Vie privée: Un incroyable système d’espionnage des internautes mis au jour !

Les sites web de Microsoft, HP, Adobe, Wordpress, Spotify, Skype, Samsung, Intel, Adidas, ou encore Pornhub contiennent un logiciel enregistrant tout ce que fait l’internaute: ses mouvements de souris, les touches frappées, les liens cliqués… Des chercheurs de Princeton ont mis au jour ces pratiques sulfureuses

Ce ne sont sans doute ni la NSA ni des pirates informatiques russes ou nord-coréens qui sont les plus curieux de la vie privée des internautes. Il s’agit plutôt de multinationales bien établies telles Microsoft, Samsung ou encore Spotify. Il y a quelques jours, des chercheurs de l’Université de Princeton (New Jersey) ont publié une étude montrant comment ces entreprises espionnaient en détail le comportement des internautes qui visitent leurs pages web – certaines ont abandonné cette pratique ces derniers jours. Via des systèmes perfectionnés, dont l'utilisation des « session-replay scripts » (SRSc), elles parviennent à enregistrer intégralement les mouvements de souris, les frappes sur le clavier et la navigation entre les pages.

Comme beaucoup d’internautes, vous ignorez sans doute ce dont il s’agit. C’est simple, il s’agit de quelques lignes de code JavaScript destinées à analyser votre comportement, qui se cachent derrière des appellations anodines, comme FullStory, UserReplay, SessionCam ou encore Hotjar. Cela concerne aussi bien les informations entrées dans un formulaire (mail, mot de passe..) que les mouvements de votre souris.

Ces scripts, soit des morceaux de codes informatiques, sont appelés « session replay ». Il s’agit en effet de rejouer en différé le comportement complet d’un internaute pour l’analyser. Cela permet par exemple de voir s’il se perd entre deux pages ou s’il se perd au milieu d’un formulaire. Ces systèmes ne sont pas nouveaux.

Ces informations sont ensuite utilisées par d’autres entreprises qui les analysent pour comprendre comment les clients réagissent. L’idée ? Optimiser l’expérience utilisateur pour augmenter les ventes bien sûr. En soi, rien de très neuf. C’est la même chose que peut faire Ikea observant le comportement des clients dans ses magasins par exemple. Mais, deux problèmes majeurs existent. Tout d’abord, vous ignoriez sans doute être espionné ainsi et surtout à si grande échelle, puisqu’il s’agit de l’ensemble de la session et non uniquement de leur propre site. Ensuite, comme trop souvent, la protection des données personnelles n’est pas vraiment au programme.

Selon une étude menée par des chercheurs de l’université de Princeton, au moins 482 des 50.000 plus gros sites référencés par Alexa utilisent des prestataires de SRSc. Quatre prestataires sur sept recueillent parmi les données personnelles adresses email, nom, numéro de téléphone, adresse, date de naissance ou encore numéro de sécurité sociale. Des données que vous n’avez pas forcément envie de partager.

Steven Englehardt, l’un des chercheurs du projet « Freedom to Tinker » de Princeton, résume ce système d’espionnage en une phrase: « Ces scripts informatiques sont conçus pour enregistrer et rejouer en play-back des sessions individuelles de navigation, comme si quelqu’un regardait par-dessus votre épaule. »  

Des Keyloggers et d’aspirateurs de données dans le secret le plus absolu

C’est la découverte de leur utilisation massive qui pose problème, de même que leur puissance. Car ces scripts sont par exemple capables d’enregistrer ce qu’un internaute écrit dans un formulaire, même s’il efface en partie son contenu pour le récrire ensuite. Comme le rappelle le site spécialisé Motherboard, Facebook avait fait scandale en 2013 lorsqu’il avait été découvert que le réseau social enregistrait les statuts de ses membres, même s’ils étaient juste tapés, et pas enregistrés…

Pire encore, ces données sont transmises sans être anonymisées dans certains cas ! Et même si elles sont anonymisées par les géants pour le transfert vers les serveurs des prestataires de SRSc, ces derniers disposant des clés de déchiffrement, comment stockent-ils, traitent-ils et partagent-ils à nouveau ces informations ?

En apparence, on pourrait se réjouir que la plupart des prestataires ne récupèrent pas les données de cartes bancaires. Mais, l’étude des chercheurs révèle que l’absence d’une référence dans une simple petite ligne de code pouvait causer leur aspiration. Même topo pour vos mots de passe et ce, même si vous l’aviez entré dans un formulaire jamais validé ou que vous avez seulement commencé à compléter partiellement ! Curieusement, la CNIL semble aux abonnés absentes pour ce genre de pratiques.

En gros, pour simplifier : chaque lettre enfoncée, chaque clic effectué, chaque déplacement de souris serait répertorié, y compris les textes tapés mais jamais envoyés. Une sorte de Keylogger et d’aspirateur de données qui travailleraient en arrière plan de vos connexions dans le secret le plus absolu. Inutile de préciser que ces données sont une mine d’or pour les entreprises en question.

Si vous voulez limiter les risques, sans que cela ne fasse de miracles, Adblock Plus vient d’ajouter 7 prestataires SRSc à sa liste noire. Si vous utilisez ce bloqueur de publicité dans votre navigateur, les JavaScripts ne seront plus déclenchés. Pour être totalement transparent et tant pis, si cela dérangera certaines sociétés, voici la liste des 482 sites qui n’ont aucun respect pour la vie privée de leurs utilisateurs.