalité lors de son invention par la société Netscape et c'est son usage quotidien dans beaucoup de cas. Il y a des centaines de millions de sites et des centaines de millions de Cookies tout à fait légitimes.

Par contre, il y a un usage déviant dans la cadre d'outils d'espionnage ou de marketing et d'établissement du profil (profiling) de la cible : vous. Si l'on fait un décompte des « Cookies à spywares » recensés par PestPatrol ou SpywareBlaster, ce ne sont que quelques centaines de cas. Mais c'est à cause d'eux que nous sommes obligés d'en parler et de traiter le problème car ces petits fichiers sont massivement utilisés dans :
Un peu d'histoire :
Les cookies sont apparus en 1995 avec la version 2 de Netscape qui les a inventés et déployés. Ce sont des mécanismes qui permettent certaines fonctionnalités destinées, initialement, à améliorer le confort de l'internaute.

L'origine du nom "cookie" vient du nom d'un petit gâteau inventé par un japonais aux Etats Unis vers les années 1915 (dont les restaurant chinois américains et canadiens se sont emparé et qui fut introduit en Chine en 1992), le "fortune cookie", qui contient un petit texte (généralement une prédiction de "bonne fortune" d'où son nom, parfois un aphorisme, une stance de sagesse, une citation biblique, une maxime de Confucius) dans un bout de papier roulé à l'intérieur du gâteau (images Wikipédia).

Cookie fermé Cookie ouvert laissant apparaître un message à l'intérieur


Un peu d'usage :
  • Un site multilingue peut ainsi se souvenir, grâce à ce mécanisme, que votre langue préférée est le français plutôt qu'une autre et, lors de votre prochaine visite, s'affichera immédiatement dans votre langue.
  • Un forum peut se souvenir de la date de votre dernière visite et, lors de votre prochaine visite, vous signaler les nouveaux messages depuis cette date.
  • Un moteur de recherches mémorisera ainsi vos préférences (afficher les résultats par paquets de 25, 50 ou 100 lignes, trouver les résultats en français et en anglais uniquement etc. ...)
Un peu de technique :
Les "Cookies" sont, physiquement, de petits fichiers de données (de type "texte"), pas des programmes, stockés sur votre disque dur. Internet Explorer les stocke comme autant de petits fichiers dans une bibliothèque appelée "c:\windows\cookies" (ou plusieurs bibliothèques s'il y a une notion de profils d'utilisateurs). Netscape, Mozilla, Firefox ou Opera les stockent à l'intérieur d'un unique fichier.

Remarques
Sur le plan purement technique, la solution "fichier unique de cookies" de Netscape, Mozilla, Firefox ou Opera est préférable à celle d'Internet Explorer. Le système de gestion de fichiers n'a qu'une seule unité logique à assigner et ouvrir au lancement du navigateur au lieu d'ouvrir et fermer les cookies à chaque changement de site visité.
Les cookies de Netscape, Mozilla, Firefox ou Opera ne sont mis à jour, sur votre disque dur, qu'une fois, à la fermeture du navigateur. Entre-temps les manipulations ont lieu en mémoire.
Microsoft a bien vu qu'il y avait un problème technique et l'a résolu avec les fichiers index.dat qui constituent donc un problème parallèle aux cookies (et à d'autres traces de notre activité laissées sur nos ordinateurs).

Dans Internet Explorer, les cookies sont au format ".txt" (format texte banal) et vous pouvez en lire et modifier le contenu simplement avec le bloc-notes de Windows (Microsoft NotePad ou WordPad) ou votre traitement de texte préféré. Leur collection constitue une mini base de données. Les autres navigateurs offrent de véritables outils de manipulations, bien plus souples.

Ce sont les navigateurs qui gèrent, physiquement, les cookies, pour le compte des sites demandeurs. Ils prennent en charge et exécutent les demandes de création, ouverture, lecture, modification, écriture, ré-écriture, fermeture et destruction de ces fichiers. Depuis quelque temps, ils permettent aussi aux internautes de plus ou moins surveiller ce qui se passe. Chaque navigateur le fait à sa manière mais on retrouve toujours la possibilité pour chaque internaute, et pour chacun de ses navigateurs s'il en a installé plusieurs, de créer des règles d'acceptation, de refus, de limite de validité et de destructions des cookies.

