Que sont les supercookies et pourquoi sont-ils dangereux?

Verizon a reçu une amende pour le suivi des clients avec un en-tête d'identifiant unique (UIDH), également connu sous le nom de supercookie. Mais qu'est-ce qu'une supercookie? Et pourquoi est-ce pire qu'un cookie ordinaire?

Verizon a reçu une amende pour le suivi des clients avec un en-tête d'identifiant unique (UIDH), également connu sous le nom de supercookie.  Mais qu'est-ce qu'une supercookie?  Et pourquoi est-ce pire qu'un cookie ordinaire?
Publicité

En Mars 2016, Verizon a été frappé d'une amende de 1, 35 million de dollars pour le suivi des clients avec un en-tête unique identifiant (UIDH) Deux façons dont votre FAI vous espionne et comment être en sécurité [10 x SurfEasy Total VPN + BlackBerry Z10 Giveaway] ISP vous espionne et comment être en sécurité [10 x SurfEasy Total VPN + BlackBerry Z10 Giveaway] C'est un mauvais moment pour être un client de Verizon. Lire la suite, également connue sous le nom de «supercookie». C'était une grande nouvelle lorsque Verizon a été forcée de faire connaître ce tracking et de permettre aux clients de le désactiver. Mais qu'est - ce qu'une supercookie? Et pourquoi est-ce tellement pire qu'un cookie régulier? Voici ce que vous devez savoir.

Cookies et Supercookies

Pour comprendre les supercookies, il est important que vous sachiez ce que sont les cookies habituels. Un cookie HTTP Qu'est-ce qu'un cookie et qu'est-ce que cela a à voir avec ma vie privée? [MakeUseOf explique] Qu'est-ce qu'un cookie et qu'est-ce que cela a à voir avec ma vie privée? [MakeUseOf Explains] La plupart des gens savent qu'il y a des cookies dispersés sur Internet, prêts et prêts à être mangés par ceux qui peuvent les trouver en premier. Attends quoi? Cela ne peut pas être juste. Oui, il y a des cookies ... Read More, généralement connu sous le nom de cookie, est un petit morceau de code qui est téléchargé dans le navigateur d'un utilisateur quand il visite un site web. Le cookie stocke de petits morceaux d'informations qui pourraient être utiles au site Web, à l'utilisateur et aux interactions entre les deux.

Par exemple, lorsque vous placez des éléments dans votre panier Amazon, ces éléments sont stockés dans un cookie. Vous pouvez donc quitter Amazon et revenir sans vider votre panier. Le cookie renvoie ces informations à Amazon lorsque vous revenez sur le site.

cookie-interaction

Les cookies peuvent également servir à d'autres fonctions, comme dire à un site Web que vous êtes déjà connecté afin de ne pas avoir à vous reconnecter à votre retour. De manière plus controversée, les cookies de suivi tiers suivent les internautes sur Internet et rendent compte au marketing et aux autres entreprises en leur indiquant où vous avez été en ligne.

Une supercookie est une sorte de cookie de suivi, mais c'est beaucoup plus pernicieux.

Cookies non traçables

Si vous ne voulez pas que les cookies vous suivent sur le Web, vous pouvez toujours effacer vos données de navigation. Comment effacer manuellement et automatiquement votre historique de navigation Comment effacer manuellement et automatiquement votre historique de navigation Les sites Web que vous visitez laissent des traces sur votre ordinateur. Nous vous montrons comment supprimer votre historique de navigation dans Firefox, Chrome, Edge et Internet Explorer. Lire la suite . Cela supprime tous les cookies stockés sur votre ordinateur, ce qui signifie que vous devez remettre vos articles dans votre panier et vous reconnecter à vos sites Web. Mais cela signifie également que les cookies de suivi ne feront plus de suivi.

