Depuis l'U.E. voté pour introduire des avertissements obligatoires sur les cookies en 2012, les petits fichiers basés sur les navigateurs n'ont jamais été loin des esprits.
Mais tous les cookies ne naissent pas égaux. En fait, il existe de nombreux types de cookies différents. Certains sont bons, certains sont mauvais. Regardons de plus près.
Imaginez essayer de magasiner sur Amazon si vous ne pouviez pas remplir votre panier avant d'être prêt à payer. Vous devrez vous souvenir de tous les articles que vous vouliez acheter pendant que vous naviguez sur le site.
Sans les cookies de session, cette situation serait une réalité.
Il est plus facile de considérer les cookies de session comme la mémoire à court terme d'un site Web. Ils permettent aux sites de vous reconnaître lorsque vous passez d'une page à l'autre au sein de leur domaine. Sans les cookies de session, vous seriez traité comme un nouveau visiteur chaque fois que vous cliqueriez sur un nouveau lien interne.
Ils ne collectent aucune information sur votre ordinateur et ne contiennent aucune information personnellement identifiable pouvant lier une session à un utilisateur particulier.
Les cookies de session sont temporaires; lorsque vous fermez votre navigateur, votre ordinateur les supprimera automatiquement.
Également connus sous le nom de cookies persistants, cookies permanents et cookies stockés, les cookies internes sont apparentés à la mémoire à long terme d'un site Web. Ils aident les sites à mémoriser vos informations et vos paramètres lorsque vous les revisitez à l'avenir.
Sans ces cookies, les sites ne pourraient pas mémoriser vos préférences telles que les paramètres de menu, les thèmes, la sélection de la langue et les signets internes entre les sessions. Avec les cookies propriétaires, vous pouvez effectuer ces sélections lors de votre première visite et elles seront cohérentes jusqu'à l'expiration du cookie.
La plupart des cookies persistants expirent après un ou deux ans. Si vous ne visitez pas le site dans le délai d'expiration, votre navigateur supprimera le cookie. Vous pouvez également les supprimer manuellement.
Les cookies propriétaires jouent également un rôle important dans l'authentification des utilisateurs. Si vous deviez les désactiver, vous devrez ressaisir vos identifiants de connexion chaque fois que vous visiterez une page.
En revanche, les entreprises peuvent utiliser des cookies persistants pour vous suivre. Contrairement aux cookies de session, ils enregistrent des informations sur vos habitudes de navigation pendant toute la durée de leur activité.
Les cookies tiers sont les méchants. Ils sont la raison pour laquelle les cookies ont si mauvaise réputation auprès des internautes.
Prenons du recul. Dans le cas des cookies propriétaires, le domaine d'un cookie correspondra au domaine du site que vous visitez. Un cookie tiers provient d'un domaine différent.
Parce qu'il ne provient pas du site que vous consultez, un cookie tiers ne fournit aucun des avantages des cookies de session et des cookies propriétaires dont nous venons de parler.
Au lieu de cela, il a un seul objectif --- vous suivre. Le suivi peut prendre plusieurs formes; les cookies peuvent en savoir plus sur votre historique de navigation, votre comportement en ligne, vos données démographiques, vos habitudes de consommation, etc.
En raison de leur capacité de suivi, les cookies tiers sont devenus un favori des réseaux publicitaires dans le but d'augmenter leurs ventes et leurs pages vues.
Aujourd'hui, la plupart des navigateurs offrent un moyen simple de bloquer les cookies tiers. Nous vous recommandons vivement de suivre les étapes nécessaires dans le navigateur de votre choix.
Si vous utilisez Chrome et souhaitez bloquer les cookies, accédez à Plus > Paramètres > Avancé > Confidentialité et sécurité > Paramètres de contenu > Cookies > Bloquer les cookies tiers .
Les trois types de cookies que nous avons couverts jusqu'à présent sont les plus connus et les plus courants. Mais il y en a quelques autres dont vous devez être conscient.
Le premier est un cookie sécurisé. Il ne peut être transmis que via une connexion cryptée. En règle générale, cela signifie HTTPS.
Tant que l'attribut "Sécurisé" du cookie est actif, l'agent utilisateur ne transmettra pas le cookie sur un canal non crypté. Sans le drapeau Secure, le cookie est envoyé en texte clair et peut être intercepté par des tiers non autorisés.
Cependant, même avec l'indicateur Secure, les développeurs ne doivent pas utiliser de cookie pour stocker des informations sensibles. En pratique, le flag ne protège que la confidentialité d'un cookie. Un attaquant du réseau pourrait écraser les cookies sécurisés d'une connexion non sécurisée. Cela est particulièrement vrai si un site a à la fois une version HTTP et HTTPS.
Les cookies sécurisés sont souvent aussi des cookies HTTP uniquement. Les deux indicateurs fonctionnent en tandem pour aider à réduire la vulnérabilité d'un cookie à une attaque de script intersite (XSS).
Lors d'une attaque XSS, un pirate injecte un code malveillant dans des sites Web de confiance. Un navigateur ne peut pas dire que le script ne doit pas être approuvé. Par conséquent, le script peut accéder aux données du navigateur sur le site infecté, y compris les cookies.
Un cookie sécurisé n'est pas accessible aux langages de script (comme JavaScript), le protégeant ainsi contre de telles attaques.
Un cookie Flash est le type de supercookie le plus courant. Au cas où vous ne le sauriez pas, un supercookie remplit bon nombre des mêmes fonctions qu'un cookie ordinaire, mais ils sont plus difficiles à trouver et à supprimer.
Dans le cas des cookies Flash, les développeurs utilisent le plugin Flash pour masquer les cookies des outils natifs de gestion des cookies de votre navigateur.
Les cookies Flash sont disponibles pour tous les navigateurs (par conséquent, l'utilisation d'un navigateur pour votre carte de crédit et d'un autre pour le téléchargement de torrents aurait des avantages de sécurité négligeables). Ils peuvent contenir 100 Ko de données, contre seulement 4 Ko pour un cookie HTTP.
(Nous avons écrit sur les supercookies et pourquoi ils sont dangereux si vous souhaitez en savoir plus.)
Un cookie zombie est étroitement lié à un cookie Flash. Un cookie zombie peut se recréer instantanément si quelqu'un le supprime. La recréation est possible grâce à des sauvegardes stockées en dehors du dossier de stockage de cookies habituel d'un navigateur --- souvent en tant qu'objet partagé local Flash ou en tant que stockage Web HTML5.
La récréation repose sur la technologie Quantcast. Étant donné que le cookie Flash stocke un ID utilisateur unique dans la corbeille de stockage du lecteur Adobe Flash, Quantcast peut le réappliquer à un nouveau cookie HTTP si l'ancien est supprimé.
Il est important de réaliser que tous les cookies ne sont pas mauvais. Sans eux, le Web ne pourrait pas fonctionner comme nous l'attendons.
Néanmoins, savoir comment gérer vos cookies est un élément essentiel pour assurer votre sécurité en ligne.