Les mécanismes mis en place par Netscape et adoptés par tous les autres navigateurs sont devenus des normes de fait, entre autres :
  • Les informations contenues dans un cookie ne peuvent être manipulées (lecture / écriture) que par le nom de domaine Web (le site) qui a initialement créé le cookie et uniquement pour ses interactions privées entre lui-même et le visiteur.

  • Corollaire : les serveurs Web ne peuvent lire, par les mécanismes normalisés des navigateurs, les cookies crées par d'autres serveurs Web - malheureusement, il y a les espions (les spywares)...

  • Chaque cookie peut stocker jusqu'à 4096 caractères et les navigateurs autorisent la création d'un maximum de 20 cookies par site (ces chiffres peuvent varier selon les navigateurs), le nombre total maximum de cookies crées sur votre ordinateur ne pouvant dépasser les 300.

  • Les cookies peuvent être temporaires (ils sont effacés automatiquement dès la fin d'une séance de surf sur le Web) ou être accompagnés d'une date limite de validité (éventuellement d'une "validité permanente").

Dans la pratique, mis à part le cas des cookies à spywares, ils contiennent de petites quantités d'informations (de l'ordre de 2 à 100 caractères par cookie). Il est rare qu'un site crée plus de 3 cookies. Ci-après, le cas d'un site créant 11 cookies.




Les cookies mémorisent des données vous concernant :
  1. afin de rendre votre navigation plus confortable :
    1. Vos préférences : par exemple utiliser tel site dans sa version française ou dans sa version anglaise.
    2. Vos réponses à quelques questions qui vous ont déjà été posées ce qui vous évitera d'avoir à y répondre à nouveau chaque fois que vous reviendrez sur le site.
    3. Quand êtes-vous venus pour la dernière fois sur le site afin de vous afficher automatiquement, lors de votre prochaine visite, la liste des nouveautés.
    4. ...

  2. afin d'accélérer votre navigation :
    1. Votre localisation géographique afin de vous connecter au serveur le plus proche.
    2. La référence du bandeau publicitaire actuellement affiché ce qui permet au serveur de publicités de changer efficacement de publicité à intervalles réguliers.
    3. ...


Contenu d'un cookie de confort (langue=français).


Les données contenues dans un cookie peuvent aussi être sensibles (mots de passe, données personnelles, données confidentielles...).

Souvent, ces données sont codées (cryptées) afin :

  • de les rendre difficiles à manipuler trop simplement, avec le bloc-notes de Windows ou votre traitement de texte par exemple.
  • de les rendre difficiles à comprendre par un tiers extérieur (l'internaute lui-même, en particulier).
  • de les compresser pour qu'elles prennent moins de place.


Contenu d'un cookie codé.


Le cookie est-il ou peut-il être une malveillance active ?
Les cookies ne peuvent pas être des malveillances actives (virus etc. ...) car ils ne peuvent être exécutés. Ils sont purement passifs. Toutefois rien n'empêche d'imaginer qu'un site piégé utilise une vingtaine de cookies, soit une possibilité de 4.096 * 20 = 81.920 caractères pour introduire une malveillance quelconque. C'est largement suffisant. Les "gros" virus pèsent, par exemple, environ 50.000 caractères. La malveillance est alors découpée en tronçons stockés dans les instructions de création de cookies d'une page Web piégée. Un contrôle ActiveX agissant en Binder est aussi introduit avec la page Web. Au chargement de la page, le Binder ré-assemble et installe la malveillance qui agira selon ses caractéristiques (à une date ultérieure de préférence de manière à donner le temps au site piégé d'infester un grand nombre de machines). L'infestation aura donc utilisé votre navigateur, le protocole http et le port 80, donc sera passée légalement à travers ces 3 règles de votre firewall. Seul le contrôle ActiveX pourrait être vu si les réglages du navigateur ne sont pas trop laxistes et, peut-être, l'installation de la consigne de lancement automatique de la malveillance si un utilitaire de surveillance de la liste de démarrage est mise en place. Et pour de plus grosses malveillances on peut utiliser plusieurs serveurs et plusieurs noms.

