C'est aujourd'hui que j'ai découvert Evercookie !
Mais qu'est ce que c'est ? Une petite description s'impose...
Voici dans une premier temps une définition de ce qu'est un cookie :
Petit fichier téléchargé par un site web que l'on consulte. Un cookie rassemble des informations qui seront retransmises à ce site lors de votre prochaine visite (ID, mot de passe, préférence et autres...).
Evercookie quand à lui, est une API JavaScript qui produit un cookies extrêmement persistant au sein d'un navigateur. Le but de cet API est tout simplement de pouvoir identifier une personne (un client par exemple) et cela même après suppression des cookies (standard, flash et autres...).
Wahow ! Mais comment ca fonctionne ?
Cette action est rendu possible grâce à un procédé de reconstruction du cookies. Je m'explique... Evercookie possède plusieurs mécanisme de stockage du cookies, qui sont disponibles sur le navigateur local de l'utilisateur. Le processus est simple, lorsque l'utilisateur supprime l'un de ces cookies, Evercookie le recrée instantanément avec le même procédé que précédemment.
Voici un petit schéma afin de mieux comprendre ce mécanisme :
(Désolé pour la symbolique des "Cookies"...)
Voici les différents mécanisme de stockage utilisé par l'EverCookie (lorsqu'ils sont possible).
Cette API Javascript a été développé par Samy Kamkar, vous pouvez d'ailleurs retrouver le site de EverCookie ici
Bien entendu, cette API ne laisse rien présager de bon. En effet si un cookie n'est plus "facilement" supprimable, un paquet de donnée seront stocké sur au sein de nos navigateurs, et feront l'objet d'une attention particulière de la part Hackers !
Il ne faut pas ranger directement ce travail du côté obscur de la force, mais il est malheureusement fort probable qu'il y bascule rapidement...
Bien entendu cet article a pour but de sensibiliser les internautes sur l'utilisation des cookies ! Si vos données personnelles et ce qu'il reste de votre vie privée vous intéresse un temps soit peu, je vous encourage à consulter les zones de stockages utilisé par l'EverCookie, ainsi que de suivre ce projet de près...
EverCookie est Open Source, et voici les sources de cette API, si vous souhaitez appronfondir le sujet et son utilisation.
N'hésitez pas à réagir sur ce sujet !
Mais qu'est ce que c'est ? Une petite description s'impose...
Voici dans une premier temps une définition de ce qu'est un cookie :
Petit fichier téléchargé par un site web que l'on consulte. Un cookie rassemble des informations qui seront retransmises à ce site lors de votre prochaine visite (ID, mot de passe, préférence et autres...).
Evercookie quand à lui, est une API JavaScript qui produit un cookies extrêmement persistant au sein d'un navigateur. Le but de cet API est tout simplement de pouvoir identifier une personne (un client par exemple) et cela même après suppression des cookies (standard, flash et autres...).
Wahow ! Mais comment ca fonctionne ?
Cette action est rendu possible grâce à un procédé de reconstruction du cookies. Je m'explique... Evercookie possède plusieurs mécanisme de stockage du cookies, qui sont disponibles sur le navigateur local de l'utilisateur. Le processus est simple, lorsque l'utilisateur supprime l'un de ces cookies, Evercookie le recrée instantanément avec le même procédé que précédemment.
Voici un petit schéma afin de mieux comprendre ce mécanisme :
Schéma de fonctionnement d'un cookie standard
Schéma de fonctionnement d'un EverCookie
(Désolé pour la symbolique des "Cookies"...)
Voici les différents mécanisme de stockage utilisé par l'EverCookie (lorsqu'ils sont possible).
Cookie HTTP standard | |
Objets partagés locaux (Cookies Flash) | |
Stockage de cookie en valeurs RVB | |
Stockage de cookie au sein de l'historique Web | |
Stockage de session HTML5 | |
Stockage local HTML5 | |
Stockage global HTML5 | |
Stockage base de données HTML5 via SQLite |
Cette API Javascript a été développé par Samy Kamkar, vous pouvez d'ailleurs retrouver le site de EverCookie ici
Bien entendu, cette API ne laisse rien présager de bon. En effet si un cookie n'est plus "facilement" supprimable, un paquet de donnée seront stocké sur au sein de nos navigateurs, et feront l'objet d'une attention particulière de la part Hackers !
