Tracking : comment désactiver les cookies (tiers), le stockage local ou JavaScript
En espérant que ce soit bientôt plus simple...
Notre dossier sur le pistage des internautes en ligne :
Le 11 janvier 2018 à 07h30
10 min
Logiciel
Logiciel
De plus en plus, les internautes sont pistés par les sites et leurs partenaires via des fonctionnalités natives du navigateur. Pour s'en prémunir, certains éléments peuvent être bloqués, de manière globale ou site par site. Voici un petit guide de survie.
Lorsque l'on parle de pistage des internautes en ligne, certains moyens sont mis en avant pour se préserver, la plupart se reposant sur des extensions tierces. Mais les navigateurs modernes disposent tous plus ou moins de solutions afin de limiter ce genre de pratique ou même les interdire.
Voici un petit guide pratique qui fait le tour des principales options. Notez que si certains navigateurs ne sont pas évoqués, ils proposent en général des méthodes assez proches de celles qui sont détaillées ici.
- Kimetrak : quels sites multiplient les outils de pistage ?
- Cookies (tiers), traceurs, fingerprint et compagnie : comment ça marche ?
- Tracking : comment désactiver les cookies (tiers), le stockage local ou JavaScript
- Développez une première extension pour détecter les services qui vous traquent en ligne
Première étape : bloquer les cookies tiers
Comme nous l'avons évoqué dans un article précédent, l'élément dont il est le plus simple de se passer sont les cookies tiers. En effet, ces derniers ne sont que très rarement utilisés à des fins légitimes et il est assez rare qu'un site ne fonctionne pas parce qu'ils sont entièrement désactivés.
C'est donc presque la première chose à faire lorsque vous configurez un navigateur. En cas de souci, il est de toute façon possible, dans la plupart des cas, de gérer des exceptions domaine par domaine pour s'assurer d'un retour à la normale.
Vous pouvez également bloquer entièrement les cookies, mais cela posera souvent des problèmes pratiques, notamment parce qu'ils permettent de gérer de nombreux dispositifs techniques comme la connexion à un site, vos préférences, etc. Si c'est ce que vous souhaitez faire, optez plutôt pour une approche au cas par cas.
- Google Chrome
Dans Chrome, rendez-vous dans la section Confidentialité et sécurité des paramètres (chrome://settings/privacy
). Ici, une option Paramètre du contenu est accessible. Elle contient un élément relatif aux cookies. Vous pouvez directement atteindre cette page via l'URL chrome://settings/content/cookies
.
Plusieurs choix s'offrent alors à vous : désactiver entièrement l'accès aux cookies, ne les préserver que pour la durée de la session (ils s'effaceront alors dès que le navigateur sera fermé) ou ne bloquer que les cookies tiers. Pour chaque choix vous pouvez également opter pour une liste d'exceptions site par site :
Un outil permet de voir la liste de l'ensemble des cookies afin de les analyser ou de les supprimer. Cette zone est également accessible d'un clic à gauche de l'URL d'un site dans la barre d'adresse. Une bulle apparaîtra alors, détaillant le nombre de cookies en cours d'utilisation.
Cette information prend la forme d'un lien cliquable qui vous donnera accès à une liste permettant de voir, et bloquer ou supprimer des éléments comme bon vous semble.
- Microsoft Edge
Sous Edge, c'est un peu plus limité et tout aussi alambiqué. Il faut en effet se rendre dans les Paramètres du navigateur puis dans la section Paramètres avancés. Tout en bas, un élément relatif aux cookies est proposé avec trois possibilités : tout bloquer, tout autoriser ou ne bloquer que les cookies tiers.
Aucun réglage site par site n'est proposé, pas plus qu'un outil pour visionner ou gérer les cookies disponibles. Seule solution : opter pour les outils de développement (F12), qui proposent ce qu'il faut dans sa section Débogueur. Une alternative que l'on retrouve dans tous les autres navigateurs.
