Des cookies au goût amer : une étude révèle les risques liés aux cookies sur Internet

Les cookies : alléchants ou inquiétants ?

Vous avez forcément déjà vu ces pop-ups : elles apparaissent sur pratiquement chaque site que vous visitez. Les cookies Internet, ou simplement cookies, font désormais partie intégrante de nos habitudes de navigation, à tel point que nous y réfléchissons rarement à deux fois avant de cliquer sur “Tout accepter”.

Les cookies informatiques sont de petits fichiers texte stockés sur votre appareil par les sites web que vous consultez. Ils contiennent des informations sur votre activité de navigation et vos préférences, et aident les sites web à se souvenir de certains détails entre les sessions. Les cookies rendent la navigation plus pratique et plus personnalisée : par exemple, ils peuvent vous permettre de rester connecté ou se souvenir du contenu de votre panier même si vous quittez le site et y revenez plus tard. Cependant, ils peuvent également suivre votre activité à des fins publicitaires, ce qui explique que certaines personnes s'inquiètent pour leur vie privée.

Tout comme les cookies dans une boulangerie, les cookies Internet se déclinent en différentes sortes :

• Les cookies internes, ou cookies propriétaires, sont créés et stockés par le site web sur lequel vous êtes à un moment T. Ils sont utilisés pour se souvenir de vos identifiants, de vos préférences et de vos paramètres sur ce site spécifique. Par exemple, lorsque vous vous connectez sur un site, les cookies internes peuvent enregistrer votre nom d’utilisateur afin que vous n’ayez pas à le saisir à nouveau lors de votre prochaine visite. Les cookies internes sont généralement perçus comme moins intrusifs, mais ils peuvent tout de même poser de sérieux risques, en particulier lorsqu'ils stockent des données sensibles telles que des identifiants de session ou de connexion. Ces derniers, s'ils sont volés, pourraient permettre à des pirates d'accéder à des comptes personnels, voire à des réseaux d'entreprise.
• Les cookies tiers sont stockés sur votre appareil par un autre site web que celui que vous êtes en train de visiter. Par exemple, les annonceurs ou les fournisseurs d'analyses peuvent installer ces cookies à des fins de profilage publicitaire, de suivi du comportement et d'affichage de publicités ciblées. Les cookies tiers suivent votre activité sur différents sites web, comme les liens sur lesquels vous cliquez et les produits que vous consultez.
• Les super cookies sont des mécanismes de suivi beaucoup plus difficiles à détecter et à supprimer. Contrairement aux cookies standard, qui sont stockés dans votre navigateur et peuvent être facilement supprimés, ceux-ci se cachent dans des endroits plus discrets, tels que le stockage local Flash ou HTML5, ou utilisent même des techniques telles que les ETags ou HSTS pour rester en place. Certains super cookies peuvent être installés par les fournisseurs d’accès à Internet, qui placent des identifiants spéciaux au sein de votre trafic Internet afin de vous suivre sur tous les sites que vous consultez. Puisqu’ils sont stockés dans des endroits inhabituels ou ajoutés via une manipulation de la couche réseau, les super cookies peuvent réapparaître même après avoir supprimé les cookies de navigation, ce qui en fait un risque important pour la sécurité. 
• Les cookies zombies “reviennent d’entre les morts” même après avoir été supprimés. Ils sont souvent recréés automatiquement à partir de copies de sauvegarde stockées en dehors du stockage normal des cookies, ce qui les rend presque impossibles à supprimer et constitue une menace sérieuse pour la confidentialité.

Notre étude révèle le côté moins savoureux des cookies

La plupart des cookies sont sans danger. Mais entre de mauvaises mains, même la plus petite miette peut révéler une panoplie d'informations numériques. Accepter les cookies sans réfléchir peut donc s'avérer risqué. Notre dernière étude révèle à quel point cela peut être dangereux. Dans le prolongement de notre étude menée l'année dernière sur les cookies Web, nous avons collaboré avec des chercheurs de NordStellar, une plateforme de gestion des menaces, qui ont analysé un ensemble de plus de 93,7 milliards de cookies mis en vente sur des forums du dark web et des marchés Telegram. Les chercheurs ont examiné leur provenance, leur contenu, leur état d'activité et la manière dont ils sont utilisés par les cybercriminels.

Il est important de noter que ni NordVPN ni ses partenaires de recherche n'ont acheté les cookies volés et/ou accédé à leur contenu. Nos partenaires ont uniquement analysé les données disponibles dans les listes de vente de cookies, garantissant ainsi la confidentialité et la sécurité des internautes lors de la rédaction de ce rapport de recherche.