Une supercookie est différente - effacer vos données de navigation n'aidera pas. C'est parce qu'une supercookie n'est pas vraiment un cookie; Ce n'est pas stocké dans votre navigateur.

cookie géant

Au lieu de cela, un élément d'information unique à la connexion d'un utilisateur est inséré dans l'en-tête HTTP par un fournisseur de services Internet (ISP). Cette information identifie de manière unique un dispositif d'empreintes digitales de toile qui vous suivra partout où vous allez. Voici pourquoi vous devriez être inquiet Les empreintes de toile vous suivront partout où vous allez. Voici pourquoi vous devriez être inquiet Lisez plus ou, dans le cas de Verizon, un plan de données, sur le site Web visité.

Parce que ces informations sont injectées entre le périphérique et le serveur auquel il se connecte, il n'y a rien qu'un utilisateur puisse faire à ce sujet. Il ne peut pas être supprimé, car il n'est pas stocké sur l'appareil. Le logiciel de blocage des publicités ne peut rien y faire, car cela arrive après que la demande quitte l'appareil.

Les dangers des supercookies

Le potentiel de violation de la confidentialité ici devrait être évident - dans la plupart des cas, les cookies sont liés à un seul site Web, et ne peuvent pas être partagés avec un autre site. L'UIDH peut être révélée à n'importe quel site web et contient potentiellement une grande quantité d'informations sur les habitudes et l'histoire d'un utilisateur. Et nous savons que Verizon annonçait cette capacité à ses partenaires, il est donc probable que cette utilisation spécifique de supercookies était destinée à collecter beaucoup de données pour les vendre.

L'Electronic Frontier Foundation (EFF) note également qu'une supercookie peut être utilisée par les annonceurs pour essentiellement ressusciter les cookies supprimés de l'appareil d'un utilisateur et les lier à de nouveaux, contournant les stratégies que les utilisateurs pourraient adopter pour empêcher le suivi:

[S] uppose un réseau publicitaire vous a assigné un cookie avec la valeur unique "cookie1", et Verizon vous a assigné l'en-tête X-UIDH "old_uid". Lorsque Verizon change votre en-tête X-UIDH à une nouvelle valeur, disons "new_uid" le réseau publicitaire peut connecter "new_uid" et "old_uid" à la même valeur de cookie "cookie1" et voir que les trois valeurs représentent la même personne. De même, si vous supprimez par la suite les cookies, le réseau publicitaire attribuera une nouvelle valeur de cookie "cookie2". Puisque votre valeur X-UIDH est identique ("new_uid") avant et après avoir effacé les cookies, le réseau publicitaire peut "Et" cookie2 "à la même valeur X-UIDH" new_uid. "Le va-et-vient de l'identité rend impossible l'effacement de votre historique de suivi tant que l'en-tête X-UIDH est activé.

Dans le même blog, le FEP a noté qu'un UIDH peut également être appliqué aux données envoyées par les applications, ce qui n'est pas facile à suivre autrement, et fournit ainsi une image encore plus finement détaillée de l'utilisation d'Internet par un utilisateur. Verizon contourne également les paramètres de confidentialité «Limite de suivi des annonces Smartphone vous devez activer les paramètres de confidentialité Smartphone aujourd'hui que vous devez activer aujourd'hui Smartphones livrés avec beaucoup de paramètres par défaut qui pourraient fuir vos informations. Mettons-nous à plonger et les modifier. Lire la suite "paramètres sur iOS et Android, aggravant les violations potentielles de la vie privée que les supercookies perpétrer dans un navigateur.

Une supercookie comprend des informations sur la demande faite par un utilisateur, comme le site Web qu'il essaie de visiter et le moment où la demande a été faite. C'est ce que l'on appelle les métadonnées (et ressemble beaucoup aux métadonnées collectées par la NSA.) Que peuvent dire les agences de sécurité gouvernementales des métadonnées de votre téléphone? Que peuvent dire les agences de sécurité gouvernementales des métadonnées de votre téléphone? Mais les supercookies peuvent également inclure d'autres types de données.

