Votre site d’achats, vos réseaux sociaux, le système de pointage de votre entreprise ── les pages que vous utilisez sans y penser vous accueillent toujours connecté, même après avoir fermé le navigateur et être revenu le lendemain. Et pourtant, le serveur qui travaille derrière ne se souvient pas vraiment de vous. La réalité est inverse : les serveurs ont tendance à vous oublier ── plus précisément, ils remettent leur mémoire à zéro chaque fois qu’ils répondent à une requête. L’expérience quotidienne d’« être reconnu » est, à y regarder de près, plutôt étrange.
Alors pourquoi restons-nous connectés ? La réponse, c’est le cookie ── celui-là même de la bannière « Acceptez-vous les cookies ? » que chaque site vous présente. Si l’une des situations suivantes vous parle, poursuivez la lecture.
- Vous cliquez sur la bannière « Acceptez-vous les cookies ? » par réflexe, à chaque fois, sans savoir ce qu’elle signifie
- Vous ne savez pas expliquer pourquoi vous restez connecté ── ou, à l’inverse, pourquoi vous êtes soudain déconnecté
- Vous ne savez pas pourquoi le même site, ouvert sur un autre PC ou sur le téléphone, vous montre déconnecté
- On vous a dit « essayez de supprimer vos cookies » ── mais vous ne savez pas vraiment ce que cette suppression fait
Cet article fait deux promesses. ① Nous limiterons le jargon au minimum. ② Nous ne nous arrêterons pas au fonctionnement : nous irons jusqu’aux décisions pratiques ── quoi cliquer sur la bannière de consentement, et ce qui se passe si vous supprimez vos cookies.
| Question | Réponse dans |
|---|---|
| Que veut dire « les serveurs ont tendance à vous oublier » ? | §1 |
| Qu’est-ce qu’un cookie, exactement ? | §2 |
| Comment fonctionne vraiment la connexion qui persiste ? | §3 |
| Que demande réellement « Acceptez-vous les cookies ? » ? | §4 |
| Les cookies sont-ils dangereux ? | §5 |
| Que se passe-t-il si je les supprime ? | FAQ Q1 |
Dans la rétrospective de la série, Que se passe-t-il entre la saisie d’une URL et l’affichage de la page ?, nous avons suivi un accès comme « l’aller-retour d’une seule requête ». Cet article reprend la question qui vient ensuite ── si chaque requête et chaque visite se suffit à elle-même, pourquoi le site se souvient-il de vous ?
1. Le serveur vous oublie à chaque fois ── HTTP est conçu pour ne pas se souvenir
1-1. L’aller-retour d’une requête se suffit à lui-même, à chaque fois
Quand vous ouvrez une page web, une requête parcourt le monde, atteint le serveur, et une réponse revient (le trajet complet est dans Que se passe-t-il entre la saisie d’une URL et l’affichage de la page ?). Voici le point essentiel : cet aller-retour est toute l’histoire. Quand vous cliquez sur un lien de plus, c’est un voyage entièrement nouveau ── et, du point de vue du serveur, une requête venant d’un parfait inconnu.
En métaphore : le serveur est un employé de guichet dont la mémoire s’efface dès que chaque échange se termine. Passez dix fois en une minute, et dix fois il vous accueillera d’un « Bienvenue ! C’est votre première visite ? ». Cette propriété s’appelle être sans état (stateless), et elle fait partie de la conception de base de HTTP.
Cela ressemble à un défaut, mais c’est délibéré. Un guichet qui ne se souvient pas peut traiter n’importe qui avec la même procédure ── simple, rapide, et capable de servir en même temps des foules énormes venues du monde entier. Renoncer d’emblée au travail de « se souvenir » est l’une des raisons pour lesquelles le web a pu devenir aussi grand.
1-2. Alors pourquoi le web semble-t-il se souvenir de vous ?
