Quels sont les dangers des cookies ?

L'utilisation tout azimut des cookies informatiques aurait t-elle fait son temps ? Entre les recommandations de la CNIL de décembre 2013 visant à mieux réguler leur utilisation et la volonté de lancer un système alternatif par les géants du Web, le système actuel d'utilisation massive des cookies est en pleine mutation.

Une évolution nécessaire tant le principe actuel de récupération de ces fichiers temporaires, qui reste méconnu d'une majorité des internautes, a un impact en termes de conservation de la vie privée sur Internet. Une récupération de nos données personnelles qui est effectuée en général par des sociétés commerciales ou des États, comme par la NSA dans l'affaire Snowden, mais aussi des hackers pour lancer des cyberattaques.

Quels sont les dangers des cookies ?

Si les cookies ont été créés à l'origine pour permettre aux sites Internet d'authentifier les internautes et enregistrer leurs préférences de navigation, leur utilisation a été largement détournée à des fins commerciales. Les sites marchands les utilisent en masse pour afficher des publicités ciblées en rapport avec l'historique de navigation de l'internaute. Les tracking cookies, d'une durée de vie illimitée et contenant l'ensemble des informations relatives à la navigation de l'utilisateur, sont ainsi collectés pour tirer le profil marketing des internautes. Des procédés qui se font le plus souvent à l'insu de l'utilisateur qui n'a en général pas conscience des informations récupérées en lien avec son profil.
Une récupération des cookies qui attire aussi les hackers : l'objectif étant pour eux d'en exploiter le contenu et d'utiliser ces données personnelles à des fins malveillantes pouvant aller jusqu’à la mise en place des cyberattaques. Le processus est relativement simple : si le hacker a un accès physique à la machine il lui suffit de copier ces données, accessibles en quelques clics, sur une clé USB. A distance la récupération des cookies est aussi plutôt aisée, puisqu’il suffit d'intercepter une requête HTTP par laquelle passent les cookies, à l'aide de techniques de type « sniffing ». L'utilisation des failles du navigateur sont aussi utilisées pour le vol de cookies : Firefox permet par exemple de récupérer les cookies en créant un site pirate qui aspire les cookies du site visé.
Ces techniques ont été utilisées par la NSA pour surveiller la vie des internautes, comme le dévoilent les documents publiés en décembre 2013 par Edward Snowden. Selon le Washington Post, la technique utilisée par la NSA et la GCHQ, l'agence de renseignement britannique, consiste à se procurer des cookies PREF, propres à Google, afin d'identifier les cibles et surveiller leur navigation. Cette technique permet aussi aux agences de renseignements américaines et britanniques d'envoyer des logiciels pour hacker l'ordinateur de l'individu concerné et d’extraire l'ensemble des fichiers souhaités.
Au nom de la protection nationale et sous couvert du « Patriot Act », cet ensemble de lois qui contraint les entreprises américaines à fournir les informations désirées, la NSA s’est octroyé le droit d’accès à ces informations.

La CNIL publie des recommandations afin de réguler la collecte de cookies

Une récupération et utilisation des données personnelles effectuée le plus souvent à l'insu des internautes, mal informés par les traces laissées lors de leur navigation. Si une loi existe depuis 2011 en France, sensée encadrer la récupération des cookies et l'information des internautes, elle était peu appliquée jusqu'à présent. Dans l'optique de faire respecter la juridiction en présence, la CNIL a publié, le 16 décembre 2013, une série de recommandations à destination des éditeurs de site et annonceurs. L'objectif étant d'informer et de donner le choix aux internautes d'accepter ou non la récupération de leurs données personnelles lors de leur visite sur un site.
La CNIL précise dans ses recommandations qu'un éditeur de site se doit de faire apparaître une bannière, lors d'une première visite sur un site, décrivant le type de données récupérées ainsi que la finalité de la collecte. L'internaute peut, via cette bannière, refuser en partie ou intégralement la collecte de ces données sur un site donné. La CNIL précise enfin que les cookies collectés ne peuvent être conservés plus de treize mois et que ceux relatifs à la géolocalisation ne doivent pas être plus précis que la ville de l'internaute. Ces recommandations seront-elles suffisantes pour mieux réguler l'utilisation des cookies ? Elles devraient en tout cas participer à la prise de conscience des internautes des dangers encourus en termes de préservation de la vie privée et de sécurité informatique.