Les cookies : les logiciels indiscrets les plus courants

By 26 December 2012

Les logiciels indiscrets : une atteinte aux biens – Partie I :

Chapitre 1 : Les différentes techniques et contre techniques d’intrusion dans un système informatique

Il convient d’étudier les différentes techniques d’intrusion avant d’envisager le droit applicable en la matière.

Le terme logiciel est un mot inventé par Philippe Renard en 1967 pour remplacer le terme anglais « software ». Il désigne la partie non tangible de l’ordinateur.

Ce terme est utilisé comme synonyme de programmes disponibles pour une machine donnée. Le logiciel est aussi indispensable au fonctionnement d’un ordinateur que le matériel lui-même. On distingue trois types de logiciels :
– Les logiciels de base comme le système d’exploitation ou les utilitaires
– Les langages comme le Basic
– Les programmes d’application (Traitement de texte, comptabilité …)

Un logiciel indiscret peut se définir comme étant un programme qui va s’installer sur un ordinateur à l’insu de la personne concernée afin de collecter diverses données contenues sur cette machine. Les différentes données ainsi collectées seront récupérées via le réseau internet et elles pourront par la suite être individualisées par le biais de l’interconnexion des fichiers et présenter un intérêt non négligeable pour des sociétés commerciales. Dans la société de l’information, les données sont de véritables marchandises et, à ce titre, suscitent beaucoup d’intérêt.

La définition d’un logiciel indiscret étant large, ces derniers prendront des formes diverses. Le point commun entre ces différents procédés est l’obtention d’informations confidentielles contenues sur le disque dur, sans le consentement de la personne concernée.

On peut ainsi citer les principaux procédés faisant appel à un logiciel indiscret ou apparenté :
– Les cookies
– Le « spamming » ou courrier non sollicité
– Les espiogiciels ou « spywares »
– Les mouchards
– Les troyens

De tels programmes peuvent être contenus dans un logiciel (software) : ce sera généralement le cas pour bon nombre de freewares. Ils peuvent être également intégrés dans le matériel informatique (hardware).

Il convient de présenter tous les aspects techniques liés aux différentes méthodes permettant l’intrusion dans un système, la collecte des données présentes sur l’ordinateur sans avoir obtenu le consentement explicite de la personne propriétaire des données. Il est en effet préférable de connaître les différentes techniques avant d’envisager le droit applicable. Il convient d’étudier d’une part les logiciels indiscrets les plus courants avant d’envisager le cas particulier des troyens.

Section 1 : Les logiciels indiscrets les plus courants

Seront étudiés successivement : les cookies, le spamming, les espiogiciels et les mouchards.

§1 : Les cookies

Un cookie est un fichier qui s’inscrit sur le disque dur d’un ordinateur connecté à Internet lors de la visite de certains sites Web, permettant notamment d’espionner le contenu de l’ordinateur. Ce fichier est inscrit par un serveur Web, afin de reconnaître l’utilisateur, lors de ses prochaines visites. L’utilisateur a la possibilité de refuser les cookies, en consultant les options du navigateur.

A) Principe

En d’autres termes, le cookie consiste donc pour un site web à enregistrer localement, sur le poste client, des informations relatives à ce dernier et qui lui seront utiles lors de sa prochaine visite. En effet, la consultation web, effectuée grâce au protocole http, ne permet pas de garder des informations sur le contexte d’une session de travail sur un site web. Ainsi, lorsque l’on souhaite passer d’une page à une autre en cliquant sur des liens, chaque requête est traitée de manière complètement indépendante, comme s’il s’agissait de n utilisateurs différents accédant chacun à une seule page du site.

Afin d’éviter cet inconvénient, on a donc introduit les cookies. En passant d’une page à l’autre sur un site, les premières pages peuvent déposer des informations sur le poste client à destination des pages visitées par la suite et donc recréer un mécanisme de session. Lorsque les informations à conserver sont nombreuses, le site web n’enregistre sur le poste client qu’un simple identifiant (un numéro unique lié à l’utilisateur). Les informations sont conservées alors localement sur une base, côté serveur, mais sont associées via l’identifiant contenu dans le cookie à l’utilisateur. Les cookies sont apparus entre 1995 et 1996 à l’initiative de Netscape.

B) Intérêt

Voici quelques exemples (liste non exhaustive) afin de mieux saisir l’enjeu des cookies.

• Portails et sites personnalisés

Des sites comme Hotmail, Voila, Yahoo et bien d’autres, permettent à chaque visiteur de personnaliser la présentation et le contenu et de conserver cette interface personnalisée au cours d’une même session mais également d’une visite sur l’autre. Cela permet ainsi, pour les sites web proposant une messagerie électronique, de garder en mémoire son mot de passe ainsi que son identifiant de connexion.

• Les sites bancaires

Les sites de banque en ligne permettent d’accéder à ses comptes et d’y effectuer certaines opérations. Les cookies sont utilisés comme marqueurs et font le lien entre l’utilisateur sur son poste et les données personnelles (choix du compte, montant du compte, etc) qui sont, elles, stockées dans une base de donnée, en arrière du serveur web.

• Les sites de e-commerce

La plupart des sites de commerce en ligne permettent de constituer une sorte de panier d’achats virtuels avant passage de la commande. L’internaute surfe sur le site et choisit progressivement les articles qu’il veut commander. Ceux-ci sont emmagasinés dans le panier. L’état de celui-ci est entretenu par des mécanismes à base de cookies.

