VIRUS

SPYWARES

SPAM

 

SE PROTEGER

COOKIES

HACKERS

AU BUREAU

 

W W W

W-XP

Sécurité

Webmastering

Tabou

www

Dernière mise à jour de cette page :
Page consultée 1190 fois 

Les Cookies

    De patisserie il n'en a que le nom. Informatiquement parlant, le cookie est un simple petit fichier texte créé par votre navigateur mais sur ordre du serveur auquel il est connecté (sur Internet bien sûr). Ce n'est ni un virus ni un spyware, ce stockage étant réalisé par votre navigateur dans le cadre de son fonctionnement normal.

     Ce petit fichier contient un certain nombre d'informations qui pourront être relues et modifiées ultérieurement si votre ordinateur se connecte à nouveau au serveur qui a créé le cookie en question. Ainsi, le site web que vous visitez pourra vous " reconnaître ". Par exemple, quand plusieurs jours après votre visite, vous revenez sur le même site, celui-ci viendra lire votre cookie (dans la mesure ou un petit programme, en PHP ou en Javascript par exemple, le gère), et s'il est encore présent sur votre disque dur, le site web en question lira les informations qui y sont contenues et pourra vous identifier de nouveau comme étant l'internaute qui quelques jours plus tôt était passé, en ce sens qu'il pourra récolter certaines informations (sans danger rassurez-vous) déposées lors de votre précédent surf.

    Depuis leur apparition, les cookies ont été contestés. Cela a débuté par les problèmes de violation de la vie privée, suivi de prêt par le non-anonymat que cela a découlé. D'autres éléments, plus graves, ont démontré la faiblesse des cookies au niveau de la sécurité (jje vous en parle un peu plus bas) . Mais un cookie, c'est comme une fourchette: on peut manger avec ou piquer les fesses. En effet, ce n'est pas le Cookie en lui même qui est dangereux, mais plutôt l'utilisation que certains malintentionnés peuvent en faire.

 

Un peu de technique (ça sera rapide !...)

    Comme vu précédemment, le cookie, déposée dans un fichier de votre ordinateur par votre navigateur W3, est ni plus ni moins un fichier texte (il comporte d'ailleurs l'extension .txt). Vous pouvez donc l'ouvrir et en modifier le contenu tout simplement avec le bloc-notes de Windows. Si vous avez l'occasion d'ouvrir un cookie, vous verrez que le texte qu'il contient ressemble à une suite apparemment incohérente de mots, de lettres et de chiffres assenblés sous la forme de plusieurs courtes chaînes de caractères. Il ne peut contenir que ce que l'utilisateur a d'ailleurs bien voulu donner comme informations. Les autres renseignements tels que l'adresse IP ou le type de navigateur utilisé sont connus indépendamment des cookies ! Mais jamais un cookie ne pourrra récupérer à votre insu, par exemple, votre adresse Email (à moins que vous ne la communiquiez explicitement dans un formulaire que vous aurez rempli sur le site afférent au cookie)

INTERNET,  W3 et HTTP

INTERNET utilise essentiellement une famille de protocoles nommée TCP/IP ( Transport Control Protocol / Internet Protocol). Ces protocoles régissent le transport de l’information entre les systèmes connectés à Internet. Votre navigateur ( Netscape ou Internet Explorer ) et un serveur W3 sont des exemples de système.

Le W3 utilise le protocole HTTP ( Hyper Text Tranport Protocol). Ce protocole fonctionne selon le modèle requête/réponse. Votre navigateur demande une page HTML ( requête) le serveur répond à cette demande (réponse). Ce protocole est « stateless », c’est-à-dire que chaque requête est indépendante des requêtes précédentes et futures.

 

    Les cookies sont généralement stockés dans les répertoires suivants (liste non exhaustive) :

OS

Lieu de stockage des cookies
Windows 95/98/ME C:\Windows\Cookies\
Windows NT 4 C:\WINNT\Cookies\
Windows 2000 / XP C:\Documents and Settings\<Utilisateur>\Cookies
 

 

Structure minimale d'un cookie

Il comprend :

  • Un nom

Le nom permet d'identifier le cookie. Il peut s'agir d'une chaine alphanumérique quelconque à laquelle peuvent s'ajouter d'autres paramètres facultatifs, à savoir :

Une date d'expiration : si elle est omise, le cookie "meurt" à la fin de la session en cours du navigateur.