Il ne faut pas ranger directement ce travail du côté obscur de la force, mais il est malheureusement fort probable qu'il y bascule rapidement...
Bien entendu cet article a pour but de sensibiliser les internautes sur l'utilisation des cookies ! Si vos données personnelles et ce qu'il reste de votre vie privée vous intéresse un temps soit peu, je vous encourage à consulter les zones de stockages utilisé par l'EverCookie, ainsi que de suivre ce projet de près...
EverCookie est Open Source, et voici les sources de cette API, si vous souhaitez appronfondir le sujet et son utilisation.
N'hésitez pas à réagir sur ce sujet !
11 commentaires:
Le projet en lui-même est intéressant, mais son utilisation va vite devenir catastrophique car oui, en cochant la case "Utiliser les cookies" on accepte tacitement leur utilisation (en plus des CGU de chaque site), mais normalement c'est illégal de stocker des données ainsi sur les PCs des utilisateurs.
à noter que, beaucoup ne le savent pas, mais flash permet aussi de stocker des cookies jusqu'a 100ko, et que personne ne pense à les supprimer.
Par contre, il est (encore) possible de les désactiver via l'interface de configuration de flash.
Cette nouveauté ne laisse en tout cas pas grand chose de bon a présager.
@HIK3 - Les cookies ont toujours été contestés, étant donnée les problèmes de violation de la vie privée qu'ils suscitent, ainsi que la perte du peu "d'anonymat" qui nous reste en temps qu'internaute !
@tshirtman - Le problème est que cette API vient nous retirer notre dernière façon de lutter contre ce phénomène, c'est à dire la suppression de ces cookies...
Les cookies contiennent des données personnelles (voir confidentiel !) et l'impossibilité de supprimer ces cookies va accroitre le vol de cookies par accès physique, sniffing, ou encore par vulnérabilité du navigateur...
bah cette API ne fait que formaliser la redondance qu'il est déjà possible de faire depuis longtemps.
Pensez vous que les gens qui avait vraiment envie de faire un cookie ineffaçable ne l'ait pas fait depuis le temps ?
@Duncane - As tu déjà eu connaissance d'un tel projet ?
Il est vrai que cet API utilise des zones de stockage déjà connues, mais aussi d'autres, comme les zones de stockages HTML5, ou celle au niveau Cependant cette API ne fait pas que formaliser la redondance, elle permet de toujours avoir le cookie original, et cela même après tentative de suppression !
Pour supprimer les cookies Flash :
http://en.wikipedia.org/wiki/Local_Shared_Object
Là aussi, il y a bien des abus : combien de gens savent qu'ils existent, et sont stockés aussi longtemps ???
C'est un sujet auquel j'ai pensé il y a peu de temps lorsque j'ai découvert le détail du fonctionnement des Etags, ça a fait tilt et j'ai commencé à me dire Etags + "cookies flash" + cookies normaux et quand on y réfléchit bien, les moyens ne manquent pas...
D'ailleurs, je vois les Etags ne sont pas mentionnés sur cet article ( mais ça semble avoir été ajouté le septembre 23 sur http://samy.pl/evercookie/ ).
J'espère qu'evercookie aura le mérite d'aider à sensibiliser les gens sur le fait que les problèmes liés à la vie privée dépassent largement le cadre des simples cookies, car l'air de rien tout ce qui permet des cookies "ineffacables" ne date pas d'hier...
Merci pour ce billet très instructif ! Bravo pour le blog !
Mes félicitations pour ton blog, alors il ne reste plus qu’a publier des bons billets et intéressants surtout.
bonne continuation
Je suis sans doute ta plus grande fan, on veut encore d’autres posts aussi intéressants !
Thanks super intéressant pour eviter le multi compte sinon je suis sur que google ou facebook doivent aussi utiliser ce genre de procédé
Enregistrer un commentaire