Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier

De très nombreux sites d’entreprises « respectables » utilisent des outils espionnant le comportement des utilisateurs via leur clavier. Problème, des données sensibles sont aussi concernées par cette situation.

Vos sites web favoris vous espionnent

Adidas, Microsoft, Spotify, Logitech, WordPress, Intel, Pornhub ou encore HP. Quel est le point commun entre les sites internet de ces différentes entreprises ? Ils utilisent des « session-replay scripts » (SRSc). Comme beaucoup d’internautes, vous ignorez sans doute ce dont il s’agit. C’est simple, il s’agit de quelques lignes de code JavaScript destinées à analyser votre comportement, qui se cachent derrière des appellations anodines, comme FullStory, UserReplay, SessionCam ou encore Hotjar. Cela concerne aussi bien les informations entrées dans un formulaire (mail, mot de passe..) que les mouvements de votre souris.

Des centaines de sites Web vous espionnent chaque jour

Ces informations sont ensuite utilisées par d’autres entreprises qui les analysent pour comprendre comment les clients réagissent. L’idée ? Optimiser l’expérience utilisateur pour augmenter les ventes bien sûr. En soi, rien de très neuf. C’est la même chose que peut faire Ikea observant le comportement des clients dans ses magasins par exemple. Mais, deux problèmes majeurs existent. Tout d’abord, vous ignoriez sans doute être espionné ainsi et surtout à si grande échelle, puisqu’il s’agit de l’ensemble de la session et non uniquement de leur propre site. Ensuite, comme trop souvent, la protection des données personnelles n’est pas vraiment au programme.

Selon une étude menée par des chercheurs de l’université de Princeton, au moins 482 des 50.000 plus gros sites référencés par Alexa utilisent des prestataires de SRSc. Quatre prestataires sur sept recueillent parmi les données personnelles adresses email, nom, numéro de téléphone, adresse, date de naissance ou encore numéro de sécurité sociale. Des données que vous n’avez pas forcément envie de partager. Pire encore, ces données sont transmises sans être anonymisées dans certains cas ! Et même si elles sont anonymisées par les géants pour le transfert vers les serveurs des prestataires de SRSc, ces derniers disposant des clés de déchiffrement,  comment stockent-ils, traitent-ils et partagent-ils à nouveau ces informations ?

Liste des 482 sites web qui n’ont aucun respect pour la vie privée de leurs utilisateurs

En apparence, on pourrait se réjouir que la plupart des prestataires ne récupèrent pas les données de cartes bancaires. Mais, l’étude des chercheurs révèle que l’absence d’une référence dans une simple petite ligne de code pouvait causer leur aspiration. Même topo pour vos mots de passe et ce, même si vous l’aviez entré dans un formulaire jamais validé ou que vous avez seulement commencé à compléter partiellement ! Curieusement, la CNIL semble aux abonnés absentes pour ce genre de pratiques.

En gros, pour simplifier : chaque lettre enfoncée, chaque clic effectué, chaque déplacement de souris serait répertorié, y compris les textes tapés mais jamais envoyés. Une sorte de Keylogger et d’aspirateur de données qui travailleraient en arrière plan de vos connexions dans le secret le plus absolu. Inutile de préciser que ces données sont une mine d’or pour les entreprises en question.

Si vous voulez limiter les risques, sans que cela ne fasse de miracles, Adblock Plus vient d’ajouter 7 prestataires SRSc à sa liste noire. Si vous utilisez ce bloqueur de publicité dans votre navigateur, les JavaScripts ne seront plus déclenchés. Pour être totalement transparent et tant pis, si cela dérangera certaines sociétés, voici la liste des 482 sites qui n’ont aucun respect pour la vie privée de leurs utilisateurs.


Nos dernières vidéos

4 commentaires

  1. Bonjour,Je voudrais signaler qu’une de vos phrases porte à confusion.Soit je l’ai mal comprise soit c’est une erreur de compréhension du SRSc."Tout d’abord, vous ignoriez sans doute être espionné ainsi et surtout à si grande échelle, puisqu’il s’agit de l’ensemble de la session et non uniquement de leur propre site."De mon point de vu le SRSc fonctionne bien sur toute une session d’un même site. Mais en aucun cas n’enregistrera ce que vous faites sur d’autres sites.Exemple : Je visite toto.com qui a un script SRS si je visite en même temps sur un autre onglet ou dans le même onglet par la suite le site bidon.com.toto.com ne pourra jamais enregistrer ce que je fais sur bidon.com. Il enregistre seulement sur les pages qui lui appartiennent à savoir toto.com/***.Les script sont exécuté lors de la visite du site dans cette onglet mais ne sont JAMAIS exécuté après.Bien cordialement

