Les risques limités des cookies confidentiels (identifiants)

Ils peuvent servir à vous tracer (en enregistrant les sites que vous visitez, les données des formulaires que vous remplissez, etc …) ou à pirater votre compte sur un site Web (en volant vos cookies d’authentification), mais les conditions à remplir sont tellement particulières que le risque réel est faible.

Cette page fait suite à l’utilité d’un cookie.


Les cookies d’authentification peuvent servir au piratage

Les cookies d’authentification identifient chaque abonné d’un service Web, qu’il s’agisse
du pseudonyme et du mot de passe, ou le numéro de votre session.

Un cookie enregistré par un site ne peut être lu par un autre, mais un programme pirate peut voler le
cookie d’un abonné au service sous certaines conditions.

Par exemple dans un forum autorisant l’enregistrement de script en javascript, un pirate peut rédiger un
message en introduisant un script malveillant qui récupère le cookie d’identification du visiteur. Quant un
autre abonné lit le message (avec le javascript activé dans son navigateur), le script
récupère son cookie et l’envoie au pirate (par e-mail par exemple), qui pourra ensuite se connecter sous
le compte de la victime pour changer son mot de passe, envoyer des messages sous son pseudonyme, etc …

Dans un Webmail qui utilise une identification par cookie, les
conditions et l’exécution du piratage sont les mêmes.

Que le pseudonyme et le mot de passe soient cryptés n’empêche pas le piratage. Mais les sites Web qui les
enregistrent dans un cookie sont très rares aujourd’hui.

Il les remplacent très souvent par un numéro identifiant votre session. Le piratage ne peut
réussir que pendant votre session, c’est pourquoi il est vivement conseillé de toujours se
déconnecter d’un service Web pour limiter le risque. Si ce dernier ne contrôle pas que deux adresses IP
distinctes utilisent le même compte, le piratage est réussi.

Mais les services Web qui autorisent l’enregistrement de scripts par leurs membres ont quasiment disparu.

Comme cette technique de piratage ne donne plus beaucoup de résultats, les pirates se tournent vers
le phishing pour récupérer des mots de passe.


Le tracking théorique par cookie identifiant

Le but du tracking sur le Web serait de cerner un profil-type de consommateur en fonction des sites visités
pour vous proposer de la pub personnalisée.

Une société de tracking vous attribue un numéro identifiant votre ordinateur de manière
unique parmi toutes les machines du monde, enregistré dans un cookie pour une durée infinie. En affichant
son logo sur une quantité de sites elle pourra constituer au fur et à mesure du temps une liste de sites,
de thèmes qui vous intéressent, autrement dit votre profil.

Les services de publicité, de mesure d’audience ou autres, souscrits par un grand nombre de sites Web sont
suspectés de pratiquer le tracking, mais en pratique ça leur couterait cher pour un intérêt
trés limité.

D’abord, à moins que vous n’indiquiez vos coordonnées ou une adresse e-mail dans un formulaire, et que
ces informations soient récupérées par la société de tracking, le traçage
reste anonyme.

Ensuite tous les sites Web ne sont pas souscripteurs, et la concurence est telle qu’en changeant de site, vous changez
souvent de société. Le profil est donc partiel et inutilisable.

Leur but est plutôt d’agréger des données anonymes pour avoir des statistiques de marché,
par exemple : quel est le taux de visiteurs fidèles sur tel site ? quel est le nombre moyen de visites avant
l’achat sur tel autre ?


Lire la suite : Les cookies identifiants représentent difficilement une menace pour la vie privée,
en tous cas beaucoup moins que les spyware.