Supercookies et cookies zombies : des menaces plus sournoises que les cookies © Artem Samokhvalov / Shutterstock
Supercookies et cookies zombies : des menaces plus sournoises que les cookies © Artem Samokhvalov / Shutterstock

Vous connaissez les cookies, mais avez-vous déjà entendu parler des supercookies et des cookies zombies ? Deux dispositifs de suivi sournois qui menacent autrement votre droit à la vie privée. La rédaction fait le point pour vous aider à vous en débarrasser.

Plus que jamais, la protection des données personnelles doit occuper une place centrale dans vos habitudes de navigation. Au cœur de ce débat : les cookies, ces petits fichiers devenus symboles du pistage en ligne. Leur utilisation reste un sujet épineux, notamment avec l'apparition de formes plus insidieuses comme les supercookies et les cookies zombies. Ces technologies sophistiquées, opérant dans l'ombre, posent un défi majeur en matière de confidentialité.

NordVPN
Clubic
NordVPN
  • storage6654 serveurs
  • language111 pays couverts
  • lan10 connexions simultanées
  • moodEssai gratuit 30 jours
  • descriptionPas de log de données
9.7 / 10
9.7 /10

Des cookies et cookies tiers…

Pour rappel, un cookie est un petit fichier texte sauvegardé par votre navigateur, logé discrètement dans le dossier système AppData > Local. À l’intérieur, on trouve un ensemble d’informations : un nom, une valeur, un domaine, et parfois, une date d'expiration.

Si l’on a pour habitude de fustiger les cookies, il convient de nuancer puisqu’il en existe de deux types. D'un côté, les cookies « propriétaires », ou 1st party, nécessaires pour le fonctionnement optimal des sites web. Ils conservent vos préférences, comme la langue sur un site multilingue, et facilitent votre expérience en mémorisant vos identifiants.

Les navigateurs intègrent des options de sécurité pour bloquer les cookies tiers © Clubic

De l’autre, les cookies tiers, ou 3rd party, créés par des entités distinctes de l'éditeur du site que vous visitez, qui se focalisent moins sur l'enrichissement de votre expérience utilisateur que sur le suivi de la navigation et la collecte de données personnelles. La distinction entre ces deux catégories n'est pas toujours évidente. Les cookies tiers prennent parfois l'apparence de cookies propriétaires pour déjouer les blocages imposés par des navigateurs tels que Firefox ou Safari.

… aux supercookies et cookies zombies

Les cookies ne sont donc pas tous néfastes, et les plus problématiques d’entre eux font aujourd’hui l’objet d’une traque acharnée, aussi bien côté internaute que côté navigateur. Qu’il s’agisse de l’un ou l’autre de ces types, leurs modes de fonctionnement sont désormais bien connus, et l’on sait comment limiter leur impact sur l’exploitation des données privées, sinon les neutraliser.

En revanche, il est une forme de technique de suivi en ligne bien moins connue du grand public, pourtant tout aussi intrusive, et plus insidieuse : les supercookies.

Pour résumer, un supercookie est un petit bout de code ne nécessitant aucune autorisation d’installation, déposé sur l’appareil de l’internaute à son insu. Comme un cookie standard, il trace la navigation pour collecter des informations relatives aux activités en ligne et aux habitudes de consommation.

Les supercookies sont plus insidieux et difficiles à supprimer que les cookies normaux © Rutmer Visser / Shutterstock

Mais sa vraie spécificité réside dans son caractère permanent : il est très difficile de supprimer un supercookie, à plus forte raison quand on ne sait pas qu’il a été déposé sur son smartphone ou son PC. Par là même, ces dispositifs échappent le plus souvent aux mesures de blocage mises en place par les navigateurs, et ils sont régulièrement stockés ailleurs que dans le répertoire local. À titre d’exemple, on peut trouver des supercookies dans la base de registre Windows, ou dans le cache du navigateur. Un second point particulièrement sournois dans la mesure où, stockés dans le cache, les supercookies déposés par différents sites web ouverts en même temps peuvent communiquer entre eux.

Quels sont les types de supercookies ?

Il existe trois types de supercookies : les cookies Flash, les cookies basés sur l’UIDH (en-tête d’identification unique), et les cookies HSTS :

Les supercookies Flash, également nommés Local Shared Objects (LSO), possèdent une grande capacité de stockage et personnalisent l’expérience utilisateur en conservant l’historique de navigation. Contrairement aux cookies normaux, ils échappent facilement aux méthodes de contrôle intégrées aux navigateurs, ce qui les rend plus difficiles à supprimer. Dans la mesure où Adobe a mis fin au support pour Flash Player fin 2020, les cookies Flash sont de moins en moins utilisés par les sites web. Ce qui ne veut pas dire qu’ils n’existent plus du tout.

Supprimer vos données de navigation vous débarasse temporairement des supercookies © Clubic

Les supercookies basés sur l’UIDH sont des cookies déposés par le fournisseur d’accès à Internet lui-même, au niveau de la couche réseau. Un tel dispositif est d’autant plus problématique qu’il est impossible de s’en débarrasser : le supercookie n’est pas stocké localement, mais sur les serveurs du FAI.

Les supercookies HSTS sont issus du détournement d’une fonctionnalité de HTTPS. À l’origine, HSTS (HTTP Strict Transport Security) est une fonction intégrée à HTTPS, destinée à aider les sites web à rediriger les connexions HTTP vers leurs pages HTTPS. D’un point de vue technique, le processus repose sur un mécanisme d’enregistrement des règles HSTS par le navigateur pour éviter aux sites web de renvoyer les informations de redirection à chaque visite. Problème : HSTS attribue un code unique pour chaque site HTTPS consulté par l’internaute, identifiant auquel peuvent accéder d’autres sites web grâce à de simples requêtes de test.

