Le cookie enabled fingerprinting exploite une propriété JavaScript d'une simplicité trompeuse : navigator.cookieEnabled retourne un booléen indiquant si votre navigateur accepte les cookies. Ironiquement, désactiver les cookies pour préserver votre vie privée peut vous rendre plus identifiable — car les utilisateurs avec cookieEnabled: false représentent une minorité si rare qu'ils forment une empreinte distinctive. Vérifiez ce que votre navigateur révèle sur whatsmy.fyi.
En résumé
navigator.cookieEnabled est une propriété en lecture seule disponible dans tous les navigateurs modernes. Elle retourne true (96 à 98 % des utilisateurs) ou false (2 à 4 % des utilisateurs). La valeur true apporte peu d'entropie — presque tout le monde l'a. La valeur false apporte environ 4 à 5 bits d'entropie en plaçant l'utilisateur dans un groupe très restreint. Les scripts de fingerprinting combinent ce signal avec la résolution d'écran, le fuseau horaire et d'autres propriétés du navigateur pour construire un identifiant sans cookies.
Qu'est-ce que le cookie enabled fingerprinting ?
Le cookie enabled fingerprinting est l'utilisation de l'état d'activation des cookies du navigateur comme composante d'un identifiant de périphérique. La propriété navigator.cookieEnabled est définie dans le HTML Living Standard du W3C et reflète si le navigateur est configuré pour accepter les cookies HTTP.
Ce signal s'intègre dans la technique plus large du browser fingerprinting, qui assemble des dizaines de propriétés du navigateur et du système en un identifiant persistant. Le paradoxe central : les cookies ont été créés pour vous pister ; les désactiver censément vous protège — mais en fait, cette rareté même vous identifie.
Comment fonctionne le cookie enabled fingerprinting ?
Lecture directe de la propriété
L'attaque de base est une lecture d'une seule propriété JavaScript — disponible sans permission, sans interaction utilisateur, identique en navigation normale et privée.
// Lecture directe de l'état des cookies
const cookiesEnabled = navigator.cookieEnabled;
// → true : la plupart des navigateurs (paramètre par défaut)
// → false : navigateur configuré pour bloquer tous les cookies
// Vérification plus robuste (certains navigateurs disent "true" mais échouent)
function checkCookies() {
try {
document.cookie = '_test=1; SameSite=Strict';
const enabled = document.cookie.indexOf('_test') !== -1;
document.cookie = '_test=1; expires=Thu, 01 Jan 1970 00:00:00 GMT';
return enabled;
} catch {
return false;
}
}Le paradoxe de l'entropie
La valeur true est quasi-universelle (96 à 98 % des utilisateurs selon les études EFF et Similar Web). Elle contribue donc très peu à l'unicité de votre empreinte. La valeur false, en revanche, place l'utilisateur dans un groupe si restreint qu'il produit environ 4 à 5 bits d'entropie supplémentaire. En termes pratiques : si 3 % des utilisateurs ont les cookies désactivés, et que votre empreinte partielle correspond déjà à 1 000 personnes, ce signal seul réduit le groupe à 30 personnes.
Intégration dans un profil de fingerprinting
// Collecteur d'empreinte intégrant l'état des cookies
function getBrowserFingerprint() {
return {
cookieEnabled: navigator.cookieEnabled,
// Combiné avec d'autres signaux à faible entropie individuelle :
doNotTrack: navigator.doNotTrack, // "1", "0", ou null
language: navigator.language, // "fr-FR", "en-US"...
platform: navigator.platform, // "MacIntel", "Win32"...
hardwareConcurrency: navigator.hardwareConcurrency, // cœurs CPU
deviceMemory: navigator.deviceMemory, // RAM approximative
};
// → Chaque signal seul est banal
// → Ensemble, ils forment un identifiant unique
}Données d'entropie et statistiques
| État | Prévalence | Entropie approximative | Impact sur l'unicité |
|---|---|---|---|
cookieEnabled: true | 96–98 % | ~0,04–0,08 bits | Très faible — presque universel |
cookieEnabled: false | 2–4 % | ~4–5 bits | Élevé — segment rare et distinctif |
Ironie RGPD : bloquer les cookies peut aggraver le pistage
Le RGPD et les recommandations de la CNIL encouragent les utilisateurs à refuser les cookies de suivi. Mais refuser les cookies dans les paramètres du navigateur (plutôt que via les bandeaux de consentement) définit navigator.cookieEnabled à false, vous rendant paradoxalement plus identifiable par les techniques de fingerprinting. Les scripts de fingerprinting n'ont pas besoin de cookies pour vous pister — ils lisent les caractéristiques de votre navigateur directement.
