Les cookies

- Qu’est ce qu’un cookie ?

Le « cookie » nous vient du terme anglais « magic cookie », allusion aux gâteaux chinois dans lesquels on trouve un petit message censé nous porter bonheur. Sa première apparition date de 1994.

L'HyperText Transfer Protocol est un protocole de communication client-serveur qui sert à effectuer des transferts de fichiers repérés grâce à une chaîne de caractères qui est l’URL. Le protocole http permet de surfer sur des pages web. La communication se fait entre un navigateur (le client) et un serveur Web via des requêtes et réponses http.

Celles-ci renferment des en-têtes http, l’un d’eux, appelé set-cookie permet l’écriture des cookies sur le disque dur. La requête set-cookie ordonne au navigateur de stocker une chaîne de valeur qui sera renvoyée à chaque future requête sur le serveur http.

La consultation de pages web par les internautes ne permet pas le stockage d’informations concernant leur navigation, d’où l’intérêt des cookies, qui sont des fichiers générés par les sites web à travers le navigateur internet (Safari, Chrome Firefox, IE, etc.).

Un cookie est donc un ensemble de petites informations, déposées par un site web (serveur http) sur le disque dur de l’internaute par le biais de son navigateur web (client http).

Lorsque l’internaute va revenir sur ce même site, il va rapporter les informations précédemment déposées par le serveur http du site web, qui pourra alors les lires, les mettre à jour ou encore les effacer.

Le cookie reprend donc des données concernant la navigation de l’internaute et se présente concrètement sous la forme d’un ou plusieurs fichiers texte.

- Les intérêts des cookies

Un cookie peut être utilisé de différentes façons et peut servir à enregistrer sur une ou plusieurs visites :

• des contenus de paniers non finalisés,

• des paramètres d’authentification,

• des informations de connexion,

• des préférences de navigation,

• des paramétrages de session.

Un site web e-commerce peut ainsi assembler des informations concernant les préférences des utilisateurs, puis leur proposer ensuite des offres adaptées à leur navigation et plus susceptibles de leur correspondre. Ce qui peut permettre, si les offres sont pertinentes, de faciliter la vente et augmenter le CA.

Les cookies peuvent avoir également des avantages pour l’internaute en améliorant le confort de navigation. Un serveur web peut ainsi « mémoriser » grâce aux cookies les identifiants de l’utilisateur sans que ce dernier n’ait à les ressaisir.

- Les différents types de cookies

Une page web est constituée de différents éléments. Lorsqu’un internaute visite une page, son navigateur va charger chaque élément. Or, il n’est pas rare que certains de ces éléments soient hébergés sur des domaines différents, cela peut-être le cas des cookies (tierce partie).

On peut donc distinguer les cookies selon leur source : interne au domaine du site web visité ou externe au domaine correspondant à l’url du site visité.

On distingue également les cookies persistants, qui ont une période de validité et qui son stockés sur le disque dur de l’utilisateur jusqu’à leur expiration, et les cookies éphémères supprimés dès la fermeture du navigateur.

On peut donc classer les cookies en trois catégories :

• le cookie de cession, éphémère, source interne ;

• le cookie de pistage, persistant, source interne ;

• le cookie tierce partie persistant, source externe.

- Les cookies et la sécurité

Les cookies ne sont pas des logiciels, ce sont de simples fichiers texte (.txt), qui ne sont pas exécutables, ce qui limite les problèmes de sécurité.

Les informations conservées dans un cookie sont transmises par le serveur uniquement sur la base des données transmises par l'utilisateur (à l'exception de l'adresse IP et de l'identification du navigateur qui sont transmis au serveur de façon automatique). Un cookie ne peut donc pas stocker des informations concernant le contenu du disque dur par exemple.

Le cookie parfait contient une chaîne aléatoire et unique de données inexploitables par tout autre serveur que celui qui l’y a déposé initialement et valable uniquement pendant une période pertinente.

Il est facile avec les navigateurs web récents d’accepter ou interdire les cookies. Cependant, sur certains sites, l’activation des cookies est obligatoire. C’est le cas de certaines messageries, et sites bancaires qui utilisent des cookies valables uniquement pendant la durée de la session. Cette obligation d’activation permet au site de retenir les informations et de maintenir une cohérence entre celles-ci, lors de la navigation sur les différentes pages visitées par l’utilisateur.

