Vous pensez qu’un simple clic sur Supprimer les cookies suffit pour repartir de zéro ? Depuis plus d’une décennie, certains sites ont perfectionné des méthodes de suivi capables de survivre à la moindre purge : on les appelle supercookies. Ni vus ni connus, ils se dissimulent dans les recoins les plus inattendus du navigateur pour revenir à la charge dès la page suivante. Dans cet article, nous retraçons l’histoire de ces cookies indélébiles et dévoilons (vidéo à l’appui) comment un identifiant parvient à renaître, même après une suppression manuelle.
Supercookie : le cookie indélébile qui vous suit partout
À la fin des années 2000, le suivi des internautes devient un enjeu stratégique pour les acteurs de la publicité en ligne. En réponse à l’inquiétude croissante du public concernant la vie privée, les navigateurs commencent à offrir des outils pour bloquer ou supprimer les cookies tiers, utilisés pour le suivi cross-site. Mais très vite, les annonceurs cherchent à contourner ces limitations.
C’est alors qu’émergent les cookies « zombies » : des identifiants capables de revenir même après avoir été supprimés. Le plugin Flash d’Adobe, encore très utilisé à l’époque, permet de stocker des données dans des LSO (Local Shared Objects), une forme de mémoire locale indépendante des cookies HTTP. Ainsi, même si l’utilisateur efface ses cookies dans le navigateur, l’identifiant reste stocké côté Flash… et peut être réinjecté automatiquement à la prochaine visite. C’est le début du pistage persistant, invisible pour la plupart des internautes.
Evercookie : la preuve de concept qui fait peur
En 2010, le chercheur et hacker éthique Samy Kamkar pousse cette idée à son paroxysme en publiant Evercookie, une bibliothèque JavaScript open-source conçue pour démontrer la résilience maximale d’un identifiant persistant. L’objectif de Kamkar n’est pas commercial mais pédagogique (et un brin provocateur) pour montrer qu’un simple identifiant peut être stocké dans plus d’une douzaine d’emplacements différents du navigateur, du localStorage à IndexedDB, en passant par les ETags HTTP, l’historique ou encore des images PNG encodées.
Le fonctionnement d’Evercookie repose sur la redondance, si un utilisateur efface une partie de ses données (par exemple, ses cookies), les autres mécanismes permettent de reconstituer l’identifiant et de le restaurer automatiquement. Une sorte de cookie impossible à tuer d’où le surnom de « cookie zombie« . Cette démonstration provoque un choc dans la communauté tech et attire l’attention des journalistes, des défenseurs des droits numériques et des régulateurs.
Le scandale des supercookies injectés par les FAI
Malgré l’indignation soulevée par Evercookie, certaines entreprises décident d’utiliser des variantes encore plus invasives dans le monde réel. Le cas le plus connu est celui de Verizon, un opérateur mobile américain qui met en place entre 2012 et 2015 un système appelé perma-cookie. L’idée est injecter un identifiant unique dans chaque requête HTTP envoyée par l’abonné, au niveau même du réseau et ce sans possibilité de suppression par l’utilisateur.
Même si l’internaute navigue en mode privé, utilise un autre navigateur ou efface ses cookies, l’identifiant injecté par Verizon permet de le suivre à la trace. Cette pratique a suscité un tollé après que des publicitaires tiers ont commencé à exploiter cet identifiant sans le consentement explicite des utilisateurs. Une plainte a été déposée et Verizon a été condamné à une amende de 1,35 million de dollars par la FCC en 2016, tout en s’engageant à renforcer la transparence de ses pratiques.
Comment fonctionne un supercookie ?
Plutôt que de stocker un identifiant dans un seul emplacement (comme un cookie classique), un supercookie le duplique dans plusieurs zones du navigateur. Ainsi, même si l’utilisateur en supprime une partie, les autres emplacements peuvent le reconstituer et réinjecter automatiquement l’identifiant dès la prochaine visite. Ce mécanisme de résurrection automatique est la clé de son efficacité.