Comment les cookies sont-ils volés ?

Les cybercriminels n'ont pas besoin de four pour préparer des cookies : ils préfèrent les dérober à l'aide de logiciels malveillants. Dans notre étude, les chercheurs ont découvert que presque tous les cookies avaient été récoltés via des programmes appelés infostealers, ainsi que des chevaux de Troie et des keyloggers. Ces catégories de malwares sont spécialement conçues pour collecter des données de connexion, des cookies, des mots de passe enregistrés dans le navigateur et des portefeuilles de crypto-monnaies. Voici quelques-uns des outils les plus couramment utilisés pour voler des cookies web d'après notre étude :

• Redline est l'un des keyloggers et infostealers les plus utilisés, présenté comme un malware en tant que service. Il est responsable de la majorité des cookies volés dans notre ensemble de données, soit près de 42 milliards de cookies. Cependant, seuls 6,2% d'entre eux étaient encore actifs, ce qui signifie que la durée de vie des données volées est relativement courte.
• Vidar est également un malware en tant que service avec des configurations spécifiques conçues pour cibler des types de données particuliers. Il a collecté environ 10,5 milliards de cookies, dont 7,2% sont encore valides.
• LummaC2 est un logiciel infostealer proposé en tant que service aux cybercriminels. Il est plus récent, mais son utilisation connaît une croissance rapide. Il est responsable de plus de 8,8 milliards de cookies volés, dont 6,5% sont encore actifs.
• CryptBot est un infostealer ciblant principalement les systèmes d'exploitation Windows. Bien qu'il ne représente "que" 1,4 milliard de cookies, 83,4% d'entre eux sont toujours actifs, ce qui fait de CryptBot le malware le plus efficace de notre liste.

Ces outils malveillants sont faciles à utiliser et largement accessibles. Ils se cachent souvent dans des logiciels piratés ou des téléchargements apparemment inoffensifs. Une fois installés, ils analysent le stockage des cookies du navigateur et envoient toutes les informations à un serveur de commande et de contrôle. Les données peuvent ensuite être répertoriées sur le dark web, parfois en l'espace de quelques minutes seulement.

Jetons un oeil dans la boîte de cookies

Que contiennent réellement ces cookies ? Beaucoup de choses. Lorsque les cybercriminels vendent des cookies volés, ils les associent souvent à des mots-clés afin d'indiquer le type de données qu'ils contiennent. Parmi les mots-clés les plus courants, on trouve “ID” (18 milliards), suivi de “session” (1,2 milliard). Un nombre important de cookies volés ont été associés aux mots-clés “auth” (272,9 millions) et “login” (61,2 millions). Ces balises suggèrent que les cookies sont liés à des comptes d'utilisateurs spécifiques, ce qui signifie qu'ils pourraient être réutilisés pour pirater des sessions en cours sans mot de passe. Cela est particulièrement inquiétant si l'on considère que sur les 93,7 milliards de cookies volés analysés, 15,6 milliards étaient encore actifs.

Mais ce n'est pas seulement l'accès aux comptes qui est en jeu. Certains de ces cookies contiennent également des informations personnelles, telles que le nom, l'adresse e-mail, le pays et la ville de l'utilisateur, ainsi que son sexe, sa date de naissance ou même son adresse physique. Ces informations sont tout aussi dangereuses, car elles pourraient permettre à des acteurs malveillants de mener des attaques d'ingénierie sociale personnalisées et, dans le pire des cas, d'usurper l'identité des utilisateurs. Et lorsque des informations telles que votre emplacement ou votre date de naissance sont divulguées, cela représente non seulement un risque pour votre vie privée, mais aussi une menace pour votre sécurité personnelle.

D’où viennent les cookies volés ?

Les chercheurs ont également examiné de plus près l'origine des cookies volés en analysant trois facteurs principaux : la plateforme sur laquelle ils ont été récupérés, le pays d'origine et le système d'exploitation.

Plateformes

Du côté des plateformes, les grands noms dominent sans surprise. Les cookies associés aux services Google constituent la plus grande partie de l'ensemble de données, avec plus de 4,5 milliards de cookies liés à Gmail, Google Drive et d'autres services Google. YouTube et Microsoft représentent chacun plus d'un milliard de cookies.

