Un cookie HTTP stocke des informations dans le navigateur web d'un utilisateur. Les serveurs web génèrent des cookies et les envoient aux navigateurs, qui les incluent ensuite dans les futures requêtes HTTP.
Cet article s'articule autour des points suivants :
Contenu associé
Confidentialité des données
Directive sur la protection de la vie privée
RGPD
Cryptage et confidentialité
Mandat canari
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Les cookies sont de petits fichiers d'informations qu'un serveur web génère et envoie à un navigateur web. Les navigateurs web stockent les cookies qu'ils reçoivent pour une période de temps prédéterminée, ou pour la durée de la session d'un utilisateur sur un site Web. Ils attachent les cookies pertinents à toute demande future de l'utilisateur au serveur web.
Les cookies aident à informer les sites web sur l'utilisateur, afin de leur permettre de personnaliser l'expérience de ce dernier. Les sites d'e-commerce, par exemple, utilisent des cookies pour savoir quelles marchandises les utilisateurs ont placées dans leur panier. En outre, certains cookies, comme les cookies d'authentification, sont nécessaires à des fins de sécurité (voir ci-dessous).
Les cookies utilisés sur Internet sont également appelés « cookies HTTP ». Comme une grande partie du web, les cookies sont envoyés en utilisant le protocole HTTP.
Les navigateurs web stockent les cookies dans un fichier désigné sur les appareils des utilisateurs. Le navigateur web Google Chrome, par exemple, stocke tous les cookies dans un fichier intitulé « Cookies ". Les utilisateurs de Chrome peuvent voir les cookies stockés par le navigateur en ouvrant les outils de développement, en cliquant sur l'onglet « Application » et en cliquant sur « Cookies » dans le menu latéral gauche.
Sessions d'utilisateur : les cookies permettent d'associer l'activité du site Web à un utilisateur spécifique. Un cookie de session contient une chaîne unique (une combinaison de lettres et de chiffres) qui associe une session utilisateur à des données et à un contenu pertinents pour cet utilisateur.
Supposons qu'Alice possède un compte sur un site Web d'achat. Elle se connecte à son compte à partir de la page d'accueil du site. Lorsqu'elle se connecte, le serveur du site Web génère un cookie de session et l'envoie au navigateur d'Alice. Ce cookie indique au site Web de charger le contenu du compte d'Alice, de sorte que la page d'accueil indique maintenant : « bienvenue, Alice. »
Alice clique ensuite sur une page de produit affichant une paire de jeans. Lorsque le navigateur web d'Alice envoie une requête HTTP au site Web pour la page de produit des jeans, il inclut le cookie de session d'Alice avec la requête. Comme le site Web dispose de ce cookie, il reconnaît l'utilisateur comme étant Alice, et elle n'a pas besoin de se reconnecter lorsque la nouvelle page se charge.
Personnalisation : les cookies aident un site Web « à se souvenir de » actions ou préférences de l'utilisateur, ce qui permet au site Web de personnaliser l'expérience de l'utilisateur.
Si Alice se déconnecte du site Web d'achat, son nom d'utilisateur peut être stocké dans un cookie et envoyé à son navigateur web. La prochaine fois qu'elle consulte ce site, le navigateur envoie ce cookie au serveur web, qui demande alors à Alice de se connecter avec le nom d'utilisateur qu'elle a utilisé la dernière fois.
Suivi : certains cookies enregistrent les sites Web visités par les utilisateurs. Ces informations sont envoyées au serveur à l'origine du cookie la prochaine fois que le navigateur doit charger du contenu à partir de ce serveur. Avec les cookies de suivi de tiers, ce processus a lieu chaque fois que le navigateur charge un site Web qui utilise ce service de suivi.
Si Alice a déjà visité un site Web qui a envoyé à son navigateur un cookie de suivi, ce cookie peut enregistrer le fait qu'Alice consulte actuellement une page de produit pour des jeans. La prochaine fois qu'Alice chargera un site Web qui utilise ce service de suivi, elle pourra voir des publicités pour des jeans.
Cependant, la publicité n'est pas la seule utilisation des cookies de suivi. De nombreux services d'analyse utilisent également des cookies de suivi pour enregistrer de manière anonyme l'activité des utilisateurs. (Cloudflare Web Analytics est l'un des rares services qui n'utilise pas de cookies pour fournir des analyses, contribuant ainsi à protéger la vie privée des utilisateurs ).