  • Un chemin  d'accès

Il indique la partie de l'URL pour laquelle le cookie est valable car le cookie peut ou ne pas être accessible depuis tous les répertoires du site. Si on ne précise pas de chemin, le cookie est tout simplement accessible depuis toutes les pages du site.

  • Un domaine de validité

Il indique le serveur pour lequel le cookie est valable (ex: www.fredisland.net). S'il n'est pas spécifié il prend la valeur par défaut du domaine de la page HTML qui écrit le cookie, ce qui est, dans la grande majorité des cas, l'effet recherché. Pour des raisons de sécurité, il n'est en principe pas possible (bien que ce cas très rare se soit déjà produit), qu'un site web place des cookies qui seront relus par un autre site.

  • Un attribut de sécurité

S'il existe, le cookie ne sera transmis que si la connexion vers le serveur est sécurisée (protocole HTTPS et non pas HTTP).

Limitations du cookie

Elles concernent la taille et le nombre de cookies pouvant être stockés sur chaque poste client :

  • 300 cookies au total
  • 4 ko par cookie
  • 20 cookies par serveur ou domaine

 Ce qui entre nous est déjà plus que suffisant.

 

Les bons côtés du cookie

    Il ne faut pas basiquement avoir peur des cookies car ils sont souvent bien pratiques. Quelques exemples parmi d'autres:

  • De nombreux sites utilisent désormais les cookies pour vous identifier plus rapidement. Par exemple, un service de mail gratuit place un cookie sur votre machine. Comme ça, lorsque vous souhaitez consulter votre mail, il affiche une page d'accueil personnalisée avec votre nom d'utilisateur directement, vous n'avez plus qu'à saisir votre mot de passe pour accéder à votre boîte aux lettres.
  • Lors d'achats en ligne, le ou les cookie(s) vont conserver le contenu de votre panier (vos articles selectionnés en attente de validation de commande) et d'une session à l'autre les pages d'achat s'en souviendront, pour peu que le cookie en question ne soit pas détruit (volontairement par vous ou par l'intermédiaire d'un logiciel de "nettoyage").
  • Certains sites permettent également une petite personnalisation (langue du site, avec ou sans cadre, avec ou sans flash, couleurs générales etc...). Le cookie se souviendra ainsi de vos préférences qui seront automatiquement chargées lorsque vous reviendrez. Un gain de temps appréciable. Et un petit côté m"agique" en plus ...
  • Gestion des ces compteurs de visite (comme sur Fredisland).
  • Mémorisation des mots de passe et données d'un formulaire pour éviter leur ressaisie
  • Gestion d'événements comme l'ouverture ou non d'une fenêtre popup, l'affichage de pages personnalisées.
  • Le passage de données d'une page à l'autre.
  • la date et heure de votre visite.
  • une réponse à un questionnaire que vous avez rempli sur le site visité.
  • etc ...

    Comme on le voit, les applications sont multiples, et il n'appartient qu'à l'imagination du webmestre d'en découvrir d'autres et de les appliquer par programmation. Ainsi, les cookies sont en quelques sortes les variables d'environnement vous reliant aux sites que vous visitez, à ceci près qu'un site ne peut - en théorie - lire les cookies déposés par un autre (les curieux pourront accéder à une  documentation ultra-technique en anglais sur les cookies - 39 internautes y ont déjà jeté un oeil ).