La CNIL a statué que le browser fingerprinting utilisé à des fins publicitaires requiert un consentement éclairé, indépendamment de l'utilisation ou non de cookies. Le CCPA et le CPRA en Californie traitent les empreintes d'appareils comme des informations personnelles soumises aux droits d'opt-out.
Comment se protéger du cookie enabled fingerprinting
- Tor Browser (protection maximale) : Tor Browser normalise l'ensemble des signaux de fingerprinting pour tous ses utilisateurs, rendant
cookieEnabledindiscernable dans la masse de ses utilisateurs. La protection vient de l'uniformité, pas du blocage. - Brave Browser (recommandé pour l'usage quotidien) : Brave bloque les cookies tiers par défaut tout en maintenant les cookies first-party, laissant
cookieEnabledàtrue. Cette approche évite le paradoxe de l'entropie tout en protégeant contre le pistage inter-sites. - Firefox avec uBlock Origin : Plutôt que de désactiver complètement les cookies (ce qui augmenterait votre entropie), filtrez les requêtes de suivi au niveau réseau avec uBlock Origin en mode avancé.
- Préférer le refus via bandeaux RGPD : Cliquer "Refuser" sur les bandeaux de consentement RGPD ne modifie pas
navigator.cookieEnabled. C'est la méthode la plus efficace pour rester dans le groupe majoritaire (entropie faible) tout en refusant les cookies de suivi.
Foire aux questions
navigator.cookieEnabled reflète-t-il l'état des cookies tiers ?
Pas nécessairement. La spécification HTML Living Standard ne précise pas si la propriété reflète uniquement les cookies first-party ou également les cookies tiers. En pratique, la plupart des navigateurs retournent true même lorsque les cookies tiers sont bloqués, et false uniquement lorsque tous les cookies sont désactivés dans les paramètres du navigateur.
La navigation privée change-t-elle cookieEnabled ?
Non dans la plupart des cas. La navigation privée empêche la persistence des cookies entre les sessions mais conserve les cookies de session actifs. navigator.cookieEnabled retourne généralement true en navigation privée, identique à la navigation normale.
Un site peut-il me pister sans cookies si cookieEnabled est false ?
Oui. Le fingerprinting ne nécessite pas de stocker quoi que ce soit sur votre appareil. En lisant les caractéristiques de votre navigateur — résolution d'écran, fuseau horaire, polices installées, données WebGL — un script peut reconstruire votre identifiant à chaque visite sans jamais écrire un cookie. Le blocage des cookies réduit une classe de pistage mais laisse intacte la classe la plus sophistiquée.
Quelle est la différence entre désactiver les cookies et les supprimer ?
Supprimer les cookies (effacer l'historique) ne change pas navigator.cookieEnabled — il reste true et de nouveaux cookies peuvent être écrits immédiatement. Désactiver les cookies dans les paramètres du navigateur est la seule action qui met cookieEnabled à false, mais avec le paradoxe d'entropie décrit ci-dessus.
Articles connexes
- Qu'est-ce que le browser fingerprinting ? — le guide complet de tous les signaux de fingerprinting combinés
- Qu'est-ce que le Do Not Track fingerprinting ? — même paradoxe : activer DNT vous rend plus identifiable
- Qu'est-ce que le browser storage fingerprinting ? — localStorage et IndexedDB comme identifiants persistants
- Qu'est-ce que le canvas fingerprinting ? — comment les rendus canvas invisibles produisent un identifiant unique
