Contenu principal
Cours : Sécurité sur Internet > Chapitre 1
Leçon 5: En savoir plus sur la navigation sécuriséeLes cookies
Le web n'est pas un espace privé. Grâce à des cookies, il est en effet possible de suivre l'activité des utilisateurs et utilisatrices sur un ou même plusieurs sites.
Les sites web suivent l'historique des utilisateurs et utilisatrices pour améliorer les services qu'ils proposent. Pour nous, qui utilisons et créons des logiciels, il est important de comprendre comment ces données sont tracées et dans quelle mesure nous pouvons contrôler ce suivi.
Qu'est-ce qu'un cookie ?
Un cookie HTTP est un petit morceau de texte qui permet à un site web de suivre vos informations à travers les différentes pages du site, pour ensuite personnaliser votre expérience d'utilisation. Si vous êtes déjà connecté à un site web, un cookie vous permet de le rester au fil des pages.
Fonctionnement des cookies
Intéressons-nous à la création des cookies. (Si le concept de protocole HTTP vous semble flou, c'est le moment idéal pour consulter nos articles HTTP & HTML.)
Étape 1 : Le navigateur envoie une requête à un site web
Prenons un exemple : un utilisateur se rend sur un site web pour la première fois, ou du moins, pour la première fois à partir d'un navigateur en particulier. Ce dernier envoie alors une requête HTTP au serveur qui héberge le site web.
GET /index.html HTTP/1.1
Host: www.shoopshop.com
Étape 2 : Le serveur accompagne sa réponse d'un cookie
Le serveur envoie une réponse HTTP, qui comprend la ligne
Set-Cookie
.HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: sessionId=abc123; Expires=Wed, 09 Jun 2021 10:18:14 GMT
...
Le cookie contient un nom (
sessionId
) et une valeur (abc123
), ainsi qu'une date d'expiration, date à laquelle le navigateur doit effacer ce cookie de sa mémoire.Si le navigateur souhaite générer plusieurs cookies, il suffit d'ajouter davantage de lignes
Set-Cookie
à la réponse.Étape 3 : Le navigateur stocke le cookie
Le navigateur enregistre les informations fournies par le cookie, en les stockant sur le disque dur de l'utilisateur ou utilisatrice. De cette façon, les données resteront en mémoire même après le redémarrage du navigateur ou de l'ordinateur. C'est pourquoi ce type de cookie est appelé "cookie permanent".
Il existe également des "cookies de session" : des cookies qui n'ont pas de date d'expiration et qui sont automatiquement supprimés lorsqu'on ferme le navigateur.
Étape 4 : Le navigateur envoie les cookies avec les requêtes
Lorsque l'utilisateur ou l'utilisatrice surfe sur une autre page du site web, le navigateur accompagne chaque requête HTTP des cookies stockés.
GET /shop.html HTTP/1.1
Cookie: sessionId=abc123
Étape 5 : Le serveur personnalise la réponse
Lorsque le serveur reçoit la requête HTTP, il examine les cookies et comprend que cette requête provient d'un utilisateur dont le nom (
sessionId
) lui est connu. Il peut ensuite chercher cet identifiant de session dans sa base de données et utiliser toutes les informations disponibles pour personnaliser la réponse.Utilisation des cookies
Pour personnaliser une expérience grâce aux cookies, un site web dispose d'un éventail de possibilités. Un moteur de recherche peut les utiliser pour se souvenir du nombre de résultats que vous souhaitez voir s'afficher sur chaque page. Un site d'actualité peut les utiliser pour recommander des articles semblables à ceux que vous avez déjà lus. Toutes sortes de sites peuvent utiliser des cookies pour déterminer des données statistiques, comme le temps que vous avez passé sur une page ou les boutons sur lesquels vous avez cliqué.
Tout site qui requiert une connexion utilise un cookie pour vous permettre de rester connecté sur chaque page. Lorsque vous vous déconnectez de ce site, il désactive le cookie et ne le rétablit que lorsque vous vous connectez à nouveau.
🔍 Vous pouvez vous-même voir quels cookies sont envoyés d'un navigateur vers un site web en suivant les étapes expliquées ici : Tutoriel wikiHow.
Voici une capture d'écran montrant une partie des cookies utilisés par Khan Academy :
Les cookies qui commencent par "KA" permettent tous d'identifier l'utilisateur actuel, tandis que les cookies intitulés "_ga" sont utilisés par Google Analytics.
Il ne s'agit pas vraiment des cookies de mon compte ; vous ne devriez en effet jamais partager vos cookies puisque d'autres pourraient les utiliser pour pirater votre compte. En revanche, n'hésitez pas à partager tous vos cookies aux pépites de chocolat. 🍪
Les cookies tiers
Chaque cookie stocké par un navigateur est associé à un domaine et à un chemin. Lorsque vous consultez un site web et que son serveur renvoie une réponse HTTP accompagnée d'un cookie, le navigateur associe ce cookie au domaine du serveur. C'est ce qu'on appelle un cookie interne.
Toutefois, un site web peut aussi contenir des ressources provenant d'autres domaines, comme une image, une iframe ou un script. Lorsque le navigateur demande ces ressources, les serveurs dont elles dépendent peuvent aussi envoyer des cookies avec leur réponse, et ces cookies seront désormais associés à leur domaine. C'est ce qu'on appelle des cookies tiers.
Une étude menée en 2016 a permis de découvrir qu'un site générait en moyenne 20 cookies tiers, et qu'un site d'actualité en générait en moyenne deux fois plus.
Mais que font-ils de tous ces cookies ? La plupart des cookies tiers sont utilisés à des fins publicitaires. Prenons l'exemple d'une utilisatrice qui visite un blog culinaire et consulte une recette pour des biscuits sans gluten. Ce blog comprend une publicité Facebook avec un cookie. L'utilisatrice se rend ensuite sur facebook.com et remarque une soudaine avalanche de publicités à propos de produits sans gluten. Il ne s'agit pas d'une coïncidence, cela vient des cookies !
Puisque les cookies tiers ont un but très différent des cookies internes et qu'ils portent davantage atteinte à la vie privée des utilisateurs et utilisatrices, les navigateurs offrent désormais la possibilité de les désactiver totalement. Vous pouvez le faire vous-même en suivant les étapes mentionnées ici : article CNIL.
🙋🏽🙋🏻♀️🙋🏿♂️Vous avez des questions à ce sujet ? Nous vous répondrons volontiers ! Posez simplement votre question dans l'espace ci-dessous !
Vous souhaitez rejoindre la discussion ?
- C'est quoi un domaine ?(1 vote)
- Bonjour,
Un domaine est l'adresse internet/le nom d'un site web.(2 votes)
- Quelle est la différence entre un navigateur et un serveur ?
C'est quoi une adresse IP?
L'URL est-il différent du protocole de recherche ?(1 vote)- Bonjour,
Un navigateur permet de naviguer sur internet et d'afficher des pages web.
Un serveur peut être plusieurs choses à la fois. Le plus commun est le serveur qui permet de relier des ordinateurs à des données stockées. Il permet d'héberger des pages web pour les rendre accessibles à tout le monde.
Une adresse IP est l'identité d'un ordinateur par exemple.
Une URL est l'adresse d'un site web.(2 votes)