Les cookies mettent-ils en danger votre sécurité informatique ?

Les cookies ont toujours été mal aimés par les internautes, victimes de préjugés. Pourtant, ces fichiers textes sont inoffensifs, ou presque ! Dans cet article, nous vous expliquons quelles types d’informations ils stockent, comment ils le font, et dans quelle mesure ils peuvent mettre en danger votre sécurité informatique.

Les cookies : qu’est ce que c’est ?

Les cookies sont de minuscules trackers qui connectent les utilisateurs et les sites Web. Ils fonctionnent comme une combinaison d’une carte d’identité en ligne et d’un Post-it numérique, aidant le site Web à se souvenir des choix et des activités de l’utilisateur. 

Les cookies Internet sont de petits fichiers texte qu’un site Web télécharge sur l’appareil d’un utilisateur afin de suivre son comportement sur le site Web et de se souvenir de ses préférences. Les cookies jouent un rôle dans presque tout ce que les gens font sur Internet – de la mémorisation des informations de connexion des utilisateurs et des articles du panier en ligne, à l’aide aux entreprises pour créer des publicités ciblées. 

Le nom «cookie» a ses origines dans les premiers termes informatiques, lorsque «cookie magique» était utilisé pour décrire un petit morceau de données transmis entre les programmes. Le nom est toujours utilisé dans le jargon informatique actuel, mais vous verrez désormais le plus souvent un cookie appelé cookie HTTP, cookie Web, cookie de navigateur et cookie Internet.

navigateur sécurité cookies

Les cookies sont-ils dangereux ? Sont-ils considérés comme des virus ?

Les cookies ne sont pas dangereux – ils ne téléchargent pas de virus informatiques ni ne lisent les adresses e-mail. Cependant, les cookies constituent toujours des menaces pour la sécurité des utilisateurs car ils collectent des données personnelles sur les habitudes de navigation. Ces informations sont vulnérables aux violations de données et au vol. Étant donné que les cookies de suivi sont utilisés pour la publicité ciblée, les utilisateurs ont souvent des problèmes de sécurité à leur sujet. Malgré leurs préoccupations en matière de confidentialité, les données de cookies que les serveurs Web collectent sont essentielles pour créer l’expérience en ligne fluide que les gens attendent. Les utilisateurs peuvent gérer les cookies (et supprimer les fichiers cookies) en ouvrant leur navigateur Web (tel que Chrome, Firefox ou Safari) et en recherchant où les cookies sont stockés. Par exemple, le stockage des cookies peut être activé / désactivé dans Internet Explorer en cliquant sur «outils», puis sur «options Internet» et en sélectionnant l’onglet confidentialité. Certains fichiers de cookies peuvent être difficiles à supprimer, tels que les «cookies Zombie», qui se recréent après la suppression en utilisant un cookie Flash distinct. Ceux-ci doivent être désactivés dans les paramètres de Flash Player.

Comment fonctionnent les cookies? 

Lorsqu’un utilisateur visite un site Web, un cookie est téléchargé dans son navigateur Web (tel que Google Chrome ou Firefox) et stocké sous forme de fichier texte brut. Chaque navigateur stocke les cookies à des endroits légèrement différents. Lorsque l’utilisateur revient sur le site, son navigateur Web lit le fichier et partage les informations avec le domaine. Il existe deux types différents de cookies Internet : Les cookies de session collectent uniquement les détails des sessions de navigation uniques, tandis que les cookies persistants restent sur l’appareil de l’utilisateur et collectent les informations de connexion au fil du temps. 

