Les cookies Facebook accusés de traquer l'utilisateur déconnecté

La déconnexion dans le colimateur 43
Vincent Hermann
Facebook a lancé récemment de nombreuses nouveautés, aussi bien côté utilisateurs que développeurs. Une extension de Facebook Instant permet ainsi désormais aux applications tierces de publier du contenu sur le flux d’un utilisateur sans que celui-ci ait besoin de le valider à chaque fois, un partage que l’éditeur nomme « frictionless » (sans friction). Un blogueur tire la sonnette d’alarme sur la sécurité des cookies entourant cette fonctionnalité.

Facebook Timeline

Le problème

Nik Cubrilovic attire l’attention sur la manière dont Facebook gère les cookies. Inquiété par cette possibilité d’avoir des partages d’informations non validés sur son flux, il a d’abord pensé que déconnecter Facebook de son navigateur serait suffisant. Ceci afin de couper tout contact entre les applications et les cookies créés par Facebook. Or, il a remarqué qu’en dépit de cette coupure, les cookies étaient toujours exploités.

D’après ses recherches, les fameux cookies continueraient de suivre la navigation de l’utilisateur, enregistrant au passage les traces des sites web visités. Nik Cubrilovic craint ainsi que du contenu puisse continuer à être posté sans le consentement express de l’utilisateur. Les cookies qui devraient être ainsi supprimés à la déconnexion voient en fait leur état « seulement » modifié, la suppression ne pouvant alors se faire que manuellement.

Les conséquences

Si les cookies ne sont pas supprimés, cela signifie non seulement qu’ils peuvent encore être interrogés par des services et applications tiers, même après déconnexion, mais qu’une même machine peut contenir les cookies de plusieurs utilisateurs.

Nik Cubrilovic indique ainsi qu’il avait dans le passé effectué des tests en créant plusieurs comptes factices. Chacun de ces comptes était utilisé pendant un moment puis déconnecté avant de passer au suivant. Après cette série, il lui était recommandé d’ajouter comme ami son profil réel, preuve que Facebook savait d’une manière ou d’une autre que tous ces profils avaient été utilisés depuis le même navigateur.

Du coup, Cubrilovic se pose la question des retombées dans le cas d’un ordinateur public comme on peut en trouver dans les cybercafés. Si Facebook laisse derrière lui des traces chaque fois qu’un utilisateur se connecte, ce qui pose d’évidents problèmes de sécurité. En particulier si le site est capable de faire remonter des informations tant que les sessions de navigation continuent, même en cas de déconnexion.

Pour Facebook, ces conclusions sont erronées

Nik Cubrilovic, sur son blog, dit avoir questionné Facebook à plusieurs reprises sur ces problèmes, sans jamais obtenir de réponse. Pourtant, Gregg Stefancik, ingénieur chez l’éditeur sur les systèmes d’authentification, est le premier à commenter le billet sur le blog.

Stefancik indique que les propos de Cubrilovic donnent une bonne opportunité d’expliquer le fonctionnement des cookies sur Facebook mais que plusieurs conclusions sont fausses. Il commence par indiquer que Facebook n’a pas d’intérêt particulier à suivre les utilisateurs car le site ne possède pas de réseau publicitaire et ne revend pas les données à des sociétés tierces. Les cookies ne servent donc pas au tracking mais sont utilisés pour « du contenu personnalisé (exemple, les « J’aime » de vos amis à l’intérieur d’un plug-in social), aider à améliorer ou maintenir notre service, ou protéger nos utilisateurs et notre service (en se défendant par exemple contre les attaques par déni de service ou en demandant une seconde authentification depuis un emplacement suspect) »

Il explique ensuite que les cookies restant après la déconnexion sont principalement utilisés pour :
  • Identifier et interdire les tentatives de spam et de phishing
  • Bloquer la création de compte si un utilisateur tente de revenir en spécifiant une nouvelle date de naissance
  • Aider les utilisateurs à récupérer des comptes piratés
  • Alimenter certaines fonctionnalités de sécurité, comme les permissions d’authentification et de notifications
  • Identifier les ordinateurs partagés pour décourager l’utilisation de la connexion permanente (proposée lors de l’identification)
Il cite ensuite certains cookies abordés dans le billet de Nik Cubrilovic, notamment « locale » qui stocke les valeurs pour le langage de l’utilisateur et son pays. « act » et « lu » servent respectivement d’estampille UNIX pour mesurer les performances du site et de marqueur pour identifier les ordinateurs partagés. Une association entre les cookies et navigateurs est bien maintenue en place et serait un élément vital de la protection contre le phishing. Enfin, Gregg Stefancik précise que jamais les cookies ne sont utilisés pour suggérer des amis, invitant Cubrilovic à lui envoyer les ID des comptes factices créés pour examen.

Emil Protalinski, de chez ZDnet, a publié hier un article sur les découvertes de Nik Cubrilovic. Au cours de la même journée, lui aussi recevait un commentaire d’un ingénieur de Facebook, Arturo Bejar. Ce dernier donnait peu ou prou les mêmes éléments de réponse que Gregg Stefancik : « Les cookies de déconnexion sont utilisés pour la sécurité et la protection, dont : l’identification des spammeurs et des auteurs de phishing, détecter quand une personne non autorisée tente d’accéder à votre compte, vous aider à vous reconnecter si vous avez été piraté […] » et ainsi de suite.