Tu veux un cookie ?

Temps de lecture : 6 minute(s)

On croirait à un concours de la pop-up la plus moche — la plus gênante, surtout — pour vous faire accepter les « conditions dans lesquelles le site collecte des informations par l’utilisation de cookies… ».

Panique aussi concernant les newsletters : « nous allons devoir redemander la permission à tous nos abonnés pour pouvoir continuer à leur envoyer notre newsletter ». Non, non, et non. Tout ça c’est juste du flan.

• D’une part, le règlement en question ne stipule nulle part qu’une adresse e-mail serait automatiquement une donnée à caractère personnel.
• D’autre part, si vos abonnés se sont inscrit en double optin (confirmation), un mini contrat existe entre eux et vous qui vous autorise à leur envoyer votre newsletter dans les conditions spécifiées lors de l’inscription, et ce, jusqu’à ce que l’utilisateur choisisse de se désabonner. Le RGPD n’a pas pour effet d’annuler tout ce qui préexistait !

Pour le reste, tout le monde se fiche des données que vous pourriez collecter via les cookies, vous allez comprendre que c’est de la roupie de sansonnet à côté de ce que vous transmettez comme données personnelles de navigation de vos visiteurs, directement aux GAFAM, et aux autres grands acteurs du marché. À l’insu de votre plein gré (ce ne sera bientôt plus une excuse en ce qui vous concerne, si vous êtes un collègue webmaster).

Prenons un exemple

Vous vous rendez sur le site de votre agence de voyage pour y commander votre séjour de rêve sur les plages de sable chaud. Dix minutes plus tard, vous ouvrez votre page Facebook et il vous propose, dans les pubs tout un tas de produits et services en rapport avec votre achat… Et les données collectées dans des cookies par l’agence en question ne sont nullement en cause, c’est un peu plus pervers que ça.

Lorsque vous vous inscrivez sur Facebook, celui-ci associe votre identité réelle à un identifiant numérique, disons 4859127884091837. Il place cet identifiant dans un cookie, qui sera stocké sur votre disque dur. Seul Facebook a le droit de lire ou de modifier ce cookie (l’utilisateur, quant à lui, peut l’effacer, mais en pareil cas, il devra à nouveau s’identifier lors de sa prochaine connexion).

Jusque-là, tout va bien, et l’on ne voit pas immédiatement comment Facebook se fait transférer automatiquement les données de navigation des utilisateurs lorsqu’ils naviguent sur le web…

L’astuce est simple : les GAFAM, avec Facebook et Google en tête, s’arrangent pour que les webmasters incluent un fichier situé sur leur domaine dans toutes les pages de leur site. Cela va du bouton « like » à la jolie fonte google, en passant par les petits snippets javascript pour faire ci ou ça.

Dès lors, au chargement de la page, le navigateur du client (votre visiteur) va faire une requête (GET) sur le serveur GAFAM, et ce faisant, lui donner libre accès au cookie associé, ainsi qu’au referrer, soit l’URL de la page demandée. Oui, je sais, c’est du chinois, alors voyons ça concrètement.

Pour les besoins de la cause, j’ai créé :

• Une page « register » sur www.levilainpetitcanard.be, qui créera un cookie « register » portant valeur « 9a6663f1bf0c56043bff6efc2b6a2599 »
• Une page anodine, sur le site www.lvpc.tk, qui affiche un simple texte… mais fait « référence » à un petit script localisé sur le domaine www.levilainpetitcanard.be
• Le petit script en question, qui se contente d’afficher, dans une fenêtre d’alerte, les données ainsi collectées.

1) on va sur la page« register.php » qui représente n’importe quelle inscription sur un GAFAM ou autre acteur du marché

2) On va sur la page « anodine.htm » qui contient le code suivant : 

La référence au « GAFAM » est située à la dernière ligne du bloc <HEAD>. Il s’agit d’un lien vers le code supposément javascript situé sur www.levilainpetitcanard.be. En pratique, il ne fait que régurgiter les données sur lesquelles il a pu mettre la main sous forme d’une fenêtre de message (alert) en Javascript.