Mais cela crée une contradiction. Rester connecté, les articles qui attendent dans votre panier, votre mode sombre qui survit d’une visite à l’autre ── si l’employé vous rencontre comme un inconnu à chaque fois, rien de tout cela ne devrait arriver.
Le guichet sans mémoire vs ce que vous vivez réellement Comment la machinerie fonctionne (sans état) Visite 1 : Vous ──> Serveur : « Enchanté » Visite 2 : Vous ──> Serveur : « Enchanté » △ Zéro mémoire, à chaque fois Visite 3 : Vous ──> Serveur : « Enchanté » Ce que vous vivez réellement Visite 1 : Vous vous connectez Visite 2 : Toujours connecté △ On se souvient de vous, mystérieusement Le lendemain : Toujours connecté
Le dispositif qui comble cet écart est le héros de cet article : le cookie. La réponse en une ligne, d’avance ── celui qui se souvient, ce n’est pas le serveur. C’est votre navigateur.
2. Ce qu’est vraiment un cookie ── une carte de membre que la boutique vous remet
2-1. La boutique renonce à se souvenir et confie une carte au client
Même un employé dont la mémoire s’efface peut distinguer les clients. L’astuce : faire porter une carte au client, et la lui faire montrer à chaque visite.
C’est exactement cela, un cookie. La première fois que vous visitez un site, le serveur joint un mot à sa réponse ── « veuillez garder ceci » (Set-Cookie). Votre navigateur range la carte dans son portefeuille (une zone de stockage de votre PC) et, la prochaine fois qu’il envoie une requête à ce même site, il présente la carte automatiquement. L’employé n’a aucune mémoire, mais un coup d’œil à la carte lui dit « ah, le client qui détient cette carte » ── une boutique qui émet une carte de membre, et un client qui la montre à chaque visite.
La carte elle-même n’est qu’une courte chaîne de texte sur un mot. Ce n’est pas un programme : la carte ne peut rien exécuter par elle-même ── cela comptera de nouveau au §5.
2-2. Les règles de la carte ── montrée uniquement à la boutique qui l’a émise, automatiquement
Les cartes de membre suivent deux règles de base.
Première règle : une carte n’est montrée qu’à la boutique qui l’a émise. La carte que le site A vous a donnée n’est jointe qu’aux requêtes qui partent vers le site A. La carte de fidélité de votre supermarché ne sert à rien à la librairie (── c’est la règle telle qu’elle vaut pour le §2. Au §4, nous verrons que la « faille » de cette règle est exactement le sujet de la bannière de consentement).
Deuxième règle : les cartes expirent. Il en existe deux sortes : les cartes jetées quand vous fermez le navigateur (cookies de session) et les cartes qui restent dans le portefeuille jusqu’à une date fixée (cookies persistants). La case « rester connecté » est, en gros, un choix entre ces deux-là.
L'aller-retour de la carte de membre ── de l'émission à la présentation automatique Première visite Vous ──« Enchanté »──────────────────> Site A Vous <──« Bienvenue ! Gardez cette carte »── Site A △ Carte émise (Set-Cookie) Chaque visite suivante Vous ──« Rebonjour » + [carte] ──> Site A △ Jointe automatiquement par le navigateur Vous <──« Bon retour »──────────── Site A Visite d'une autre boutique Vous ──« Enchanté »─────────────────> Site B △ La carte du site A n'est pas jointe
3. Comment fonctionne la connexion qui persiste ── la carte ne porte qu’un numéro
3-1. Un ticket numéroté et un registre ── ce qu’est vraiment un ID de session
Nous avons dit qu’« un coup d’œil à la carte suffit » ── mais la carte ne porte ni votre nom ni votre mot de passe. Le mécanisme de connexion est d’un cran plus astucieux.
