En mars 2016, la FCC a infligé à Verizon une amende de 1,35 million de dollars pour avoir suivi les clients avec un en-tête d'identifiant unique (UIDH), également connu sous le nom de "supercookie". C'était une grande nouvelle lorsque la FCC a forcé Verizon à autoriser les clients à se retirer du suivi. Mais qu'est-ce qu'un super cookie ? Pourquoi un supercookie est-il pire qu'un cookie ordinaire ?
Voici ce que vous devez savoir sur les supercookies --- et comment les supprimer.
Pour comprendre les supercookies, vous devez comprendre ce que sont les cookies ordinaires. Un cookie HTTP, généralement simplement appelé cookie, est un petit morceau de code qui est téléchargé sur le navigateur d'un utilisateur lorsqu'il visite un site Web. Le cookie stocke de petites informations utiles au site Web, à l'utilisateur et aux interactions entre les deux.
Par exemple, lorsque vous mettez des articles dans votre panier Amazon, ces articles sont stockés dans un cookie. Si vous quittez Amazon, à votre retour, vos articles restent dans votre panier. Le cookie renvoie ces informations à Amazon lorsque vous revenez sur le site.
Les cookies réguliers remplissent également d'autres fonctions, comme indiquer à un site Web que vous êtes déjà connecté, afin que vous n'ayez pas à vous reconnecter lorsque vous revenez. Plus controversé, les cookies de suivi tiers vous suivent sur Internet, informant le marketing et d'autres sociétés de ce que vous faites en ligne.
Un supercookie est un cookie de suivi mais a une utilisation plus sinistre. Les supercookies ont également des fonctionnalités différentes d'un cookie ordinaire.
Avec un cookie ordinaire, si vous ne souhaitez pas qu'il vous suive sur Internet, vous pouvez effacer vos données de navigation, vos cookies, etc. Vous pouvez bloquer les cookies et les cookies tiers de votre navigateur et supprimer automatiquement les cookies après la fin de la session de votre navigateur. Vous devez vous reconnecter à chaque site et les articles de votre panier ne seront pas stockés, mais cela signifie également que les cookies de suivi ne vous suivent plus.
Un supercookie est différent. Effacer vos données de navigation n'aide pas. C'est parce qu'un supercookie n'est pas vraiment un cookie; il n'est pas stocké dans votre navigateur.
Au lieu de cela, un FAI insère une information unique à la connexion d'un utilisateur dans l'en-tête HTTP. Les informations identifient de manière unique tout appareil. Dans le cas de Verizon, cela permettait le suivi de chaque site Web visité.
Étant donné que le FAI injecte également le supercookie entre l'appareil et le serveur auquel il se connecte, l'utilisateur ne peut rien y faire. Vous ne pouvez pas le supprimer, car il n'est pas stocké sur votre appareil. Les logiciels de blocage des publicités et des scripts ne peuvent pas l'arrêter, car cela se produit après que la demande a quitté l'appareil.
Le potentiel de violation de la vie privée ici devrait être évident - dans la plupart des cas, les cookies sont liés à un seul site Web et ne peuvent pas être partagés avec un autre site. L'UIDH peut être révélée à n'importe quel site Web et contient une quantité potentiellement importante d'informations sur les habitudes et l'historique d'un utilisateur. Verizon faisait également la publicité de cette capacité auprès de ses partenaires. Il est fort probable que cette utilisation spécifique d'un supercookie ait pour but de capturer beaucoup de données pour les revendre.
L'Electronic Frontier Foundation (EFF) note également qu'un supercookie peut être utilisé par les annonceurs pour essentiellement ressusciter les cookies supprimés de l'appareil d'un utilisateur et les lier à de nouveaux, en contournant les stratégies que les utilisateurs pourraient adopter pour empêcher le suivi :
[S]upposons qu'un réseau publicitaire vous attribue un cookie avec la valeur unique "cookie1" et que Verizon vous attribue l'en-tête X-UIDH "old_uid". Lorsque Verizon modifie votre en-tête X-UIDH en une nouvelle valeur, dites "new_uid", le réseau publicitaire peut connecter "new_uid" et "old_uid" à la même valeur de cookie "cookie1" et voir que les trois valeurs représentent la même personne. De même, si vous effacez ultérieurement les cookies, le réseau publicitaire attribuera une nouvelle valeur de cookie "cookie2". Étant donné que votre valeur X-UIDH est la même (par exemple, "new_uid") avant et après la suppression des cookies, le réseau publicitaire peut connecter "cookie1" et "cookie2" à la même valeur X-UIDH "new_uid". L'amorçage aller-retour de l'identité rend impossible l'effacement réel de votre historique de suivi lorsque l'en-tête X-UIDH est activé.