3) On voit le résultat

Non seulement le « GAFAM » peut récupérer l’identifiant unique de l’internaute, et le relier ainsi à l’utilisateur (et ses données récupérées précédemment), mais en plus il obtient l’adresse IP, les informations sur le navigateur, et le plus important : le referrer.

Notez que dans ce cas-ci, le referrer portait en paramètres (GET) des informations sur l’activité du client, permettant au GAFAM de mieux cibler encore les centres d’intérêt de l’internaute. Si vous vous trouvez dans la partie « boutique », il le saura, si vous êtes sur la page « réclamation », il le saura aussi.

Faut-il préciser que ce sont des terrabytes d’informations concernant les habitudes de navigation de leurs utilisateurs que ces GAFAM reçoivent tous les mois ? Il ne reste plus qu’à passer ça à la moulinette de l’indexage et du collationnement des données pour constituer un portrait toujours plus fidèle du pigeon de service : l’utilisateur/consommateur.

Comment arrêter de transmettre les données de nos visiteurs ?

La solution la plus simple consiste à faire ce que j’ai fait sur Le Vilain Petit Canard : supprimer toute référence à des scripts/css/snippets/iframes en provenance d’une source externe. On rapatrie les polices Google qu’on veut utiliser et on les référence localement, on télécharge la version de JQuery qu’on souhaite utiliser et on fait de même, on vire les boutons « like » pour ne garder éventuellement qu’un bouton « partage » qui ne nécessite pas de référence à un code distant.

Après quoi, on peut installer un addon comme LightBeam dans firefox pour visualiser les éventuelles dépendances restantes. Pour moi, elles ont toutes été supprimées au moment où j’écris ceci à part une référence à Google (Recaptcha) qui ne sera présente que si vous souhaitez placer un commentaire sur mon site.

Conclusion

Les webmasters ont une responsabilité majeure dans la collecte par les GAFAM et autres géants du Big Data des données de leurs utilisateurs, il convient donc qu’ils prennent conscience de la portée du phénomène et tiennent mieux en compte le droit des utilisateurs à ne pas être traqués partout où ils passent.

Comment les internautes peuvent blinder leur navigateur (edit du 30.05.18)

Tout d’abord, la méthode que je décris ici ne fonctionne que pour Mozilla Firefox et ses variantes (forks).  Pourquoi ?  Tout simplement parce que selon moi, les autres ténors du marché (Chrome, Safari, Ms) ne donnent pas aussi complètement l’accès aux paramètres système pour arriver à une sécurisation optimale.  Toutefois, j’expliquerai les étapes afin que vous puissiez, le cas échéant, chercher dans la doc de votre navigateur favori s’il présente des fonctionnalités similaires.

1) Interdiction des cookies tiers

Par cookie tiers, on entend un cookie qui n’est pas créé par le site que vous visitez, mais bien par un site auquel il est fait référence sur le site que vous visitez.  Par exemple, si vous visitez un blog qui fait appel à des modules de Facebook (likes), Facebook aura accès à votre cookie par défaut.  Ajouté à votre referer, ce sont toutes vos données de navigation qu’il recevra.

Dans la barre d’URL, tapez about:config (et si vous ne l’avez fait, acceptez l’avertissement)

Dans le champ de recherche, tapez cookie

Double-cliquez sur network.cookie.cookieBehavior, puis donnez la valeur 1 (autorise uniquement les cookies du serveur visité).

2) Masquage du referrer et granularité

Dans le champ de recherche tapez referer (oui, avec un seul r)

Double cliquez sur network.http.referer.spoofSource pour le mettre à la valeur true.  Ceci aura pour effet de remplacer le referrer (l’url de la page que vous visitez) en l’url de la page pointée par la ressource demandée (par ex : facebook.com).

Double cliquez sur network.http.referer.trimmingPolicy et donnez lui la valeur 2.  Ceci aura pour effet de diminuer la granularité, ce qui fait qu’il n’enverra comme (faux) referrer que le nom de domaine (de la cible).

Vous voilà paré, plus de danger que les GAFAM reçoivent en temps réel vos informations de navigation, et ça, sans même avoir besoin d’installer quelque plugin que ce soit !