Utilisation détournée des Cookies et Web bugs

By 23 September 2012

II / Les Cookies et Web bugs

Nous utiliserons ici plus facilement les termes anglais car ce sont les plus couramment employés tout en précisant leur nom dans la langue française.

2.1 / Les cookies (ou témoins de connexion)

Un cookie est un fichier téléchargé sur le poste d’un internaute par le serveur Web qu’il visite et qui contient plusieurs informations qui peuvent être récupérées ultérieurement. Ils sont stockés sur le disque dur de l’utilisateur temporairement ou de façon quasi permanente. Leur technique repose sur le protocole http donc seul un serveur Web peut en envoyer.

Ils ont été inventés en 1995 avec la version 2 de Netscape. Ils sont destinés à rendre la navigation sur Internet plus facile et plus rapide. Les cookies mémorisent différentes informations de l’utilisateur telles que ses préférences sur un site, des réponses à des questions permettant d’accéder directement à la page suivante d’un site, un mot de passe si l’on a demandé au navigateur de s’en souvenir, d’autres données personnelles ou confidentielles, un Guid…

2.1.1. Fonctionnement

On distingue les cookies de session et les cookies rémanents :
– Les cookies de session ne contiennent pas de date d’expiration et sont automatiquement détruits lorsque l’internaute ferme la session ouverte sur le site Internet. Ils sont généralement créés pour des raisons techniques et n’ont pas pour objectif d’instaurer un lien permanent entre la machine de l’internaute et le site Internet consulté.
– Les cookies rémanents contiennent une date d’expiration fixée par leur auteur et sont destinés à permettre au serveur Web d’accéder aux informations qu’il contient jusqu’à son échéance.

Leurs formats garantissent plusieurs points :
– Ils sont purement passifs (fichier texte), ne peuvent pas contenir de virus et ne peuvent pas faire accomplir d’action à une machine.
– Ils ne peuvent pas collecter d’informations sur un ordinateur et ne permettent pas d’y accéder.
– Ils ne peuvent normalement être lus que par le serveur web qui les a écrit.

Il y a plusieurs façons de gérer les cookies : en faisant appel au javascript ou VBscript, soit au moyen de programmes CGI.

2.1.2. Utilisation

La plupart des sites s’en servent pour faire des calculs de statistiques, pour justifier le passage des internautes,… C’est un outil supplémentaire de gestion de sites qu’ils soient commerciaux ou non.

De plus le cookie est le moyen le plus simple pour tous les sites qui demandent une identification (messagerie…). En effet le http ne gère pas la notion de session. Dans ce cas le cookie n’est qu’un simple outil technique pour assurer une session.

Malheureusement leur utilisation peut être détournée et ils peuvent alors être utilisés par des logiciels spywares ou en devenir en raison de l’utilisation qui en est faite. Le cookie peut aussi servir à faire du traçage et du profilage :
– Les spywares peuvent récupérer ces cookies afin de lire les informations, pour certaines confidentielles.
– En lisant les noms des cookies on peut effectuer un profilage de la personne.
– Le Guid inséré dans le cookie permet d’identifier que tel ordinateur est allé sur tel site.
– Les régies publicitaires s’en servent pour déterminer des profils : en insérant un cookie qui sera reconnu sur certains sites et qui permettra après recoupement des informations d’établir un profil.
– Par le biais d’un croisement de bases de données, les cookies rémanents peuvent être «recoupés » avec des données nominatives, de telle sorte que ces données nominatives sont associées au profil – anonyme – défini dans les cookies, sans le consentement de l’Internaute sur l’ordinateur duquel ces cookies sont enregistrés. L’analogie entre un ordinateur et une personne physique est assez difficile à faire (cybercafés ou ordinateur familial…) mais cela a déjà été réalisé.

Les cookies ne peuvent normalement être lus que par le serveur Web qui les a émis car ils sont cryptés mais ce n’est pas incassable et il est alors possible de lire des cookies à partir d’un autre domaine.

