Que sont les Supercookies, les Zombie Cookies et les Evercookies et sont-ils nocifs ?

Le suivi a toujours été l'une des plus grandes préoccupations en matière de confidentialité pour les utilisateurs de cookies , mais cela a changé grâce à Internet. Bien que les cookies de navigateur classiques soient très utiles et faciles à supprimer , il existe d'autres variantes conçues pour suivre et suivre les activités de navigation des utilisateurs. Deux de ces variantes sont les supercookies et les cookies zombies (communément appelés « Evercookies »). Ces deux variantes sont réputées car elles posent beaucoup de difficultés aux personnes qui souhaitent les supprimer. Heureusement, ils ont « reçu » l’attention appropriée de la part des experts en sécurité, et les navigateurs Web actuels se développent constamment pour lutter contre ces techniques de suivi sournoises et complexes.

Supercookies

Ce terme peut prêter à confusion car il est utilisé pour décrire un certain nombre de technologies différentes, dont certaines sont en réalité des cookies. En général, ce terme fait référence à des éléments qui remplacent votre profil de navigation pour vous donner un identifiant unique. De cette manière, ils prennent en charge les mêmes fonctions que les cookies, permettant aux sites Web et aux annonceurs de vous suivre, mais contrairement aux cookies, ils ne peuvent pas être supprimés.

Vous entendrez souvent le terme « supercookie » utilisé en référence aux en-têtes d'identifiant unique (UIDH) et en tant que vulnérabilité dans HTTP Strict Transport Security (HSTS), bien que l'expression originale fasse référence aux cookies provenant d'un domaine de premier niveau . Cela signifie qu'un cookie peut être défini pour un nom de domaine tel que « .com » ou « .co.uk », permettant à tout site Web doté de ce suffixe de domaine de le voir.

Si Google.com définit un supercookie, ce cookie sera visible sur tout autre site « .com ». Il s’agit évidemment d’un problème de confidentialité, mais comme il s’agit par ailleurs d’un cookie ordinaire, la plupart des navigateurs modernes les bloquent par défaut. Parce que plus personne ne parle beaucoup de ce type de supercookies, on entend souvent parler davantage des deux autres (Zombie Cookies et Evercookies).

En-tête d'identifiant unique (UIDH)

Un en-tête d'identifiant unique n'est généralement pas présent sur votre ordinateur, il apparaît entre votre FAI et le serveur du site Web. Voici comment est créée l’UIDH :

1. Vous envoyez une demande de site Web à votre FAI.
2. Avant que votre FAI ne transmette la demande au serveur, il ajoute une chaîne d'identification unique à l'en-tête de votre demande.
3. Cette chaîne d'identification unique permet aux sites Web de vous identifier comme le même utilisateur à chaque fois que vous visitez, même si vous avez effacé leurs cookies. Une fois que les sites Web savent qui vous êtes, ils installent simplement le même cookie directement dans votre navigateur.

En termes simples, si votre FAI utilise le suivi UIDH, il enverra votre « signature » personnelle à chaque site Web que vous visitez. Ceci est principalement utile pour optimiser les revenus publicitaires, mais c'est suffisamment ennuyeux pour que la FCC ait infligé une amende de 1,35 million de dollars à Verizon pour ne pas en avoir informé ses clients, ou pour ne pas leur avoir fourni la possibilité de se désinscrire.

En dehors de Verizon, il n'existe pas beaucoup de données sur lesquelles les entreprises utilisent des informations de type UIDH, mais la réaction des consommateurs en a fait une stratégie impopulaire. Même cela ne fonctionne que sur les connexions HTTP non cryptées. De plus, étant donné que la plupart des sites Web utilisent aujourd'hui HTTPS par défaut et que vous pouvez facilement télécharger des modules complémentaires comme HTTPS Everywhere, ce supercookie n'est vraiment plus un gros problème et ne sera probablement pas largement utilisé. Si vous souhaitez des couches de protection supplémentaires, utilisez un VPN . VPN garantit que votre demande sera transmise au site Web sans UIDH joint.

Sécurité de transfert stricte HTTPS (HSTS)

HSTS (HTTP Strict Transport Security) est une politique de sécurité nécessaire pour protéger les sites Web sécurisés par HTTPS contre les attaques de bas niveau. HSTS garantit que toutes les connexions à un site Web sont cryptées à l'aide du protocole HTTPS et n'utilisent jamais le protocole HTTP. Actuellement, Google applique le HSTS à 45 domaines de premier niveau, y compris les noms de domaine se terminant par .google, .how et .soy.