Le cookie dévoyé
La plupart des sites ne font qu'utiliser les cookies dans leur destination initiale mais pas tous. Le mécanisme des cookies a été dévoyé.

Théorie :
Les principaux utilisateurs des cookies à problèmes, les régies publicitaires et les sociétés de mesure d'audience, installent un ou 2 cookies sur votre ordinateur en prétendant (c'est en partie vrai) :
  • vérifier, pour le compte de leurs clients, les annonceurs, combien d'internautes ont vu les pubs qu'elles véhiculent vers les internautes avant de rémunérer les webmasters. Ce sont des compteurs de "hit", obligatoires pour tous sites comptant sur une rémunération en acceptant de véhiculer de la publicité.

  • assurer une bonne gestion des comptes publicité de leurs clients et donc envoyer, sur nos écrans, à intervalles réguliers, une nouvelle publicité en remplacement de la précédente, par exemple toute les 20 secondes. En assurant cette rotation elles permettent à tous leurs annonceurs d'être vus.

  • assurer à leurs clients que nous avons eu le temps matériel de voir l'annonce (même d'une manière subliminal, sans la lire), c'est-à-dire que nous sommes bien resté un certain temps sur la page, sans sauter immédiatement à une autre page.

  • faire le distinguo entre visiteurs et visites (il peut y avoir 1 visiteur qui fait plusieurs visites) car l'adresse IP n'est pas un identifiant suffisant (elle change à chaque connexion dans certains cas comme les connexions par modem sur ligne téléphonique). Elles y mettent un Guid et l'heure de dernière visite. Utile pour les statistiques de visite d'un site comme pour les régies publicitaires car certains contrat rémunèrent un site (un webmaster) au nombre de visiteurs uniques venus sur le site et non pas au nombre de visites.

Pratique :
Les régies publicitaires et les sociétés de mesure d'audience (et d'autres sociétés ou associations ou personnes physiques aux desseins plus opaques développant des sites piégés attractifs comme les sectes...), ont vu là un moyen de stocker de l'information confidentielle pour faire du profiling.
  • Des données sont stockées : celles que saisi l'internaute et qui peuvent être des numéros de carte bancaire ou de compte, des informations sanitaires, sociales, la traque des url visitées etc. ...

  • Les spywares peuvent rapatrier pour le compte de quelqu'un la totalité des contenus de la totalité des cookies trouvés. Le cryptage des données d'un cookie n'est pas incassable. Ces intrusions sont parmi les plus dangereuses.

  • La simple lecture des noms des cookies, qui correspond toujours au nom des domaines (sites) qui les ont créée, peut permettre à de savoir quels sites vous visitez.

  • Des cookies astucieusement gérés peuvent vous attribuer un identifiant unique qui est comme un code barre collé à la peau de l'internaute : le Guid. Dans la quasi-totalité des cas, l'internaute se connecte à Internet par l'intermédiaire d'un Fournisseur d'Accès Internet (un FAI) et un numéro d'accès temporaire (l'adresse IP) lui est attribué à la volée. S'il se reconnecte 100 fois dans la journée, il risque d'être vu comme 100 internautes différents (pas en ADSL ou l'adresse IP est souvent attribuée pour 24 heures, voire plus, même si vous vous déconnectez). Pour affiner les analyses un cookie peut alors stocker un Identifiant Unique - Guid qui sera plus pertinent. La précision des mesures fait ainsi un bon qualitatif en avant. Le risque d'erreur est résiduel : plusieurs personnes physiques différentes devant le même ordinateur (papa, maman, le fils, la fille... encore que des outils très fins permettent de discriminer plusieurs personnes utilisant le même ordinateur par la vitesse de frappe, vitesse du double clic, récurrence de telles fautes d'orthographe etc. ...). Nota : si vous avez installé un login des personnes se présentant devant l'ordinateur, les cookies sont stockés séparément pour chaque individu.

