Cloudflare déprécie le cookie __cfduid. À partir du 10 mai 2021, nous cesserons d'ajouter un en-tête « Set-Cookie » à la plupart des réponses HTTP. Les derniers cookies __cfduid expireront 30 jours plus tard.
Nous n'avons jamais utilisé le cookie __cfduid à d'autres fins que la proposition de services essentiels d'amélioration des performances et de la sécurité pour le compte de nos clients. Toutefois, nous devons bien l'admettre, un fichier dont le nom contenait « uid » pouvait vraiment donner l'impression de contenir une sorte d'identifiant utilisateur. Ce n'était pas le cas. Cloudflare ne suit jamais les utilisateurs finaux d'un site à l'autre ni ne vend leurs données personnelles. Nous ne souhaitons toutefois pas laisser de questions en suspens concernant l'usage que nous faisons des cookies ni qu'un client pense qu'il a besoin d'un bandeau d'informations sur ces derniers du fait de nos activités.
Alors, pourquoi utilisions-nous auparavant le cookie __cfduid, et pourquoi pouvons-nous le supprimer maintenant ?
Un cookie sert principalement à détecter les bots sur le web. Les bots malveillants peuvent venir perturber un service explicitement demandé par un utilisateur final (par le biais d'attaques DDoS) ou compromettre la sécurité du compte d'un utilisateur (via le piratage de mot de passe par force brute ou l'infiltration de son compte, entre autres attaques). Nous nous appuyons sur de nombreux signaux pour créer des modèles d'apprentissage automatique capables de détecter le trafic automatisé des bots. La présence et l'âge du cookie cfduid ne représentaient qu'un signal au sein de nos modèles. Aussi, pour les clients qui bénéficient de nos produits de gestion des bots, le cookie cfduid constitue donc un outil qui leur permet de proposer un service explicitement demandé par l'utilisateur final.
La valeur du cookie cfduid est dérivée d'un hachage MD5 unidirectionnel de l'adresse IP du cookie, de la date/heure, de l'agent utilisateur, du nom d'hôte et du site web de référence. Nous ne pouvons donc pas associer un cookie à une personne spécifique. Pourtant, en tant qu'entreprise plaçant la confidentialité au cœur de ses préoccupations, nous nous sommes posé la question suivante : « Pouvons-nous trouver un meilleur moyen de détecter les bots, qui ne reposerait pas sur la collecte des adresses IP des utilisateurs finaux ? »
Ces dernières semaines, nous avons conduit des expériences destinées à vérifier si nous pouvions exécuter nos algorithmes de détection de bots sans utiliser ce cookie. Nous avons découvert qu'il était possible pour nous de nous passer de l'utilisation de ce cookie afin de détecter les bots. Nous émettons donc un avis de dépréciation dès aujourd'hui, afin de laisser à nos clients le temps d'effectuer la transition. Notre équipe de gestion des bots, quant à elle, veillera à ce que la qualité de nos algorithmes de détection des bots ne se dégrade pas après la suppression de ce cookie. (Veuillez noter que certains clients de notre solution de gestion des bots nécessiteront toujours l'utilisation d'un autre cookie à compter du 1er avril.)
S'il s'agit en définitive d'un changement relativement mineur, nous nous réjouissons de chaque opportunité de rendre le web plus simple, plus rapide et plus privé.