« De très nombreux sites d’entreprises « respectables » utilisent des outils espionnant le comportement des utilisateurs via leur clavier. Problème, des données sensibles sont aussi concernées par cette situation.
Adidas, Microsoft, Spotify, Logitech, WordPress, Intel, Pornhub ou encore HP. Quel est le point commun entre les sites internet de ces différentes entreprises ? Ils utilisent des « session-replay scripts » (SRSc). Comme beaucoup d’internautes, vous ignorez sans doute ce dont il s’agit. C’est simple, il s’agit de quelques lignes de code JavaScript destinées à analyser votre comportement, qui se cachent derrière des appellations anodines, comme FullStory, UserReplay, SessionCam ou encore Hotjar. Cela concerne aussi bien les informations entrées dans un formulaire (mail, mot de passe..) que les mouvements de votre souris.
Des centaines de sites Web vous espionnent chaque jour
Ces informations sont ensuite utilisées par d’autres entreprises qui les analysent pour comprendre comment les clients réagissent. L’idée ? Optimiser l’expérience utilisateur pour augmenter les ventes bien sûr. En soi, rien de très neuf. C’est la même chose que peut faire Ikea observant le comportement des clients dans ses magasins par exemple. Mais, deux problèmes majeurs existent. Tout d’abord, vous ignoriez sans doute être espionné ainsi et surtout à si grande échelle, puisqu’il s’agit de l’ensemble de la session et non uniquement de leur propre site. Ensuite, comme trop souvent, la protection des données personnelles n’est pas vraiment au programme.
Selon une étude menée par des chercheurs de l’université de Princeton, au moins 482 des 50.000 plus gros sites référencés par Alexa utilisent des prestataires de SRSc. Quatre prestataires sur sept recueillent parmi les données personnelles adresses email, nom, numéro de téléphone, adresse, date de naissance ou encore numéro de sécurité sociale. Des données que vous n’avez pas forcément envie de partager. Pire encore, ces données sont transmises sans être anonymisées dans certains cas ! Et même si elles sont anonymisées par les géants pour le transfert vers les serveurs des prestataires de SRSc, ces derniers disposant des clés de déchiffrement, comment stockent-ils, traitent-ils et partagent-ils à nouveau ces informations ?
Liste des 482 sites web qui n’ont aucun respect pour la vie privée de leurs utilisateurs
En apparence, on pourrait se réjouir que la plupart des prestataires ne récupèrent pas les données de cartes bancaires. Mais, l’étude des chercheurs révèle que l’absence d’une référence dans une simple petite ligne de code pouvait causer leur aspiration. Même topo pour vos mots de passe et ce, même si vous l’aviez entré dans un formulaire jamais validé ou que vous avez seulement commencé à compléter partiellement ! Curieusement, la CNIL semble aux abonnés absentes pour ce genre de pratiques.
En gros, pour simplifier : chaque lettre enfoncée, chaque clic effectué, chaque déplacement de souris serait répertorié, y compris les textes tapés mais jamais envoyés. Une sorte de Keylogger et d’aspirateur de données qui travailleraient en arrière plan de vos connexions dans le secret le plus absolu. Inutile de préciser que ces données sont une mine d’or pour les entreprises en question.
Si vous voulez limiter les risques, sans que cela ne fasse de miracles, Adblock Plus vient d’ajouter 7 prestataires SRSc à sa liste noire. Si vous utilisez ce bloqueur de publicité dans votre navigateur, les JavaScripts ne seront plus déclenchés. Pour être totalement transparent et tant pis, si cela dérangera certaines sociétés, voici la liste des 482 sites qui n’ont aucun respect pour la vie privée de leurs utilisateurs. »
Emmanuel Ghesquier, Presse-Citron, le 23 novembre 2017
Quelques rappels :
Loi renseignement : à quoi sert le Conseil constitutionnel ? (F. Mas)
35 millions de « capteurs » Linky : « Big Data is watching you »
Olivier Demeulenaere - Regards sur l'économie 
A reblogué ceci sur Viggo's blog.
Tenez OD, puisqu’il est question d’espionnage, je vous propose ma publication du jour ► https://jbl1960blog.wordpress.com/2017/11/28/un-medecin-francais-candidat-au-prix-nobel-de-medecine-par-doctorix/
Doctorix s’est vu supprimer son article par Agoravox qui a subi des pressions, signalements et menace de plainte au Conseil de l’Ordre. J’avais publié son article initial + la lettre qui lui avait été refusé de publication.
Doctorix m’ayant transmis un autre article à relayer sur le même sujet sensible, j’ai adjoint en préambule la justification par AVX du retrait de son article, puisque Doctorix l’a récupéré.
Comme disait Howard Zinn, notre plus gros problème ce n’est pas la désobéissance civile, mais l’obéissance civile…
Tout est sourcé, j’ai transmis à Volti des ME, et à Alter Info.
Jo
Comme l’explique un commentateur sur le site « Presse-Citron », l’enregistrement de données ne peut se faire que pendant la session sur la page du site qui utilise le script ‘SRSc’. Un script ne peut utiliser les entrées clavier que si l’utilisateur utilise son clavier pendant qu’il visite activement un site internet. S’il change de site ou d’onglet, le script en question ne peut rien faire. Bien que certains sites procèdent ainsi ce qui est critiquable, il faut relativiser et, dans tous les cas, ne pas entrer d’informations confidentielles dans un formulaire.
Certains systèmes d’exploitation ou applications propriétaires très connus ont, eux, la possibilité de voler des données aux utilisateurs et cela est beaucoup plus préoccupant ;o)
Pas clair votre truc !!
@xavib : Imaginez que cette page utilise un tel script. Ce script ne pourrait intercepter votre clavier (les codes des touches que vous appuyez) que pendant que vous êtes sur cette page et que vous tapez un texte. Si vous ne tapez rien, que vous changez de page ou que vous la fermez, le script ne peut rien faire. Est-ce plus clair ?
Et bien moi je les e…… ces gros fêlés de la surveillance.
Jean LENOIR
Dans la liste, il y a le site que vous aimé tant: RT.COM
Il y aussi EDF et Eurosports …
et comment on la vide sa mémoire clavier ?
p’tre bien qu’on fracasse le clavier en le jetant sur le sol !
Jean LENOIR
j’avais déjà entendu qu’il y avait 2500 lettre de mémoriser dans la mémoire clavier d’un I PHONE
alors pour un ordi …. ce sont bien entendu les 2500 dernière frappes clavier effectués !
1/ utilisez le navigateur Mozilla Firefox (pas Internet explorer)
2/ toujours en navigation privée (Options – vie privée et sécurité – ne jamais conserver l’historique)
3/ protégez-vous contre le pistage (options – protection contre le pistage – Utiliser la protection contre le pistage pour bloquer les traqueurs connus : TOUJOURS + Envoyer aux sites web un signal « Ne pas me pister » indiquant que vous ne souhaitez pas être pisté : TOUJOURS)
4/ Sécurité – Protection contre les contenus trompeurs et les logiciels dangereux : TOUT COCHER + Certificats :Lorsqu’un serveur demande votre certificat personnel: VOUS DEMANDER A CHAQUE FOIS
mercis 1, 2 et 3 était fait je vais appliquer la n°4
https://www.nextinpact.com/news/105764-aux-etats-unis-site-marchand-accuse-denregistrer-toutes-frappes-au-clavier.htm
Et surtout de s’abonner pour découvrir le reste (89%) : pas question !
Jean LENOIR
Ping : Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier | Stop Mensonges