Statut des Cookies et du Suivi

Le panneau ci-dessus écrit un cookie propriétaire (first-party) temporaire sur ce nom d'hôte, le relit et vérifie si localStorage, sessionStorage et IndexedDB sont utilisables dans votre session actuelle. Il signale également les signaux Do Not Track (DNT) et Global Privacy Control (GPC) si votre navigateur les expose. En revanche, il ne peut pas comptabiliser les cookies tiers (qui nécessitent l'intégration d'une iframe d'une autre origine) ni lister les cookies marqués HttpOnly (qui sont masqués pour le JavaScript par conception). J'ai conçu cette page après une panne sur un tunnel de paiement Stripe qui m'a pris des heures à diagnostiquer : je n'avais aucun moyen rapide de confirmer que les cookies étaient bien écrits dans le navigateur de l'utilisateur.

Ce que cette page teste réellement

Il s'agit d'un diagnostic interne (propriétaire / first-party). Tout ce qui est vérifié est limité aux interactions entre votre navigateur et whatismytools.com. L'outil ne peut pas voir l'état de votre navigateur sur d'autres sites, ni accéder aux cookies HttpOnly. Dans cette limite, quatre tests sont effectués.

Écriture et lecture d'un cookie propriétaire (first-party). Un cookie au nom unique est défini avec SameSite=Lax puis immédiatement relu. Si la lecture réussit, les cookies fonctionnent pour cette origine dans votre session actuelle.
Stockage Web (Web Storage). Les espaces localStorage et sessionStoragesont testés par l'écriture et la lecture d'une courte chaîne de caractères. Les deux peuvent échouer indépendamment des cookies, notamment en mode de navigation privée.
IndexedDB.Une base de données de test est ouverte puis refermée. Un échec ici signifie généralement qu'un profil de confidentialité renforcé ou une politique de mode kiosque bloque le stockage persistant.
Signaux de confidentialité. La page lit navigator.doNotTrack et navigator.globalPrivacyControls'ils sont exposés. Leur absence ne signifie pas que vous n'avez aucun droit à la confidentialité, mais simplement que votre navigateur ne diffuse pas de préférence de refus (opt-out) de manière programmatique.

Notez bien que ce panneau ne vous indique pas combien de cookies sont stockés sur votre machine, quels sites tiers ont défini des cookies sur d'autres sites, ou quels partenaires publicitaires peuvent vous identifier d'un site à l'autre. Les navigateurs masquent délibérément ces informations au JavaScript. Pour obtenir ces réponses, utilisez l'inspecteur de stockage intégré de votre navigateur (DevTools → Application → Stockage sous Chrome et Edge, Inspecteur de stockage sous Firefox, onglet Stockage dans l'inspecteur web de Safari).

Cookies propriétaires (first-party) vs cookies tiers (third-party) en 2026

Un cookie propriétaire (first-party) est défini par le site dont l'URL figure dans votre barre d'adresse. Un cookie tiers (third-party) est défini par un domaine différent intégré dans la page, généralement via une balise <iframe>, <img> ou un script externe. Les deux utilisent le même protocole HTTP défini dans la RFC 6265; la différence réside uniquement dans l'origine qui les a définis et le site auquel ils sont renvoyés.

Pendant deux décennies, le secteur de la publicité a exploité les cookies tiers pour identifier les utilisateurs d'un site à l'autre. Un pixel de suivi sur news.example.com et ce même pixel sur shop.example.com lisaient tous deux le même cookie tiers, permettant au traqueur de dresser un profil couvrant ces deux visites. Ce modèle est en cours de démantèlement.

L'état actuel des cookies tiers, par navigateur :

Safaribloque les cookies tiers par défaut depuis 2020 via sa technologie Intelligent Tracking Prevention (ITP). Le blocage est total : aucun cookie tiers n'est envoyé, même avec le consentement de l'utilisateur.
Firefoxbloque les cookies de suivi par défaut via sa fonctionnalité Enhanced Tracking Protection (ETP), en s'appuyant sur une liste de traqueurs connus. Le mode strict bloque tous les cookies tiers ; le mode standard (par défaut) bloque les traqueurs connus et partitionne le reste par site parent.
Bravebloque tous les cookies et le stockage tiers au niveau de ses boucliers (shields). Les boucliers agressifs introduisent également de l'aléa dans les empreintes de navigateur (fingerprinting).
Chromea promis pendant cinq ans de supprimer progressivement les cookies tiers, avant de faire machine arrière en 2024. Il propose désormais un choix via la Privacy Sandbox. Les cookies tiers restent autorisés par défaut dans Chrome, sauf si l'utilisateur choisit d'activer la nouvelle protection contre le suivi.
Edgeutilise un profil équilibré par défaut qui bloque les traqueurs connus sans bloquer l'ensemble des cookies tiers.

Le mécanisme de remplacement pour le maintien d'état légitime entre sites (connexions unifiées, modules de paiement intégrés) s'appelle CHIPS (Cookies Having Independent Partitioned State). Un site définit un cookie avec l'attribut Partitioned, et le navigateur le stocke en le limitant au site parent qui a chargé le module intégré. C'est la méthode recommandée pour intégrer des widgets tiers en 2026.

L'évolution de la protection contre le suivi

La protection contre le suivi par les navigateurs a connu trois grandes vagues, et la situation actuelle de chaque navigateur découle de la vague à laquelle il s'est rallié.

Première vague (2014 à 2018) : choix de l'utilisateur (opt-in).Les navigateurs proposaient des options pour bloquer les cookies tiers. Presque personne ne les activait. Le signal Do Not Track (DNT) a été introduit comme en-tête HTTP. Presque aucun site ne le respectait. Cette époque a prouvé qu'un modèle basé sur le choix de l'utilisateur ne protège pas ceux qui ne savent pas qu'ils doivent se protéger.

Deuxième vague (2018 à 2023) : blocage par défaut avec listes blanches. Safari a déployé sa technologie Intelligent Tracking Prevention (ITP) en 2017 et l'a activée par défaut. Firefox a suivi avec Enhanced Tracking Protection. Tous deux exploitent une liste de traqueurs connus tenue à jour par l'éditeur du navigateur, combinée à des heuristiques pour détecter le pistage intersite. Brave s'est construit sur ce principe dès le premier jour. La documentation sur l'ITP de WebKit reste la description la plus claire de ce fonctionnement.

Troisième vague (2024 et au-delà) : remplacements structurés.La Privacy Sandbox de Chrome tente d'offrir des solutions de substitution respectueuses de la vie privée pour le ciblage publicitaire : Topics API (catégories d'intérêt calculées localement), Attribution Reporting (mesure des conversions publicitaires sans identifier les individus), et CHIPS (cookies partitionnés). Firefox et Safari y sont hostiles et ne les ont pas adoptés. Le milieu des années 2020 est donc marqué par un paysage fragmenté où la compatibilité dépend grandement du navigateur utilisé.

Un cookie est une paire clé-valeur associée à un ensemble d'attributs qui déterminent où et comment il est transmis. Cinq d'entre eux réalisent l'essentiel du travail sur les systèmes en production.

Set-Cookie: session_id=abc123;
  Domain=example.com;
  Path=/;
  Max-Age=2592000;
  Secure;
  HttpOnly;
  SameSite=Lax;
  Partitioned

Secure : le cookie est transmis uniquement via HTTPS. Obligatoire pour les cookies de session sur tout site sérieux. Requis pour tout cookie avec SameSite=None.
HttpOnly : le cookie ne peut pas être lu via document.cookie. Requis pour les jetons de session afin d'éviter le vol via des failles XSS. Cette page signale un cookie HttpOnly comme “non visible” car elle ne peut pas y accéder ; c'est le comportement attendu et cela prouve que le site est bien sécurisé.
SameSite : Strict transmet le cookie uniquement pour les requêtes de même site, Lax le transmet également lors des navigations principales (liens), et None le transmet dans tous les contextes mais impose l'attribut Secure. Le comportement par défaut depuis Chrome 80 est Lax, ce qui a perturbé de nombreuses intégrations tierces en 2020 et reste à l'origine de la moitié des bugs de cookies que je rencontre.
Max-Age : durée de vie en secondes. Expiresest un équivalent plus ancien utilisant une date absolue. En l'absence de ces attributs, le cookie est dit “de session” et expire à la fermeture du navigateur. L'ITP de Safari limite à sept jours la durée de vie des cookies persistants définis côté client, peu importe la valeur spécifiée.
Partitioned :intègre le cookie au stockage partitionné CHIPS lorsqu'il est chargé dans un contexte tiers. Sans cela, les navigateurs modernes rejettent ou isolent les cookies tiers.

Comment effacer correctement ses cookies

L'option “Effacer tous les cookies” est rarement la meilleure solution. Elle vous déconnecte de tous les sites, vide vos paniers d'achat et réinitialise vos préférences. Un nettoyage ciblé par site est généralement préférable.

Chrome et Edge : Cliquez sur le cadenas dans la barre d'adresse → Cookies et données de site → examinez et supprimez les entrées associées au site actuel. Pour tout effacer : Paramètres → Confidentialité et sécurité → Effacer les données de navigation → Cookies et autres données de site.

Firefox : Paramètres → Vie privée et sécurité → Cookies et données de sites → Gérer les donnéesvous permet de supprimer les cookies de sites spécifiques. Le cadenas de la barre d'adresse propose également d'effacer les cookies et les données de site.

Safari : Réglages → Confidentialité → Gérer les données du site web. Vous pouvez rechercher un site et supprimer ses données. Safari supprime aussi automatiquement les cookies des sites non visités depuis 30 jours, conformément à sa politique ITP.

Une précision : supprimer les cookies ne supprime pas les données stockées dans localStorage, sessionStorage ou IndexedDB. Un site qui conserve sa session dans localStorage survivra à une suppression des cookies. Les navigateurs désignent cet ensemble sous le nom de “données de site” ou “contenu web mis en cache”. Pour réinitialiser complètement un site, supprimez ses données dans l'inspecteur de stockage de votre navigateur ou utilisez l'option “effacer toutes les données de site” pour cette origine.

Comparatif des protections contre le suivi par navigateur

Le tunnel de paiement d'un client fonctionnait sous Chrome mais renvoyait une erreur “session expirée” pour environ un utilisateur sur cinq sous Safari. Le cookie du jeton de session avait une durée de validité de 30 jours, mais l'ITP de Safari l'a limité à sept jours car il avait été créé en JavaScript et non via un en-tête serveur Set-Cookie. Les clients revenant après une semaine étaient donc déconnectés sans message. La solution a consisté à générer le jeton côté serveur avec un cookie Secure, HttpOnly et SameSite=Lax. Le panneau de diagnostic de cette page aurait révélé l'anomalie (“cookie présent, défini en JS, expire dans 7 jours”) en quelques secondes. Sans lui, j'ai passé une après-midi entière à éplucher la documentation de l'ITP.

Navigateur	Cookies tiers	Protection contre le fingerprinting	Par défaut
Chrome	Autorisés (Privacy Sandbox optionnelle)	Limitée (APIs Privacy Sandbox)	Désactivée
Safari	Bloqués par défaut (ITP depuis 2020)	Forte (ITP + restrictions sur les scripts)	Activée
Firefox	Bloqués ou partitionnés (ETP)	Forte avec `resistFingerprinting`	Standard activée
Brave	Bloqués par défaut	Aléatorisation agressive	Activée
Edge	Traqueurs connus bloqués (Équilibré)	Limitée	Équilibré activée
Arc	Bloqués (listes DuckDuckGo)	Limitée	Activée

Questions fréquemment posées

Qu'est-ce que les cookies tiers ?

Un cookie tiers est défini par un domaine autre que celui de la barre d'adresse, le plus souvent via une image, une iframe ou un script intégré. Ils constituaient la base du suivi publicitaire intersite. Safari, Firefox et Brave les bloquent par défaut ; Chrome et Edge les autorisent encore tout en proposant des protections optionnelles. Les cookies partitionnés CHIPS sont la solution standardisée pour exploiter des cookies tiers à des fins légitimes en 2026.

Les cookies sont-ils néfastes pour ma vie privée ?

Les cookies propriétaires sont indispensables pour maintenir votre connexion ou conserver votre panier d'achat. Ils sont essentiels et présentent peu de risques. Les cookies tiers ont historiquement servi à vous suivre à la trace sur le Web, c'est pourquoi presque tous les navigateurs les bloquent désormais par défaut. Le mécanisme des cookies est neutre en soi, c'est l'usage qui en est fait qui détermine son impact sur la vie privée.

Comment savoir si mon navigateur bloque les traqueurs ?

Utilisez le test Cover Your Tracks proposé par l'EFF. Il charge des domaines de traqueurs connus et indique ceux qui ont été bloqués. Brave et Firefox affichent également une icône de bouclier dans la barre d'adresse listant les éléments bloqués sur la page active. Sous Chrome, l'onglet Privacy Sandbox des paramètres indique votre niveau de protection actuel.

Quelle est la différence entre les cookies et localStorage ?

Les cookies sont envoyés automatiquement au serveur à chaque requête HTTP, sont limités à environ 4 Ko chacun et peuvent être protégés par des attributs de sécurité comme HttpOnly. Le localStorage est uniquement accessible en JavaScript, offre une capacité de 5 à 10 Mo et n'est jamais transmis sur le réseau. Utilisez les cookies pour les jetons de session dont le serveur a besoin ; préférez le localStorage pour les préférences de l'utilisateur et le cache de l'interface.

Pourquoi dois-je me reconnecter sans cesse aux sites Web ?

Trois causes sont fréquentes. Premièrement, l'ITP de Safari limite à sept jours les cookies créés en JavaScript, vous déconnectant automatiquement après une semaine si le site utilise cette méthode. Deuxièmement, le mode de navigation privée supprime toutes les données à la fermeture de la fenêtre. Troisièmement, des extensions de nettoyage trop agressives vident le stockage entre vos sessions. Si un seul site pose problème, le défaut vient de lui ; si cela se produit sur tous les sites, c'est votre navigateur qui nettoie trop activement les données.

Le navigateur qui gère le stockage et la version exécutée sont détaillés sur Quel est mon navigateur. La chaîne User Agent brute lue par les serveurs est visible sur Quel est mon User Agent. Les empreintes matérielles GPU et WebGL sont analysées sur Quel est mon WebGL / GPU. Pour vérifier l'adresse IP associée à vos données de suivi, consultez Quelle est mon IP.

Sources citées ci-dessus

RFC 6265: Mécanisme HTTP de gestion d'état (cookies, 2011)
Politique de protection contre le suivi de WebKit: Safari Intelligent Tracking Prevention
Google Privacy Sandbox: cookies partitionnés CHIPS
Mozilla: Protection renforcée contre le suivi de Firefox
Global Privacy Control: spécifications et navigateurs compatibles
EFF Cover Your Tracks: test de blocage des traqueurs

Common questions

What are third-party cookies?

A third-party cookie is set by a domain other than the one in your address bar, usually via an embedded image, iframe, or script. They were the backbone of cross-site advertising tracking. Safari, Firefox, and Brave block them by default; Chrome and Edge still allow them but offer opt-in protections. CHIPS partitioned cookies are the supported way to ship third-party cookies for legitimate purposes in 2026.

Are cookies bad for my privacy?

First-party cookies are how websites remember you are logged in and keep your shopping cart. They are essential and low-risk. Third-party cookies were historically used to track you across sites, which is why every major browser except Chrome now blocks them by default. The cookie mechanism itself is neutral; the use case determines the privacy impact.

How do I know if my browser is blocking trackers?

Use the EFF's Cover Your Tracks test, which loads known tracker domains and reports which were blocked. Brave and Firefox also surface a shield icon in the address bar showing what was blocked on the current page. In Chrome, the Privacy Sandbox tab in settings shows your current protection state.

What is the difference between cookies and localStorage?

Cookies are sent automatically to the server on every request, are limited to about 4 KB each, and can have security flags like HttpOnly. localStorage is accessible only from JavaScript, holds about 5 to 10 MB, and is never sent over the network. Use cookies for session tokens that the server needs; use localStorage for client-side preferences and cached UI state.

Why do I keep having to log in to websites?

Three common causes. First, Safari's ITP caps JavaScript-set cookies at seven days, so any site that issues session cookies from the client logs you out after a week. Second, private browsing modes delete all cookies when the window closes. Third, aggressive cookie or storage clearing extensions wipe state between sessions. If only one site keeps logging you out, the issue is on their side; if every site does, your browser is clearing too aggressively.

Consultez également ces outils

🌐Quelle est mon IPAffichez instantanément votre adresse IPv4 et/ou IPv6 publique avec les détails du FAI, de la ville et du pays.→📡Quel est mon FAIDécouvrez quel fournisseur d'accès Internet (FAI) ou organisation est associé à votre IP publique.→🔷Quel est mon DNSRecherchez les enregistrements DNS publics A et AAAA à l'aide de Cloudflare DNS over HTTPS.→📶Quelle est ma LatenceMesurez le temps de trajet aller-retour HTTPS depuis votre navigateur vers ce site (ping pratique).→🛜Quel est mon Type de RéseauDétectez si vous êtes sur Wi-Fi, cellulaire ou Ethernet, avec la classe de vitesse estimée par l'API Network Info.→🔐Fuite VPN / Est-ce que je fuite?Comparez votre IP visible en HTTP avec les adresses WebRTC ICE pour repérer d'éventuelles fuites d'IP.→⚡Test de Vitesse InternetTestez vos vitesses de téléchargement et d'envoi avec un test de vitesse rapide et précis dans le navigateur.→🖥️Quel est mon NavigateurDétectez le nom, la version, le moteur et le système d'exploitation de votre navigateur en un clic.→🔍Quel est mon User AgentConsultez la chaîne d'agent utilisateur complète que votre navigateur envoie aux sites Web.→📐Quelle est ma Résolution d'ÉcranVérifiez votre résolution d'écran, profondeur de couleur, rapport de pixels et taille de fenêtre d'affichage.→🎮Quel est mon WebGL / GPUDétectez votre moteur de rendu GPU, votre fournisseur, la version de WebGL et les capacités graphiques.→📍Quelle est ma PositionDécouvrez votre position approximative basée sur votre adresse IP, y compris la ville et le pays.→🕐Quel est mon Fuseau HoraireTrouvez votre fuseau horaire actuel, décalage UTC et heure locale avec le statut de l'heure d'été.→🔌Quels sont mes Ports OuvertsVérifiez quels ports TCP sont ouverts, fermés ou filtrés sur votre adresse IP publique.→