Cookies et affiliation

Une loi européenne (Directive 2009/136/CE) prévoirait un changement dans la manière d'installer les cookies sur les ordinateurs qui pourraient passer d'OPTOUT à OPTIN en juin, les plateformes d'affiliations sont sur les dents. Voici d’ailleurs une vidéo (limite propagandiste) sur les bienfaits des cookies et de l'optout pour le consommateur :

- Des dérives possibles

Les cookies n’étant à la base pas nominatifs on peut imaginer qu’une entreprise sans scrupule puisse croiser les données comportementales collectées via les cookies avec une base de données (qui contient des informations nominatives). Il serait alors facile d’associer des données non nominatives (les cookies) à des données nominatives (champs de la BDD) et créer ainsi une base comportementale à l’insu des inscrits de la base.

Les cookies peuvent être utilisés pour étudier le comportement des internautes lorsqu’ils naviguent sur le web. On va pouvoir retenir les pages qu’il a consulté, définir ses centres d’intérêts, étudier son cheminement sur un site… bref établir un tracking pas toujours le bienvenu pour adapter des publicités. Il n’y a dès lors plus d’anonymat lors de la navigation.

Prenons un exemple (avec des cookies tierce partie) : je vais consulter une fiche produit pour un Câble 1 VGA/M vers 2 VGA/F sur Cdiscount (1), je quitte le site sans avoir effectué de transaction. Quelques jours plus tard, lorsque je consulte un site de statistique (2), je retrouve des bannières publicitaires Cdiscount reprenant les fiches produits consultées, idem lorsque je vais voir le blog prese-citron (3), utiliser un traducteur en ligne (4), consulter ma messagerie (5), télécharger un logiciel (6) ou encore consulter un forum informatique (7). Pourtant tous ces sites ont rarement des thématiques et des domaines communs… Pour une unique visite d’une fiche produit, le site cdiscount va déposer une quinzaine de cookies le coquin.

- Des limitations techniques

Pour parer à tout submergement massif de fichiers cookies sur le disque dur des internautes, certaines limites ont été mises en place :

• il ne peut y avoir plus de 300 cookies stockés sur le disque dur,

• il ne peut y avoir plus de 20 cookies par domaine,

• chaque cookie ne doit pas faire plus de 4ko,

- Les paramètres d’un cookie

Un cookie est composé de certains paramètres (ou attributs) :

• L’attribut name est le seul attribut obligatoire, c’est tout simplement le nom du cookie. Il se présente comme une chaîne de valeurs alphanumériques qui ne doit pas contenir de point-virgule (;), de virgule (,) ou d’espace ( ).

• L’attribut expires indique la date à laquelle le cookie expirera et sera supprimé automatiquement par le navigateur. Si l’attribut est inexistant, par défaut, le cookie sera supprimé à la fermeture du navigateur web.

• L’attribut path désigne le répertoire ou sous-répertoire d’un serveur sur lequel il sera valable. Il va permettre de restreindre la validité du cookie sur certaines parties d’un site. Si l’attribut est inexistant, par défaut, le chemin utilisé sera celui du site créant le cookie qui sera utilisé.

• L’attribut domain désigne le domaine (ou serveur, ou partie du serveur) dans lequel le cookie sera valable. Par défaut, c’est le domaine du serveur créant le cookie qui est utilisé.

• L’attribut secure oblige le cookie à s’activer uniquement si la connexion est protégée par protocole ssl ou https.

• L’attribut value est la valeur du cookie.

- Application

1- J’utilise pour la première fois Safari (qui enregistre tous ses cookies dans un seul fichier (.plist)), son dossier cookies est donc vierge :

2- Je me connecte sur mon compte Google sans retenir les identifiants :

Un fichier plist nommé cookies se crée, on y retrouve les informations sur le navigateur web : l’encodage utilisé (UTF8) ; le propriétaire (Apple) ; le format de stockage des données (DTD plist) et la version (1.0). A ce stade, il n’y a pas encore de cookie stocké.

3- Je réinitialise le navigateur et refais la même manip en enregistrant cette fois-ci mes identifiants :

On retrouve les informations vues précédemment concernant le navigateur :

On retrouve surtout :
- l’attribut obligatoire name (PREF)
- l’attribut expire (le 18/01/2013)
- l’attribut path (qui est vide)
- l’attribut domain (le cookie est valide sur google.com)
- l’attribut value



Un merveilleux article de Ludo sur les cookies utilisés par Google Analytics.