Les cookies HTTP (cookie web, cookie de navigateur) se présentent sous la forme d’un petit fichier texte contenant plusieurs données. Ils sont nécessaires au bon fonctionnement de plusieurs sites internet et lèvent plusieurs questions sur la sécurité et la confidentialité de ces données. Que vous soyez développeur d’un site internet ou simple utilisateur, vous devez comprendre leur fonctionnement.
Le protocole HTTP est un protocole dit “Sans état”. Cela veut dire que le serveur ne distingue par si une requête http vient d’un utilisateur X ou Y. Si on se connecte sur un site internet à l’aide d’un utilisateur/mot de passe, le serveur nous demandera de nous reconnecter à chaque prochaine requête.
Pour remédier à cela, et suite à une connexion, le serveur envoie un cookie http au navigateur web en nous identifiant comme l’utilisateur XYZ (identifiant unique que le serveur a généré). Le navigateur le stocke localement et le renvoie automatiquement à chaque prochaine visite au même site internet. Grâce à cela, le serveur saura donc chaque fois que c’est l’utilisateur XYZ qui envoie la requête.
Historique des cookies http
Les cookies http sont le fruits de développement de Lou Montulli. Il a développé un des premiers avigateurs internet qui s’appel Lynx en 1991. Ensuite, il a rejoint Mosaic Communications Corporation qui deviendra Netscape plus tard en 1994. Il a été responsable de plusieurs innovations comme le tag <blink>, la fonctionnalité client serveur push / pull, les proxy HTTP et les cookies.
Selon Lou Montulli le nom de cookie a été choisi à partir du terme informatique “magic cookie” qui était mentionné dans le manuel d’une librairie C datant de 1979.
Pourquoi utiliser un cookie ?
Les cookies sont utilisés par plus de 95% des sites internet. Concrètement, un cookie peut être utilisés pour :
- Authentifier et garder un utilisateur connecté
- Gérer un panier d’achat dans un site e-commerce
- Stocker une information spécifique comme les favoris ou les préférences d’un site internet.
- Afficher des publicités qui vous intéressent le plus.
Les types des cookies http
Il existe deux grands types de cookies http :
- Les cookies de Session: Ce sont des cookies dont la durée de vie est celle de votre session. Ils expirent donc lorsque vous fermez votre navigateur ou lorsque vous restez inactif pendant un certain moment. Ils sont beaucoup utilisés dans le cas des sites e-commerce où chaque produit sélectionné est enregistré dans le cookie.
- Les cookies persistants: Comme leur nom l’indique, ce type de cookies persiste même après la fermeture de votre navigateur. Ils ne sont détruits qu’après une date d’expiration qui est généralement plus de 6 mois. Ils permettent aux sites internet de sauvegarder des informations comme vos login/mot de passe pour ne pas avoir à le rentrer à chaque fois mais aussi vos préférences (langue du site internet, thème sélectionné…)
Les risques de l’utilisation des cookies http
Comme vous vous en doutez, l’utilisation des cookies internet n’est pas sans risques. En effet, en tant qu’utilisateur, vous devez connaitre ces derniers. Il en existe deux majeurs :
La Fraude des cookies :
La fraude des cookies http consiste en général à effectuer des actions malicieuses utilisant l’identité de l’utilisateur ciblé, ou de falsifier cette identité moyennant quelques types d’attaques, à titre d’exemple :
- Les attaques XSS : Un exemple de cette attaque peut s’avérer comme suit : Après avoir visiter un site internet, vous avez reçu un cookie malicieux. Ce dernier contient un script qui récupère vos cookies de d’autres sites internet.
- La Fixation de la session : Un utilisateur qui se connecte sur un site A récupère un cookie malicieux. Quand vous vous connectez sur un autre site B, l’attaquant peut vous obliger à utiliser le cookie A qu’il vous a envoyé et ainsi détourner votre session sur le site B. Le site B verra l’identité de session de l’attaquant alors que c’est vous qui a effectué des actions.
- L’attaque CSRF : Un utilisateur s’est connecté sur un site A et a récupéré un cookie A. Il a ensuite visité un site malicieux et a récupéré donc un cookie malicieux. Le site malicieux oblige le navigateur de l’utilisateur à effectuer des actions sur le site A visité plus tôt. Le site A reçoit la requête et le cookie A témoignant que c’est l’utilisateur lui même qui a effectué l’action, ce qui n’est pas le cas.
Violation de la vie privée
Plusieurs sociétés, notamment de publicités comme google Adsence et autres exploitent les cookies pour récupérer des informations pertinentes sur les utilisateurs. C’est une manière de pister l’utilisateur sur Internet et connaitre ses habitudes, centres d’intérêts et son style de vie. Ceci explique notamment pourquoi les publicités qui s’affichent sur les sites qu’on visite sont ceux qui nous intéressent le plus.
Mesures de protection
Puisque les cookies http sont sous forme de fichiers texte, ils ne peuvent pas s’exécuter sur un ordinateur. Ainsi, même s’ils sont malicieux, les antivirus ne les détectent pas comme source de dangers. Cependant, pour se protéger, vous pouvez au moins suivre les recommandations suivantes :
- Mettre à jour régulièrement le navigateur internet : En effet, plusieurs attaques par des cookies exploitent des failles présentes dans les anciennes versions des navigateurs internet.
- Eviter les sites internet non-sûrs : Si votre navigateur ou votre moteur de recherche comme Google… vous alerte qu’un site est potentiellement malicieux, alors ne prenez pas le risque et évitez-le.
Pour se défendre contre ce le pistage moyennant les cookies internet, vous pouvez utiliser la navigation privée offerte par plusieurs navigateurs Internet. Ceci permet au navigateur de continuer à accepter les cookies et ainsi garantir un fonctionnement normal des sites visités. Toutefois, le navigateur considère tous les cookies comme des cookies de session et les détruira à sa fermeture.
Il est aussi possible de choisir la manière dont votre navigateur gère ses cookies. Voici des liens qui pourront vous aider dans cette tâche.