- Mozilla Firefox
Sur Firefox, alors que l'on pourrait s'attendre à une solution simple et complète, ce n'est pas vraiment le cas. Il faut en effet se rendre dans la section Vie privée et sécurité des Options (about:preferences#privacy
) où presque aucun paramètre concernant la gestion des cookies n'est affiché. Par défaut, on peut en effet seulement Supprimer des cookies spécifiques.
Pour les options de rétention, il faut tout d'abord placer le paramètre Règles de conservation sur Utiliser les paramètres personnalisés pour l'historique. On pourra alors accepter ou non les cookies de manière générale ou seulement les cookies tiers. Un outil affichant les cookies et un autre permettant de gérer les exceptions sont proposés.
Notez deux points intéressants. Tout d'abord il est possible de choisir de ne pas retenir les cookies une fois la session terminée. Mais surtout, une option spécifique aux cookies tiers est disponible : Depuis les sites visités. Elle consiste à autoriser les cookies tiers du moment où c'est un site sur lequel vous vous êtes déjà rendu qui tente de les déposer. Une manière de résoudre les problèmes qui peuvent éventuellement découler d'une désactivation complète.
Pour voir les cookies d'un site en particulier depuis une page de navigation, le plus simple est d'effectuer un clic droit puis de sélectionner Informations sur la page. Dans l'onglet Sécurité, un bouton Voir les cookies sera disponible. Vous pouvez également opter pour l'inspecteur de stockage (MAJ+F9).
Notez enfin que Firefox propose d'autres options concernant la vie privée comme la protection contre le pistage, l'isolation first-party ou les contextes. Nous avons décrit ces différentes méthodes dans un précédent article.
- Opera et Vivaldi
Les deux navigateurs proposent un fonctionnement identique pour la gestion des cookies. Dans les paramètres, une section relative à la vie privée contient une zone dédiée. Vous pourrez y bloquer ou accepter l'ensemble des cookies ou seulement les cookies tiers. Un outil vous permet de les visualiser directement.
Opera propose également une gestion des exceptions, ce qui n'est pas encore le cas de Vivaldi.
- Safari
Le navigateur d'Apple vous permet dans ses paramètres de bloquer ou non tous les cookies, avec la possibilité de les visualiser directement via un outil. Dans ses dernières versions, il n'est plus question de cookies tiers et pour cause : la société a mis en place un dispositif permettant d'Empêcher le suivi sur plusieurs domaines.
Cette Intelligent Tracking Protection (ITP) est active par défaut, et limite fortement la durée de vie des cookies tiers déposés par des sites que vous n'avez jamais visité. Nous avions détaillé son fonctionnement dans un précédent article.
Limiter le stockage Local, c'est compliqué
Comme nous l'avons évoqué dans notre précédent article, les développeurs utilisent de plus en plus le stockage local en remplacement des cookies pour conserver des informations au sein du navigateur. Ici, limiter l'accès n'est pas toujours possible. Dans Chrome, Opera ou Vivaldi il faut bloquer tous les cookies, le stockage local sera alors désactivé.
Sous Firefox, une solution est proposée avec le paramètre dom.storage.enabled
que vous pouvez passer à false dans la section about:config
(à taper dans la barre d'URL). Vous pourrez vérifier par ici que la fonctionnalité est bien désactivée. Vous pouvez faire de même avec dom.indexedDB.enabled
et dom.caches.enabled
.
Vous pouvez également gérer le stockage persistant et le cache site par site, d'un clic droit puis en vous rendant au sein des Informations sur la page dans l'onglet Permissions.
De manière plus générale, on aimerait que l'utilisateur puisse avoir un peu plus la main sur de tels paramètres dans le panneau d'options de chaque navigateur. Espérons que les développeurs se pencheront un jour ou l'autre sur le sujet.
Désactiver JavaScript : il faut parfois ruser
Comme l'a montré la faille Spectre, JavaScript peut avoir des effets importants sur l'utilisateur bien que ce langage paraisse anodin à première vue. Ses possibilités sont nombreuses et il est souvent exploité dans les différentes méthodes de pistage des internautes, entre autres pratiques détestables.
