Des centaines de sites web majeurs enregistrent à votre insu ce que vous tapez sur votre clavier Une nouvelle menace pour la protection de nos données sur le web

Ne vous faites plus aucune illusion. Supprimer les cookies pour protéger vos données privées de navigation sur le web ne sert plus à rien face aux outils de surveillance mis en place par des sites aussi majeurs qu’Adobe, Microsoft, Skype, WordPress ou Samsung par exemple.

Une surveillance du clavier et de la souris

Vous savez peut-être que la plupart des sites web intègrent des scripts d’analyse qui enregistrent les pages que vous visitez et les recherches que vous effectuez. Dernièrement, de plus en plus de sites utilisent des scripts beaucoup plus performant utilisant le principe de “session replay“.

Ces scripts sont capables d’enregistrer vos frappes au clavier, les mouvements de la souris et le comportement de défilement, ainsi que l’intégralité du contenu des pages que vous visitez et de les envoyer à des serveurs tiers. Contrairement aux services d’analyse classiques qui fournissent des statistiques agrégées, ces scripts sont destinés à l’enregistrement et à la lecture de sessions de navigation individuelles, comme si quelqu’un regardait par-dessus votre épaule.

Un exemple de données collectées qui montre clairement la surveillance des touches

L’objectif déclaré de cette collecte de données comprend la collecte d’informations sur la manière dont les utilisateurs interagissent avec les sites web et la découverte de pages brisées ou confuses. Cependant, l’étendue des données collectées par ces services dépasse de loin ce que les utilisateurs peuvent s’attendre: le texte tapé dans les formulaires et les mouvements précis de la souris, le tout sans aucune indication visuelle à l’utilisateur.

Des sites majeurs exploitent cette surveillance

Ces données ne sont bien sûr pas anonymes et certaines entreprises peuvent exploiter ces données pour déduire la véritable identité d’un utilisateur.

No boundaries: Exfiltration of personal data by session-replay scripts

This is the first post in our “No Boundaries” series, in which we reveal how third-party scripts on websites have been extracting personal information in increasingly intrusive ways. [0] by Steven Englehardt, Gunes Acar, and Arvind Narayanan Update: we’ve released our data – the list of sites with session-replay scripts, and the sites where we’ve confirmed recording by third parties.

Ces constats font écho à un groupe de  recherche appelé freedom-to-tinker de l’université de Princeton. Ils ont ainsi analysé sept des meilleures solution de relecture de session : Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale et SessionCam.

Leur recherche a montré qu’ils étaient présent sur 482 des 50 000 meilleurs sites d’Alexa et pas des moindres comme le montre cet extrait du haut de la pile:

La liste complète est disponible ici:

Site list

As such, this list provides both an upper and lower bound of the presence of session recording companies on the web. Two of the 14 companies included in the data release, Yandex and Hotjar, have a diverse set of analytics services — many of which have no overlap with session recording.

Voici donc une fissure dans le bouclier de protection de nos données. Ici encore, le souci d’améliorer l’expérience utilisateur sur ces sites pourra bien sûr être invoqué mais il faudra m’expliquer comment l’enregistrement d’un formulaire ou d’un numéro de carte de crédit ne constitue pas un abus.

Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier

De très nombreux sites d’entreprises ” respectables ” utilisent des outils espionnant le comportement des utilisateurs via leur clavier. Problème, des données sensibles sont aussi concernées par cette situation. Adidas, Microsoft, Spotify, Logitech, WordPress, Intel, Pornhub ou encore HP. Quel est le point commun entre les sites internet de ces différentes entreprises ?

Plus de 400 sites web réputés enregistrent ce que vous tapez sur votre clavier

Le site web Freedom to Thinker a réalisé une étude qui montre que plus de 400 sites web, pour la plupart très populaires, enregistrent ce que l’utilisateur tape sur son clavier ainsi que les mouvement de sa souris. Adobe, Microsoft, PornHub, Skype, WordPress, Samsung, Ryanair… Tous sont dans la liste.

Des centaines de sites Web majeurs vous espionnent et siphonnent vos données

Hp.com, intel.com, gap.com, windows.com, toysrus.com, logitech.com, adidas.com, bose.com… Ces sites Web de grandes marques ont tous une chose en commune, ils embarquent des ” session-replay scripts ” (SRSc). C’est-à-dire des codes Javascripts capables d’enregistrer tout un tas d’actions que fait l’utilisateur durant sa session : mouvements de souris, défilements de page, contenus visités ou cliqués, textes tapés dans les formulaires, etc.

Websites Use Session-Replay Scripts to Eavesdrop on Every Keystroke and Mouse Movement

The security researchers at Princeton are posting You may know that most websites have third-party analytics scripts that record which pages you visit and the searches you make. But lately, more and more sites use “session replay” scripts.

About Marc Barbezat

Blogueur et spécialiste en sécurité #infoSec #cyberSec, je suis surtout un veilleur passionné par l’innovation et les nouvelles tendances.

Laisser un commentaire