Internet est le meilleur outil de surveillance au monde.
Ou du moins c'est ce que l'on ressent souvent. Nous avons toujours su que nous étions surveillés en ligne, mais beaucoup d'entre nous pensaient que c'était juste pour nous vendre plus. Après Snowden, il est devenu clair que les gouvernements et les entreprises du monde entier utilisent la moindre goutte de données qu'ils peuvent trouver pour nous surveiller et nous profiler.
La NSA veut connaître chaque mouvement numérique que nous faisons. Amazon et Google installent des dispositifs de surveillance dans nos maisons. Facebook veut profiler et marchandiser nos vies. Maintenant, il y a une autre chose à ajouter à la liste sans cesse croissante. Des centaines de sites Web veulent savoir tout ce que nous tapons, même si nous ne le leur soumettons pas.
Amazon, Facebook et Google nous ont tous appris à nous attendre à ce que, si nous recherchons quelque chose, il nous soit magiquement recommandé dans une publicité. Le suivi Web est souvent utilisé pour établir un profil des sites que nous visitons, quels sont nos intérêts et, surtout, comment ils peuvent nous manipuler pour que nous dépensions davantage. Nous sommes souvent méfiants à l'égard de ce type de suivi, d'autant plus que les entreprises qui créent des profils sur nous ne peuvent pas faire confiance à ces informations.
Bien que le suivi soit souvent effectué pour une raison plus banale :l'analyse. Le développeur du site Web veut vous offrir un site utile et sans erreur. Pour ce faire, ils ont besoin de données pour montrer ce qui fonctionne et ce qui ne fonctionne pas.
Des questions UX telles que "Quand les utilisateurs cliquent-ils sur ce bouton ?" et "Combien de temps les lecteurs passent-ils sur notre site ?" peut être répondu par l'analyse. Les sociétés d'analyse à la recherche d'affaires souhaitent prouver leur valeur par la quantité de données qu'elles peuvent capturer. Dans une quête pour améliorer leurs prouesses en matière de capture de données, l'industrie a créé des scripts de relecture de session.
L'analyse traditionnelle fonctionne avec des agrégats afin que les propriétaires de sites Web puissent voir combien de clics il y a eu sur une zone spécifique du site, par exemple. Cependant, il ne montre pas comment ce clic a été effectué, combien de temps cela a pris ou quel était le comportement de l'utilisateur avant le clic. Les scripts de relecture de session permettent aux sociétés d'analyse de plonger dans des sessions de navigation individuelles. Il s'agit soi-disant d'améliorer l'expérience client, mais les données collectées dépassent souvent les attentes raisonnables.
Les scripts de relecture de session sont similaires aux enregistrements d'écran. Le site Web peut voir tout ce que vous faites, des mouvements de la souris aux mots que vous tapez. Malheureusement, cela inclut également ce que vous tapez mais choisissez de ne pas soumettre . Considérez combien de fois vous avez tapé quelque chose dans un champ de recherche, y avez réfléchi à deux fois et avez rapidement supprimé le texte. Les scripts de relecture de session signifient que le site Web aurait déjà capturé votre texte maintenant supprimé et jamais soumis.
Vous vous demandez peut-être comment vous n'avez jamais entendu parler de ce suivi invasif auparavant. Ce serait parce que les entreprises qui déploient les rediffusions de session ont choisi de ne pas vous en informer. C'est une attitude qui suggère qu'ils se rendent compte que les gens peuvent ne pas être à l'aise avec le niveau de données capturées.
Il n'y a aucun signe évident qu'un site Web donné utilise des rediffusions de session - alors comment savez-vous lesquelles ? Des chercheurs du Center for Information Technology Policy (CITP) de Princeton ont analysé les sites Web Alexa Top 1 Million à la recherche de preuves d'enregistrements de sessions.