Une possibilité est donc de le désactiver entièrement. Mais, comme pour les cookies, cela posera parfois problème. Certains sites l'utilisent de manière légitime, pour assurer le fonctionnement de leurs commentaires, l'interaction avec la page, de petits effets graphiques, etc.
Une solution intéressante pourrait être d'interdire certaines actions aux sites, tant que l'utilisateur n'a pas donné son accord. Cela pourrait par exemple être le cas pour la lecture de données concernant le navigateur. Malheureusement, ce n'est pas encore le cas.
Ce serait de toute façon une solution limitée par le fait que les services publicitaires rivalisent d'ingéniosité pour pister l'internaute malgré les obligations légales. Ainsi, certains utilisent la fonction Canvas d'HTML5 qui est pensée pour permettre la création d'images dans le navigateur. Firefox va ainsi ne l'activer que sur accord explicite de l'utilisateur dans de prochaines versions. On a aussi vu récemment comment des informations anodines sur les frappes du clavier ou l'utilisation de formulaires cachés pouvaient être utilisées à des fins assez peu légitimes.
Bref, ce serait jouer constamment à un jeu du chat et de la souris. Le renforcement de la loi et sa stricte application avec des organismes chargés des contrôles comme la CNIL semble donc être la bonne solution sur le long terme. C'est notamment ce que devraient introduire le RGPD et ePrivacy en mai prochain.
En attendant, vous pouvez décider de limiter l'utilisation de JavaScript, au moins sur certains sites. Une pratique qui s'avèrera parfois assez utile. Que ce soit dans Chrome ou Opera, une option est présente au sein des paramètres vous permettant de désactiver globalement JavaScript, ou de définir des exceptions.
Dans Vivaldi, il est seulement proposé de le faire site par site, d'un clic à gauche de la barre d'URL (voir ci-dessus). Safari, propose seulement un paramètre global, tout comme Firefox. Dans ce dernier cas, il faudra néanmoins se rendre dans la section about:config
(à taper dans la barre d'adresse) et mettre le paramètre javascript.enabled
sur false. Notez que vous pouvez également utiliser l'extension NoScript qui a l'avantage de permettre une gestion site par site.
Et sur mobile alors ?
Reste la question des appareils mobiles. Ici, la plupart des fonctionnalités proposées nativement sur ordinateur le sont aussi dans la version pour smartphone ou tablette. Mais dès qu'il faut passer par une extension ou un paramètre caché, c'est en général plus compliqué ou impossible.
On ne peut qu'espérer que cela va se renforcer avec le temps, l'évolution des navigateurs mobiles et la prise de conscience autour des questions de vie privée. Mais en attendant, l'utilisateur devra le plus souvent opter pour des bloqueurs en tous genres pour se protéger.
Une solution qui n'est bonne pour personne, et très certainement pas un bienfait pour les différents acteurs du web sur le long terme. Un constat qui devrait inciter chacun à changer sa politique en la matière, et à penser le respect de l'internaute comme un préalable plutôt que comme une contrainte.
N'hésitez pas à partager vos propres astuces et conseils au sein des commentaires, nous mettrons cet article à jour si nécessaire, notamment en rajoutant des solutions sur d'autres éléments à bloquer de manière plus ou moins directe.
Tracking : comment désactiver les cookies (tiers), le stockage local ou JavaScript
-
Première étape : bloquer les cookies tiers
-
Limiter le stockage Local, c'est compliqué
-
Désactiver JavaScript : il faut parfois ruser
-
Et sur mobile alors ?
Commentaires (49)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 11/01/2018 à 14h15
Le 11/01/2018 à 14h25
tant qu’il faudra utiliser ce style d’extensions, les sites et les pubards peu scrupuleux se porteront bien, malheureusement.
Le 11/01/2018 à 14h27
Le 11/01/2018 à 14h49
Le fingerprinting n’est pas forcément quelque chose de mal.
