Passer au contenu

Des centaines de sites Web majeurs vous espionnent et siphonnent vos données

Des scripts d’analyse marketing enregistrent automatiquement les informations renseignées dans les formulaires. Parfois, ils aspirent même les données de cartes bancaires et les mots de passe.

Hp.com, intel.com, gap.com, windows.com, toysrus.com, logitech.com, adidas.com, bose.com… Ces sites Web de grandes marques ont tous une chose en commune, ils embarquent des « session-replay scripts » (SRSc). C’est-à-dire des codes Javascripts capables d’enregistrer tout un tas d’actions que fait l’utilisateur durant sa session : mouvements de souris, défilements de page, contenus visités ou cliqués, textes tapés dans les formulaires, etc. Ces informations sont transmises à des sociétés tierces spécialisées dans le marketing Web et l’analyse comportementale. Elles leur permettent de « rejouer » les sessions des utilisateurs et de comprendre comment l’utilisateur réagit face aux pages qui lui sont proposées.

Une pratique avérée sur 482 sites

Dans le fond, cela pourrait plutôt être une bonne chose. Cela permet à l’éditeur d’optimiser son site et de proposer un meilleur service. Malheureusement, ce traitement se fait en règle générale à l’insu de l’utilisateur et présente des risques au niveau de la protection des données personnelles.
Trois chercheurs de l’université de Princeton – Steven Englehardt, Gunes Acar et Arvind Narayanan – viennent de réaliser une étude sur la question. Ils ont trouvé que sur les 50 000 plus gros sites référencés par Alexa, 482 sont clients de manière avérée de l’un des sept plus gros fournisseurs de SRSc. Les chercheurs ont réalisé une vidéo qui montre comment ces données sont enregistrées en temps réel par l’un de ces prestataires.

https://www.youtube.com/watch?v=l0Yc8s0DTZA

Or, les services de ces prestataires sont de qualité douteuse. En appliquant ces SRSc à des pages de test, les chercheurs ont pu mettre en évidence que pour quatre prestataires sur sept, un certain nombre de données personnelles – l’email, le nom, le numéro de téléphone, l’adresse, la date de naissance, le numéro de sécurité sociale – sont transmises sans anonymisation.
Les données de cartes bancaires sont généralement exclues de cette collecte (sauf chez Yandex), encore faut-il que la page Web soit correctement codées. Chez le prestataire FullStory, par exemple, les numéros de cartes bancaires sont bel et bien aspirés à partir du moment où les champs de formulaire dans lesquels ils sont intégrés ne comportent pas le tag « cc-number » comme attribut. C’est ballot.

Même problème pour les mots de passe. Aucun prestataire ne cherche à les collecter, mais il y a parfois des dysfonctionnements. Sur certains sites Web mobiles, les codes secrets peuvent quand même partir vers l’extérieur. Les chercheurs ont même trouvé un site où le mot de passe est transmis alors que le formulaire n’est jamais envoyé ! Par ailleurs, les scripts peuvent également capter des données qui sont générées dynamiquement par le serveur Web et qui peuvent contenir des données personnelles. Bref, les fuites de données sont multiples et potentiellement graves.

La bonne nouvelle, c’est qu’il est possible de se protéger contre cet espionnage. Selon Motherboard, Adblock Plus vient d’ajouter ces sept prestataires à sa liste noire. Leurs scripts ne seront donc plus exécutés si vous utilisez le logiciel.  

Source :
Note de blog 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN