NOS ORDINATEUR SERVENT D’ESPIONNAGES A NOTRE AINSU…

Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier...

De très nombreux sites d’entreprises « respectables » utilisent des outils espionnant le comportement des utilisateurs via leur clavier. Problème, des données sensibles sont aussi concernées par cette situation. Adidas, Microsoft, Spotify, Logitech, WordPress, Intel, Pornhub ou encore HP. Quel est le point commun entre les sites internet de ces différentes entreprises ? Ils utilisent des « session-replay scripts » (SRSc). Comme beaucoup d’internautes, vous ignorez sans doute ce dont il s’agit. C’est simple, il s’agit de quelques lignes de code JavaScript destinées à analyser votre comportement, qui se cachent derrière des appellations anodines, comme FullStory, UserReplay, SessionCam ou encore Hotjar. Cela concerne aussi bien les informations entrées dans un formulaire (mail, mot de passe.) que les mouvements de votre souris.
Des centaines de sites Web vous espionnent chaque jour.

Ces informations sont ensuite utilisées par d’autres entreprises qui les analysent pour comprendre comment les clients réagissent. L’idée ? Optimiser l’expérience utilisateur pour augmenter les ventes bien sûres. En soi, rien de très neuf. C’est la même chose que peut faire Ikea observant le comportement des clients dans ses magasins par exemple. Mais, deux problèmes majeurs existent. Tout d’abord, vous ignoriez sans doute être espionné ainsi et surtout à si grande échelle, puisqu’il s’agit de l’ensemble de la session et non uniquement de leur propre site. Ensuite, comme trop souvent, la protection des données personnelles n’est pas vraiment au programme.

Ces informations sont ensuite utilisées par d’autres entreprises qui les analysent pour comprendre comment les clients réagissent. L’idée ? Optimiser l’expérience utilisateur pour augmenter les ventes bien sûres. En soi, rien de très neuf. C’est la même chose que peut faire Ikea observant le comportement des clients dans ses magasins par exemple. Mais, deux problèmes majeurs existent. Tout d’abord, vous ignoriez sans doute être espionné ainsi et surtout à si grande échelle, puisqu’il s’agit de l’ensemble de la session et non uniquement de leur propre site. Ensuite, comme trop souvent, la protection des données personnelles n’est pas vraiment au programme.

Selon une étude menée par des chercheurs de l’université de Princeton, au moins 482 des 50.000 plus gros sites référencés par Alexa utilisent des prestataires de SRSc. Quatre prestataires sur sept recueillent parmi les données personnelles adresses email, nom, numéro de téléphone, adresse, date de naissance ou encore numéro de sécurité sociale. Des données que vous n’avez pas forcément envie de partager. Pire encore, ces données sont transmises sans être anonymisées dans certains cas ! Et même si elles sont anonymisées par les géants pour le transfert vers les serveurs des prestataires de SRSc, ces derniers disposant des clés de déchiffrement, comment stockent-ils, traitent-ils et partagent-ils à nouveau ces informations ?

(Liste des 482 sites web qui n’ont aucun respect pour la vie privée de leurs utilisateurs).

En apparence, on pourrait se réjouir que la plupart des prestataires ne récupèrent pas les données de cartes bancaires. Mais, l’étude des chercheurs révèle que l’absence d’une référence dans une simple petite ligne de code pouvait causer leur aspiration. Même topo pour vos mots de passe et ce, même si vous l’aviez entré dans un formulaire jamais validé ou que vous avez seulement commencé à compléter partiellement ! Curieusement, la CNIL semble aux abonnés absentes pour ce genre de pratiques.

En gros, pour simplifier : chaque lettre enfoncée, chaque clic effectué, chaque déplacement de souris serait répertorié, y compris les textes tapés mais jamais envoyés. Une sorte de Keylogger et d’aspirateur de données qui travailleraient en arrière-plan de vos connexions dans le secret le plus absolu. Inutile de préciser que ces données sont une mine d’or pour les entreprises en question.

Si vous voulez limiter les risques, sans que cela ne fasse de miracles, Adblock Plus vient d’ajouter 7 prestataires SRSc à sa liste rouge. Si vous utilisez ce bloqueur de publicité dans votre navigateur, les JavaScripts ne seront plus déclenchés. Pour être totalement transparent et tant pis, si cela dérangera certaines sociétés, voici la liste des 482 sites qui n’ont aucun respect pour la vie privée de leurs utilisateurs.
https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html

Données sur les rejets: liste des sites qui ont un tiers des scripts « replay session »

Dans une étude récente , nous avons analysé sept services « relecture de la session » et a révélé comment ils exfiltrer des données utilisateur sensibles. Ici, nous libérons les données derrière notre étude, en particulier, la liste des sites du top 1 million Alexa qui embarquent des scripts de fournisseurs d'analyses qui offrent des services d'enregistrement de session. L'apparition d'un site sur cette liste ne signifie pas nécessairement que les enregistrements de session se produisent, en tant que développeurs de sites Web peuvent choisir d'activer la fonctionnalité non enregistrement de la session.

Pour certains sites, nous avons des preuves d'enregistrements de session qui se produisent. Nous marquons ces derniers avec l'étiquette « preuve d'enregistrement de session ». Pour ces sites, nos robots de mesure ont pu détecter un enregistrement en cours, comme détaillé dans notre méthode de détection ci - dessous. Pour les sites non marqués avec cette balise, cela ne signifie pas que les enregistrements ne se produisent pas, tout simplement que nous ne savons pas s'ils le font. En effet, la plupart des services d'enregistrement activer leur fonctionnalité que pour un échantillon d'utilisateurs, soit comme explicitement défini par le site de l’éditeur ou exécutée dans le cadre d'une limite d'enregistrement par jour . Ainsi, il est possible que notre bot qui a visité le site n'a pas été inclus dans l'échantillon, mais d’autres utilisateurs pourraient être.

En tant que tel, cette liste fournit à la fois une limite supérieure et inférieure de la présence d'entreprises d'enregistrement de session sur le Web. Deux des 14 entreprises incluses dans la publication des données, Yandex et Hotjar, ont un ensemble diversifié de services d'analyse - dont un grand nombre ont pas de chevauchement avec l'enregistrement de session. Les autres sociétés offrent principalement des services similaires qui comprennent: relecture de la session, des cartes de chaleur, cliquez sur des cartes et forme analytique.
La liste ci - dessous contient les sites qui sont classés dans le top 10 000 selon Alexa. Télécharger le CSV compressé fichier pour la liste complète.

Mise à jour (30 Novembre 2017) : 2455 sites ont été ajoutés à la liste des sites qui ont été incorrectement exclus de la version initiale. De plus, nous avons fixé 36 enregistrements pour lesquels le nom du site affiché était corrompu.

Méthodologie pour détecter des preuves d'enregistrement de session est donnée ci - dessous

29 yandex.ru yandex.ru la preuve de l'enregistrement de session
35 wordpress.com yandex.ru script analytique existe
45 microsoft.com clicktale.net script analytique existe
74 adobe.com clicktale.net script analytique existe
88 coccoc.com yandex.ru la preuve de l'enregistrement de session
102 txxx.com yandex.ru script analytique existe
124 godaddy.com clicktale.net script analytique existe
136 uol.com.br Hotjrkcom script analytique existe
140 indiatimes.com Hotjrkcom script analytique existe
151 avito.ru yandex.ru script analytique existe
164 outbrain.com Hotjrkcom script analytique existe
177 hclips.com yandex.ru script analytique existe
196 kinogo.club yandex.ru script analytique existe
202 upornia.com yandex.ru script analytique existe
209 spotify.com sessioncam.com script analytique existe
211 livejournal.com yandex.ru script analytique existe
228 skype.com clicktale.net script analytique existe
245 softonic.com Hotjrkcom script analytique existe
247 files.wordpress.com yandex.ru script analytique existe
255 instructure.com Hotjrkcom script analytique existe
266 wittyfeed.com Hotjrkcom script analytique existe
279 Rtkcom yandex.ru script analytique existe
282 taboola.com Hotjrkcom la preuve de l'enregistrement de session
284 kinopoisk.ru yandex.ru script analytique existe
288 tokopedia.com Hotjrkcom script analytique existe

Résultats 1 à 25 de 1257 entrées Précédent 1 2 3 4 5 ... 51 Suiv

Méthodologie
Nous détectons la preuve de l'enregistrement de session en combinant des signaux à partir des sources de données suivantes:

1.Nous détectons des sites qui intègrent des scripts de services d'enregistrement de session en utilisant les données du réseau des Septembre 2017 des données du recensement Web Princeton. La liste des modèles d'URL de script utilisé pour détecter ces incorporations est disponible ici .

2.Nous examinons plusieurs des maisons de disques afin de déterminer si elles ont une URL «backend» unique qui n'est présente que lorsqu'un enregistrement est en cours. Nous avons découvert ces URL pour Yandex Metrika, Hotjar, Mouseflow, Clicktale et Decibel Insight, et les utilisons pour marquer des sites dans l'ensemble de données de septembre 2017 du recensement de Princeton Web.

3.Nous utilisons une mesure d'exploration en deux étapes plus ciblée basée sur OpenWPM pour mesurer 50 000 sites échantillonnés parmi les premiers 1 million. Tout d'abord, le robot d'indexation injecte une chaîne unique dans le code HTML de la page et recherche la preuve que cette valeur a été envoyée à un tiers dans le trafic de la page. Pour détecter les valeurs qui peuvent être codées ou hachées, nous utilisons une méthodologie de détection similaire à celle du travail précédent sur le suivi des courriels.Après avoir filtré les destinataires de la chaîne unique, on isole les pages sur lesquelles au moins un tiers reçoit une grande quantité de données HTTP POST lors de la visite, mais pour lesquelles nous ne détectons pas un identifiant unique. Sur ces sites, nous effectuons une analyse de suivi qui injecte un morceau de 200 Ko de données dans la page et vérifier si l'on observe une bosse correspondante de la taille des données envoyées au tiers.