Quand vous saisissez votre mot de passe et que la connexion réussit, le serveur écrit une ligne dans son registre ── « Client n° 8472 = votre compte, connecté ». Puis il vous remet un ticket numéroté portant uniquement ce numéro de ligne. Dès lors, chaque fois que votre navigateur présente le ticket, le serveur cherche le n° 8472 dans le registre et sait « c’est cette personne, déjà connectée » ── ce numéro est l’ID de session, et le registre est la session côté serveur.
Cette conception a deux avantages. Votre mot de passe n’est jamais sur le ticket : même si quelqu’un voit le ticket, le mot de passe ne fuit pas (FAQ Q5). Et vous n’avez pas à retaper votre mot de passe à chaque fois ── présenter le ticket poursuit la vérification d’identité à votre place. Au passage, ce « ticket numéroté » est une forme du mécanisme appelé token ── notre guide Mot de passe vs UUID vs Hash vs Token démêle ce qui le distingue des mots de passe et des hashs.
- 1ConnexionMot de passe vérifié. Le serveur écrit une ligne dans son registre.
- 2Ticket émisUn ticket ne portant que le numéro de ligne (l’ID de session) est remis sous forme de cookie.
- 3Chaque visite suivanteLe navigateur présente le ticket automatiquement. Le serveur le confronte au registre : « connecté ».
- 4La finDéconnexion (la ligne du registre est effacée) ou expiration du ticket ── retour au statut d’inconnus.
3-2. Les mystères se résolvent d’eux-mêmes : déconnexions soudaines, et statut d’inconnu sur un autre PC
Une fois qu’on a le ticket et le registre, les mystères du quotidien se dissipent d’un coup.
Être soudain déconnecté signifie que le ticket ou le registre a expiré. Le ticket a dépassé sa date, le serveur a nettoyé les vieilles lignes du registre, un « se déconnecter de tous les appareils » a effacé votre ligne, ou un nettoyage du navigateur a jeté le ticket ── les causes varient, mais l’événement est le même : le ticket et le registre ne correspondent plus.
Être déconnecté sur un autre PC ou téléphone arrive parce que le ticket vit dans le portefeuille de ce navigateur-là. Autre portefeuille, pas de ticket ── un nouvel appareil signifie donc repartir du mot de passe. Même sur le même PC, changer de navigateur fait de vous un inconnu, car chaque navigateur garde son propre portefeuille.
Le côté qui tient le registre ── autrement dit, ce qu’est vraiment un serveur ── mérite un article à lui seul. Nous prévoyons de le couvrir dans un prochain billet.
4. Ce que demande vraiment « Acceptez-vous les cookies ? » ── la carte de membre de la régie publicitaire
4-1. Si toutes les cartes étaient propres à un site, la bannière n’aurait jamais existé
Jusqu’ici, toutes les cartes étaient « pour ce site uniquement ». La carte du site A n’est montrée qu’au site A ── les cookies utilisés dans cette limite s’appellent cookies propriétaires (first-party), et ce sont eux qui font tourner connexions, paniers et préférences mémorisées. Franchement, si le monde n’avait que ceux-là, la bannière de consentement ne serait jamais née.
4-2. Montrer la même carte d’un site à l’autre ── cookies tiers et pistage
Le problème, c’est qu’une page ne se construit pas qu’avec « ce site ». Beaucoup de pages intègrent des éléments venus d’autres entreprises (souvent des régies publicitaires) ── encarts publicitaires, fragments d’analyse d’audience. Quand vous ouvrez la page, votre navigateur envoie aussi des requêtes au serveur de la régie pour récupérer ces éléments ── et, selon la règle du §2, la carte émise par la régie publicitaire est jointe aux requêtes qui partent vers la régie.
Voici le piège. Et si le site d’actualités, le site de recettes et le site d’achats intégraient tous des éléments de la même régie ? Alors, quel que soit le site que vous ouvrez, vous montrez partout la même et unique « carte de membre de la régie publicitaire ». Le registre de la régie accumule une trace : « Personne n° 551 : actualités → recettes → la page des chaussures de la boutique » ── c’est le vrai mécanisme derrière « le produit que j’ai regardé hier me suit sur d’autres sites », et les cartes qui traversent ainsi les sites sont les cookies tiers (third-party).