Les plateformes populaires constituent des cibles de choix, car elles permettent de récupérer davantage d'informations. De plus, les comptes Google et Microsoft sont souvent utilisés pour l'authentification multifactorielle. Le vol d'un cookie de session Google ou Microsoft pourrait permettre aux cybercriminels d'accéder à des e-mails, des fichiers, des calendriers et même des comptes liés, sans avoir à deviner les mots de passe ou à déclencher l'authentification à deux facteurs.

Pays

Les cookies peuvent être volés partout dans le monde, et les chiffres le prouvent. Si la plupart des cookies volés ne contenaient pas d'informations sur le pays de l'utilisateur, ceux qui en contenaient étaient liés à au moins 253 pays et territoires différents. Certaines listes de cookies étaient marquées "inconnues", ce qui signifie que le nombre réel pourrait être encore plus élevé.

Le Brésil, l'Inde, l'Indonésie et les États-Unis figuraient parmi les pays les plus touchés. En Europe, l'Espagne arrivait en tête avec 1,75 milliard de cookies volés, tandis que la France se classait au 18ème rang avec plus d’1,3 milliard de cookies, dont 8,04% étaient encore actifs.

Appareils

La plupart des cookies ont été récupérés sur des appareils Windows, ce qui n'est pas surprenant étant donné que la plupart des logiciels malveillants ciblent ce système d'exploitation. Cependant, plus de 13,2 milliards de cookies ont été récupérés sur d'autres systèmes d'exploitation ou depuis une source inconnue. Ainsi, même si les utilisateurs Windows restent les principales cibles, les utilisateurs d'autres systèmes ne sont pas totalement à l'abri : les cyberattaques sur d'autres plateformes existent bel et bien.

Que peut faire un cybercriminel avec vos cookies ?

Les cookies peuvent parfois laisser un goût amer. En réalité, même les cookies les plus insignifiants peuvent causer beaucoup de tort à un utilisateur ou à son entreprise. Une fois la porte ouverte, il n'est pas difficile d'en ouvrir d'autres. Les cookies de session, en particulier ceux qui sont actifs, constituent une mine d'or pour les hackers. Ils leur permettent de contourner entièrement l'étape de connexion. Mais les risques ne s'arrêtent pas là. Les cookies volés peuvent également être utilisés pour :

• Prendre le contrôle de vos comptes sur les réseaux sociaux, vos e-mails ou vos comptes d'achat en ligne.
• Usurper votre identité en ligne en utilisant vos identifiants enregistrés ou les informations saisies automatiquement.
• Contourner l'authentification à deux facteurs si le cookie identifie un appareil comme "de confiance".
• Lancer des attaques de phishing ciblées en utilisant vos informations personnelles.
• Accéder à des informations financières ou des données clients, ainsi qu'à d'autres informations sensibles.
• Contribuer au déploiement d'attaques par ransomware en volant des identifiants de connexion ou en accédant à des autorisations système de niveau supérieur.

Comment garder vos cookies hors de portée

Se protéger contre le vol de cookies ne signifie pas que vous devez renoncer complètement à Internet, mais cela nécessite de changer certaines habitudes :

• Réfléchissez à deux fois avant d'accepter les cookies. La première étape pour renforcer votre sécurité consiste à comprendre que tous les cookies ne sont pas nécessaires, et que ce n'est pas parce que vous pouvez accepter tous les cookies que vous devez le faire. Dans la mesure du possible, refusez les cookies inutiles, en particulier ceux provenant de tiers ou ceux qui suivent votre comportement. La plupart des sites web fonctionnent très bien sans eux.
• Procurez-vous des outils de sécurité supplémentaires. Les logiciels malveillants, y compris les voleurs d'informations, s'introduisent souvent dans votre ordinateur par le biais de téléchargements ou de liens de phishing. Des outils tels que Protection Anti-menaces Pro™ peuvent bloquer les sites Web malveillants et analyser les téléchargements à la recherche de logiciels malveillants avant qu'ils ne pénètrent dans votre ordinateur.
• Supprimez régulièrement vos cookies. Tous les cookies ne méritent pas d'être conservés : supprimez ceux qui sont obsolètes. Prenez cette habitude, en particulier après vous être connecté à un ordinateur public ou partagé. Cette étape peut sembler insignifiante, mais elle contribue à réduire le délai pendant lequel vos données peuvent être piratées.
• Sécurisez votre connexion. Commencez par éviter les réseaux Wi-Fi publics ou les connexions non chiffrées. Enfin, téléchargez un VPN pour chiffrer vos données en ligne et éviter leur interception par les cybercriminels.