    • Emmanuel Ghesquier
      Emmanuel Ghesquier on

      Il est possible de savoir de quel site vous venez en entrant sur la session et ou vous partez, de même à chaque clic qui ouvre un nouvel onglet sur d’autres sites. Il est aussi facile d’imaginer qu’avec le nombre assez restreint de SRSc et de prestataires traitant les données, qu’un système de recoupages soit opérés entre plusieurs sites utilisant le même script pour enrichir le nuage d’informations sur le profil de l’utilisateur vue qu’au final avec autant de données persos, il est tout sauf anonyme et dispose d’une empreinte numérique très caractéristique.

  2. Oulà… "anonymisé pendant le transfert" mais "disposant des clés de déchiffrement" …. ça pique un peu quand je lis ça !L’Anonymisation des données consiste à retirer toute information permettant de retrouver directement ou indirectement l’identité de la personne (ce "indirectement" est très important), donc chiffrer quelque chose pendant un transfert n’est pas une Anonymisation mais au mieux une sécurisation permettant de respecter la confidentialité pendant le transport.Après on peut se dire, qu’avant d’envoyer mon fichier au prestataire/partenaire je remplace le nom/prénom ou numéro de sécurité sociale par un numéro d’identifiant unique (mais je garde chez moi la table de correspondance) et là encore le fichier émis ne sera pas Anonymisé mais Pseudonymisé car il est toujours possible de remonter à l’identité de la personne "indirectement".Cet aspect est clairement explicité sur le site de la CNIL et les obligations légales qui en découlent diffèrent.De plus avec le RGPD (nouvelle réglementation européenne sur la protection des données personnelles qui sera effective en Mai 2018) tout cela va être encadré de façon stricte et tout Responsable de Traitement situé dans l’Union Européenne devra la respecter ainsi que ses sous-traitants situés dans l’UE, mais aussi hors UE et l’entreprise devra s’assurer que le sous-traitant UE/hors UE applique à minima la réglementation du RGPD.

    • Emmanuel Ghesquier
      Emmanuel Ghesquier on

      Les sites respectent les réglementations et utilisent chacun leurs méthodes pour protéger les données des clients, peu importe la méthode de chiffrement, l’anonymisation, l’utilisation de plusieurs bases, car si à la fin tout retombe sur un seul et même serveur à l’autre bout du monde, avec les clés de déchiffrement, les ré associations de base de données, etc… c’est comme si on avait envoyé l’info en clair , car il est assez évident que ces prestataires relativement occultes ne disposent pas des mêmes moyens que les géants qui leur ont envoyé le « paquet « . Impossible de savoir également si eux mêmes ne sous-traitent pas le traitement d’informations, voire vendent les informations et comment le font-il ? Mystère… au final on se retrouve à avoir toute notre identité, notre activité (frappe clavier, mouvements de souris, clics), nos mots de passe… qui se baladent pour rejoindre le plus offrant ! Ou pour alimenter une empreinte numérique individuelle qui fera qu’il sera un jour impossible de se rendre sur un site, sans que ce dernier sache exactement que c’est pierre , paul ou jacque. Je trouve que les autorités sont relativement laxistes, car cela serait un gars seul dans son garage, qui infecterait des PC avec un Keylogger… c’est la case prison qui l’attendrait. Alors que ces grosses entreprises ont recourt à des SRSc qui ont toutes les caractéristiques du Keylogger, réalisent un espionnage massif avec pour finalité ? Chacun sait qu’aucune réglementation n’est jamais bien faite car elle contient dans les propres mots qui la composent les paradoxes, incertitudes, interprétations et vides qui permettent de la contourner et qu’il faut des années ensuite pour en modifier les termes. Les moyens des CNIL étant ce qu’ils sont, on imagine assez mal comment elles pourront suivre ce type de méthodes à la trace en permanence, puisqu’elles se réinventent constamment. Cette étude venant d’être effectuée et ayant mis à jour cette activité de collecte de données, il est fort probable que le texte de 2018, travaillé durant les dernières trimestres, n’abordent même pas la question…

Répondre