Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier

« De très nombreux sites d’entreprises « respectables » utilisent des outils espionnant le comportement des utilisateurs via leur clavier. Problème, des données sensibles sont aussi concernées par cette situation.

Adidas, Microsoft, Spotify, Logitech, WordPress, Intel, Pornhub ou encore HP. Quel est le point commun entre les sites internet de ces différentes entreprises ? Ils utilisent des « session-replay scripts » (SRSc). Comme beaucoup d’internautes, vous ignorez sans doute ce dont il s’agit. C’est simple, il s’agit de quelques lignes de code JavaScript destinées à analyser votre comportement, qui se cachent derrière des appellations anodines, comme FullStory, UserReplay, SessionCam ou encore Hotjar. Cela concerne aussi bien les informations entrées dans un formulaire (mail, mot de passe..) que les mouvements de votre souris.

Des centaines de sites Web vous espionnent chaque jour

Ces informations sont ensuite utilisées par d’autres entreprises qui les analysent pour comprendre comment les clients réagissent. L’idée ? Optimiser l’expérience utilisateur pour augmenter les ventes bien sûr. En soi, rien de très neuf. C’est la même chose que peut faire Ikea observant le comportement des clients dans ses magasins par exemple. Mais, deux problèmes majeurs existent. Tout d’abord, vous ignoriez sans doute être espionné ainsi et surtout à si grande échelle, puisqu’il s’agit de l’ensemble de la session et non uniquement de leur propre site. Ensuite, comme trop souvent, la protection des données personnelles n’est pas vraiment au programme.

Selon une étude menée par des chercheurs de l’université de Princeton, au moins 482 des 50.000 plus gros sites référencés par Alexa utilisent des prestataires de SRSc. Quatre prestataires sur sept recueillent parmi les données personnelles adresses email, nom, numéro de téléphone, adresse, date de naissance ou encore numéro de sécurité sociale. Des données que vous n’avez pas forcément envie de partager. Pire encore, ces données sont transmises sans être anonymisées dans certains cas ! Et même si elles sont anonymisées par les géants pour le transfert vers les serveurs des prestataires de SRSc, ces derniers disposant des clés de déchiffrement,  comment stockent-ils, traitent-ils et partagent-ils à nouveau ces informations ?

Liste des 482 sites web qui n’ont aucun respect pour la vie privée de leurs utilisateurs

En apparence, on pourrait se réjouir que la plupart des prestataires ne récupèrent pas les données de cartes bancaires. Mais, l’étude des chercheurs révèle que l’absence d’une référence dans une simple petite ligne de code pouvait causer leur aspiration. Même topo pour vos mots de passe et ce, même si vous l’aviez entré dans un formulaire jamais validé ou que vous avez seulement commencé à compléter partiellement ! Curieusement, la CNIL semble aux abonnés absentes pour ce genre de pratiques.

En gros, pour simplifier : chaque lettre enfoncée, chaque clic effectué, chaque déplacement de souris serait répertorié, y compris les textes tapés mais jamais envoyés. Une sorte de Keylogger et d’aspirateur de données qui travailleraient en arrière plan de vos connexions dans le secret le plus absolu. Inutile de préciser que ces données sont une mine d’or pour les entreprises en question.

Si vous voulez limiter les risques, sans que cela ne fasse de miracles, Adblock Plus vient d’ajouter 7 prestataires SRSc à sa liste noire. Si vous utilisez ce bloqueur de publicité dans votre navigateur, les JavaScripts ne seront plus déclenchés. Pour être totalement transparent et tant pis, si cela dérangera certaines sociétés, voici la liste des 482 sites qui n’ont aucun respect pour la vie privée de leurs utilisateurs. »

Emmanuel Ghesquier, Presse-Citron, le 23 novembre 2017

Quelques rappels :

Loi renseignement : à quoi sert le Conseil constitutionnel ? (F. Mas)

35 millions de « capteurs » Linky : « Big Data is watching you »

Publicités

A propos Olivier Demeulenaere

Olivier Demeulenaere, 54 ans Journaliste indépendant Macroéconomie Macrofinance Questions monétaires Matières premières
Cet article, publié dans Actualités, Economie, est tagué , , , , , , , , , , , , , , . Ajoutez ce permalien à vos favoris.

16 commentaires pour Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier

  1. Tenez OD, puisqu’il est question d’espionnage, je vous propose ma publication du jour ► https://jbl1960blog.wordpress.com/2017/11/28/un-medecin-francais-candidat-au-prix-nobel-de-medecine-par-doctorix/

    Doctorix s’est vu supprimer son article par Agoravox qui a subi des pressions, signalements et menace de plainte au Conseil de l’Ordre. J’avais publié son article initial + la lettre qui lui avait été refusé de publication.
    Doctorix m’ayant transmis un autre article à relayer sur le même sujet sensible, j’ai adjoint en préambule la justification par AVX du retrait de son article, puisque Doctorix l’a récupéré.
    Comme disait Howard Zinn, notre plus gros problème ce n’est pas la désobéissance civile, mais l’obéissance civile…
    Tout est sourcé, j’ai transmis à Volti des ME, et à Alter Info.
    Jo

  2. téléphobe dit :

    Comme l’explique un commentateur sur le site « Presse-Citron », l’enregistrement de données ne peut se faire que pendant la session sur la page du site qui utilise le script ‘SRSc’. Un script ne peut utiliser les entrées clavier que si l’utilisateur utilise son clavier pendant qu’il visite activement un site internet. S’il change de site ou d’onglet, le script en question ne peut rien faire. Bien que certains sites procèdent ainsi ce qui est critiquable, il faut relativiser et, dans tous les cas, ne pas entrer d’informations confidentielles dans un formulaire.
    Certains systèmes d’exploitation ou applications propriétaires très connus ont, eux, la possibilité de voler des données aux utilisateurs et cela est beaucoup plus préoccupant ;o)

    • xavib dit :

      Pas clair votre truc !!

      • téléphobe dit :

        @xavib : Imaginez que cette page utilise un tel script. Ce script ne pourrait intercepter votre clavier (les codes des touches que vous appuyez) que pendant que vous êtes sur cette page et que vous tapez un texte. Si vous ne tapez rien, que vous changez de page ou que vous la fermez, le script ne peut rien faire. Est-ce plus clair ?

  3. zorba44 dit :

    Et bien moi je les e…… ces gros fêlés de la surveillance.

    Jean LENOIR

  4. hagen dit :

    Dans la liste, il y a le site que vous aimé tant: RT.COM

  5. roc dit :

    et comment on la vide sa mémoire clavier ?

    • zorba44 dit :

      p’tre bien qu’on fracasse le clavier en le jetant sur le sol !

      Jean LENOIR

      • roc dit :

        j’avais déjà entendu qu’il y avait 2500 lettre de mémoriser dans la mémoire clavier d’un I PHONE
        alors pour un ordi …. ce sont bien entendu les 2500 dernière frappes clavier effectués !

    • tomkatz dit :

      1/ utilisez le navigateur Mozilla Firefox (pas Internet explorer)
      2/ toujours en navigation privée (Options – vie privée et sécurité – ne jamais conserver l’historique)
      3/ protégez-vous contre le pistage (options – protection contre le pistage – Utiliser la protection contre le pistage pour bloquer les traqueurs connus : TOUJOURS + Envoyer aux sites web un signal « Ne pas me pister » indiquant que vous ne souhaitez pas être pisté : TOUJOURS)
      4/ Sécurité – Protection contre les contenus trompeurs et les logiciels dangereux : TOUT COCHER + Certificats :Lorsqu’un serveur demande votre certificat personnel: VOUS DEMANDER A CHAQUE FOIS

  6. Ping : Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier | Stop Mensonges

Répondre à André Annuler la réponse.

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s