Les fonctions des cookies

Les cookies remplissent un large éventail de fonctions pour les entreprises, mais la plupart relèvent des cinq catégories suivantes:
– Cookies essentiels : Les cookies essentiels sont la forme de mémoire de base d’un site, utilisée pour stocker les paramètres sélectionnés par un utilisateur sur un site donné. Comme leur nom l’indique, ils sont essentiels à la fonctionnalité d’un site Web et ne peuvent pas être désactivés par les utilisateurs. Par exemple, un cookie essentiel peut être utilisé pour empêcher les visiteurs d’avoir à se connecter chaque fois qu’ils accèdent à une nouvelle page Web au cours de la même session.
– Cookies de performance et de fonctionnalité : Ces cookies sont utilisés pour améliorer les performances et les fonctionnalités d’un site Web, mais ne sont pas essentiels à son utilisation. Cependant, sans ces cookies, certaines fonctions (comme les vidéos) peuvent devenir indisponibles.
– Cookies d’analyse Web et de personnalisation : Les cookies d’analyse et de personnalisation suivent l’activité des utilisateurs dans leurs navigateurs, afin que les propriétaires de sites Web puissent mieux comprendre comment leur site est consulté et utilisé. Si votre site Web ou votre application utilise Google Analytics, vous devez divulguer votre utilisation des cookies de suivi dans une politique de confidentialité Google Analytics dédiée.
– Cookies publicitaires : Les cookies publicitaires sont utilisés pour personnaliser l’expérience publicitaire d’un utilisateur sur un site Web en fonction de son historique de navigation. En utilisant les données collectées à partir de ces cookies, les sites Web et les sociétés de publicité peuvent empêcher la même annonce d’apparaître encore et encore, mémoriser les préférences publicitaires des utilisateurs et personnaliser les annonces qui apparaissent dans les navigateurs en fonction des activités en ligne de l’utilisateur.
– Cookies de réseautage social : Les cookies de suivi des réseaux sociaux permettent aux utilisateurs de partager du contenu sur les plateformes de réseaux sociaux et aident à relier l’activité entre un site Web et des plateformes de partage tierces. Les informations personnelles que les cookies collectent, ainsi que le fait qu’ils présentent un risque pour la sécurité, ont créé un besoin de lois et de réglementations sur les cookies. Si votre site Web déploie des cookies, il existe plusieurs exigences légales que vous devez savoir si vous souhaitez éviter les problèmes avec la loi.

La legislation sur les cookies

Les lois se multiplient dans le monde pour atténuer les risques associés aux cookies et à la protection des données. Bien que la réglementation des cookies soit encore un territoire relativement nouveau, les lois suivantes innovent en ce qui concerne la fourniture de droits de notification et de consentement aux utilisateurs sur les cookies qu’ils rencontrent en ligne: Le règlement général sur la protection des données (RGPD) et les cookies. Le RGPD vise à donner aux utilisateurs plus de droits sur leurs données grâce à des directives strictes de notification et de consentement. En vertu de cette loi, les utilisateurs doivent être informés de l’existence de cookies sur un site Web, puis donner leur consentement valide aux cookies GDPR pour leur déploiement. Si le consentement n’est pas donné, le site en question ne peut légalement collecter des informations auprès de cet utilisateur à l’aide de cookies. Cependant, il y a certaines exceptions. Les cookies essentiels, les cookies de performance et les cookies de fonctionnalité sont souvent utilisés sur la base de l’intérêt légitime du RGPD ou pour l’exécution d’un contrat. Par conséquent, le consentement de l’utilisateur n’est pas nécessairement obligatoire pour que ces cookies soient légalement déployés. Le consentement aux cookies n’est qu’une partie du RGPD. 

Gérer les cookies sur un site

Étant donné que les lois sur les cookies et leurs stipulations spécifiques diffèrent d’un endroit à l’autre, il est important d’examiner exactement quelles règles et réglementations s’appliquent à votre entreprise et de les parcourir en conséquence.

Bien que les lois régissant l’utilisation des cookies soient complexes, l’objectif de presque toutes les législations sur les cookies est essentiellement le même. Par conséquent, la mise en œuvre de quelques mesures simples peut vous aider à vous conformer à la majorité des exigences de la loi sur les cookies et à adhérer aux meilleures pratiques d’utilisation des cookies.