Propriétaires vs tiers ── à qui montre-t-on quelle carte Propriétaires (la carte du site lui-même) Site d'actualités ──> [carte actualités] △ Reste à l'intérieur de ce site Site d'achats ──> [carte achats] Tiers (la carte de la régie publicitaire) Site d'actualités ┐ Site de recettes ├── sur chaque page ──> [la même carte de la régie] Site d'achats ┘ △ La trace relie les sites entre eux
C’est principalement de cela que parle la bannière « Acceptez-vous les cookies ? ». Les cartes du site lui-même (celles dont la connexion et les préférences ont besoin) sont en général classées « strictement nécessaires », et ce qu’on vous demande vraiment de choisir, c’est d’accepter ou non les cartes de publicité et d’analyse d’audience. Voilà pourquoi cliquer sur « Refuser » laisse les fonctions principales du site marcher normalement (FAQ Q3).
Pour information, le vent a tourné contre ce mécanisme de pistage : les éditeurs de navigateurs retirent les cookies tiers, étape par étape. Voyez-le comme un retour à la règle d’origine de la carte ── montrée uniquement au site qui l’a émise ── et vous en savez assez.
5. Les cookies sont-ils dangereux ? ── la carte est inoffensive en soi ; ce qui compte, c’est la façon de la manier
5-1. Tracer la ligne ── le côté inoffensif et le côté qui demande de l’attention
L’image « cookies = quelque chose de dangereux » est à moitié un malentendu, à moitié vraie. Comme dans notre article sur HTTPS, traçons la ligne avec un tableau.
| Vous pouvez être tranquille ✅ | Demande de l’attention ❌ | |
|---|---|---|
| Ce qu’est la carte | Un court mot de texte. Pas un programme ── elle ne peut rien exécuter, façon virus | ── |
| Qui la voit | Montrée uniquement au site qui l’a émise (propriétaire) | ── |
| Espionnage en chemin | La carte voyage dans la boîte secrète (HTTPS) et ne peut pas être lue en route | ── |
| Vol du ticket | ── | Si quelqu’un d’autre utilise votre ticket numéroté, il est connecté en tant que vous, sans mot de passe ── le vrai risque d’oublier de se déconnecter sur un PC partagé |
| Traces de comportement | ── | Les cartes de la régie publicitaire (tiers) deviennent un relevé de votre parcours d’un site à l’autre (§4) |
| Les supprimer | ── | Jetez toutes les cartes, et chaque site vous traite de nouveau en inconnu (FAQ Q1) |
5-2. Les conclusions pratiques
Traduire le tableau en comportement quotidien donne trois règles.
Première règle ── sur les appareils partagés ou empruntés, déconnectez-vous toujours en partant. La déconnexion efface la ligne du registre : même un ticket oublié devient inutilisable. Fermer simplement le navigateur peut laisser le ticket dans le portefeuille.
Deuxième règle ── sur les bannières de consentement, « nécessaires uniquement » ou « Refuser » convient parfaitement quand c’est proposé. Les cartes du site lui-même restent : se connecter et faire ses achats continuent de fonctionner comme d’habitude.
Troisième règle ── inutile de craindre les cookies en eux-mêmes. La carte est un mot, pas un programme, et la boîte secrète la protège en transit. Les deux choses qui méritent votre attention : ne pas laisser d’autres personnes manipuler physiquement vos tickets, et décider quels registres ont le droit de noter votre parcours.
