J’ai suivi un échange entre deux créateurs de contenu sur TikTok à propos des cookies et de la sécurité web.
L’un a montré depuis son Mac qu’il existe bien des fichiers qui stockent les cookies. Il disait même que, grâce à une image ou un PDF, il pourrait faire passer un script malveillant à travers un site et voler tes cookies pour réussir à te pirater. En gros, il pense exploiter une faille communément appelée XSS (Cross-Site Scripting).
L’autre disait que les sites web ne peuvent jamais créer de fichiers invisibles directement sur ton ordinateur, et que tous les cookies restent dans le navigateur, sécurisés et isolés. Selon lui, un script invisible ne peut pas voler tes cookies sans qu’il y ait une faille XSS.
Le problème n’est pas de savoir s’il y a un fichier ou non. Le vrai sujet, c’est qui a le contrôle. Et un site web n’a jamais le contrôle de ton système.
On confond souvent la manière dont le navigateur affiche les cookies avec la manière dont il les stocke réellement.
Aucun site ne peut créer un fichier sur ton PC (zmb_stack l’a bien dit), et c’est réel. Mais ton navigateur, lui, stocke les cookies dans ses propres fichiers internes.
Pour simplifier, c’est un peu comme si le navigateur créait un fichier Excel. Pour chaque site, il crée une ligne d’informations (ici les cookies) liées à l’utilisateur.
Les cookies ne sont pas des fichiers créés par les sites.
Ce sont des entrées stockées par le navigateur dans un fichier interne lié au profil utilisateur.
La peur vient souvent du mot “script invisible”. Mais sans faille XSS, un site ne peut pas exécuter de code caché dans ton navigateur.
NB : XSS n’est pas la seule cause, mais c’est la principale faille qui permet l’exécution de scripts injectés dans une page web. Heureusement, aujourd’hui, il est possible de se protéger contre ce type d’attaques.