• Régies publicitaires en ligne

L’usage des cookies est également très populaire pour certaines techniques de mesure et de suivi d’audience des sites web. Ils sont systématiquement utilisés par les régies publicitaires en ligne qui se chargent de rémunérer certains sites en fonction du nombre de visualisation des bannières publicitaires qu’ils hébergent.

C) Fonctionnement

Les mécanismes de cookies utilisent le protocole HTTP8 pour fonctionner. Les postes clients envoient des requêtes HTTP à des serveurs web afin de visionner telle ou telle page. En retour, ces serveurs émettent des réponses HTTP incluant les documents demandés.

Les cookies accompagnent ces échanges en s’introduisant dans les entêtes HTTP des requêtes et des réponses :
1. L’internaute accédant pour la première fois au site X envoie une requête HTTP classique.
2. Le site Y qui utilise les cookies lui renvoie une réponse HTTP indiquant dans son entête l’initialisation de un (ou plusieurs) cookie(s). Pour chaque cookie, l’entête HTTP comprend au minimum un nom de variable et une valeur associée.
3. Le navigateur du poste client qui reçoit la réponse, stocke localement, les noms et valeurs associés aux cookies de la réponse à sa requête initiale.
4. Ensuite, à chaque nouvelle requête de l’internaute concernant le site X, le navigateur de celui-ci inclura à l’entête HTTP de ses requêtes, les informations concernant tous les cookies associés au site X.
5. Réciproquement, chaque fois qu’une page consultée du site X désirera soit modifier, soit initialiser un nouveau cookie associé au site auquel elle appartient, le mécanisme 2, 3 sera utilisé par le serveur dans sa réponse.

Le stockage des cookies peut prend deux formes selon que le navigateur est lancé ou non. Les deux principaux navigateurs web sont Internet Explorer (IE) de Microsoft et Netscape. Pendant la session de travail sur le navigateur, les valeurs des cookies sont stockées en mémoire vive par le programme lui-même. Lorsque l’on ferme Netscape ou IE, les cookies en mémoire sont analysés et éventuellement stockés sur le disque dur, si leur date d’expiration n’est pas révolue, à l’intérieur de un ou plusieurs fichiers textes.

Dans le cas de Netscape, les cookies sont tous stockés à l’intérieur du même fichier texte, généralement appelé cookies.txt et situé dans le répertoire Netscape/users/mon_nom/. Chaque ligne du fichier cookies.txt correspond à un cookie avec ses différents champs, séparés par des tabulations.

Dans le cas de IE, les cookies sont répartis dans plusieurs fichiers textes, eux-mêmes stockés dans le ou les répertoires Windows/Internet temporary files/ et Windows/cookies/. Les noms des fichiers textes sont construits ainsi :

¾ Cookie : mon_nom@domaine, où mon_nom correspond à l’utilisateur et domaine correspond au site web propriétaire du cookie. Si plusieurs pages d’un même domaine envoient plusieurs cookies, ceux-ci sont stockés dans un seul et même fichier, séparés par un passage à la ligne.

D) La gestion des cookies par l’Internaute

La suppression volontaire de cookies déjà existants ne peut s’effectuer pas par le biais du navigateur mais, à travers un simple gestionnaire de fichiers, les navigateurs offrent tout de même plusieurs options dans la gestion des cookies : l’internaute peut généralement, soit accepter systématiquement tous les cookies (choix sélectionné par défaut), soit refuser systématiquement tous les cookies, soit demander à ce que l’acceptation de cookies soit faite au cas par cas.

Dans IE, le menu : outils/options internet/sécurité/personnaliser le niveau/ permet d’accéder à la configuration de ces différents modes.

Dans Netscape 6, la gestion des cookies par l’utilisateur semble beaucoup plus riche et développée et se situe dans le menu : tasks/personal managers/cookies manager.

E) Les différentes composantes du cookie

Un cookie se compose au maximum de six champs, les deux premiers énumérés ici étant obligatoires.

– Nom : Le champ nom correspond au nom de la variable associée au cookie. Pour récupérer la valeur d’un cookie il faut en effet passer par un appel à son nom.
– Valeur : Le champ valeur contient la valeur (l’information) associée au cookie.
– Date d’expiration : Elle indique la date limite de validité du cookie. A la fermeture du navigateur, si la date est expirée ou n’est pas renseignée, le cookie est effacé, dans le cas contraire le cookie est stocké sur le disque dur.
– Domaine : Il indique le domaine d’où a été émis le cookie. Ce domaine doit comporter au moins deux niveaux (.gouv.fr par exemple et non.fr uniquement) et doit correspondre à la page en question. Seules les pages appartenant au domaine spécifié peuvent ensuite accéder au cookie. Par défaut sa valeur est celle du nom de domaine complet.
– Chemin : Il affine la sélection effectuée au niveau du champ domaine. On peut spécifier un chemin particulier où sera uniquement valide le cookie.
– Sécurité : Il s’agit d’un paramètre booléen (true/false) qui indique si le cookie en question doit être ou non utilisé à l’intérieur d’une connexion sécurisée (SSL par exemple).

Le 30/01/2002, lors de la première lecture du projet de loi réformant la loi informatique et liberté de 1978, les députés ont par ailleurs adopté un amendement interdisant l’utilisation des cookies sans information préalable de la personne concernée, qui peut s’y opposer (opt in). Les cookies employés uniquement pour faciliter les communications sont autorisés.

Lire le mémoire complet ==> (Les problèmes juridiques des logiciels indiscrets
Mémoire de D.E.A Informatique et Droit – Formation Doctorale : Informatique et Droit
Université MONTPELLIER 1 – Faculté de Droit
___________________________
8 HyperText Transfer Protocol