Alors que le Règlement Général sur la Protection des Données personnelles (RGPD) est entré en vigueur depuis le 25 mai 2018, la directive ePrivacy, qui vise à renforcer la protection des internautes face aux cookies, soulève un grand débat entre les différents acteurs de notre société : entreprises, associations de défense des libertés et droits des citoyens, organes de presse et médias, entités publicitaires ou les états eux-mêmes. La gestion de session, la personnalisation de pages web, la mesure analytique ou encore le traçage de la navigation sont autant de possibilités permises grâce aux cookies. Cependant, ils ne sont pas toujours en faveur de l’internaute. Le cookie tiers par exemple, stocke des informations pouvant contenir les données personnelles des utilisateurs. Pourtant, le consentement n’est pas systématiquement demandé. La protection des internautes étant primordiale, il est nécessaire de s’intéresser aux enjeux étiques, juridiques et moraux des cookies. L’evercookie constitue l’un des fléaux qui portent atteinte à la vie privé.
Définition d’un cookie
Le cookie informatique (ou « témoin de connexion ») est une suite d’information envoyée par un serveur HTPP à un client HTPP. Le serveur HTPP (ou informellement « serveur web ») correspond au logiciel qui va servir des requêtes sur la base du protocole de communication HTPP (HyperText Transfer Protocol). Le client HTTP (ou « navigateur web ») est quant à lui un logiciel nécessaire à la connexion vers un serveur HTTP. Il sert à consulter les informations disponibles (ou « ressources ») sur le World Wide Web sous la forme de pages web. Ces informations contenues dans les cookies sont stockées dans un petit fichier texte sur le terminal de l’internaute (au niveau du disque dur).
Apparition de l’Evercookie
En septembre 2010, Samy Kamkar, un informaticien et chercheur américain, a écrit une API (Interface de programmation) javascript capable de stocker une forme améliorée de cookie zombie sur le terminal des internautes. Alors qu’il voulait prouver la faisabilité de concevoir des cookies pouvant perdurer sur les terminaux, il choisi de publier sa création en open source et donc de permettre sa diffusion à grande échelle. Sous le terme « Evercookie » (ou cookies permanents), se cache en réalité un moyen de contourner l’effacement des données de navigation. La conservation de la navigation ou des traces qui en résultent peut constituer un danger pour la protection de la vie privée des internautes.
Fonctionnement de l’Evercookie
L’Evercookie a la particularité de stocker des données de navigation dans plusieurs zones de stockage afin de rendre l’information difficilement localisable. En effet, il se sert de plusieurs technologies disponibles dans l’ordinateur pour constituer des copies cachées qui seront déposés et affectés à certains espaces de stockage. Le but est de démultiplier le stockage d’un evercookie en le répliquant dans plusieurs zones. Ainsi, lorsque un evercookie est supprimé à un endroit précis, l’evercookie peut se reconstruire grâce à un processus de réplication qui retrouve les informations contenues dans les autres zones de stockages puis les régénèrent automatiquement dans la zone concernée.

Le schéma ci-dessous détaille le fonctionnement d’un evercookie :

Source : info2aaz.blogspot.com

Les zones de stockage 
Pour terminer, voici quelques espaces de stockage qui peuvent contenir un evercookie :

  • – Les cookies http standard : ce sont ceux qui sont déposés par le navigateur dans le disque dur de l’internaute
  • – Les cookies flash (ou LSO pour Local Shared Objets) : ce sont ceux générés par Adobe Flash player, il y a une similitude avec les cookies http dans le mode de fonctionnement
  • – L’historique web ou le cache web
  • – Le stockage de session / local ou global HTML 5
  • – HTML5 Indexed DB

 
Pour en savoir plus :

A propos de Loïc FEISTHAUER