Il existe plusieurs outils pour surveiller votre comportement sur le web, généralement dans le but d’afficher des publicités qui vous sont destinées. Cependant, des centaines de sites – dont Lenovo, Intel et Opera – vont plus loin.
Une étude a révélé que 482 des 50 000 sites web les plus populaires du monde utilisent des scripts qui enregistrent chaque clic, chaque pression de touche et chaque défilement de page pour les lire plus tard.
L’étude a été menée par le Center for Information Technology Policy de l’université de Princeton et a porté sur sept entreprises qui fournissent des “scripts de rediffusion de session” : SessionCam, UserReplay, FullStory, Clicktale, Yandex, Smartlook et Hotjar.
Le co-auteur Steven Englehardt a installé ces scripts et a constaté que quatre d’entre eux ? FullStory, Hotjar, Yandex et Smartlook ? enregistrent tout ce qui est tapé dans les champs de texte. Cela comprend les adresses physiques et électroniques, les numéros de téléphone et les documents d’identité.
Voici comment cela fonctionne sur FullStory :
https://www.youtube.com/watch?v=l0Yc8s0DTZA
Pendant ce temps, Smartlook collecte le nombre de caractères saisis dans les champs du mot de passe ; et UserReplay enregistre les quatre derniers chiffres des cartes de crédit.
La situation s’aggrave lorsque le site met mal en œuvre cette fonctionnalité. Le magasin de vêtements Bonobos envoyait à FullStory les numéros complets des cartes de crédit ; elle dit avoir réglé ce problème.
L’idée était de mieux comprendre comment les visiteurs interagissent avec le site, et d’identifier les pages qui sont confuses ou brisées. Mais, comme l’écrit Englehardt, “la collecte de contenus par des scripts tiers peut entraîner la fuite d’informations confidentielles telles que des problèmes médicaux, des détails de cartes de crédit et d’autres informations personnelles.
Des scripts de rediffusion de session sont présents sur des milliers de sites. Mais sur 482 sites, l’étude a trouvé des preuves concrètes que cette fonction était active. En gros, ils ont utilisé un outil pour injecter une chaîne de caractères et vérifier si elle avait été envoyée (ils l’ont testée à nouveau en injectant 200 Ko de données pour vérifier si elle avait été transmise).
Parmi les sites avec “preuves d’enregistrement de session”, nous avons HP, Autodesk, Windows, Red Hat, Logitech, entre autres ? la liste complète est ici.
Parmi les domaines .br, il n’y a pas de sites avec des preuves d’enregistrement de session. “Les développeurs peuvent choisir de ne pas activer cette fonction”, explique l’étude. Cependant, nous avons plusieurs sites qui utilisent les scripts ; c’est tout :
En fait, Hotjar est présent à UOL…
…et aussi à Baixaki. Mais, comme nous l’avons dit, il n’y a aucune preuve que ces sites enregistrent leur comportement.
Dans la communication à PerlmOl, o Remedies Consultation clarifie cela :
La plateforme utilise l’outil Hotjar sur la page d’accueil, les pages de produits et les pages de produits. La société n’utilise pas Hotjar sur la page d’enregistrement où l’utilisateur fournit ses données personnelles. Consulta Remedios suit strictement les stratégies de prévention de la fraude et les exigences de la législation concernant la sécurité des utilisateurs.
Selon les chercheurs, les bloqueurs de publicité n’interdisent généralement pas les scripts FullStory, Smartlook ou UserReplay, mais ils arrêtent l’activité de Yandex, Hotjar, ClickTale et SessionCam. Ces services sont mentionnés dans EasyList et EasyPrivacy, des listes utilisées dans les extensions de blocage des publicités.