Les risques limités des cookies Internet confidentiels (identifiants)

Les cookies Internet peuvent servir à vous tracer (en enregistrant les sites que vous visitez, les données des formulaires que vous remplissez, etc …) ou à pirater votre compte sur un site Web (en volant vos cookies d’authentification), mais les conditions à remplir sont tellement particulières que le risque réel est faible. Cette page fait suite à l’utilité d’un cookie en informatique.

Les cookies Internet n'ont rien à voir avec les cookies sucrés, évidemment

Les cookies Internet d’authentification peuvent servir au piratage

Les cookies Internet d’authentification identifient chaque abonné d’un service Web, qu’il s’agisse du pseudonyme et du mot de passe, ou le numéro de votre session.

Un cookie enregistré par un site ne peut être lu par un autre, mais un programme pirate peut voler le cookie d’un abonné au service sous certaines conditions.

Par exemple dans un forum autorisant l’enregistrement de script en JavaScript, un pirate peut rédiger un message en introduisant un script malveillant qui récupère le cookie d’identification du visiteur. Quant un autre abonné lit le message (avec le JavaScript activé dans son navigateur), le script récupère son cookie et l’envoie au pirate (par e-mail par exemple), qui pourra ensuite se connecter sous le compte de la victime pour changer son mot de passe, envoyer des messages sous son pseudonyme, etc …

Dans un Webmail qui utilise une identification par cookie, les conditions et l’exécution du piratage sont les mêmes.

Que le pseudonyme et le mot de passe soient cryptés n’empêche pas le piratage. Mais les sites Web qui les enregistrent dans un cookie sont très rares aujourd’hui. Il les remplacent très souvent par un numéro identifiant votre session. Le piratage ne peut réussir que pendant votre session, c’est pourquoi il est vivement conseillé de toujours se déconnecter d’un service Web pour limiter le risque. Si ce dernier ne contrôle pas que deux adresses IP distinctes utilisent le même compte, le piratage est réussi.

Mais les services Web qui autorisent l’enregistrement de scripts par leurs membres ont quasiment disparu. Comme cette technique de piratage ne donne plus beaucoup de résultats, les pirates se tournent vers le phishing pour récupérer des mots de passe.

Le tracking théorique par cookie identifiant

Le but du tracking sur le Web serait de cerner un profil-type de consommateur en fonction des sites visités pour vous proposer de la pub personnalisée. Une société de tracking vous attribue un numéro identifiant votre ordinateur de manière unique parmi toutes les machines du monde, enregistré dans un cookie pour une durée infinie.

En affichant son logo sur une quantité de sites elle pourra constituer au fur et à mesure du temps une liste de sites, de thèmes qui vous intéressent, autrement dit votre profil.

Les services de publicité, de mesure d’audience ou autres, souscrits par un grand nombre de sites Web sont suspectés de pratiquer le tracking, mais en pratique ça leur couterait cher pour un intérêt très limité. D’abord, à moins que vous n’indiquiez vos coordonnées ou une adresse e-mail dans un formulaire, et que ces informations soient récupérées par la société de tracking, le traçage reste anonyme. Ensuite tous les sites Web ne sont pas souscripteurs, et la concurrence est telle qu’en changeant de site, vous changez souvent de société. Le profil est donc partiel et inutilisable.

Leur but est plutôt d’agréger des données anonymes pour avoir des statistiques de marché, par exemple : quel est le taux de visiteurs fidèles sur tel site ? quel est le nombre moyen de visites avant l’achat sur tel autre ?

En conclusion les cookies Internet identifiants représentent difficilement une menace pour la vie privée.

Autres sites

Cet article présente un autre point de vue sur les cookies Internet. Notamment les types de cookie : persistant ou de session.