Comment Microsoft, Spotify, Pornhub et 479 autres sites espionnent ce que vous tapez sur le clavier de votre PC

Y a-t-il des raisons d'être méfiants quand on surfe sur des sites web aussi connus que ceux de Spotify, Microsoft, Ryanair ou Pornhub? On peut le penser à lire l'étude intitulée "Sans frontières, l'exfiltration de données personnelles par des scripts de session replay", publiée il y a quelques jours par des chercheurs de l'université américaine de Princeton.

Ces experts ont détecté la présence des petits programmes informatiques d'analyse utilisés par des sociétés tierces travaillant pour des entreprises réputées, afin de scruter le comportement de l'internaute qui surfe sur leur site web. Cette surveillance concerne aussi bien les informations saisies dans un formulaire en ligne que les mouvements de votre souris ou les frappes de votre clavier.

Des sessions de navigation "reconstituées"

Selon cette étude, 482 sites, parmi les plus consultés de la planète web selon le classement de la société Alexa, sont en mesure de scruter en arrière-plan le comportement de l'internaute qui surfe sur le web.

Dans la base de données des sites impliqués que les chercheurs américains ont mise en ligne, on trouve notamment, wordpress.com, microsoft.com, skype.com, pornhub.com, samsung.com, msnbc.com et ryanair.com.

Grâce à ces petits bouts de logiciels émanant de plusieurs sociétés spécialisées (FullStory, Clicktale, Yandex, SessionCam, Hotjarn,...) travaillant pour ces sites d'entreprises renommées, il devient même possible d'enregistrer (session replay script) les sessions de navigation afin de les "reconstituer" en différé. Officiellement, il s'agit pour ces sociétés d'analyser la navigation de l'internaute, les éventuelles difficultés qu'il rencontre, afin d'améliorer l'ergonomie du site web consulté.

Si ces systèmes ne sont pas nouveaux, ils posent problème à cause de leur utilisation massive qui se fait à l'insu de l'internaute. Celui-ci ignore totalement que ses actions sur le site web (clic effectué, texte saisi) qu'il consulte, peuvent être enregistrées.

La collecte de données personnelles "sensibles"

Mais ce n'est pas le seul problème soulevé par les outils utilisés par ces prestataires. Les chercheurs de Princeton ont mis en évidence qu'ils recueillent aussi, dans certains cas, des données personnelles (adresses email, nom, numéro de téléphone, adresse, date de naissance) qu'ils exfiltrent et transmettent sans précaution vers leurs propres serveurs, et toujours à l'insu de l'internaute.

L'étude montre, à titre d'exemple, que l'outil d'analyse du prestataire Fullstory utilisé par le site web de la chaîne américaine de pharmacie Walgreens exfiltre et transmet des informations sensibles sur la santé du patient et ses prescriptions de médicaments sur ses propres serveurs. Autrement dit, la protection des données personnelles n'est pas du tout la priorité!

Pour l'internaute qui souhaite éviter d'être surveillé à son insu pendant qu'il surfe sur le web, le recours à des bloqueurs de publicité (tel Adblock Plus) peut constituer une parade, mais celle-ci n'est pas absolue.