Au moins plus d'un millier de sites enregistrent chaque touche et mouvement de souris

duJambon

Combien de fois cela vous est-il arrivé lorsque vous recherchez quelque chose en ligne et que l’instant d’après vous trouvez sa publicité sur presque toutes les autres pages Web ou sites de médias sociaux que vous visitez ?

Le suivi Web n’est pas nouveau.

La plupart des sites Web enregistrent les activités en ligne de leurs utilisateurs, mais une étude récente de l’Université de Princeton a suggéré que des centaines de sites enregistrent chacun de vos mouvements en ligne, y compris vos recherches, votre comportement de défilement, vos frappes et chaque mouvement.

Des chercheurs du Center for Information Technology Policy (CITP) de l’Université de Princeton ont analysé les 50 000 meilleurs sites Web d’Alexa dans le monde et ont découvert que 482 sites, dont beaucoup sont très connus, utilisent une nouvelle technique de suivi Web pour suivre chaque mouvement de leurs utilisateurs.

Surnommée « Session Replay », la technique est utilisée même par les sites Web les plus populaires, notamment The Guardian, Reuters, Samsung, Al-Jazeera, VK, Adobe, Microsoft et WordPress, pour enregistrer chaque mouvement effectué par un visiteur lorsqu’il navigue sur une page Web. , et ces données incroyablement complètes sont ensuite envoyées à un tiers pour analyse.

Les “scripts de relecture de session” sont généralement conçus pour collecter des données concernant l’engagement des utilisateurs qui peuvent être utilisées par les développeurs de sites Web pour améliorer l’expérience de l’utilisateur final.

Cependant, ce qui est particulièrement préoccupant, c’est que ces scripts enregistrent au-delà des informations que vous fournissez volontairement à un site Web, ce qui inclut également le texte que vous tapez lors du dépôt d’un formulaire , puis que vous supprimez avant d’appuyer sur " Soumettre". ’

“La collecte du contenu de la page par des scripts de relecture tiers peut entraîner la fuite d’informations sensibles telles que des conditions médicales, des détails de carte de crédit et d’autres informations personnelles affichées sur une page vers le tiers dans le cadre de l’enregistrement. Cela peut exposer les utilisateurs au vol d’identité , les escroqueries en ligne et autres comportements indésirables.”

La partie la plus troublante est que les informations collectées par les scripts de relecture de session ne peuvent pas “raisonnablement s’attendre à rester anonymes”. Certaines des entreprises qui fournissent des logiciels de relecture de session permettent même aux propriétaires de sites Web de lier explicitement les enregistrements à l’identité réelle d’un utilisateur.

Les chercheurs ont examiné certaines des principales sociétés, notamment FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar et Yandex, qui proposent des services logiciels de relecture de session, et ont constaté que la plupart de ces services excluent directement les champs de saisie de mot de passe de l’enregistrement.

Cependant, la plupart du temps, les formulaires de connexion adaptés aux mobiles qui utilisent des entrées de texte pour stocker des mots de passe non masqués ne sont pas expurgés sur les enregistrements, ce qui finit par révéler vos données sensibles, y compris les mots de passe, les numéros de carte de crédit et même les codes de sécurité des cartes de crédit.

Ces données sont ensuite partagées avec un tiers pour analyse, ainsi que d’autres informations recueillies.

Sources: https://thehackernews.com/2017/11/website-keylogging.html
https://www.letemps.ch/economie/lespionnage-nos-claviers-revele-un-chercheur-lausannois (abonnement)

Raccoon

Fallait y penser et ça à l’air tout aussi efficace que c’est inquiétant. Cette technique promet de belles vagues de piratage dans les années à venir.

Ze-lol

Il va falloir débrancher Internet, ce sera bientôt la seule solution pour ne pas être pisté…

apt install links

Orphancia

@ze-lol … Ou bien créer un Internet 2.0