Si les internautes commencent a se familiariser avec les fameux cookies qui récoltent vos données au quotidien, rares sont ceux au fait des super cookies et des zombies cookies. Ces programmes persistants et difficiles, voire impossibles à effacer s'assurent de traquer votre activité sur le Net pour mieux proposer des publicités ciblées.
Afin de cerner cette problématique, il convient tout d'abord de bien comprendre à quoi servent les cookies classiques. Lancés dès 1994 sur la toile, ces derniers sont en réalité de petits codes informatiques téléchargés directement sur votre ordinateur ou votre smartphone par les sites que vous consultez. L'idée est ici de rassembler des informations sur les sites que vous visitez et de rendre la navigation web plus facile, en permettant par exemple d'afficher plus rapidement une page web sur laquelle vous vous rendez régulièrement. Dans leur fonctionnement, les cookies se logent dans des fichiers identifiables sur votre oridnateur ou votre mobiles et il est possible de les effacer rapidement en vidant votre historique régulièrement par exemple.
Deux types de Super Cookies
Dans le cas de la famille des super cookies, «on conserve la même idée pour faire du tracking, à la différence près que ce type de cookies est très difficile à effacer», explique Hicham Bouali, expert en cybersécurité et directeur avant-ventes EMEA de la société One Identity, spécialisée dans la gestion des accès et des identités. On distingue ainsi deux types de super cookies :
Le premier se nomme flash cookie et est souvent utilisé pour des publicités vidéos ou par exemple lorsque l'on visionne une vidéo YouTube sur sa télé qu'on la met en pause et qu'on la reprend au même instant sur son téléphone portable, par exemple.
Le deuxième type de super cookie est basé sur l'UIDH (Unique identifier header) ou En-tête d'identification unique. Il s'agit ici d'un code injecté le plus souvent par vos fournisseurs d'accès à internet (FAI), seuls habilités à suivre toutes vos activités sur le Web. Problème, ce type de cookies n'est pas héberger sur votre ordinateur ou votre smartphone, mais sur le serveur du FAI. «Il n'y a donc aucune installation de ce type de super cookies sur votre ordinateur et vos antivirus ou logiciels de protection n'y peuvent rien», souligne Hicham Bouali.
Un danger pour les données privées
Ce dernier rappelle ainsi le cas de l'opérateur américain Verizon qui a été condamné à une amende de 1,35 million de dollars pour avoir suivi à la trace ses clients pour revendre des données à des tiers. «C'est le danger de ces super cookies. Si un cookie normal est enregistré sur un seul site et permet de récolter des informations uniquement pour celui-ci, un super cookies va permettre de pouvoir revendre des informations à d'autres sites et partenaires», prévient-il. En outre, si les bases de données et le serveur du FAI sont attaqués par un cybercriminel, des données privées vont alors fuiter. «En cas de cyberattaque de ce type, les FAI voient leur responsabilité engagée, il font donc le nécessaire pour protéger leur serveur au mieux», tempère Hicham Bouali.
Le cas inquiétant des zombies cookies
Parallèlement, les super cookies connaissent un autre dérivé avec les Zombies Cookies , aussi appelés Ever Cookies. Ici, ces petits codes bien cachés dans vos ordinateurs et vos smartphones vont se charger de restaurer les cookies normaux, même après les avoir effacés manuellement. L'idée étant de poursuivre le tracking de vos activités sur le web à votre insu. Des données qui intéressent ainsi des entités liées au marketing et même des FAI. «Toutefois, comme ces zombies cookies sont installés sur votre ordinateur ou votre portable, il est possible de s'en débarasser, grâce à des outils comme des antivirus, puisqu'ils peuvent parfois être considérés comme des malwares».
Quels conseils suivre face aux super cookies ?
Afin de limiter, voire de couper court au tracking, deux solutions sont à envisager. «En utilisant un VPN, qui permet une navigation privée en mode incognito, les données seront totalement chiffrées et donc impossibles à exploiter par un tiers. Il est également possible de contacter les fournisseurs d'accès afin de leur demander de ne pas faire partie de leur programme de tracking. Pour les entreprises, c'est la même chose. Enfin, lorsque vous changez de fournisseur d'accès à Internet, tout ce qui a été fait et collecté doit normalement être supprimé. Le problème c'est qu'on ne sait pas toujours combien de temps les FAI conservent ces données», conclut Hicham Bouali.