Accueil / Actualités / Politique et économie / Les sites de Microsoft, Samsung, Air France, EDF et d’autres sont capables d’enregistrer vos faits et gestes
Freedom to Tinker - No boundaries: Exfiltration of personal data by session-replay scripts
Freedom to Tinker - No boundaries: Exfiltration of personal data by session-replay scripts

Les sites de Microsoft, Samsung, Air France, EDF et d’autres sont capables d’enregistrer vos faits et gestes

Selon une étude de Freedom To Tinker, des sites très populaires ont des scripts d’enregistrement de session. Ils permettent de surveiller le comportement des utilisateurs. Plus surprenant de grandes entreprises françaises font partie de la liste comme Air France et EDF mais pas seulement. Eurosport est aussi cité tout comme Gameblog.

Dans son rapport, Freedom To Tinker propose les conclusions d’une enquête concernant la présence de scripts d’enregistrement de session sur des sites populaires. Le bilan dévoile que Skype, Samsung, Microsoft, Spotify ou encore WordPress font partis de la liste.

Dans la base de données publiée en ligne il est également possible de découvrir des sites français comme EDF, AirFrance, Gameblog et Eurosport.

Des scripts développés pour enregistrer les faits et gestes d’un internaute

La présence de ces outils permet d’activer une surveillance très poussée des faits et gestes de chaque internaute. Sans que la victime soit au courant, une collecte de données peut-être mise en place. Elle permet de connaitre et d’enregistrer les mouvements de sa souris, les contenus tapés dans des champs de formulaire (ces derniers n’ont pas besoin d’être validés),  les frappes au clavier ou encore l’état du scrolling et les liens consultés.

Freedom To Tinker explique

« Contrairement aux services d’analyse classiques qui fournissent des statistiques agrégées, ces scripts sont destinés à l’enregistrement et à la lecture de sessions de navigation individuelles, comme si quelqu’un regardait par-dessus votre épaule. »

Parfois pour certains services, l’implémentation n’est pas correcte est des fuites de données sont possibles. Le rapport ajoute

« La collecte […] peut provoquer des fuites d’informations sensibles telles que des informations médicales, les détails d’une carte de crédit et d’autres informations personnelles affichées sur une page lors de l’enregistrement. Cela peut exposer les utilisateurs au vol d’identité, aux arnaques en ligne et à d’autres comportements indésirables. La même chose est vraie pour la collecte des entrées utilisateur lors des processus de paiement et d’enregistrement. »

A noter que l’apparition d’un site Web dans cette liste ne signifie pas que des enregistrements de session ont lieu. Les outils sont là mais il est possible que les développeurs n’ont pas souhaité les activer. Pour certains sites, des preuves d’enregistrements de sessions ont été trouvés.

À propos Jérôme Gianoli

Journaliste issu d’une formation scientifique. Aime l'innovation, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*

x

Check Also

Microsoft et la sécurité

Windows 10 et les mises à jour forcées, est-ce vraiment nécessaire ?

Les mises à jour forcées de Windows 10 est un sujet brulant ...

distribution Linux Ubuntu 18.04 LTS (Bionic Beaver)

Ubuntu 18.04 LTS, Canonical publie une importante mise à jour du noyau, bilan

Canonical vient de publier une importante mise à jour du noyau linux ...

Distribution Linux Ubuntu

Distribution Linux Ubuntu, d’importantes mise à jour du noyau débarquent, bilan

Canonical vient de publier de nouvelles mises à jour de sécurité pour ...