En mars 2016, la FCC a infligé à Verizon une amende record de 1,35 million de dollars pour utilisation d'un en-tête d'identifiant unique (UIDH), surnommé "supercookie". Cette sanction a obligé Verizon à permettre aux clients de se désinscrire du suivi. Mais qu'est-ce qu'un supercookie exactement ? Pourquoi est-il plus insidieux qu'un cookie classique ?
Voici un guide complet pour tout comprendre sur les supercookies et savoir comment les contrer efficacement.
Pour bien appréhender les supercookies, rappelons le fonctionnement des cookies standards. Un cookie HTTP est un petit fichier de données téléchargé dans votre navigateur lors de la visite d'un site web. Il stocke des informations utiles pour le site, l'utilisateur et leurs interactions.
Par exemple, sur Amazon, les articles ajoutés à votre panier sont enregistrés dans un cookie. Si vous quittez le site et revenez, ils sont toujours là grâce à ce mécanisme.
Les cookies classiques gèrent aussi la session de connexion (pas besoin de vous reconnecter à chaque visite). Plus controversés, les cookies tiers de suivi traquent vos activités en ligne pour des fins marketing.
Un supercookie est une variante avancée de cookie de suivi, bien plus résistante. Contrairement aux cookies ordinaires, elle échappe aux outils de suppression classiques.
Effacer l'historique ou les cookies du navigateur suffit pour les premiers : vous perdez vos paniers et devez vous reconnecter, mais le suivi s'arrête. Pas avec un supercookie.
Il n'est pas stocké dans votre navigateur. Un fournisseur d'accès à Internet (FAI) l'injecte directement dans l'en-tête HTTP de vos requêtes. Cela identifie de manière unique votre appareil et suit chaque site visité, comme l'a fait Verizon.
Impossible à bloquer côté utilisateur : le FAI agit entre votre appareil et le serveur. Les bloqueurs de pubs ou scripts sont inefficaces, car l'injection se produit après la sortie de votre appareil.
Le risque pour la vie privée est majeur. Les cookies classiques sont limités à un site ; un supercookie comme l'UIDH est partagé avec tous les sites et révèle habitudes et historique de navigation. Verizon le commercialisait même à ses partenaires, probablement pour revendre des données.
L'Electronic Frontier Foundation (EFF) alerte : les supercookies permettent aux annonceurs de relier anciens et nouveaux identifiants, rendant impossible l'effacement du suivi.
Supposons qu'un réseau publicitaire vous attribue un cookie "cookie1" et Verizon un en-tête X-UIDH "old_uid". Si Verizon passe à "new_uid", le réseau relie tout à "cookie1". Même après suppression des cookies (nouveau "cookie2"), l'UIDH stable permet la connexion. L'identité est ainsi perpétuée.
L'EFF note aussi que l'UIDH s'applique aux apps mobiles, contournant les options "Limiter le suivi" sur iOS et Android. Verizon, impliqué dans le programme PRISM de la NSA, amplifie les craintes.
Il inclut des métadonnées : sites visités, horaires (similaires à celles collectées par la NSA sur les téléphones). D'autres données peuvent s'ajouter.
En cas de fuite (comme chez Verizon), liée à des utilisateurs réels, c'est un cauchemar. L'EFF a détecté des numéros de téléphone hachés comme identifiants. Pirates, entreprises ou gouvernements convoitent ces infos.
Variante de supercookie, le cookie zombie "ressuscite" malgré les suppressions. Il se cache hors du stockage cookie standard : stockage local HTML5, Silverlight, codes couleur RGB, etc. Un seul rescapé suffit à tout restaurer.
Les supercookies stockent des données sensibles et résistent. Solutions limitées :
Pour Verizon : connectez-vous sur www.vzw.com/myprivacy, allez dans "Publicité mobile pertinente" et optez pour "Non". Attention : cela limite le partage, pas l'en-tête ; inactif si vous êtes dans Verizon Selects.
Contre les FAI : utilisez un VPN pour chiffrer votre trafic. Privilégiez HTTPS partout (norme actuelle). Consultez les meilleurs outils de sécurité navigateur dans notre guide antivirus.
Les UIDH menacent la vie privée : invisibles, persistants, intraçables. HTTPS et VPN aident, mais il faut une législation stricte. Le Maine (USA) interdit déjà aux FAI de vendre des données privées.
Inquiet du suivi Facebook ? Découvrez comment l'empêcher.
[]