Cependant, indépendamment du type de données qu'ils contiennent, si Verizon subissait une violation de données et que ces cookies étaient liés à des utilisateurs spécifiques, cela constituerait une énorme débâcle pour la vie privée, puisque l'EFF a déclaré que les numéros de téléphone étaient hachés. Hash Stuff signifie en fait [Technologie expliquée] Ce que tout ce truc de hachage MD5 signifie en réalité [Explication de la technologie] Voici une version complète de MD5, un hachage et un petit aperçu des ordinateurs et de la cryptographie. Lire la suite (qui ne sont pas très sécurisés) étaient utilisés pour identifier les utilisateurs. Les hackers, les autres entreprises ou les organisations gouvernementales seraient très heureux de recevoir cette information.

Le fait que Verizon ait été l'une des entreprises participant au programme PRISM de la NSA Qu'est-ce que PRISM? Tout ce que vous devez savoir Qu'est-ce que PRISM? Tout ce que vous devez savoir La National Security Agency aux États-Unis a accès à toutes les données que vous stockez avec des fournisseurs de services américains tels que Google Microsoft, Yahoo et Facebook. Ils sont également susceptibles de surveiller la plupart du trafic qui coule à travers le ... Read More ne fait que plus inquiétant.

Que pouvez-vous faire à propos des supercookies?

Ainsi, les supercookies stockent beaucoup d'informations sur vous, ressuscitent les cookies normaux supprimés et ne sont pas stockés sur votre appareil. Que pouvez-vous faire à leur sujet?

Malheureusement, la réponse est «pas beaucoup». Verizon permet maintenant aux abonnés de se désengager de leur suivi UIDH, ce qui constitue une grande amélioration par rapport au secret qu'ils ont gardé sur ce type de suivi dans le passé. Pour vous désinscrire de ce programme, rendez-vous sur www.vzw.com/myprivacy, connectez-vous à votre compte et accédez à la section relative à la publicité mobile pertinente. Sélectionnez "Non, je ne souhaite pas participer à la publicité mobile pertinente".

adresse-barre-https

Si vous n'êtes pas un client de Verizon, vous n'avez pas vraiment de chance. Si quelqu'un d'autre vous suit avec une supercookie et vous ne savez pas à ce sujet, votre meilleur pari est d'utiliser une connexion cryptée sur HTTPS Qu'est-ce que HTTPS & Comment activer les connexions sécurisées par défaut Qu'est-ce que HTTPS & Comment activer les connexions sécurisées Les problèmes de sécurité par défaut se répandent de plus en plus et ont atteint l'avant-garde de la plupart des gens. Les termes comme antivirus ou pare-feu ne sont plus un vocabulaire étrange et sont non seulement compris, mais aussi utilisés par ... Lire la suite ou un réseau privé virtuel (VPN) pour masquer votre trafic. Ces deux méthodes ne sont pas sensibles au suivi supercookie.

Au-delà de cela, il ne vous reste plus qu'à espérer que les noms des autres entreprises utilisant cette technologie se dévoileront tôt ou tard. Bien que Verizon soit touché par une amende (bien que très petite), cela ne devrait pas arriver de sitôt.

La prochaine génération de suivi en ligne

Parce qu'ils ne sont pas stockés sur votre ordinateur, peuvent identifier votre trafic Web de façon unique et sont extrêmement difficiles à détecter, les UIDH constituent une menace sérieuse pour la confidentialité sur le Web. L'utilisation de HTTPS et d'un VPN aide beaucoup, mais ce dont nous avons vraiment besoin, c'est d'une législation qui oblige les fournisseurs d'accès Internet à nous permettre de nous désengager de ces programmes (et à les faire respecter). Nous garderons un œil sur cette menace très intéressante pour l'anonymat en ligne et vous tiendrons au courant!

Que pensez-vous du programme supercookie de Verizon? Pensez-vous que d'autres fournisseurs l'utilisent également? Cela signifie-t-il la fin de la vie privée en ligne? Partagez vos pensées ci-dessous!

Crédits image: ouverture de stores fermés par ptnphoto via Shutterstock, Tizio via Wikimedia Commons, Michael Courtney via Shutterstock, ktsdesign via Shutterstock.

In this article