vendredi , 14 août 2020

Des centaines de sites web majeurs enregistrent à votre insu ce que vous tapez sur votre clavier

Ne vous faites plus aucune illusion. Supprimer les cookies pour protéger vos données privées de navigation sur le web ne sert plus à rien face aux outils de surveillance mis en place par des sites aussi majeurs qu’Adobe, Microsoft, Skype, WordPress ou Samsung par exemple.

Une surveillance du clavier et de la souris

Vous savez peut-être que la plupart des sites web intègrent des scripts d’analyse qui enregistrent les pages que vous visitez et les recherches que vous effectuez. Dernièrement, de plus en plus de sites utilisent des scripts beaucoup plus performant utilisant le principe de “session replay“.


️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement

Ces scripts sont capables d’enregistrer vos frappes au clavier, les mouvements de la souris et le comportement de défilement, ainsi que l’intégralité du contenu des pages que vous visitez et de les envoyer à des serveurs tiers. Contrairement aux services d’analyse classiques qui fournissent des statistiques agrégées, ces scripts sont destinés à l’enregistrement et à la lecture de sessions de navigation individuelles, comme si quelqu’un regardait par-dessus votre épaule.

Un exemple de données collectées qui montre clairement la surveillance des touches

L’objectif déclaré de cette collecte de données comprend la collecte d’informations sur la manière dont les utilisateurs interagissent avec les sites web et la découverte de pages brisées ou confuses. Cependant, l’étendue des données collectées par ces services dépasse de loin ce que les utilisateurs peuvent s’attendre: le texte tapé dans les formulaires et les mouvements précis de la souris, le tout sans aucune indication visuelle à l’utilisateur.

Des sites majeurs exploitent cette surveillance

Ces données ne sont bien sûr pas anonymes et certaines entreprises peuvent exploiter ces données pour déduire la véritable identité d’un utilisateur.

No boundaries: Exfiltration of personal data by session-replay scripts

This is the first post in our “No Boundaries” series, in which we reveal how third-party scripts on websites have been extracting personal information in increasingly intrusive ways. [0] by Steven Englehardt, Gunes Acar, and Arvind Narayanan Update: we’ve released our data – the list of sites with session-replay scripts, and the sites where we’ve confirmed recording by third parties.

Ces constats font écho à un groupe de  recherche appelé freedom-to-tinker de l’université de Princeton. Ils ont ainsi analysé sept des meilleures solution de relecture de session : Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale et SessionCam.

Leur recherche a montré qu’ils étaient présent sur 482 des 50 000 meilleurs sites d’Alexa et pas des moindres comme le montre cet extrait du haut de la pile:

 

La liste complète est disponible ici:

Site list

In a recent study we analyzed seven “session replay” services and revealed how they exfiltrate sensitive user data. Here we release the data behind our study, specifically, the list of websites from the Alexa top 1 million which embed scripts from analytics providers that offer session recording services.

Voici donc une fissure dans le bouclier de protection de nos données. Ici encore, le souci d’améliorer l’expérience utilisateur sur ces sites pourra bien sûr être invoqué mais il faudra m’expliquer comment l’enregistrement d’un formulaire ou d’un numéro de carte de crédit ne constitue pas un abus.

Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier

Adidas, Microsoft, Spotify, Logitech, WordPress, Intel, Pornhub ou encore HP. Quel est le point commun entre les sites internet de ces différentes entreprises ? Ils utilisent des ” session-replay scripts ” (SRSc). Comme beaucoup d’internautes, vous ignorez sans doute ce dont il s’agit.

Plus de 400 sites web réputés enregistrent ce que vous tapez sur votre clavier

Le site web Freedom to Thinker a réalisé une étude qui montre que plus de 400 sites web, pour la plupart très populaires, enregistrent ce que l’utilisateur tape sur son clavier ainsi que les mouvement de sa souris. Adobe, Microsoft, PornHub, Skype, WordPress, Samsung, Ryanair… Tous sont dans la liste.

Des centaines de sites Web majeurs vous espionnent et siphonnent vos données

Hp.com, intel.com, gap.com, windows.com, toysrus.com, logitech.com, adidas.com, bose.com… Ces sites Web de grandes marques ont tous une chose en commune, ils embarquent des ” session-replay scripts ” (SRSc). C’est-à-dire des codes Javascripts capables d’enregistrer tout un tas d’actions que fait l’utilisateur durant sa session : mouvements de souris, défilements de page, contenus visités ou cliqués, textes tapés dans les formulaires, etc.

Websites Use Session-Replay Scripts to Eavesdrop on Every Keystroke and Mouse Movement

The security researchers at Princeton are posting You may know that most websites have third-party analytics scripts that record which pages you visit and the searches you make. But lately, more and more sites use “session replay” scripts.

About Marc Barbezat

Blogueur et spécialiste en cybersécurité

Check Also

Les 6 principes de la persuasion #ingénieriesociale

Selon une récente étude sur l'ingénierie sociale, 48% des gens échangeraient leur mot de passe contre un morceau de chocolat

Le hack qui pourrait faire croire à la reconnaissance faciale que vous êtes quelqu’un d’autre

La reconnaissance faciale prolifère rapidement mais les derniers développements en intelligence artificielle confirme qu'elle est loin d'être infaillible

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

La newsletter