  • Des cookies sont écrits (modifiés) à chaque page visitée, avec, entre autres informations stockées, le nom de la page (son URL) et le nom de la page précédente (son référant). Ils sont relevés (lus) à chaque page suivante par le serveur du site visité afin que la régie publicitaire sache immédiatement ce à quoi vous vous intéressez. Vous avez visité la page de telle voiture neuve chez tel constructeur ? Donc on vous diffuse dans les secondes qui suivent de la pub "crédit auto" et de la pub "assurances auto"...

  • A partir des pages visitées, connues des sociétés de profiling grâce aux cookies, celles-ci établissent votre profil (de consommateur, d'électeur, de pion social, fiscal, votre moralité, vos penchants, votre niveau de biens d'équipement, votre patrimoine, votre argent etc. ...). Comment ? Les moteurs de recherches (Google etc. ...) savent extraire les Mots-clés des pages Web. Les logiciels des sociétés de profiling en font autant. Votre profil est établi et affiné avec le temps. Au bout de quelques jours de navigation les sociétés de profiling vous connaissent mieux que vous ne vous connaissez !!! Ces informations sont nominatives chaque fois que la société de profiling y arrive et sont recoupées avec d'autres en provenance d'autres sources (achats nominatifs grâce au paiements avec votre carte bancaires etc. ...).

Progression de la paranoïa
Dans la pratique, cela peut nous être égal d'être ainsi profiler. Ce que nous reprochons à tous ces outils et sociétés, c'est de nous espionner à notre insu et contre notre volonté. Nous serions moins chatouilleux si les internautes étaient profilés ouvertement et avec toute la garantie de l'anonymat (contenu des données envoyées non codées et parfaitement visibles, avertissement clair et sans ambiguïté de l'installation d'un outil de profiling, open source obligatoire de ces outils...). Malheureusement, des dizaines de fois (pour enregistrer la licence des logiciels que vous avez achetés, votre entête dans le courrier écrit avec votre traitement de texte préféré, l'entête de votre outil fax que vous avez personnalisé, vos carnets d'adresses etc. ...) vous vous êtes identifié personnellement sur votre ordinateur. Il y a même, quelque part, votre photo que vous avez scanné et votre signature ! Je me trompe ? Et parce que vous êtes prudent et qu'un jour cela servira, il y a aussi la copie scannée de votre carte d'identité, votre passeport, votre permis de conduire, votre livret de famille, votre groupe sanguin, vos bulletins de paie... Rien n'empêche un spyware d'ajouter tous ces fichiers aux données recueillies par les cookies et croiser tous les fichiers. Maintenant le malveillant en sait plus sur vous que vous-même et peut exploiter ces données (usurpation d'identité...), les communiquer, les vendre...

Enfin, pire que tout, les cookies dits "à spywares" sont utilisés par des conglomérats de sites qui se partagent le même cookie, contrairement aux règles de fonctionnement de base de cette technologie. Ils permettent à des sites de se partager de l'information sur nous-même et collectent de l'information de multiples sites pour la partager avec de multiples sites.

Top délire ?
Le comble, ou l'ultime dérision serait que les sociétés de profiling se mettent à nous revendre notre propre profil !!! Connaît-toi toi-même. Et si je le faisais, avec dépôt de brevet à l'appui ? Il y a tellement de nombrilistes ! Tiens, 1 milliard d'internautes (et ça va en augmentant) qui s'abonne à son profil, pour 1 euro par mois, ça me ferais 12 milliards d'euros de revenus brut par an durant des années avec juste un ordinateur qui tourne tout seul dans son coin, au fond d'un garage, et une ampoule qui pend au dessus, au bout d'un fil (ben quoi ? y'en a d'autres qui ont commencé comme ça - Hewlett Packard par exemple...) et pas d'employés, pas de salaire à verser, pas de déclaration sociale ni fiscale, pas de fournisseur, un bénéfice confondu avec le chiffre d'affaire TTC, pas de grève à subir... Le rêve... Ca tourne tout seul tandis que des filets de sable chaud coulent entre mes petits doigts manucurés sur une île paradisiaque ou des filles en pagne me ...

Hum... bon... Ressaisissons-nous - Nous disions donc : "Un cookie, n'est-ce pas..."