Ils ont découvert que près de 100 000 sites Web (soit 10 % du top 1 million d'Alexa) contenaient des scripts permettant d'enregistrer des sessions. Cela ne veut pas dire que chacun de ces sites effectue le suivi - chaque site a la possibilité de désactiver les enregistrements de session. Cependant, le processus de désactivation du service est assez complexe avec la plupart des fournisseurs d'analyses, et il est donc tout à fait possible que des rediffusions de session soient enregistrées.
Parmi ceux qui disposaient de scripts d'analyse performants, les chercheurs ont pu produire des preuves que près de 10 000 participaient activement à des enregistrements de rediffusion de session. Dans cette liste figuraient de grands noms, dont Microsoft, Walgreens, Intel et le gouvernement australien.
L'analyse en elle-même n'est pas intrinsèquement mauvaise. C'est sans doute grâce à l'analyse que nous avons des sites Web modernes rapides et réactifs qui fonctionnent de manière transparente sur plusieurs appareils. L'une des principales préoccupations des scripts de relecture de session est que vous ne savez pas que vous êtes suivi. Imaginez à quel point vous vous sentiriez déstabilisé si vous vous réveilliez un jour pour découvrir des caméras de sécurité disséminées dans votre maison. Ne pas divulguer leur présence implique que les scripts et les données qu'ils enregistrent peuvent être utilisés à des fins malveillantes.
Cela est particulièrement troublant pour les sites Web où vous devez saisir des informations confidentielles telles que des numéros de carte de crédit et des mots de passe, qui sont capturés en texte brut par les rediffusions de session. Cela complique encore les choses car vos informations confidentielles sont désormais gérées par plusieurs sociétés, qui peuvent ne pas les sécuriser comme elles le feraient pour d'autres informations sensibles. Les entreprises à l'origine du suivi prétendraient probablement que l'utilisation de ces données est couverte par leur politique de confidentialité.
Cependant, il est déraisonnable et irréaliste de s'attendre à ce qu'un visiteur lise la politique de confidentialité du site Web, trouve la société d'analyse du site et lise également sa politique de confidentialité. Bien sûr, être déraisonnable n'empêche pas ces entreprises de fonctionner de manière moralement ambiguë.
Alors, comment vous protégez-vous? Malheureusement, dans la plupart des cas, vous ne pourrez pas.
Les scripts de relecture de session se présentent sous deux formes :côté client et côté serveur. Les scripts côté client peuvent être bloqués par des bloqueurs de publicités et des compléments de prévention du suivi. Les scripts côté serveur ne peuvent pas être bloqués, mais ne peuvent pas effectuer d'enregistrements complets. L'approche la plus courante est un hybride entre les deux, où même le blocage des scripts côté client n'empêchera pas les enregistrements.
En fin de compte, la meilleure protection est d'être conscient que la relecture de session existe et de se méfier de ce que vous tapez n'importe où sur Internet.
Les scripts de relecture de session exposent ce que nous pensions auparavant être des informations privées détenues uniquement dans nos navigateurs. Malheureusement, c'est loin d'être la seule information que nos navigateurs divulguent à notre sujet. La monnaie de l'économie numérique est constituée de données, ce qui incite chaque entreprise à collecter autant d'informations que possible sur vous. Restez prudent avec vos données et assurez-vous de lire la politique de confidentialité - aussi fastidieuse que cela puisse être. Prendre des précautions et maintenir une bonne cyber-hygiène sont vos meilleures défenses contre l'utilisation abusive de vos données.
Bien que la prévalence des rediffusions de session soit troublante, elle doit être mise en perspective. Il n'y a actuellement aucune preuve que les données ont été compromises par cette pratique. De même, il existe des raisons légitimes d'utiliser les rediffusions de session qui permettront aux propriétaires de sites Web de continuer à rendre Internet plus facile à utiliser, même si leur objectif final est simplement de vous faire dépenser plus d'argent.
Que pensez-vous des entreprises qui espionnent votre frappe ? Pensez-vous qu'Internet est un énorme outil de surveillance ? Ou pensez-vous que la peur est exagérée? Faites-le nous savoir dans les commentaires !