HSTS est vraiment une bonne solution. Il permet à votre navigateur de rediriger en toute sécurité vers la version HTTPS d'un site Web au lieu de la version HTTP non sécurisée. Malheureusement, il peut également être utilisé pour créer un supercookie avec la formule suivante :

1. Créez plusieurs sous-domaines (comme « domain.com », « subdomain2.domain.com »...).
2. Attribuez à chaque visiteur de votre page principale un numéro aléatoire.
3. Forcez les utilisateurs à charger tous vos sous-domaines en les ajoutant aux pixels masqués d'une page, ou redirigez les utilisateurs vers chaque sous-domaine pendant le chargement de la page.
4. Pour certains sous-domaines, ils nécessitent que le navigateur de l'utilisateur utilise HSTS pour passer à la version sécurisée. Pour d’autres, ils laissent le domaine comme HTTP non sécurisé.
5. Si la politique HSTS du sous-domaine est activée, elle est comptée pour « 1 ». S'il est éteint, il est compté comme « 0 ». Grâce à cette stratégie, un site Web peut enregistrer le numéro d'identification aléatoire de l'utilisateur sous forme binaire dans les paramètres HSTS du navigateur.
6. Chaque fois qu'un visiteur revient, le site Web vérifiera les politiques HSTS sur le navigateur de l'utilisateur, HSTS renverra le même nombre binaire généré initialement qui identifie l'utilisateur.

Cela semble compliqué, mais en bref, le site Web peut obliger votre navigateur à créer et à mémoriser les paramètres de sécurité de nombreuses pages et lors de votre prochaine visite, il pourra savoir qui vous êtes grâce aux données obtenues.

Apple a également introduit des solutions à ce problème, comme autoriser uniquement la définition des paramètres HSTS pour un ou deux domaines principaux par site et limiter le nombre de redirections que les sites sont autorisés à utiliser. D'autres navigateurs sont également susceptibles de suivre ces mesures de sécurité (le mode incognito de Firefox en est un exemple), mais comme aucune confirmation n'a été faite quant à l'efficacité, ce n'est pas la priorité absolue pour la plupart des navigateurs. Vous pouvez résoudre les problèmes vous-même en en apprenant davantage sur certaines des façons d’installer et de supprimer manuellement les stratégies HSTS.

Cookies zombies/Evercookies

Les cookies zombies, également connus sous le nom d'Evercookie, sont essentiellement une API JavaScript créée pour illustrer les difficultés que vous rencontrerez en tentant de supprimer un cookie.

Les cookies zombies ne peuvent pas être supprimés car ils sont cachés en dehors de votre stockage habituel de cookies. Le stockage local est une cible majeure des cookies Zombie ( Adobe Flash et Microsoft Silverlight l'utilisent beaucoup) et certains stockages HTML5 peuvent également poser problème. Les cookies zombies peuvent même être localisés dans votre historique de navigation ou dans les codes couleurs RVB que votre navigateur permet de mettre en cache.

Cependant, de nombreuses failles de sécurité disparaissent progressivement. Flash et Silverlight ne constituent plus un élément important de la conception Web moderne, et de nombreux navigateurs ne sont désormais plus vulnérables à Evercookie. Puisqu'il existe de nombreuses façons différentes pour ces cookies de bousculer et de « parasiter » votre système, il n'existe aucun moyen de vous protéger, mais une routine de nettoyage du navigateur n'est jamais une bonne idée.

Sommes-nous en sécurité ou pas ?

Le développement d'une technologie de suivi en ligne est une course constante dans le monde de la sécurité d'aujourd'hui. Si la confidentialité est un sujet qui vous préoccupe particulièrement, vous devriez probablement vous habituer au fait que nous ne pouvons jamais garantir une sécurité à 100 % dans un environnement en ligne.

Cependant, vous n'avez pas besoin de trop vous inquiéter des supercookies car ils ne sont pas très courants et sont bloqués de plus en plus agressivement. Ces cookies restent actifs jusqu'à ce que les vulnérabilités soient corrigées, et ils peuvent toujours être mis à jour avec les nouvelles technologies.

En savoir plus :

• Comment supprimer les cookies sur Chrome pour chaque site Web
• Les cookies n'endommagent pas votre ordinateur?
• Comment supprimer le cache et les cookies sur Chrome, Firefox et Coc Coc
• Instructions pour supprimer les cookies sur un PC Windows