Gérer ses cookies en respectant les legislations

Voici trois étapes de base que vous pouvez suivre pour développer une politique de bonnes pratiques en matière de cookies et répondre aux exigences des principales lois sur les cookies:

– Auditer et classer vos cookies :
De nombreux sites Web utilisent plus de cookies de suivi qu’ils ne le pensent. Si vous ne savez pas exactement quels cookies se trouvent sur votre site, il est impossible de décrire vos pratiques en matière de cookies aux utilisateurs. Non seulement vous devez faire un effort pour découvrir quels cookies vous utilisez, mais vous devez ensuite classer ces cookies en fonction de leur finalité (par exemple, les six catégories mentionnées ci-dessus).

Organiser vos cookies en fonction des finalités qu’ils servent est essentiel pour compléter les deux étapes suivantes.

Pour savoir quels cookies votre site utilise, vous pouvez utiliser un outil tel que le gestionnaire gratuit de consentement des cookies de Termly pour analyser votre site et générer un rapport détaillé.

– Partagez vos pratiques en matière de cookies aux utilisateurs :
Les cookies sont utilisés pour collecter des informations personnelles, ce qui signifie qu’ils doivent être divulgués dans votre politique de confidentialité.

Les lois actuelles sur les cookies et la confidentialité des données – comme la loi de l’UE sur les cookies – vous obligent également à fournir une politique de cookies qui décrit pleinement votre utilisation des cookies. Cette politique doit référencer vos découvertes et classifications d’audit de cookies, en détaillant exactement quels cookies vous utilisez et à quelles fins.

Rendez cette politique facilement accessible en l’associant dans le pied de page de votre site Web et à l’étape suivante de votre plan de conformité – votre bannière de consentement aux cookies.

Suivez un modèle de politique de cookies pour vous assurer de détailler les informations nécessaires sur la manière dont vous utilisez les cookies et les informations qu’ils collectent.

– Obtenez le consentement avant de déployer des cookies :
La mesure la plus importante que vous devez prendre pour vous conformer à la loi européenne sur les cookies et au RGPD est d’obtenir le consentement de l’utilisateur sur la manière dont vous utilisez les cookies.

Il existe trois éléments d’un consentement aux cookies légalement valide:

1) Affirmation que l’utilisateur a connaissance et consent à l’utilisation des cookies
2) La possibilité pour les utilisateurs de définir leurs préférences en matière de cookies
3) La possibilité de révoquer le consentement à tout moment

Ces exigences peuvent être facilement remplies grâce à une bannière de consentement aux cookies.

La bannière devrait apparaître lorsqu’un utilisateur accède à votre site pour la première fois et l’informer que votre site Web utilise des cookies. Il devrait également y avoir une forme d’affirmation (un bouton ou une case à cocher par exemple) sur laquelle les gens peuvent cliquer pour montrer qu’ils consentent à votre utilisation des cookies et qu’ils les acceptent depuis votre site.

En outre, votre bannière doit inclure un lien qui dirige les utilisateurs pour en savoir plus sur votre utilisation des cookies et définir leurs paramètres de cookies préférés. Si les gens choisissent de ne pas consentir à l’utilisation de tous les cookies, ils devraient pouvoir donner leur consentement à des catégories spécifiques de cookies.

Vous devez également donner aux utilisateurs la possibilité de retirer leur consentement à tout moment. Incluez des liens dans le pied de page de votre site Web, la politique relative aux cookies et la politique de confidentialité qui dirigent les utilisateurs vers un formulaire ou une page Web où ils peuvent facilement révoquer leur consentement (s’ils le souhaitent).

N’oubliez pas de conserver des enregistrements des consentements et des préférences des utilisateurs en matière de cookies, où vous pouvez facilement y accéder en cas d’audit de conformité à la loi sur la confidentialité.

– Vérifiez les exemptions de consentement aux cookies :
Selon l’organisme consultatif européen de supervision, les entreprises n’ont pas besoin d’obtenir le consentement de l’utilisateur pour le déploiement de tous les cookies en vertu de la loi sur les cookies.

Pourquoi les cookies sont-ils indispensables ?

Nous vous en avions déjà parlé ici, les cookies sont des fichiers texte qui stockent des informations sur votre navigation. Installés sur votre ordinateur pour une durée limitée, ils vous permettent d’avoir une expérience agréable et personnalisée.

