Des scripts d’analyse marketing enregistrent automatiquement les informations renseignées dans les formulaires. Parfois, ils aspirent même les données de cartes bancaires et les mots de passe.
Hp.com, intel.com, gap.com, windows.com, toysrus.com, logitech.com, adidas.com, bose.com… Ces sites Web de grandes marques ont tous une chose en commune, ils embarquent des « session-replay scripts » (SRSc). C’est-à-dire des codes Javascripts capables d’enregistrer tout un tas d’actions que fait l’utilisateur durant sa session : mouvements de souris, défilements de page, contenus visités ou cliqués, textes tapés dans les formulaires, etc. Ces informations sont transmises à des sociétés tierces spécialisées dans le marketing Web et l’analyse comportementale. Elles leur permettent de « rejouer » les sessions des utilisateurs et de comprendre comment l’utilisateur réagit face aux pages qui lui sont proposées.
Une pratique avérée sur 482 sites
Dans le fond, cela pourrait plutôt être une bonne chose. Cela permet à l’éditeur d’optimiser son site et de proposer un meilleur service. Malheureusement, ce traitement se fait en règle générale à l’insu de l’utilisateur et présente des risques au niveau de la protection des données personnelles.
Trois chercheurs de l’université de Princeton – Steven Englehardt, Gunes Acar et Arvind Narayanan – viennent de réaliser une étude sur la question. Ils ont trouvé que sur les 50 000 plus gros sites référencés par Alexa, 482 sont clients de manière avérée de l’un des sept plus gros fournisseurs de SRSc. Les chercheurs ont réalisé une vidéo qui montre comment ces données sont enregistrées en temps réel par l’un de ces prestataires.
Or, les services de ces prestataires sont de qualité douteuse. En appliquant ces SRSc à des pages de test, les chercheurs ont pu mettre en évidence que pour quatre prestataires sur sept, un certain nombre de données personnelles – l’email, le nom, le numéro de téléphone, l’adresse, la date de naissance, le numéro de sécurité sociale – sont transmises sans anonymisation.
Les données de cartes bancaires sont généralement exclues de cette collecte (sauf chez Yandex), encore faut-il que la page Web soit correctement codées. Chez le prestataire FullStory, par exemple, les numéros de cartes bancaires sont bel et bien aspirés à partir du moment où les champs de formulaire dans lesquels ils sont intégrés ne comportent pas le tag « cc-number » comme attribut. C’est ballot.