Certains sites l’utilisent pour détecter une tentative inhabituelle d’accès à un compte, et ainsi demander une confirmation supplémentaire (2nd factor…)
Le 11/01/2018 à 15h00
ce n’est pas quelque chose de mal, mais pouvoir le désactiver c’est mieux. quitte à se taper un 2nd factor. ^^
Le 11/01/2018 à 15h29
oui, et on peut aussi envisager une liste blanche.
Le 11/01/2018 à 15h31
Le 11/01/2018 à 16h22
Que fait umatrix que ne permet pas µBlock Origin en mode avancé SVP ?
Le 11/01/2018 à 17h08
Le 11/01/2018 à 18h03
Effectivement, le nouveau NoScript j’en peux plus, autant avant l’ancienne interface me satisfaisait parfaitement, autant la nouvelle …
Une (bonne) alternative pour Firefox ? Parce que ça me pique sévère là, même si j’ai réussi à apprivoiser le nouveau bousin.
Le 11/01/2018 à 19h40
Une image vaut mieux que des mots.
Mais je vais essayer l’exercice.
Tu peux choisir site par site quel type de contenu peut-être chargé, domaine par domaine. là où µBlock (en mode avancé ne te balance que du texte, pas vraiment user friendly) tu ne bloques qu’un domaine (tout ou rien dessus), avec uMatrix, tu peux choisir d’autoriser les images d’un domaine, mais pas les iframe et javascripts. Tout en refusant certains sous-domaines…
Le tout sous forme de “matrice”.
Tu peux charger des listes, par défaut, pour forcer le blocage de certains domaines par défaut.
Le 11/01/2018 à 20h28
C’est marrant comme, sur mon pc, les options proposées pour le stockage Local sous firefox font planter les commentaires sur nextinpact.com (et font généralement planter plein d’autres sites) :x
Le 11/01/2018 à 21h02
Le ScriptSafe proposé par le commentaire que je citais répond au besoin et l’ergonomie est correcte pour moi.
Le 11/01/2018 à 21h08
Le 12/01/2018 à 12h43
Pour compléter mes mesures de defensives passives. J’utilise aussi decentraleyes sous Firefox. Niveau mesures active. Je fais un peu d’obfuscation avec adnauseam, c’est ublock origin + generation de click sur aleatoire sur les pub avec trackinghttps://addons.mozilla.org/fr/firefox/addon/adnauseam/
Sinon, y il aussi Trackmenot du même gars mais je suis pas convaincu de l’efficacité du bousin (génère des requêtes aletoires dans les moteur de recherche). En effets j’ai pas réussi à pourrir mes suggestions Youtube 😂
Le 12/01/2018 à 13h47
OK explication très claire, merci ! " />
Le 11/01/2018 à 07h54
La dernière fois que j’ai essayé de consulter en temps que client le site du Crédit Agricole sans cookies tiers ça ne marchait pas ( je n’ai pas trouvé tout de suite " />.
Mais bon j’ai changé de banque
Le 11/01/2018 à 07h57
NoScript, définitivement NoScript. Impossible de vivre sans maintenant.
Un peu pénible au début : il faut autoriser toutes les sources légitimes.
Mais ensuite, sur beaucoup de site, c’est le jour et la nuit.
Ex: un collègue s’est plaint du sapin de noël qu’est le site BoingBoing quand je lui ai envoyé un lien. J’ai pas compris. Avec NoScript, le site semble normal, quasiment sans pub, sans rien qui clignote …
Le 11/01/2018 à 08h16
Malheureux, tu vas tuer le net !
Je fais pareil… C’est clair qu’une fois que tu as goûté à ça, difficile de faire marche arrière.
Le 11/01/2018 à 08h24
Personnellement, j’ai essayé NoScript mais à chaque fois qu’on visite un site web qu’on ne fréquentera qu’une seule fois ou très rarement, il faut autoriser les domaines un à un ou désactiver temporairement NoScript. J’ai bien essayé de rendre plus sobre mon utilisation du web, mais c’est peine perdue.
Le 11/01/2018 à 08h27
Les sites de banque et les cookies-tiers… perso, j’ai toujours été obligé d’ajouter une exception dans le navigateur. Et ça ne va pas s’améliorer avec les banques mobiles et les agrégateurs bancaires (Max, Linxo, etc), malheureusement.
