Ne vous faites plus aucune illusion. Supprimer les cookies pour protéger vos données privées de navigation sur le web ne sert plus à rien face aux outils de surveillance mis en place par des sites aussi majeurs qu’Adobe, Microsoft, Skype, WordPress ou Samsung par exemple.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Une surveillance du clavier et de la souris
Vous savez peut-être que la plupart des sites web intègrent des scripts d’analyse qui enregistrent les pages que vous visitez et les recherches que vous effectuez. Dernièrement, de plus en plus de sites utilisent des scripts beaucoup plus performant utilisant le principe de « session replay« .
Ces scripts sont capables d’enregistrer vos frappes au clavier, les mouvements de la souris et le comportement de défilement, ainsi que l’intégralité du contenu des pages que vous visitez et de les envoyer à des serveurs tiers. Contrairement aux services d’analyse classiques qui fournissent des statistiques agrégées, ces scripts sont destinés à l’enregistrement et à la lecture de sessions de navigation individuelles, comme si quelqu’un regardait par-dessus votre épaule.
L’objectif déclaré de cette collecte de données comprend la collecte d’informations sur la manière dont les utilisateurs interagissent avec les sites web et la découverte de pages brisées ou confuses. Cependant, l’étendue des données collectées par ces services dépasse de loin ce que les utilisateurs peuvent s’attendre: le texte tapé dans les formulaires et les mouvements précis de la souris, le tout sans aucune indication visuelle à l’utilisateur.
Des sites majeurs exploitent cette surveillance
Ces données ne sont bien sûr pas anonymes et certaines entreprises peuvent exploiter ces données pour déduire la véritable identité d’un utilisateur.
No boundaries: Exfiltration of personal data by session-replay scripts
This is the first post in our « No Boundaries » series, in which we reveal how third-party scripts on websites have been extracting personal information in
Ces constats font écho à un groupe de recherche appelé freedom-to-tinker de l’université de Princeton. Ils ont ainsi analysé sept des meilleures solution de relecture de session : Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale et SessionCam.
Leur recherche a montré qu’ils étaient présent sur 482 des 50 000 meilleurs sites d’Alexa et pas des moindres comme le montre cet extrait du haut de la pile:
| Rank | Website | Session Replay Company | Info |
|---|---|---|---|
| 29 | yandex.ru | yandex.ru | evidence of session recording |
| 35 | wordpress.com | yandex.ru | analytics script exists |
| 45 | microsoft.com | clicktale.net | analytics script exists |
| 74 | adobe.com | clicktale.net | analytics script exists |
| 88 | coccoc.com | yandex.ru | evidence of session recording |
| 102 | txxx.com | yandex.ru | analytics script exists |
| 124 | godaddy.com | clicktale.net | analytics script exists |
| 136 | uol.com.br | hotjar.com | analytics script exists |
| 140 | indiatimes.com | hotjar.com | analytics script exists |
| 151 | avito.ru | yandex.ru | analytics script exists |
| 164 | outbrain.com | hotjar.com | analytics script exists |
| 177 | hclips.com | yandex.ru | analytics script exists |
| 196 | kinogo.club | yandex.ru | analytics script exists |
| 202 | upornia.com | yandex.ru | analytics script exists |
| 209 | spotify.com | sessioncam.com | analytics script exists |
| 211 | livejournal.com | yandex.ru | analytics script exists |
| 228 | skype.com | clicktale.net | analytics script exists |
| 245 | softonic.com | hotjar.com | analytics script exists |
| 247 | files.wordpress.com | yandex.ru | analytics script exists |
| 255 | instructure.com | hotjar.com | analytics script exists |
| 266 | wittyfeed.com | hotjar.com | analytics script exists |
| 279 | rt.com | yandex.ru | analytics script exists |
| 282 | taboola.com | hotjar.com | analytics script exists |
| 284 | kinopoisk.ru | yandex.ru | analytics script exists |
| 288 | tokopedia.com | hotjar.com | analytics script exists |
La liste complète est disponible ici:
Site list
In a recent study we analyzed seven « session replay » services and revealed how they exfiltrate sensitive user data. Here we release the data behind our study, specifically, the list of websites from the Alexa top 1 million which embed scripts from analytics providers that offer session recording services.
Voici donc une fissure dans le bouclier de protection de nos données. Ici encore, le souci d’améliorer l’expérience utilisateur sur ces sites pourra bien sûr être invoqué mais il faudra m’expliquer comment l’enregistrement d’un formulaire ou d’un numéro de carte de crédit ne constitue pas un abus.
Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier
De très nombreux sites d’entreprises « respectables » utilisent des outils espionnant le comportement des utilisateurs via leur clavier. Problème, des données sensibles sont aussi concernées par cette situation.
Plus de 400 sites web réputés enregistrent ce que vous tapez sur votre clavier
Freedom to Thinker a réalisé une étude qui montre que plus de 400 sites web enregistrent les frappes de l’utilisateur sur son clavier
Des centaines de sites Web majeurs vous espionnent et siphonnent vos données
Des scripts d’analyse marketing enregistrent automatiquement les informations renseignées dans les formulaires. Parfois, ils aspirent même les données de cartes bancaires et les mots de passe.
Websites Use Session-Replay Scripts to Eavesdrop on Every Keystroke and Mouse Movement
The security researchers at Princeton are posting You may know that most websites have third-party analytics scripts that record which pages you visit and the searches you make. But lately, more and more sites use « session replay » scripts.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
