Internet est souvent perçu comme un puissant outil de surveillance. Nous savons depuis longtemps que nos activités en ligne sont tracées, initialement pour des fins publicitaires, mais aussi, comme l'a révélé Edward Snowden, pour des motifs de profiling par gouvernements et entreprises.
La NSA suit nos moindres mouvements numériques, Amazon et Google intègrent des dispositifs de surveillance domestique, tandis que Facebook monétise nos profils. À cette liste s'ajoute une pratique méconnue : des centaines de sites web capturent tout ce que vous tapez, même si vous ne soumettez pas le contenu.
Nous sommes habitués aux publicités ciblées après une recherche, grâce au suivi web qui dresse notre profil d'intérêts pour influencer nos achats. Ce suivi soulève des inquiétudes, car les données collectées par ces entreprises ne sont pas toujours fiables ni sécurisées.
Cependant, le suivi sert aussi des objectifs légitimes comme l'analyse UX. Les développeurs s'en servent pour identifier les dysfonctionnements et optimiser l'expérience utilisateur, répondant à des questions comme : « Quand les utilisateurs cliquent-ils sur ce bouton ? » ou « Combien de temps passent-ils sur le site ? ». Pour démontrer leur valeur, les outils d'analyse ont développé des scripts de relecture de session.
L'analyse traditionnelle agrège les données (ex. : nombre de clics sur une zone). Les scripts de relecture de session, eux, permettent de revivre des sessions individuelles : mouvements de souris, temps de clic, comportement préalable. Destinés à améliorer l'expérience client, ils capturent souvent plus que nécessaire.
Ces scripts fonctionnent comme des enregistrements d'écran : ils voient tout, y compris les textes tapés mais non soumis. Imaginez taper une recherche, hésiter, effacer : le site l'a déjà enregistré.
Pourquoi n'en avez-vous pas entendu parler ? Les éditeurs de ces scripts ne l'annoncent pas, conscient que cela pourrait rebuter les utilisateurs.
Aucun indicateur visible n'avertit de leur présence. Des chercheurs du Center for Information Technology Policy (CITP) de Princeton ont analysé les 1 million de sites les plus visités (Alexa Top 1M). Résultat : près de 100 000 sites (10 %) intègrent ces scripts, bien que certains puissent les désactiver – processus souvent complexe.
Parmi eux, environ 10 000 enregistraient activement, incluant Microsoft, Walgreens, Intel et des sites gouvernementaux comme celui de l'Australie.
L'analyse web n'est pas intrinsèquement néfaste ; elle rend les sites plus fluides et adaptatifs. Le vrai souci est le manque de transparence, comparable à des caméras cachées chez soi.
Sur des sites sensibles (mots de passe, cartes bancaires), ces scripts capturent les données en clair, les partageant avec des tiers potentiellement moins sécurisés. Les politiques de confidentialité invoquées sont illisibles pour la plupart des utilisateurs.
Protection limitée : scripts client bloqués par adblockers/antitracking ; scripts serveur impossibles à bloquer mais moins complets. Souvent hybrides, ils résistent. Meilleure défense : vigilance sur ce que vous saisissez en ligne.
Ces scripts révèlent des données autrefois privées. Dans l'économie numérique, les données sont roi, incitant à une collecte massive. Lisez les politiques de confidentialité et adoptez une cyberhygiène rigoureuse.
Pas de preuves de fuites via ces scripts à ce jour, et des usages légitimes existent pour améliorer le web – même si motivés par le commerce. Que pensez-vous de ce suivi de frappe ? Internet, outil de surveillance ou exagération ? Dites-le en commentaires !