A chaque fois que vous visitez un site, un fichier est transmis à votre navigateur via le serveur de ce dernier et se stocke sur votre ordinateur. Voici les types d’informations qu’on peut y trouver :

  • Authentification : ce sont vos identifiants de connexion notamment. C’est utile si vous souhaitez pré-remplir les champs de connexion afin que l’on se souvienne de vous lors de votre prochaine visite ;
  • Session : lorsque vous naviguez d’une page à une autre, les cookies se souviennent qu’il s’agit de vous et ne vous déconnectent pas. Il en va de même lorsque vous partez quelques minutes en laissant tout ouvert. Seules les banques ne sont pas autorisées à laisser votre session ouverte sans activité ;
  • Utilisateur : votre parcours sur le site que vous visitez afin de pouvoir personnaliser votre navigation les fois prochaines.

Comment peuvent-ils menacer la sécurité de votre réseau ?

Vous l’aurez compris, les cookies en soit ne sont pas dangereux. En effet, grâce au protocole HTTPS et aux certificats SSL, il n’est pas possible de les intercepter. Le transfert se fait donc par ligne sécurisée. En revanche, la sécurité des ordinateurs sur lesquels sont stockés ces fichiers n’est pas forcément optimale. Il suffirait donc, pour un hacker, d’avoir accès à votre machine pour récupérer vos identifiants de connexion que vous avez sauvegardé.

Ainsi, le problème ne vient pas des cookies en eux-même, mais plutôt des navigateurs et des machines utilisées par les personnes pour se connecter. Ajoutons à cela qu’avec la RGPD, les sites ne peuvent plus faire n’importe quoi avec vos données. Ils sont dans l’obligation légale de vous informer sur l’utilisation qu’ils en font et doivent vous permettre de refuser cet usage.

Cependant, si certains sites ne sont plus accessibles après un refus de votre part, c’est parce que sans cela, ils ne peuvent fonctionner. Ainsi, si vous souhaitez commander sur un site ecommerce, l’utilisation de cookies est obligatoire ne serait-ce que pour se souvenir de votre commande et de votre adresse.

Comment se protéger des attaques malveillantes ?

Maintenant que vous savez d’où vient le problème, réfléchissons à la manière de le régler. Refuser tous les cookies n’est pas la solution, je viens de vous l’expliquer.

En fait, vous devez avant tout faire un travail sur vos habitudes et votre mémoire. Voici quelques conseils simples à mettre en place :

  • Ne pas se souvenir de vous : prenez 2 minutes pour retaper vos identifiants à chaque fois que vous retournez sur un site ;
  • Évitez la connexion automatique : si vous restez connecté, il suffira d’ouvrir votre navigateur pour avoir accès à votre compte :
  • Un site = un identifiant différent. Cela évitera que vous vous fassiez pirater tous vos comptes parce que quelqu’un aura eu accès à un seul de vos identifiant ;
  • Nettoyez votre navigateur : effacer vos données de navigation régulièrement. En faisant cela, vous supprimez les cookies ;
  • Installez un antivirus et un pare-feu : protégez votre réseau et votre ordinateur avant toute chose.
proection cookies hacker

Il existe bien d’autres conseils, ceux-là sont les plus simples et faciles à mettre en place. Ainsi, les cookies en soit ne sont pas dangereux. Vous n’aurez donc pas besoin de les refuser pour protéger votre réseau. La sécurité informatique passe avant tout par votre machine.

Si, en revanche, vous ne souhaitez pas communiquer certaines informations, là vous pouvez refuser les cookies. Cependant, certains sites peuvent vous refuser l’accès. Vous serez prévenus.

De nombreuses entreprises utilisent aujourd’hui des cookies pour suivre l’activité des utilisateurs sur leurs sites Web. Bien que presque tous les sites Web utilisent des cookies, ils ne sont pas tous les mêmes, et les règles qui régissent leur utilisation ne le sont pas non plus. Si vous utilisez des cookies sur votre propre site Web, vous devez comprendre exactement ce que sont les cookies, quelles réglementations contrôlent leur utilisation et comment vous pouvez éviter de tomber dans l’eau chaude en raison de pratiques de cookies inappropriées.