Pour fonctionner, un supercookie exploite une multiplicité de vecteurs présents dans les navigateurs modernes, chacun avec ses particularités. Voici les principaux :
| Vecteur | Description |
|---|---|
| Cookies HTTP | Le point de départ classique : un petit fichier texte dans le navigateur. |
| localStorage / sessionStorage | De grandes boîtes à données dans chaque site web, capables de garder des infos longtemps. |
| IndexedDB | Une mini-base de données locale, rarement nettoyée automatiquement. |
| Cache / ETag | Des identifiants cachés dans les fichiers temporaires, utilisés initialement pour accélérer le chargement des pages. |
| Flash LSO / Silverlight | Anciennes technologies capables de stocker des données indépendamment du navigateur. Obsolètes mais historiques. |
| HSTS, window.name, history | Des détournements ingénieux : URL visitée, entête sécurisée ou nom de fenêtre conservé entre pages. |
Dans la vidéo que j’ai réalisée, je vous montre concrètement ce qu’est un supercookie et surtout, pourquoi il est si difficile à faire disparaître.
Je commence par visiter une page de test spécialement conçue. En arrière-plan, un identifiant unique est généré et stocké à plusieurs endroits dans mon navigateur : cookie classique, localStorage, IndexedDB, cache HTTP, etc. Rien de visible pour l’utilisateur, bien sûr tout se passe en silence.
C’est exactement ça, un supercookie : un identifiant qui résiste aux suppressions grâce à sa capacité à survivre dans les recoins du navigateur. Il suffit qu’un seul vecteur (parmi les 8 ou 9 possibles) n’ait pas été effacé pour que l’identifiant entier soit restauré automatiquement.
Cette démonstration montre à quel point certaines techniques de tracking vont bien au-delà des cookies traditionnels et pourquoi il est essentiel de les comprendre pour mieux les contrer.
Les limites des supercookies aujourd’hui
Si les supercookies ont marqué un tournant dans l’histoire du pistage web, leur puissance n’est plus aussi redoutable qu’elle ne l’était il y a quelques années. Plusieurs évolutions du web et des outils de protection de la vie privée ont contribué à les affaiblir.
Des outils de nettoyage plus puissants
L’une des premières réponses aux supercookies est venue de la communauté open-source et des logiciels de confidentialité. Des outils comme BleachBit ou encore Privacy Eraser sont capables de supprimer les cookies classiques et les données stockées dans des emplacements plus discrets comme IndexedDB, localStorage ou le cache HTTP.
Certains navigateurs modernes vont plus loin. Firefox, Brave ou encore le mode vie privée renforcée de Safari permettent désormais de bloquer l’accès aux stockages persistants entre les sessions ou de segmenter les données par site, empêchant ainsi le partage d’un même identifiant entre domaines.
Ces outils ne sont pas infaillibles, mais ils réduisent considérablement l’efficacité du supercookie en empêchant la fameuse résurrection de l’identifiant.
La fin de Flash et Silverlight : une porte de sortie fermée
Pendant longtemps, des technologies comme Adobe Flash ou Microsoft Silverlight offraient aux supercookies un terrain de jeu idéal, elles permettaient de stocker des données indépendamment des paramètres du navigateur via des fichiers appelés LSO (Local Shared Objects). Ces fichiers n’étaient pas affectés par la suppression des cookies, ce qui les rendait particulièrement efficaces pour la persistance des identifiants.
Mais depuis plusieurs années, ces plugins ont été abandonnés, pour des raisons de sécurité et d’obsolescence. Flash a officiellement été retiré du web en 2020 et Silverlight n’est plus pris en charge. Un vecteur de stockage puissant a disparu et à permis de réduire la portée des supercookies.
Supercookies : un tracking tenace mais de plus en plus limité
Les supercookies sont un excellent exemple de la course permanente entre les technologies de pistage et les outils de protection de la vie privée. Nés d’un besoin pour les annonceurs et les plateformes de suivre les internautes malgré les limitations des cookies tiers, ils ont poussé la créativité (et l’éthique) très loin.
Leur efficacité a été fortement réduite grâce à la disparition de certains vecteurs (comme Flash), à l’évolution des navigateurs et à la popularisation des outils de nettoyage avancés.
Cet article vous a-t-il été utile ?
À propos de l'auteur
Adrien Piron
