Vous êtes sur le site public du Cert-IST
Persistance des données utilisateur dans Internet Explorer 5

Date :26 Juillet 2005

Publication: Article

Persistance des données utilisateur dans Internet Explorer 5

Chacun est conscient des problèmes de respect de la vie privée liés à l'utilisation des cookies sur les navigateurs web. En effet, les cookies permettent à un serveur web de stocker sur le disque de l'utilisateur des informations, pour y accéder par la suite et ainsi tracer les habitudes de l'utilisateur.

De plus, des problèmes de sécurité on été identifiés dans les mécanismes de gestion des cookies (CERT-IST/AV-2000.263, CERT-IST/AV-2000.099, CERT-IST/AV-2000.085).

De nombreux utilisateurs, soucieux de se protéger de l'utilisation abusive des cookies, désactivent les cookies dans les préférences de leur navigateur.

Or, sur Internet Explorer depuis la version 5, une nouvelle fonctionnalité a été introduite dans le navigateur, qui s'apparente à un nouveau type de cookie : les données utilisateur persistantes. Un serveur web peut stocker sur le disque de l'utilisateur des données et y accéder par la suite. Ce nouveau mécanisme se différencie de l'ancien par le fait qu'il utilise le format XML pour représenter les données, et il permet de stocker une plus grande quantité d'informations, de façon plus dynamique. Le serveur stocke et récupère les données persistantes via des directives (basées sur le behavior "userData") à l'intérieur du code HTML.

Les données persistantes peuvent être utilisées par exemple pour sauvegarder les actions effectuées par l'utilisateur sur une page, et la représenter de la même manière lors de la prochaine visite sur le site. De nombreuses autres exemples d'utilisation peuvent être imaginés, de par la nature dynamique de cette fonctionnalité.

Cette fonctionnalité est documentée par Microsoft à l'attention des programmeurs de sites : http://www.securityfocus.com/external/http://msdn.microsoft.com/workshop/author/persistence/overview.asp

http://www.securityfocus.com/external/http://msdn.microsoft.com/workshop/author/behaviors/reference/behaviors/userData.asp

Malheureusement, elle reste méconnue des utilisateurs; ceux-ci croient s'être protégés des cookies, mais sont en fait vulnérables aux "données utilisateur persistantes".

Cette fonctionnalité peut être désactivée dans le navigateur: pour cela, il faut "désactiver" la "permanence des données utilisateur", dans la rubrique "divers" des options de sécurité, pour un niveau de sécurité donné. Il n'y a malheureusement pas le choix de demander interactivement, comme pour les cookies (on peut seulement "activer" ou "désactiver" la fonctionnalité).

Note : par défaut, dans la zone des "sites sensibles", la fonctionnalité est désactivée.