Accueil / Actualités / Politique et économie / Les sites de Microsoft, Samsung, Air France, EDF et d’autres sont capables d’enregistrer vos faits et gestes
Freedom to Tinker - No boundaries: Exfiltration of personal data by session-replay scripts
Freedom to Tinker - No boundaries: Exfiltration of personal data by session-replay scripts

Les sites de Microsoft, Samsung, Air France, EDF et d’autres sont capables d’enregistrer vos faits et gestes

Selon une étude de Freedom To Tinker, des sites très populaires ont des scripts d’enregistrement de session. Ils permettent de surveiller le comportement des utilisateurs. Plus surprenant de grandes entreprises françaises font partie de la liste comme Air France et EDF mais pas seulement. Eurosport est aussi cité tout comme Gameblog.

Dans son rapport, Freedom To Tinker propose les conclusions d’une enquête concernant la présence de scripts d’enregistrement de session sur des sites populaires. Le bilan dévoile que Skype, Samsung, Microsoft, Spotify ou encore WordPress font partis de la liste.

Dans la base de données publiée en ligne il est également possible de découvrir des sites français comme EDF, AirFrance, Gameblog et Eurosport.

Des scripts développés pour enregistrer les faits et gestes d’un internaute

La présence de ces outils permet d’activer une surveillance très poussée des faits et gestes de chaque internaute. Sans que la victime soit au courant, une collecte de données peut-être mise en place. Elle permet de connaitre et d’enregistrer les mouvements de sa souris, les contenus tapés dans des champs de formulaire (ces derniers n’ont pas besoin d’être validés),  les frappes au clavier ou encore l’état du scrolling et les liens consultés.

Freedom To Tinker explique

« Contrairement aux services d’analyse classiques qui fournissent des statistiques agrégées, ces scripts sont destinés à l’enregistrement et à la lecture de sessions de navigation individuelles, comme si quelqu’un regardait par-dessus votre épaule. »

Parfois pour certains services, l’implémentation n’est pas correcte est des fuites de données sont possibles. Le rapport ajoute

« La collecte […] peut provoquer des fuites d’informations sensibles telles que des informations médicales, les détails d’une carte de crédit et d’autres informations personnelles affichées sur une page lors de l’enregistrement. Cela peut exposer les utilisateurs au vol d’identité, aux arnaques en ligne et à d’autres comportements indésirables. La même chose est vraie pour la collecte des entrées utilisateur lors des processus de paiement et d’enregistrement. »

A noter que l’apparition d’un site Web dans cette liste ne signifie pas que des enregistrements de session ont lieu. Les outils sont là mais il est possible que les développeurs n’ont pas souhaité les activer. Pour certains sites, des preuves d’enregistrements de sessions ont été trouvés.

À propos Jérôme Gianoli

Journaliste issu d’une formation scientifique. Aime l'innovation, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*

x

Check Also

Le Patch Tuesday de Microsoft

Patch Tuesday, Microsoft corrige 74 vulnérabilités dont 16 sont jugées critiques

La Patch Tuesday d’avril 2019 a permis à Microsoft de colmater 74 ...

Attaque ShadowHammer et l’outil Asus LiveUpdate

ShadowHammer, une attaque contre les utilisateurs de l’application ASUS LiveUpdate

Kaspersky Lab nous informe d’une nouvelle campagne APT (menace persistante avancée) touchant ...

Logiciel WinRAR

WinRAR, une faille de sécurité âgée de 19 ans est corrigée

La dernière « bêta » de l’utilitaire WinRAR corrige une vulnérabilité âgée d’au moins ...