Les types de cookies les plus importants à connaître sont les suivants :
Un cookie de session aide un site Web à suivre la session d'un utilisateur. Les cookies de session sont supprimés à la fin de la session de l'utilisateur — lorsqu'il se déconnecte de son compte sur un site Web ou quitte le site. Les cookies de session n'ont pas de date d'expiration, ce qui signifie au navigateur qu'ils doivent être supprimés une fois la session terminée.
Contrairement aux cookies de session, les cookies persistants restent dans le navigateur d'un utilisateur pendant une durée prédéterminée, qui peut être d'un jour, d'une semaine, de plusieurs mois, voire d'années. Les cookies persistants contiennent toujours une date d'expiration.
Les cookies d'authentification aident à gérer les sessions des utilisateurs ; ils sont générés lorsqu'un utilisateur se connecte à un compte via son navigateur. Ils garantissent que les informations sensibles sont transmises aux bonnes sessions d'utilisateur en associant les informations du compte de l'utilisateur à une chaîne d'identification de cookie.
Les cookies de suivi sont générés par les services de suivi. Ils enregistrent l'activité de l'utilisateur et les navigateurs envoient cet enregistrement au service de suivi associé la prochaine fois qu'ils chargent un site Web qui utilise ce service de suivi.
Comme les « zombies » de la fiction populaire, les cookies zombies se régénèrent après avoir été supprimés. Les cookies zombies créent des versions de sauvegarde d'eux-mêmes en dehors de l'emplacement habituel de stockage des cookies d'un navigateur. Ils utilisent ces sauvegardes pour réapparaître dans un navigateur après avoir été supprimés. Les cookies zombies sont parfois utilisés par des réseaux publicitaires peu scrupuleux, voire par des cyber-attaquants.
Un cookie tiers est un cookie qui appartient à un domaine autre que celui affiché dans le navigateur. Les cookies tiers sont le plus souvent utilisés à des fins de suivi. Ils contrastent avec les cookies de première partie, qui sont associés au même domaine que celui qui apparaît dans le navigateur de l'utilisateur.
Lorsque Alice fait ses achats sur jeans.example.com, le serveur d'origine de jeans.example.com utilise un cookie de session pour se souvenir qu'elle s'est connectée à son compte. Il s'agit d'un exemple de cookie de première partie. Cependant, Alice peut ne pas savoir qu'un cookie de example.ad-network.com est également stocké dans son navigateur et qu'il suit son activité sur jeans.example.com, même si elle n'accède pas actuellement à example.ad-network.com. Il s'agit d'un exemple de cookie tiers.
Comme décrit ci-dessus, les cookies peuvent être utilisés pour enregistrer l'activité de navigation, y compris à des fins publicitaires. Toutefois, de nombreux utilisateurs ne souhaitent pas que leur comportement en ligne soit suivi. Les utilisateurs n'ont pas non plus de visibilité ou de contrôle sur ce que les services de suivi font des données qu'ils collectent.
Même lorsque le suivi basé sur les cookies n'est pas lié au nom ou à l'appareil d'un utilisateur spécifique, il est toujours possible, avec certains types de suivi, d'associer un enregistrement de l'activité de navigation d'un utilisateur à sa véritable identité. Ces informations peuvent être utilisées de nombreuses façons, de la publicité non désirée à la surveillance, la traque ou le harcèlement des utilisateurs. (Ce n'est pas le cas pour toutes les utilisations de cookies).
Certaines lois sur la protection de la vie privée, comme la directive européenne sur la protection de la vie privée dans les communications électroniques, traitent et régissent l'utilisation des cookies. En vertu de cette directive, les utilisateurs doivent donner leur « consentement éclairé » — ils doivent être informés de la manière dont le site Web utilise les cookies et accepter cette utilisation — avant que le site Web puisse utiliser des cookies. (L'exception à cette règle concerne les cookies qui sont « strictement nécessaires » au fonctionnement du site Web). Le Règlement général sur la protection des données (RGPD) de l'UE considère les identifiants de cookies comme des données à caractère personnel, de sorte que ses règles s'appliquent également à l'utilisation des cookies dans l'UE. En outre, toute donnée personnelle collectée par les cookies relève de la compétence du RGPD.
En grande partie à cause de ces lois, de nombreux sites Web affichent désormais des bannières de cookies qui permettent aux utilisateurs d'examiner et de contrôler les cookies que ces sites utilisent.