Ne vous faites plus aucune illusion. Supprimer les cookies pour protéger vos données privées de navigation sur le web ne sert plus à rien face aux outils de surveillance mis en place par des sites aussi majeurs qu’Adobe, Microsoft, Skype, WordPress ou Samsung par exemple.
Une surveillance du clavier et de la souris
Vous savez peut-être que la plupart des sites web intègrent des scripts d’analyse qui enregistrent les pages que vous visitez et les recherches que vous effectuez. Dernièrement, de plus en plus de sites utilisent des scripts beaucoup plus performant utilisant le principe de « session replay« .
Ces scripts sont capables d’enregistrer vos frappes au clavier, les mouvements de la souris et le comportement de défilement, ainsi que l’intégralité du contenu des pages que vous visitez et de les envoyer à des serveurs tiers. Contrairement aux services d’analyse classiques qui fournissent des statistiques agrégées, ces scripts sont destinés à l’enregistrement et à la lecture de sessions de navigation individuelles, comme si quelqu’un regardait par-dessus votre épaule.
Un exemple de données collectées qui montre clairement la surveillance des touches
L’objectif déclaré de cette collecte de données comprend la collecte d’informations sur la manière dont les utilisateurs interagissent avec les sites web et la découverte de pages brisées ou confuses. Cependant, l’étendue des données collectées par ces services dépasse de loin ce que les utilisateurs peuvent s’attendre: le texte tapé dans les formulaires et les mouvements précis de la souris, le tout sans aucune indication visuelle à l’utilisateur.
Des sites majeurs exploitent cette surveillance
Ces données ne sont bien sûr pas anonymes et certaines entreprises peuvent exploiter ces données pour déduire la véritable identité d’un utilisateur.
No boundaries: Exfiltration of personal data by session-replay scripts
This is the first post in our « No Boundaries » series, in which we reveal how third-party scripts on websites have been extracting personal information in increasingly intrusive ways. [0] by Steven Englehardt, Gunes Acar, and Arvind Narayanan Update: we’ve released our data – the list of sites with session-replay scripts, and the sites where we’ve confirmed recording by third parties.
Ces constats font écho à un groupe de recherche appelé freedom-to-tinker de l’université de Princeton. Ils ont ainsi analysé sept des meilleures solution de relecture de session : Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale et SessionCam.
Leur recherche a montré qu’ils étaient présent sur 482 des 50 000 meilleurs sites d’Alexa et pas des moindres comme le montre cet extrait du haut de la pile:
| Rank | Website | Session Replay Company | Info |
|---|---|---|---|
| 29 | yandex.ru | yandex.ru | evidence of session recording |
| 35 | wordpress.com | yandex.ru | analytics script exists |
| 45 | microsoft.com | clicktale.net | analytics script exists |
| 74 | adobe.com | clicktale.net | analytics script exists |
| 88 | coccoc.com | yandex.ru | evidence of session recording |
| 102 | txxx.com | yandex.ru | analytics script exists |
| 124 | godaddy.com | clicktale.net | analytics script exists |
| 136 | uol.com.br | hotjar.com | analytics script exists |
| 140 | indiatimes.com | hotjar.com | analytics script exists |
| 151 | avito.ru | yandex.ru | analytics script exists |
| 164 | outbrain.com | hotjar.com | analytics script exists |
| 177 | hclips.com | yandex.ru | analytics script exists |
| 196 | kinogo.club | yandex.ru | analytics script exists |
| 202 | upornia.com | yandex.ru | analytics script exists |
| 209 | spotify.com | sessioncam.com | analytics script exists |
| 211 | livejournal.com | yandex.ru | analytics script exists |
| 228 | skype.com | clicktale.net | analytics script exists |
| 245 | softonic.com | hotjar.com | analytics script exists |
| 247 | files.wordpress.com | yandex.ru | analytics script exists |
| 255 | instructure.com | hotjar.com | analytics script exists |
| 266 | wittyfeed.com | hotjar.com | analytics script exists |
| 279 | rt.com | yandex.ru | analytics script exists |
| 282 | taboola.com | hotjar.com | analytics script exists |
| 284 | kinopoisk.ru | yandex.ru | analytics script exists |
| 288 | tokopedia.com | hotjar.com | analytics script exists |
La liste complète est disponible ici:
Site list
In a recent study we analyzed seven « session replay » services and revealed how they exfiltrate sensitive user data. Here we release the data behind our study, specifically, the list of websites from the Alexa top 1 million which embed scripts from analytics providers that offer session recording services.
Voici donc une fissure dans le bouclier de protection de nos données. Ici encore, le souci d’améliorer l’expérience utilisateur sur ces sites pourra bien sûr être invoqué mais il faudra m’expliquer comment l’enregistrement d’un formulaire ou d’un numéro de carte de crédit ne constitue pas un abus.
Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier
Adidas, Microsoft, Spotify, Logitech, WordPress, Intel, Pornhub ou encore HP. Quel est le point commun entre les sites internet de ces différentes entreprises ? Ils utilisent des » session-replay scripts » (SRSc). Comme beaucoup d’internautes, vous ignorez sans doute ce dont il s’agit.
Plus de 400 sites web réputés enregistrent ce que vous tapez sur votre clavier
Le site web Freedom to Thinker a réalisé une étude qui montre que plus de 400 sites web, pour la plupart très populaires, enregistrent ce que l’utilisateur tape sur son clavier ainsi que les mouvement de sa souris. Adobe, Microsoft, PornHub, Skype, WordPress, Samsung, Ryanair… Tous sont dans la liste.
Des centaines de sites Web majeurs vous espionnent et siphonnent vos données
Hp.com, intel.com, gap.com, windows.com, toysrus.com, logitech.com, adidas.com, bose.com… Ces sites Web de grandes marques ont tous une chose en commune, ils embarquent des » session-replay scripts » (SRSc). C’est-à-dire des codes Javascripts capables d’enregistrer tout un tas d’actions que fait l’utilisateur durant sa session : mouvements de souris, défilements de page, contenus visités ou cliqués, textes tapés dans les formulaires, etc.
Websites Use Session-Replay Scripts to Eavesdrop on Every Keystroke and Mouse Movement
The security researchers at Princeton are posting You may know that most websites have third-party analytics scripts that record which pages you visit and the searches you make. But lately, more and more sites use « session replay » scripts.