2.1.3. Les moyens de prévention contre une utilisation abusive

– Les navigateurs permettent une gestion des cookies. Cette possibilité a été imposée par les associations américaines et européennes de défense de la vie privée.
– De nombreux logiciels de gestion de cookies existent.
– Effacer les cookies périodiquement permet de contrecarrer les tentatives de surveillance et de traçabilité des mouvements de l’utilisateur en ligne, la surveillance ne pouvant se faire que sur une courte période. Le profilage devient alors difficile à effectuer.
– Il existe des intermédiaires (logiciel ou service en ligne) qui fonctionnent comme des filtres ou écrans entre l’utilisateur et les sites visités.
– Certains navigateurs permettent de rejeter les cookies ne provenant pas du site que l’on est en train de visiter.

Le seul danger des cookies est pour la vie privée. Il faut bien avoir en mémoire que le cookie ne contient que les informations personnelles que l’on a soi-même indiqué sur un site (mis à part l’adresse IP, le système d’exploitation…). Une des meilleures méthodes de prévention est donc de divulguer le moins d’informations personnelles sur les sites Internet et d’effacer régulièrement les cookies stockés.

2.2 / Les Web bugs ou 1-pixel gifs (pixels invisibles)

Un web bug est une image GIF invisible de petite taille (classiquement 1 pixel) qui permet de surveiller le comportement des internautes en envoyant des informations à un serveur.

C’est un mouchard caché en micro-image invisible dans une page Web ou un e-mail, servant à déclencher l’exécution d’un script depuis un site extérieur.

Sa fonction première est de mesurer l’audience des publicités et de tracer et profiler l’internaute. Le web bug est un tag (pointeur) html (le plus courant étant .img) qui est invisible à l’écran.

Mais ce sont surtout des outils de traçage et aussi de statistiques dont les bénéficiaires sont en général des régies publicitaires ou sociétés de mesures d’audience qui proposent en échange des services à l’administrateur de site. Cela permet de cibler la publicité donc d’avoir plus d’impact et moins d’effet de saturation.

Le problème est qu’on peut associer à ces images une ou deux actions. Le navigateur va les exécuter comme tous les autres scripts. Ainsi on peut récupérer différentes informations comme le type de navigateur, le système d’exploitation, la résolution d’écran, la page visitée avec les mots clés et le cookie du site qui peut contenir des informations personnelles si on a rempli un formulaire.

Le web bug peut aussi être insérer dans un e-mail de manière à savoir combien de personnes vont lire la page.

Les principales utilisations des web bugs (source Privacy Foundation)

– Compter le nombre de fois où une page particulière est consultée,
– Transférer des données telles que le sexe, l’age, le pays… sur les visiteurs d’un site à une société de marketing qui crée ensuite des catégories,
– Transférer des informations personnelles comme le nom, l’adresse, le numéro de téléphone, l’adresse électronique… des visiteurs à une société de marketing. Ces informations peuvent être ensuite croisées avec d’autres informations comme le nombre de personnes dans le foyer, le type de cartes possédées…,
– Lister les pages Web consultées sur différents sites par chaque visiteur,
– Transmettre les recherches effectuées par un visiteur sur un moteur de recherche à une société de marketing. Les recherches effectuées permettent de créer un profil type d’internaute.
– Associer un achat à une bannière publicitaire visualisée par l’internaute avant son achat. De manière générale, le site qui affiche ces bannières touche un pourcentage de la vente.
– Compter le nombre de fois qu’une bannière publicitaire est apparue,
– Déterminer l’efficacité d’une bannière publicitaire en comptant le nombre de visites sur le site de cette publicité à partir du site d’origine,
– Déterminer les intérêts d’une personne pour tel ou tel produit ou service en suivant les pages visitées sur les différents sites,
– Recevoir des informations comme le type et la configuration du navigateur Internet utilisé. Ces informations sont ensuite agrégées pour déterminer quelle sorte de contenu peut être mis sur un site pour être vu par la majorité des visiteurs,
– Autoriser une tierce partie à fournir des logs de connexion à un site Web qui ne dispose pas de cette fonction lui même.

Leur utilité dans les e-mails :
– Vérifier qu’un individu en particulier a ouvert l’e-mail, ou tester si l’adresse e-mail est valide,
– Vérifier que la personne utilise une messagerie qui lit les messages html,
– Compter le nombre de fois où une bannière publicitaire dans une lettre est visionnée,
– Vérifier si les destinataires ont javascript, java, active X qui fonctionnent sur leur logiciel de messagerie. Cela permet de s’assurer que la publicité va être correctement reçue avec les sons, animations ou vidéo,
– Vérifier combien de fois les rapports de presse sont lus par les reporters et si ces rapports sont transférés à des personnes de leur société ou à des gens extérieurs,
– Détecter de potentielles contre-façons de newsletter (violation de droits d’auteur).
– Compter le nombre de fois où une publicité est visionnée dans les messages des groupes de discussion.