Qui nous cookifie ?
A peu près tout le monde.
  • Tous les sites ou presque, y compris le moindre microscopique site perso, font appel à des outils gratuits de mesure d'audience (là, il y aurait un gros travail à faire sur l'ego des Webmasters). Ces statistiques permettent au webmaster de savoir, par exemple, quelles sont les pages les plus visitées de son site et donc d'en déduire quelles orientations donner à son site ou quelles pages doivent être plus travaillées que d'autres etc. ... Ces statistiques permettent de savoir également comment se situe un site par rapport aux autres de même nature grâce aux classements bruts basés sur le nombre de visiteurs et de pages vues ainsi que grâce aux classements qualitatifs basés sur vos votes dans les différents panels.

    Afin d'affiner et de rendre crédibles ces statistiques, tous ces outils ont besoin d'installer un à une dizaine de cookies, ne serait-ce que pour empêcher quelqu'un de voter pour un site plusieurs fois par jour (j'ai vu les statistiques d'un site dont le webmaster avait pu voter pour lui-même (pour son site) 1.900 fois dans la journée alors que son site ne reçoit que 30 à 35 visiteurs par jour !!!).

    Et bien, ces mesures d'audiences "gratuites" qui nécessitent des centaines d'ordinateurs et de très larges bandes passantes avec des foultitudes d'accès simultanés, rapportent beaucoup d'argent à ces sociétés "gratuites" grâce aux tags disséminés dans toutes les pages de tous les sites du monde. Les Xiti, Weborama, bPath, Hit-Parade, eStat, Top-France etc. ... sont des champions de l'espionnage, du traçage, du tracking, du profilage etc. ...

  • Tous les sites qui affichent de la publicité. Ils sont rémunérés par les régies publicitaires qui ont besoin des cookies pour le profiling mais aussi pour lutter contre une astuces des webmasters payés au nombre de pages vues : les webmasters écrivaient des petits programmes qui faisaient défiler les pages de leurs sites à toute vitesse pour gonfler les compteurs (ou utilisaient le vieux truc de la page "rafraîchie" automatiquement toutes les 5 ou 10 secondes). L'usage de cookies rend ce genre d'arnaques inopérant.

Les cookies sur Assiste.com
Assiste.com est constitué de 2 sites (2 hébergements).
  • Le site Assiste.com
    Il n'utilise aucun cookies et, depuis le 27 mars 2003, les derniers outils statistiques de tierces parties, que j'avais dans le collimateur depuis un certain temps, ont été virés (y compris le script en open source et libre "Kietu" qui avait remplacé Weborama). Si un jour un peu de publicité venait, en désespoir de cause (les donations sont de l'ordre de 50€ par an !) tenter d'apporter quelques subsides à Assiste.com, les tierces parties (régies publicitaires) déposeraient leurs propres cookies.

  • Le forum d'Assiste.com
    Le forum utilise directement (en privé) le script phpBB (un script de forum en "open source") sans passer par une tierce partie. phpBB utilise 4 cookies stockant la date de votre dernière visite et votre identifiant de session afin de vous signaler les nouveaux messages lors de votre prochaine visite. Il est recommandé, pour des questions de confort, d'autoriser de manière permanente assiste.forum.free.fr à déposer des cookies. Les 4 cookies ont pour noms (ceci peut changer en cas de modification / mise à jour du script phpBB) :
    • assiste.forum.free.fr cookie_forum_sid
    • assiste.forum.free.fr cookie_forum_f
    • assiste.forum.free.fr cookie_forum_t
    • assiste.forum.free.fr cookie_forum_data
Exemple
Magnifique exemple de code source d'une page réelle utilisant : Script, Pop-Under, Interstitiel, Bannières, Adservers et Cookie




Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
16.12.2004 Mise à jour
09.06.2006 Mise à jour
13.03.2007 Correction à propos des cookies du forum Assiste
 
   
Rédigé en écoutant :
Gator Guitar Bites - Roy Buchanan, Albert Collins, Johnny Winter, Lucky Peterson, Corey Harris, Hound Dog Taylor, The Kinsey Report, Long John Hunter, Elvin Bishop, Lonnie Brooks, Little Charlie & the Nightcats, Michael Hill Blues Mob, Tinsley Ellis, Fenton Robinson, Lil'ed and the Blues Imperials...