     Malheureusement, le Cookie n'a pas que des bons côtés dans la mesure ou certains n'hésitent pas à en détourner l'utilisation. C'est par exemple une aubaine pour les sites commerciaux et les régies publicitaires du Web. Il leur permet de compiler en temps réel des informations que des centaines d'études marketing ne pourraient leur fournir que mois après mois. Bien entendu, il est possible de supprimer les Cookies en utilisant votre navigateur. Mais cette opération risque de devenir rapidement fastidieuse. Une deuxième solution plus radicale serait d'interdire les Cookies sur votre ordinateur. Mais vous ne pourrez pas, dans certains cas, effectuer des achats en ligne. Pire encore, certains sites vous en bloqueront l'accès si vous n'acceptez pas leurs cookies, ou tout au moins perturber quelque peu votre surf en limitant votre champ d'action. Une troisième solution consiste à utiliser un " mangeur " de Cookie ou " Filtre Cookie ". Ils effectueront des nettoyages automatiques et réguliers et vous pourrez même sélectionner les cookies à garder.

  

Là où ça coince...

    En gardant la trace de nos surfs, les régies commerciales analysent aussi nos comportements - conscients ou inconscients - de consommateurs et ce afin de mieux cibler leurs messages.

    Les informations contenues dans un cookie seul ne sont pas nominatives : elles identifient tout au plus le navigateur de votre ordinateur ou son adresse IP (généralement l'adresse de votre fournisseur d'accès). Toutefois, les cookies des navigateurs peuvent être recoupés avec les adresses e-mail. Donc si l'on croise les informations anonymes contenues dans un cookie avec une base de données nominative - comportant certainement de nombreuses adresses e-mail - on pourrait se retrouver avec une superbe base comportementale, créée totalement à l'insu des personnes concernées. Et en dépit de tout droit élémentaire de protection de la vie privée. Ce scénario catastrophe a failli devenir réalité aux Etats-Unis lorsque le géant de la gestion des publicités sur le Web, Double Click, a fait l'acquisition d'Abacus Direct, société de marketing, détentrice de près de 88 millions de fichiers nominatifs de consommateurs américains. De nombreuses plaintes de comités de défense de l'intimité sur le Web auprès de la FTC (Federal Trade Commission) ont fait heureusement reculer Double Click. Mais pour combien de temps ?.

      Un exemple extrême : vous vous connectez sur une librairie en ligne et allez fouiller dans son catalogue "Science fiction". Pendant ce temps, le serveur du site vous a envoyé un cookie qui enregistre soigneusement quelles pages Web du site vous avez visitées. Si vous vous connectez à nouveau sur ce site quelques jours plus tard, vous tomberez "comme par hasard" sur une bannière de publicité faisant la promotion du dernier best-seller de science-fiction. Magique, non ? Autre application : en renseignant sur le nombre de pages d'un même site que l'internaute visite, il permet aux régies publicitaires de changer leurs bannières de publicité régulièrement. Et ce, afin de varier les messages auprès de l'internaute.

  

Et la sécurité dans tout ça ? (un peu pointu là...)

    Les cookies peuvent contenir des données personnalisées de votre compte, de votre ordinateur. Les cookies sont donc des données sensibles d'un point de vue de la sécurité. Ils faut donc les considérer comme des données personnelles que personne ne doit obtenir. Nous allons donc faire le tour de l'aspect sécurité des cookies. Attention, séquence frissons :

Vol de cookies

  •     Le but du hacker est généralement de voler le cookie de sa victime pour en exploiter le contenu. Comme nous l'avons vu, en théorie, un cookie associé à un site web ne peut pas être envoyé à un autre site web. Malheureusement, un certain nombre de failles logicielles ont déjà permis de voler des cookies.

Vol par accès physique à la machine

  •     Si le hacker a accès physiquement à la machine, rien de plus simple que de récupérer les cookies ! Il va dans le répertoire de stockage des cookies en fonction du système d'exploitation (voir tableau plus haut) et copie les cookies sur disquette... La station est vérouillée ? L'attaquant n'a pas les droits d'administartion ? Il existe des programmes (comme Trinux) qui permettent de prendre la main sur la machine locale en rebootant sur disquette ou CD. Il ne reste plus qu'à "mounter" la partition et récupérer les cookies voulus.

Vol par sniffing / man in the middle

  •     Comme nous l'avons vu, les cookies passent par les requêtes HTTP. Si l'attaquant peut intercepter les requêtes HTTP, soit à l'aide d'un sniffer, soit par attaque par le milieu, il peut donc récupérer tous les cookies sans aucun problème. A condition bien sur que le flux HTTP ne soit pas chiffré (HTTPS, VPN...).