Mais si tu as trouvé une banque qui n’utilise pas les cookies-tiers, chapeau bas " />
Le 11/01/2018 à 08h29
Le 11/01/2018 à 08h29
Normalement il y a un bouton “Autoriser temporairement toute la page” qui simplifie la tâche.
Le 11/01/2018 à 08h37
Pour ceux utilsiant Chrome (beurk) ou un navigateur Chromium (comme Vivaldi), il existe une bonne alternative à NoScript, ScriptSafe. Je n’arrive plus à m’en passer (même si j’ai des soucis pour le synchroniser entre mes machines, pas compris pourquoi) en le combinant avec uBlock Origin (dans les cas des sites avec des scripts qui lancent des scripts qui lancent des scripts etc. auxquels je fais confiance mais dont je n’aime pas les pubs).
Sinon, très bon article, malheureusement tous les Mr et Mme Michu du monde ne voudront pas le faire car ils vont voir qu’une immense majorité de leurs sites ne marchera plus complètement…
Le 11/01/2018 à 08h46
Comme dit, Chrome et ses dérivés permettent une désactivation site par site de JS, nativement.
Le 11/01/2018 à 09h06
Ce paramètre existe dans la section Cookies :
“Ne conserver les données locales que jusqu’à ce que je quitte ma session de navigation”.
Elles seront donc supprimées à la déconnexion ou aussi lors de la fermeture du navigateur ?
Le 11/01/2018 à 09h11
J’utilise aussi NoScript , uBlock origin et user-Agent Switcher ainsi que Self destroying cookies.
C’est vrai que c’est assez sportif avec noscript surtout avec le nouvelle version que je trouve moins ergonomique.
Le 11/01/2018 à 09h11
De mémoire, à la fermeture du navigateur. (Ce qui oblige à se re-identifier à chaque ouverture de Firefox)
Le 11/01/2018 à 09h19
Je confirme, c’est le paramète que j’utilise. Il faut se réidentifier à chaque fois.
Le 11/01/2018 à 09h26
Sauf que sur beaucoup de sites de nos jours, certains fichiers Javascript sont nécessaires pour leur bon fonctionnement, alors que dans le même temps d’autres sont là pour la pub (tous les Google et compagnie). Du coup, pour en activer certains et pas d’autres, les paramètres du navigateur sont pas toujours au top, d’où ma suggestion de ScriptSafe ^^
Le 12/01/2018 à 14h32
Et je rajouterais que les autorisations peuvent êtres globales ou par domaine (ou sous-domaine, ou même premier niveau (je vois pas vraiment l’intérêt là, mais bon)).
Par exemple tu peux autoriser les accès tiers à twitter lorsque tu visites une page de NXI, mais bloquer twitter sur les autres sites.
Le 13/01/2018 à 01h26
NoScript est devenu une plaie depuis que les créateurs ont essayé de le mettre à jour en WebExtension pour Firefox.
Je recommande (comme beaucoup d’autres personnes) grandement “uBlock Origin” en le configurant au minimum en “medium mode” :
GitHub:-medium-mode
Le 13/01/2018 à 01h32
Ton avatar " /> , copain !
Pour ma part c’est uBlock Origin configuré en “Hard Mode”, beaucoup plus simple à maintenir et moins prise de tête (et de temps) que uMatrix. Mais tout dépend des envies et habitudes de navigation de chacun.
Le 11/01/2018 à 09h28
On ne peut qu’espérer que cela va se renforcer avec le temps, l’évolution des navigateurs mobiles et la prise de conscience autour des questions de vie privée. Mais en attendant, l’utilisateur devra le plus souvent opter pour des bloqueurs en tous genres pour se protéger.
Sur mobile j’utilise Brave, qui est quand même plutôt pas mal niveau blocage de tracking.
Il est aussi disponible sur PC, mais comme j’ai Vivaldi je ne l’utilise pas vraiment.
