Selon une étude de Freedom To Tinker, des sites très populaires ont des scripts d’enregistrement de session. Ils permettent de surveiller le comportement des utilisateurs. Plus surprenant de grandes entreprises françaises font partie de la liste comme Air France et EDF mais pas seulement. Eurosport est aussi cité tout comme Gameblog.
Dans son rapport, Freedom To Tinker propose les conclusions d’une enquête concernant la présence de scripts d’enregistrement de session sur des sites populaires. Le bilan dévoile que Skype, Samsung, Microsoft, Spotify ou encore WordPress font partis de la liste.
Dans la base de données publiée en ligne il est également possible de découvrir des sites français comme EDF, AirFrance, Gameblog et Eurosport.
Des scripts développés pour enregistrer les faits et gestes d’un internaute
La présence de ces outils permet d’activer une surveillance très poussée des faits et gestes de chaque internaute. Sans que la victime soit au courant, une collecte de données peut-être mise en place. Elle permet de connaitre et d’enregistrer les mouvements de sa souris, les contenus tapés dans des champs de formulaire (ces derniers n’ont pas besoin d’être validés), les frappes au clavier ou encore l’état du scrolling et les liens consultés.Freedom To Tinker explique
« Contrairement aux services d’analyse classiques qui fournissent des statistiques agrégées, ces scripts sont destinés à l’enregistrement et à la lecture de sessions de navigation individuelles, comme si quelqu’un regardait par-dessus votre épaule. »
Parfois pour certains services, l’implémentation n’est pas correcte est des fuites de données sont possibles. Le rapport ajoute
« La collecte […] peut provoquer des fuites d’informations sensibles telles que des informations médicales, les détails d’une carte de crédit et d’autres informations personnelles affichées sur une page lors de l’enregistrement. Cela peut exposer les utilisateurs au vol d’identité, aux arnaques en ligne et à d’autres comportements indésirables. La même chose est vraie pour la collecte des entrées utilisateur lors des processus de paiement et d’enregistrement. »
A noter que l’apparition d’un site Web dans cette liste ne signifie pas que des enregistrements de session ont lieu. Les outils sont là mais il est possible que les développeurs n’ont pas souhaité les activer. Pour certains sites, des preuves d’enregistrements de sessions ont été trouvés.
