Une petite histoire du cookie
Rédigé par Benjamin Poilvé
-
14 janvier 2020S’il est aujourd’hui omniprésent et sujet de beaucoup d’attention, le cookie à fait une entrée discrète sur la scène du Web. Retour sur l’histoire du développement du cookie et sur son impact sur l’industrie publicitaire en ligne.
Dans cette série de trois articles, nous revenons sur l'histoire des cookies, les enchères en temps réel et les mécanismes du consentement :
A l’origine, le World Wide Web imaginé par Tim Berners-Lee était « sans état » : chaque requête via le protocole http était indépendante, sans possibilité pour le serveur de lier deux requêtes successives venant du même système et donc de garder en mémoire des informations sur un utilisateur. La seule concession accordée à ce principe fondamental était le champ « http-referer» (la faute d’orthographe est présente dans la RFC originelle), permettant à un serveur de connaître la page du site web ayant redirigé l’utilisateur vers l’adresse demandée par l’utilisateur. Cette fonctionnalité avait été imaginée pour resserrer les liens entre les personnes publiant sur le Web, encourageant les sites à mettre des liens vers les sites leur envoyant des visiteurs. Ce choix aura des conséquences importantes sur l’impact que les cookies auront sur la vie privée des utilisateurs.
1994 : Netscape crée le cookie
Les cookies furent imaginés par des ingénieurs travaillant chez Netscape, alors une jeune entreprise d’informatique commercialisant des serveurs web. En 1994, ceux-ci travaillent sur des serveurs permettant à leur clients de mettre en place des solutions de commerce en ligne, et un navigateur permettant d’accéder à ces fonctionnalités, alors connu en interne sous le nom de code « Mozilla ». La division serveur de Netscape fait face à un problème d’apparence insoluble : comment garder la trace des différents éléments qu’un client qui navigue sur un site web ajoute à son panier ? Du fait de l’absence d’état, chaque navigation vers une nouvelle page provoque l’oubli de toutes les actions précédentes. Des expérimentations testent le stockage de ces informations dans l’URL des pages, cependant elles ne sont pas très fructueuses. Cela conduit deux programmeurs, Lou Montulli et John Giannandrea à proposer une solution permettant de stocker un « état » dans un nouvel objet qu’ils décident d’appeler « Persistent Client State HTTP Cookies » ou cookie, pour faire court.
L’idée était simple : permettre au serveur de transmettre un fichier texte au client, celui-ci lui renvoyant ce même fichier à chaque requête subséquente, permettant ainsi d’identifier l’utilisateur et donc, par exemple, de se rappeler du contenu de son panier au niveau du serveur. Le code fut discrètement intégré sur la version 0.9 de Mosaic Netscape, le 13 octobre 1994. La première utilisation fut d’identifier les utilisateurs du site de Netscape l’ayant déjà visité auparavant. Cette même année, la première bannière publicitaire est placée sur le site HotWired, marquant le début de la publicité sur le Web.
A cette époque, la politique de Netscape en matière de développement était avant tout d’aller vite. Le code fut donc introduit sans en informer les utilisateurs, sans introduire de notification à la dépose d’un cookie par un site web, et sans documentation.
Un risque « vie privée » très vite pointé
Les ingénieurs de Netscape n’étaient pas les seuls à cette époque à travailler sur la question du manque de mémoire du protocole http. En 1995, l’IETF (Internet Engineering Task Force) commença à travailler sur un standard permettant de gérer ce problème. Cependant, l’implémentation de Netscape devenant assez rapidement un standard de facto, le rôle de l’IETF fut modifié pour préciser le standard proposé par Netscape. Leur analyse de l’implémentation proposée par Netscape fut sans appel : elle mettait en danger la vie privée des utilisateurs.
La problématique posée par l’implémentation de Netscape est la suivante : si le serveur du site est capable de lire et écrire les cookies de l’utilisateur, lorsqu’il incorpore des ressources tierces (images, scripts, etc.) le serveur fournissant ces ressources tierces est lui aussi capable de lire et écrire sur le terminal de l’utilisateur en identifiant le contexte (par exemple l’url) dans lesquelles ces ressources ont été appelées. On nomme ces cookies déposé par des ressources tierces des cookies tiers. Ainsi par exemple si l’éditeur d’un journal en ligne intègre une bannière publicitaire sur son site, alors le publicitaire obtient les url visités par l’utilisateur. S’il est également présent sur le site d’un autre éditeur, il peut identifier le même utilisateur également sur ce site. En 1996, la société DoubleClick (rachetée en 2007 par Google) est créée pour exploiter ces cookies tiers pour la publicité.
Des débats sans issue
En 1996, l’existence des cookies est pour la première fois révélée au grand public, dans un article du Financial Times. La forte réaction du public provoque alors la tenue d’auditions par la FTC (Federal Trade Commission). Malheureusement, le manque de technicité de la FTC à l'époque permet à Netscape d’échapper à toute régulation. Ils déclarent notamment qu’ils ont l’intention de suivre la norme de l’IETF et d’interdire les cookies tiers. Ils ne le firent jamais. Leurs clients principaux étaient les professionnels achetant leurs serveurs et non les utilisateurs de leur navigateur, et ces clients voulaient pouvoir utiliser des cookies tiers.
En février 1997, l’IETF propose une première version de son standard de cookie. Cette version est rapidement retoquée par l’IESG (Internet Engineering Steering Group) qui supervise les travaux de l’IETF pour ne pas avoir pris des mesures visant à limiter les cookies tiers. L’IETF recommence alors à travailler sur un nouveau standard. Cette même année, l’IAB (Interactive Advertising Bureau) qui a alors 1 an d’existence annonce un chiffre d’affaire global du marché de la publicité en ligne de 906,5 millions de dollars. Le projet de l’IETF commence donc à faire face à une forte opposition. Cependant la position interne est claire : il faut désactiver par défaut les cookies tiers. En octobre 2000 la norme est publiée, RFC2965. Cette année-là, le chiffre d’affaire calculé par l’IAB est de 8,2 milliards de dollars soit presque 1000% de croissance en trois ans. Le standard est déjà marginalisé et le cookie de Netscape est devenu le défaut.
L’industrie qui s’est créé autour de cet état de fait se développe de façon exponentielle. DoubleClick, pionnier du tracking publicitaire fondé sur l’utilisation des cookies tiers est racheté pour 1,1 milliards de dollars en 2005 par des investisseurs et fera ensuite l’objet d’un rachat en 2007 pour 3,1 milliards de dollars par Google. Cette opération fait l’objet d’une enquête antitrust, certains acteurs comme Microsoft craignant que cela donne trop de contrôle à Google sur le domaine de la publicité en ligne mais l’acquisition est validée en 2008.
Un an plus tôt, Apple présentait le premier iPhone, ouvrant la voie à une nouvelle ère pour l’internet et de nouveaux modèles pour présenter et suivre la publicité en ligne, sans revenir sur l’idée de Netscape d’attacher des identifiants au terminal de l’utilisateur...