Vulnérabilité du navigateur

  •     Cette usine à gaz qu'est le navigateur, de plus en plus compliqué à chaque nouvelle version, comporte un nombre de failles impressionnant. Parmis toutes ces failles, il y en a certaines qui concernent tout particulièrement les cookies.

Exploitation des cookies volés

  •     Une fois qu'un hacker a votre cookie, il peut l'exploiter facilement si les données qui s'y trouvent sont facilement identifiables. Ainsi, il est arrivé (et cela doit probablement toujours arriver) que des sites intègrent EN CLAIR dans leur cookie les identifiants et mots de passe des utilisateurs ayant des comptes sur lesdits sites, ou alors encode ces données sensibles avec une méthode trop basique.

Replay attacks

  •     Les cookies sont en général utilsés pour reconnaître l'internaute qui visite le site. Un exploit très classique et très facile est le replay attack. Il s'agit de rejouer la session de connexion au site. Si le cookie n'est pas écrit pour empêcher cette attaque, alors l'attaquant peut utiliser le cookie de sa victime pour être reconnu comme celle-ci par le site web. En général, le simple fait de reprendre tel quel le cookie de sa victime et de le mettre dans ses propres cookies permet à l'attaquant de se faire passer pour elle.

Modification de cookies pour prendre l'identité de la victime

  •     Quelque fois, une attaque par replay ne fonctionne pas telle quel. Il faut modifier quelque peu le cookie pour voler la session. Par exemple, si un numéro de session est incrémenté de 1 à chaque nouvelle session, pour voler la session de la personne qui s'est connectée juste avant vous, il suffit de modifier le cookie : repérer où est stocké le numéro de session, le décrémenter de 1, sauvegarder la modif. La modification de cookies peut aussi être faite pour obtenir des droits privilégiés, c'est à dire ne pas prendre l'identité de la victime, mais prendre directement ses droits.

 

En conclusion: la recette du cookie au chocolat

Cookies au Chocolat

 Pour 25 cookies

Durée : 25 minutes
 

Les ingrédients:

                • 1 œuf
                • 75 g de sucre
                • 100 g de cassonade
                • 1 pincée de sel
                • 1 cuillerée à café de vanille liquide
                • 100 g de beurre
                • 225 g de farine
                • 1 cuillerée à café de levure chimique
                • 150 g de couverture noire

La recette :

1

Préparer tous les ingrédients.

2

Blanchir le beurre ramolli avec le sucre. Ajouter l'œuf. Mélanger.

3

 Ajouter le chocolat taillé en petites pépites et la levure chimique.

4

 Ajouter la farine et bien mélanger à la spatule jusqu'à l'obtention d'une pâte.

5

 Disposer cette pâte sur une feuille de papier sulfurisé.

6

 Lui donner la forme d'un boudin.

7

 Envelopper le boudin de papier sulfurisé et le serrer avec la spatule métallique afin d'obtenir un boudin bien régulier.
Laisser poser au frais quelques heures.

8

 Retirer le papier sulfurisé.

9

 Détailler au couteau en rondelles d'1/2 cm d'épaisseur.

10

 Disposer ces rondelles sur une plaque graissée. Prendre soin de les disposer en quinconce afin qu'ils ne se collent pas.

11

 Enfourner à four chaud (180/200°C).

12

 Laisser cuire jusqu'à coloration désirée. Plus les cookies seront colorés, plus ils seront secs. "Si vous les aimez un peu moelleux avec le cœur pâteux, je vous conseille de les sortir du four lorsque le milieu du cookie est encore clair."

13

 Au terme de la cuisson, les laisser poser deux minutes avant de les décoller de la plaque avec l'aide d'une spatule métallique.
Laisser refroidir.

14

 Bon appétit !!!

 Vous pouvez retrouver cette recette illustrée et bien d'autres sur

 www.meilleurduchef.com   (35 internautes gourmands y sont allés)