Dans le même article de blog, l'EFF note également qu'une UIDH peut également s'appliquer aux données envoyées à partir d'applications, ce qui n'est pas aussi facile à suivre autrement. La combinaison permet de créer une image fine de l'utilisation d'Internet par un utilisateur. Verizon contourne également les paramètres "Limiter le suivi des publicités" sur iOS et Android. Contourner cette limite aggrave les violations potentielles de la vie privée que les supercookies commettent.
Un supercookie comprend des informations sur la demande faite par un utilisateur, comme le site Web qu'il essaie de visiter et l'heure à laquelle la demande a été faite. Ceci est connu sous le nom de métadonnées (et est très similaire aux métadonnées collectées par la NSA à partir des enregistrements de téléphones portables). Mais les supercookies peuvent également inclure d'autres types de données.
Quel que soit le type exact de données, si Verizon subissait une violation de données et que ces cookies étaient liés à des utilisateurs spécifiques, cela deviendrait un cauchemar pour la confidentialité. L'EFF a déjà constaté que des numéros de téléphone hachés étaient utilisés comme identifiants d'utilisateurs, ce qui est un signe inquiétant. Les pirates, d'autres entreprises ou des organisations gouvernementales aimeraient mettre la main sur ce type d'informations.
Le fait que Verizon était l'une des entreprises participant au programme PRISM de la NSA ne fait que rendre cela plus inquiétant.
Un cookie zombie est un autre type de supercookie. Comme son nom l'indique, vous ne pouvez pas tuer le cookie zombie. Et quand vous pensez que vous l'avez tué, le cookie zombie peut revenir à la vie.
Un cookie zombie reste intact car il se cache en dehors du stockage de cookies habituel de votre navigateur. Les cookies zombies ciblent le stockage local, le stockage HTML5, les valeurs de code couleur RVB, le stockage Silverlight, etc. C'est pourquoi on les appelle les cookies zombies. Un annonceur doit uniquement trouver un cookie existant dans l'un de ces emplacements pour ressusciter le reste. Si un utilisateur ne parvient pas à supprimer un seul cookie zombie de l'un des emplacements de stockage, il revient à la case départ.
Les supercookies stockent de nombreuses informations vous concernant. Certains peuvent ressusciter les cookies normaux supprimés, et certains ne sont pas stockés sur votre appareil. Que pouvez-vous faire à leur sujet, alors ?
Malheureusement, la réponse pour certains types de supercookies est "pas beaucoup".
Verizon permet aux abonnés de désactiver le suivi UIDH. Si vous êtes un utilisateur de Verizon, rendez-vous sur www.vzw.com/myprivacy, connectez-vous à votre compte et accédez à la section Publicité mobile pertinente. Sélectionnez "Non, je ne souhaite pas participer à la publicité mobile pertinente". Veuillez noter que la désactivation ne désactive pas réellement l'en-tête. Il indique seulement à Verizon de ne pas partager d'informations démographiques détaillées avec les annonceurs à la recherche d'une valeur UIDH. De plus, si vous participez au programme Verizon Selects, l'UIDH restera active même après votre retrait.
Si un FAI décide d'utiliser un supercookie de niveau UIDH pour vous suivre, vous n'avez pratiquement pas de chance. Si quelqu'un vous suit avec un supercookie, votre meilleur pari est d'utiliser un VPN pour créer une connexion cryptée entre vous et le reste d'Internet. HTTPS est presque la norme de facto pour la navigation sur Internet, qui protège également votre trafic Internet des espions. Dans la mesure du possible, utilisez toujours HTTPS sur une connexion HTTP de base.
Sinon, consultez la section Les meilleurs outils de sécurité du navigateur dans le guide MakeUseOf des meilleures applications de sécurité et antivirus.
Les UIDH constituent une menace sérieuse pour la vie privée sur Internet. Ils ne sont pas stockés sur votre ordinateur, peuvent identifier de manière unique votre trafic Web et sont extrêmement difficiles à détecter. L'utilisation de HTTPS et d'un VPN aide, mais ce dont les internautes ont besoin, c'est d'une législation stricte exigeant que les FAI nous autorisent à nous retirer de ces programmes de suivi, voire à arrêter complètement les programmes de suivi dangereux et invasifs. Les législateurs de l'État américain du Maine ont récemment adopté un projet de loi empêchant les FAI de vendre des données Internet privées aux annonceurs.
Inquiet du suivi Facebook ? Voici comment empêcher Facebook de suivre vos mouvements en ligne.
