TP Cookies

Question 1

Qu’est ce qu’un cookie dans le sens informatique du terme ? Montrez un exemple de contenu d’un cookie. Comment le lire quand on navigue sur Internet ? Est-ce une opération simple ? Comment lister tous les cookies en place dans un navigateur ? Quelle quantité de cookies avez-vous dans votre navigateur ?

Un cookie, dans le sens informatique du terme, est un petit fichier texte qui est stocké par un serveur sur un client (navigateur) lorsqu’il visite un site web. Ce fichier peut contenir des informations relatives à la navigation de l’utilisateur sur un site donné, comme ses préférences ou encore identifiants (tokens de session). Ces informations sont alors renvoyées lors d’une future visite vers ce site, pour garder la session active ou appliquer les préférences. Ces cookies peuvent également servir à tracer l’activité et le comportement d’un utilisateur sur le web (Google Ads). Le contenu peut ressembler à ceci : session_id=xxxxxxxxx. Le nom étant « session_id » et la valeur « xxxxxxxxx ».

On peut accéder à la liste des cookies déposés par un site donné en se rendant sur le site en question, puis en cliquant sur le cadenas de la barre d’adresse et en accèdent au menu dédié « cookies », ce qui va ouvrir le panneau listant les cookies de ce site :

La lecture des cookies est donc relativement simple, à condition que le comprene son utilité.

Pour lister tous les cookies présents dans un navigateur (Edge) il faut ouvrir les paramètres (avec les trois points en haut à droite), aller dans les menus :

• [Cookies et autorisations de site] > [Gérer et supprimer les cookies et les données du site] > [Afficher tous les cookies et données de site]

Après un rapide coup d’œil, j’ai remarqué que mon navigateur décompte près de 1000 cookies. Et étonnamment, le site qui a déposé le plus de cookies est le site laposte.fr avec 99 cookies.

Question 2

Quels enjeux tournent autour de ces fichiers ? En quoi le RGPD change la donne ?

Ces cookies présentent plusieurs enjeux, à la fois techniques, économiques et juridiques. D’un point de vue technique ils permettent de faciliter l’expérience d’utilisateur (dite UX) en simplifiant l’authentification, ses préférences de langue et bien plus.
Du point de vue économique ils permettent aux sites de collecter les données sur les utilisateurs, afin de les analyser pour proposer des publicités ciblées.
Du point de vue juridique ils posent des questions sur le respect de la vie privée des utilisateurs, comme leur consentement de la collecte de leurs informations, la transparence des procédés ou encore de la sécurité de ces données.

Le RGPD (Règlement Général sur la Protection des Données) est un texte européen qui vise à renforcer la protection des données personnelles des citoyens européens, entré en vigueur le 25 mai 2018, il impose aux sites web qui utilisent des cookies de respecter certaines règles, comme par exemple informer les utilisateurs de l’utilisation des cookies, demander leur consentement explicite mais aussi leur permettre de refuser et modifier leur choix. Le RGPD change la donne en matière de cookies, car il oblige les sites à être plus transparents vis-à-vis des utilisateurs.

Question 3

Quels dangers gravitent autour de ces fichiers ? Quelles attaques sont possibles ?

Plusieurs dangers émanent de l’utilisation de ces cookies, parmi ces risques on peut noter :

• Le traçage : Les cookies peuvent être utilisés par des sites web ou bien par des tiers (annonceurs, réseaux sociaux) afin de suivre le comportement et les intérêts des utilisateurs, dans le but de leur proposer des publicités ciblées. Ce traçage pouvait se faire (avant le RGPD en théorie) à l’insu, sans le consentement des utilisateurs. Ce qui constitue une atteinte à la vie privée.
• Le vol de données : Ces cookies peuvent contenir des données sensibles, comme des identifiants, mots de passes (hashés avec de la chance) ou encore des données d’authentification (comme un token). Ces données volées pourront ensuite être revendues, ou pour commettre des fraudes.
• L’injection de code : Les cookies peuvent être modifiés ou falsifiés de plusieurs moyens, par exemple en remplacent ses cookies de session par ceux qui ont étés volés ou encore en injectant du code malveillant qui sera exécuté par le navigateur.

Question 4

Analysez les captures réalisées et fournies avec ce TP. Que pouvez-vous en dire ? Complétez avec d’autres captures de votre composition et tirez-en une conclusion. Vos autres captures pourront être rajoutées dans ce répertoire afin que tout le monde en profite.

Les captures données avec ce TP montrent des bannières concernant les cookies de différents sites comme Le Parisien, Allociné, ThyssenKrupp. On note que la plupart des sites permettent d’explicitement accepter ces cookies, pour certains le les refuser par le biais d’un menu « personnaliser mes choix » ou d’autres par un bouton dédié « tout refuser », mais certains demandent à s’abonner à un de leur services pour refuser ces cookies, ce qui semble tiré par les cheveux.

Sur le net, j’ai pu trouver un exemple de bannière de cookies que je trouve intéressante, car elle est très exhaustive sur ses intentions et la sur manière dont les tiers traitent ces données, celle du site d’Amazon Prime Video :