Démo de suivi Evercookie

La méthode traditionnelle — de petits fichiers texte stockés par le navigateur. Faciles à supprimer via les paramètres du navigateur.

document.cookie = "tracking_id=abc123; expires=Fri, 31 Dec 9999 23:59:59 GMT";

Stocke jusqu'à 5-10 Mo par domaine. Persiste jusqu'à suppression explicite. Souvent oublié lors de la suppression des "cookies".

localStorage.setItem('tracking_id', 'abc123');
// Survives browser restart, never expires

Similaire à localStorage mais effacé à la fermeture de l'onglet. Peut être utilisé pour transmettre des données afin de recréer d'autres cookies pendant une session.

sessionStorage.setItem('tracking_id', 'abc123');

Une base de données NoSQL complète dans le navigateur. Peut stocker de grandes quantités de données structurées. Rarement effacée par les utilisateurs.

const request = indexedDB.open('evercookie_db', 1);
request.onsuccess = (e) => {
  const db = e.target.result;
  // Store tracking ID in database
};

Encode la valeur du cookie en couleurs de pixels RGB dans une image PNG, puis force sa mise en cache. Le cookie est relu en dessinant l'image en cache sur un canvas et en lisant les valeurs des pixels.

// Encode "abc" as RGB: R=97, G=98, B=99
ctx.fillStyle = 'rgb(97, 98, 99)';
ctx.fillRect(0, 0, 1, 1);
// Later, read it back from cached image

Les ETags sont destinés à la validation du cache mais peuvent stocker des identifiants de suivi. Le serveur envoie un ETag unique, et le navigateur le renvoie lors des requêtes suivantes.

// Server response:
HTTP/1.1 200 OK
ETag: "tracking_id_abc123"

// Browser's next request:
If-None-Match: "tracking_id_abc123"

Exploite le HSTS (HTTP Strict Transport Security) en encodant des bits dans les politiques HSTS des sous-domaines. Chaque bit est un sous-domaine qui a ou non le HSTS activé.

// Encoding "5" (binary: 101) across subdomains:
// bit0.tracker.com → HSTS ON  (1)
// bit1.tracker.com → HSTS OFF (0)
// bit2.tracker.com → HSTS ON  (1)
// Reading: check if browser upgrades each subdomain to HTTPS

Stocke l'identifiant de suivi dans un fichier JavaScript ou HTML mis en cache. Quand le navigateur charge la version en cache, elle contient l'identifiant.

// Server sends with far-future cache headers:
Cache-Control: max-age=31536000
// File contents:
var cached_tracking_id = "abc123";

La propriété window.name persiste à travers les navigations de page dans le même onglet, même vers des domaines différents. Peut stocker jusqu'à 2 Mo.

window.name = "tracking_id=abc123";
// Survives navigation to other sites in same tab!

Les Flash Local Shared Objects stockaient des données hors du contrôle du navigateur. Nécessitait de visiter le site d'Adobe pour les supprimer. Flash est maintenant mort, mais était très efficace.

// ActionScript:
var so:SharedObject = SharedObject.getLocal("evercookie");
so.data.tracking_id = "abc123";
so.flush();

Le plugin Silverlight de Microsoft avait son propre mécanisme de stockage, séparé du stockage du navigateur. Silverlight est abandonné.

Encodait des données dans l'historique du navigateur en visitant des URL contenant l'identifiant. Pouvait être relu en vérifiant les styles :visited des liens. Les navigateurs ont corrigé cela.

// Create history entries:
location = "http://tracker.com/id/a";
location = "http://tracker.com/id/b";
// Read via CSS :visited (now blocked)