Résumé ── l’essentiel en 4 lignes
- Le serveur oublie, à chaque fois : HTTP est sans état ── la mémoire de l’employé s’efface après chaque échange. Ne pas se souvenir est ce qui le rend rapide et massivement extensible
- Un cookie est une carte de membre : c’est le navigateur qui se souvient ── il garde la carte émise par un site et la présente automatiquement, à ce site uniquement
- La connexion, c’est un ticket numéroté plus un registre : le ticket ne porte qu’un numéro de ligne (l’ID de session), jamais votre mot de passe ── et « déconnecté » signifie que le ticket et le registre ne correspondent plus
- La vraie question de la bannière, c’est la carte de la régie publicitaire : les cartes du site lui-même sont « nécessaires » ; ce que vous choisissez, c’est le pistage entre sites, et le refuser laisse les fonctions principales fonctionner
Pour poursuivre la série ── le trajet complet d’une requête est dans la rétrospective de la série, la boîte qui protège la carte en transit est dans l’article sur HTTPS, et ce qui distingue le ticket numéroté (token) des mots de passe et des hashs est dans le guide des chaînes aléatoires.
FAQ
Q1. Que se passe-t-il si je supprime tous mes cookies ?
A. Tous les sites recommencent à vous traiter en inconnu ── concrètement, vous êtes déconnecté partout, le contenu du panier et les préférences « ne plus afficher » disparaissent, et les bannières de consentement reviennent. Rien ne se casse : reconnectez-vous et tout fonctionne comme avant. Si « essayez de supprimer vos cookies » est un conseil de dépannage classique, c’est parce que cela remet à zéro tout décalage entre de vieux tickets et le registre.
Q2. Que se passe-t-il réellement en mode incognito (navigation privée) ?
A. Vous naviguez avec un badge visiteur temporaire. Chaque carte de membre et chaque ticket numéroté reçus dans la fenêtre incognito expirent à l’instant où vous la fermez ── tout est jeté d’un coup, et c’est pourquoi ni historique ni cartes ne restent sur votre appareil. Mais tant que vous portez le badge, vous avez exactement la même apparence que d’habitude. Connectez-vous dans cette fenêtre, et le badge porte en pratique votre nom : le registre du site sait que c’est vous, comme toujours. Ce que le réseau voit en chemin ne change pas non plus. L’incognito ne vous rend pas anonyme ── la seule chose qui change, c’est que rien ne reste sur votre appareil.
Q3. Si je clique sur « Refuser » sur la bannière de consentement, le site va-t-il cesser de fonctionner ?
A. Dans presque tous les cas, il continue de fonctionner normalement. La bannière porte surtout sur les cartes de publicité et d’analyse d’audience (tiers) ; les cartes du site lui-même, utilisées pour la connexion et le panier, sont en général classées « strictement nécessaires » et ne font pas partie du refus (§4). Vous verrez peut-être encore des publicités après avoir refusé ── simplement, ce sont des publicités qui ne sont pas adaptées à votre parcours.
Q4. Quelle différence entre les cookies et le cache ? On les supprime toujours ensemble.
A. Des métiers complètement différents. Le cookie est la carte de membre qui dit qui vous êtes ; le cache est la réutilisation de colis (images et autres) déjà reçus une fois. Leur suppression diffère aussi : supprimez les cookies et vous êtes déconnecté ; videz le cache et les pages se chargent juste plus lentement pendant un moment. Le fonctionnement du cache ── la vraie histoire derrière « j’ai mis à jour mais rien n’a changé » ── mérite son propre article, prévu pour un prochain billet.
Q5. Mon vrai mot de passe est-il stocké dans un cookie ?
A. Non. Comme l’a montré le §3, le ticket ne porte qu’un numéro de ligne du registre (l’ID de session) ; votre mot de passe sert à vérifier votre identité au moment de la connexion et ne voyage jamais sur le ticket. Cela dit, « pas de mot de passe dedans, donc sûr » ne tient pas non plus ── si le ticket numéroté lui-même est volé, celui qui le détient peut agir en tant que vous jusqu’à son expiration. Les bases pour protéger vos tickets : déconnectez-vous sur les PC partagés, et ne laissez pas d’autres personnes manipuler votre appareil.
Laisser un commentaire