” Login, mot de passe, SSL en mode 128 bits ou calculette (token) sont aujourd’hui des solutions classiques d’identification.
Pour des Extranet fermés, on peut utiliser un certificat client. Cette solution n’est cependant pas envisageable pour un service ouvert au grand public, et ne le sera pas avant plusieurs années”, constate Hervé Schauer, fondateur du cabinet HSC.
Le cookie, friandise amère
Commercialement, l’usage du cookie reste donc le plus prisé. Même si, souligne Gérard Cany, directeur général de MNet : “Les cookies n’ont pas beaucoup d’avenir, car les consommateurs les désactivent ou les effacent.” Un cookie permet à un serveur de stocker des informations sur l’ordinateur de l’internaute.Envoyé par le serveur au navigateur de ce dernier, le cookie contient une date d’expiration, le nom du serveur ( www.société.fr), et un chemin d’accès (ex/info, par exemple). Stocké dans un fichier, il peut également détenir toute information en possession du serveur. Lorsque l’internaute revient sur le serveur et consulte une page dans le répertoire indiqué par le chemin contenu dans le cookie (/info), le navigateur du client transmet le contenu du cookie dans l’en-tête de la requête qu’il envoie au serveur.Dans la majorité des cas, ces fichiers d’extension .TXT ne sont lisibles que par le serveur qui les a installés. “Néanmoins, il est possible de subvertir ce mécanisme, afin qu’un tiers puisse les interpréter”, estime Gérard Cany. Et Hervé Schauer de confirmer : “Pour conserver la session de l’utilisateur, il ne faut pas utiliser un élément que ce dernier peut modifier. Si le maintien est obtenu par une information située dans l’URL, l’utilisateur peut la modifier et obtenir le compte ou les informations d’une autre personne. Si le maintien est réalisé par un cookie qui passe dans l’en-tête HTTP, il suffit d’utiliser un logiciel permettant de le falsifier pour tenter d’obtenir la session d’un tiers. Il faut donc, en plus du cookie, employer des mécanismes cryptographiques.” Les informations recueillies par le serveur peuvent être indexées par un identifiant unique. Ce dernier est alors mémorisé dans le cookie. À la visite suivante de l’internaute, il permet de retrouver les données le concernant. Les journaux des serveurs conservent la trace de toutes pages consultées.
Stocker et indexer des informations sur l’internaute
L’exploitation des journaux créés par le serveur est facilitée par les traces que laisse le visiteur à travers son navigateur (requêtes de type Get page/), même lors de sessions simultanées nombreuses. “De cette façon, le fichier journal d’un serveur IIS ou Apache permet de remonter jusqu’à l’adresse IP, dynamique (opérateur) ou statique, de l’internaute”, indique Gérard Cany.À terme, IP v. 6 attribuera des adresses IP fixes aux abonnés des ISP. Elles permettront de stocker des informations clients par adresse, ce qui rendra obsolète le principe du cookie et du stockage.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.