Une nouvelle étude de l’université de Princeton met à jour les pratiques peu scrupuleuses de plusieurs sites Internet comme Spotify ou WordPress. Tes mouvements de souris, ce que tu tu tapes sur ton clavier ou encore la manière dont tu navigues entre plusieurs pages… tout cela serait soigneusement observé et enregistré.
Tes moindres faits et gestes sur Internet sont-ils traqués et enregistrés? Il semblerait que l’on en soit pas loin. C’est ce que révèle une nouvelle étude menée par des chercheurs de l’université de Princeton. Des grosses entreprises espionnent tout ce que tu fais sur leur site Internet de tes mouvements de souris à ce que tu tapes sur ton clavier. Parmi elles, on retrouve 482 des 500.000 sites les plus vus. Et pour citer des noms, Spotify, Microsoft, Adobe, WordPress, Skype ou encore Samsung figurent dans la liste.
Mais comment font-elles? Ces entreprises ont conçu des scripts informatiques qui enregistrent tout ce que tu fais pour pouvoir l’utiliser. Un des chercheurs qui a participé à l’étude, Steven Englehardt, explique le principe plutôt simplement: « Ces scripts informatiques sont conçus pour enregistrer et rejouer en play-back des sessions individuelles de navigation, comme si quelqu’un regardait par-dessus votre épaule ». Assez inquiétant.
Quelles actions précisément?
Ces fameux scripts peuvent enregistrer à peu près toutes tes actions comme le chemin de ta souris quand tu es sur le site, tout ce sur quoi tu cliques ainsi que la manière dont tu scrolles. Pire encore, ils enregistrent tout ce que tu tapes dans la barre de recherche, même si tu effaces avant de valider ta requête. Parfois, les mots de passe sont aussi enregistrés accidentellement même si ce n’est pas le but de l’opération.
Cette pratique appelée le « session replay » n’est pas nouvelle mais on ne savait pas que autant de sites l’utilisaient et qu’ils étaient si poussés.
Even if you're visiting an HTTPS site, your data might be sent over the network in the clear! Not a failure of HTTPS — it's because the 3rd party doesn't enable HTTPS when the publisher logs in to replay your session. pic.twitter.com/ZlL1ireviO
— Arvind Narayanan (@random_walker) 15 novembre 2017
Que faire?
Se pose aussi la question de la sécurité. Car même si toi tu surfes sur un site avec le https pour protéger tes données. Le site qui « rejoue » ta session lui utilise des pages non-sécurisées. De plus, toutes les données qui sont récoltées sont stockées sur des serveurs et elles ne sont pas anonymisées. Il y a donc des informations sur toi qui se baladent librement et qui sont protégées très faiblement.
Selon le site Motherboard, tu peux te protéger et empêcher ces fameux scripts d’enregistrer tes données. Pour cela, il te suffit de télécharger AdBlock Plus. Avant le logiciel bloquait déjà une partie des scripts mais récemment, il a été updaté pour bloquer tous ceux qui ont été dévoilés dans l’étude.