C’est une base chromium avec des paramètres antipub antipopup et antitracking. par contre il manque l’équivalent de chrome://settings, ce qui est dommage (c’est présent dans Vivaldi par exemple).
Autre chose concernant Meltdown/Spectre, Brave ne propose pas, à la différence de Chrome (et Vivaldi), d’option d’isolation des sites.
Sinon sur mobile y’a Firefox Focus, mais il me semble n’être qu’une version incognito de FF.
Le 11/01/2018 à 09h53
Le 11/01/2018 à 10h01
ublock origin + disconnect + privacy badger sur Chrome … Faut vraiment que je me motive à passer sur Vivaldi.
@David_L : Pour le nettoyage de storage impossible via le navigateur ==> Ccleaner + ccleaner enhancer
Ca rajoute des options de nettoyage dans l’onglet applications, tout de suite plus intéressant :)
Je m’attendais à ce que tu parles aussi des extensions de navigateur dans ce petit tuto :/
Après c’est vrai que ca deviens un peu plus large :)
Le 11/01/2018 à 10h01
Pas faux, sur une de mes machines c’est le cas :).
On va dire, difficile de se passer d’un de ces outils " />.
Le 11/01/2018 à 10h05
Le 11/01/2018 à 10h15
Sinon, si vous souhaitez bloquer finement script/XHR/iframe/image/cookies… y a uMatrix -> GitHub
Le 11/01/2018 à 10h26
J’ai vérifié, je refuse bien les cookies tiers. Mais dans la liste, il y a des sites que je n’ai jamais visité. Je me demande bien comment j’ai pu récupérer ces cookies " /> Dans le doute j’ai tout supprimé, et je pense que je le ferai plus régulièrement, pour rester propre.
La fenêtre de Firefox n’est pas bien faite. Les options sont :
[] Accepter les cookies
[] Accepter les cookies tiers
[] Les conserver jusqu’à :
Ca doit être “conserver tous les cookies jusqu’à”, mais avec cette option des cookies tiers intercalée, c’est un peu ambigû si on ne fait pas bien gaffe.
Je trouve que Firefox a pas mal de progrès à faire, pour un navigateur qui se présente comme respectueux de la vie privée. Déjà 95% de la protection se fait via des extensions, dont le grand public ignore même l’existence.
Ensuite comme je le disais sur l’autre dossier, si on s’identifie en navigation privée, on est toujours connecté quand on ouvre une fenêtre non privée. C’est à l’opposé de ce qu’on comprend du terme “navigation privée”, je pensais que dès que la fenêtre privée était fermée, tout était supprimé, ce n’est visiblement pas le cas.
Le 11/01/2018 à 10h35
Merci beaucoup, carrément plus exploitable que le nouveau NoScript qui a une interface lente à en mourir et imbitable. " />
Le 11/01/2018 à 11h00
J’ai toujours eu des problèmes avec la désactivation des cookies tiers.
Ce que je fais maintenant (en natif avec Firefox) :
- clic sur le i à gauche de la barre d’adresse
- flèche “afficher les détails”
- Plus d’information
- Onglet “Permission”
- Dans la section “Définir des cookies”, décocher “par défaut” et sélectionner “autorisé”
Le white-listing est assez fastidieux (il y a sans doute des extensions pour avoir le même résultat plus rapidement), mais c’est assez rare de devoir rajouter un nouveau site une fois que c’est fait.
Le 11/01/2018 à 11h09
+1, c’est un régal cette extension. Et l’auteur est celui de uBlock, pas le premier venu donc.
Le 11/01/2018 à 13h12
A noter également sous Firefox l’extension CanvasBlocker qui permet de stopper le tracking par Canvas fingerprinting.
Le 11/01/2018 à 13h29
Le 11/01/2018 à 13h29
+1, je l’utilise depuis un bail.
Le 11/01/2018 à 13h47
un test à faire :
https://panopticlick.eff.org/results?aat=1
Le 11/01/2018 à 13h54
Le 11/01/2018 à 14h00
le meilleur résultat que j’aie obtenu est sous Torbrowser. les autres sont à la ramasse.