Ainsi le Web bug peut être utilisé seul comme mouchard mais peut aussi être utilisé par les spywares logiciels. Comme le cookie, son utilisation peut être détournée à des fins de traçage mais avec deux particularités qui le rende beaucoup plus dangereux : le fait qu’il soit invisible et qu’il puisse effectuer des actions à l’insu de l’internaute.

Les moyens de prévention sont à peu près similaires à ceux des cookies, il n’est donc pas utile de les répéter ici.

2.3 / La Législation

Le premier point est de savoir si les informations enregistrées par les cookies sont considérées comme des données à caractère personnel ou non.

D’après l’article 4 de la loi du 6 janvier 1978 (cité dans l’introduction), les cookies donneraient des informations indirectes : adresse IP, système d’exploitation… sans qu’il y ait eu d’information préalable (droit à l’information préalable).

De même, d’après la directive 95/46/CE (voir dans l’introduction), un numéro d’identification est considéré comme une donnée à caractère personnel.

Un exemple de jurisprudence démontrant une utilisation détournée des cookies est celui de DoubleClick. Cette régie publicitaire a dû abandonner son projet de fichage nominatif des internautes visitant les sites de ses clients. Lorsqu’un utilisateur visitait pour la première fois un site web qui apposait les bandeaux publicitaires de DoubleClick, il lui assignait un Guid qu’il mémorisait dans un cookie sur l’ordinateur de l’internaute. Lorsque que l’internaute revenait sur un de ces sites (environ 13000 !), le cookie était lu et enregistrait dans une base de donnée son Guid auquel était rattaché les noms des sites visitées et les renseignements personnels que l’internaute avait pu saisir sur l’une de ces pages.

C’est la directive 2002/58/CE qui est la plus précise sur le sujet : les points 24 et 25 précisent l’utilisation qui peut être faite des cookies et web bugs.

Le point 24 a été cité en introduction et précise que les cookies et web bugs ne doivent être utilisés qu’à des fins légitimes, c’est à dire en ne portant pas atteinte à la vie privée et en ayant une toute autre utilité que le profilage.

Il semble important de citer ici le point 25, qui bien qu’étant un peu long, prend justement l’exemple des cookies et donne des précisions supplémentaires :

« (25) Cependant, les dispositifs de ce type, par exemple des témoins de connexion (cookies), peuvent constituer un outil légitime et utile, par exemple pour évaluer l’efficacité de la conception d’un site et de la publicité faite pour ce site, ainsi que pour contrôler l’identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de services de la société de l’information, leur utilisation devrait être autorisée à condition que les utilisateurs se voient donner des informations claires et précises, conformément à la directive 95/46/CE, sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur l’équipement terminal qu’ils utilisent. Les utilisateurs devraient avoir la possibilité de refuser qu’un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important pour les cas où des utilisateurs autres que l’utilisateur original ont accès à l’équipement terminal et donc aux données sensibles à caractère privé qui y sont stockées. L’information relative à l’utilisation de plusieurs dispositifs à installer sur l’équipement terminal de l’utilisateur ainsi que le droit de refuser ces dispositifs peuvent être offerts en une seule fois pendant une même connexion, et couvrir aussi l’utilisation future qui pourrait être faite de ces dispositifs durant des connexions subséquentes. Les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles. L’accès au contenu d’un site spécifique peut être, toutefois, subordonné au fait d’accepter, en pleine connaissance de cause, l’installation d’un témoin de connexion ou d’un dispositif analogue, si celui-ci est utilisé à des fins légitimes. »

Cette directive indique que l’usage d’un témoin de connexion est justifié pour certaines utilisations mais que l’utilisateur doit être prévenu de sa fonction et pouvoir le refuser. Le mot « convivial » sous-entend que les moyens mis en œuvre pour informer l’internaute et lui permettre de les accepter ou non doivent être clairs et simples.

Lire le mémoire complet ==> (Mouchard informatique
De l’atteinte à la vie privée à l’espionnage d’État – Principes, Techniques et Législation
)

Mémoire – DESS Audit et Expertise en Informatique
Université Paris II Panthéon-Assas