Le cookie zombie, un super-supercookie

Il existe enfin une quatrième forme de supercookie, qui consiste davantage en un dérivé de supercookie qu’en un supercookie à part entière : le cookie zombie, ou « evercookie ».

Les cookies zombies, comme leur nom l’indique, régénèrent automatiquement les cookies que vous supprimez. Inutile, donc, de préciser à quel point ils sont dangereux pour vos informations personnelles et votre vie privée. Ils ne sont pas seulement persistants, ils créent la persistance. Et s’en débarrasser n’est pas une mince affaire.

Comment se débarrasser des supercookies et des cookies zombies ?

Il est difficile de supprimer des supercookies, mais à l’impossible nul n’est tenu. On l’a vu, les cookies Flash ne sont pratiquement plus utilisés. Néanmoins, supprimer régulièrement le cache de votre navigateur devrait garantir leur éradication. Inconvénient : en procédant de la sorte, vous effacez aussi les 1st cookies, ceux-là mêmes qui fluidifie votre navigation web. Il vous faudra recharger l’intégralité des pages et reparamétrer vos préférences pour certains sites régulièrement consultés.

Pour vous débarrasser des cookies UIDH, vous n’avez d’autre choix que de contacter directement votre FAI. En théorie, les fournisseurs d’accès à Internet doivent se conformer à vos demandes, mais aucune véritable preuve de bonne foi ne peut être avancée. Il vous faudra croire votre FAI sur parole.

La découverte des supercookies HSTS a poussé certains navigateurs web à renforcer leurs méthodes de gestion des règles HSTS, et à mieux contrôler les dérives de cette fonctionnalité. Chrome, Firefox et Opera disposent aujourd’hui d’un mode de navigation privée capable de supprimer les en-têtes HSTS.

La navigation privée peut vous aider à vous protéger des supercookies © Sam Kresslein / Shutterstock

En revanche, se débarrasser des cookies zombies est bien plus compliqué puisqu’ils peuvent se cacher un peu n’importe où sur votre appareil : dossier local, répertoire HTML5, historique de navigation, codes du système RGB contenu dans le cache du navigateur.

Un VPN pour consolider la protection de vos données privées face aux supercookies

À défaut de pouvoir vous débarrasser définitivement des cookies, supercookies et cookies zombies, vous pouvez leur cacher votre identité et le contenu de votre trafic à l’aide d’un VPN comme NordVPN.

Parce qu’il chiffre votre trafic et isole votre connexion du reste du trafic Internet public, NordVPN empêche votre FAI de suivre votre activité en ligne, ainsi que les tiers malveillants d’intercepter et d’exploiter vos données personnelles. En masquant votre véritable adresse IP, il empêche également les sites web consultés de connaître votre véritable identité et de mettre en place des méthodes de profilages efficaces, basées sur leurs différentes méthodes de suivi, dont la pose de cookies et supercookies.

NordVPN masque votre adresse IP et chiffre votre trafic pour protéger vos données privées © Clubic

NordVPN garantit sécurité et confidentialité grâce à sa prise en charge de protocoles VPN stables et fiables, que sont OpenVPN et NordLynx. Tous deux compatibles avec l’algorithme de chiffrement AES-256, ils participent au renforcement de votre anonymat en ligne, en complément de bonnes habitudes de navigation (suppression régulière des données de navigation, mode incognito, utilisation systématique du HTTPS, mises à jour régulières du navigateur et du système d’exploitation).

Afin d’offrir des outils de sécurité complémentaires à ses fonctions VPN de base, NordVPN s’est aussi attaché à développer un module de Protection Anti-menaces, que ne proposent pas les VPN gratuits. Il regroupe un bloqueur de publicités et de malware, un outil anti-cookies et anti-traqueurs, et un système de détection des vulnérabilités des applications installées sur le disque dur.

La Protection Anti-menaces de NordVPN vous protège contre les dispositifs de suivi en ligne, dont les cookies © Clubic

NordVPN est disponible sur abonnement à partir de 3,09 €/mois, et donne accès à l’ensemble de ses fonctionnalités VPN (plus de 6200 serveurs dans 111 pays) et de protection contre le suivi en ligne. Sa garantie satisfait ou remboursé de 30 jours vous permet de l’essayer gratuitement pendant 1 mois, sur dix appareils en même temps.

NordVPN
  • storage6654 serveurs
  • language111 pays couverts
  • lan10 connexions simultanées
  • moodEssai gratuit 30 jours
  • descriptionPas de log de données
9.7 / 10

NordVPN améliore sa couverture mondiale et ses options, mais perd en qualité de performances. NordLynx offre toujours des débits satisfaisants pour répondre aux usages web classiques, mais il perd légèrement en efficacité cette année. En contrepartie, le fournisseur développe régulièrement de nouvelles fonctionnalités destinées à enrichir la navigation. Aujourd’hui, il outrepasse son statut de VPN et s'impose comme un écosystème dédié à la confidentialité, ce qui lui permet de maintenir un bon rapport qualité-prix. L'abonnement NordVPN Avancé inclut VPN + NordPass (gestionnaire de mots de passe) tandis que la formule NordVPN Premium inclut VPN + NordPass + NordLocker (Stockage cloud sécurisé).

Les plus
  • Bonnes performances avec NordLynx
  • Streaming (dont Netflix US) et accès TV très efficaces
  • Très grand nombre de serveurs
  • Serveurs RAM colocalisés infogérés
  • Réactivité du support client
Les moins
  • Configuration routeur complexe
  • Pas d'infos sur l'état de charge des serveurs
  • Performances OpenVPN décevantes