IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 026
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 026
    Points : 208 674
    Points
    208 674
    Par défaut Des centaines de sites figurant dans le top 50 000 d'Alexa enregistrent les actions d'un visiteur
    Des centaines de sites figurant dans le top 50 000 d'Alexa enregistrent les actions d'un visiteur,
    par un script de relecture de session

    Pour montrer combien les scripts tierces parties sont intrusives, les chercheurs de l’Université de Princeton ont prévu de lancer et présenter le résultat d’une série d’études qu’ils ont appelée « No Boundaries ». La première de cette liste s’intéresse à la pratique des session replay, des scripts qui enregistrent vos frappes au clavier, les mouvements de la souris et le comportement de défilement, ainsi que tout le contenu des pages que vous visitez et les envoient à des serveurs tiers. La pratique est le plus souvent réalisée à l’insu de l’internaute et est, selon les chercheurs, de plus en plus répandue.

    « Contrairement aux services d'analyse classiques qui fournissent des statistiques agrégées, ces scripts sont destinés à l'enregistrement et à la lecture de sessions de navigations individuelles, comme si quelqu'un regardait par-dessus votre épaule », ont-ils commenté.

    L'objectif déclaré de cette collecte de données comprend la collecte d'informations sur la manière dont les utilisateurs interagissent avec les sites Web et la découverte de pages brisées ou confuses. Cependant, l'étendue des données collectées par ces services va bien au-delà des attentes de ceux qui s’en servent : le texte tapé dans les formulaires est recueilli avant que l'utilisateur ne soumette un formulaire, et les mouvements précis de la souris sont enregistrés, le tout sans aucune indication visuelle apportée à l'internaute.

    En théorie, les données collectées par ces outils de session replay doivent être anonymisées. Certains de ces services prévoient automatiquement de ne pas enregistrer certaines informations sensibles – comme les caractères tapés dans un champ de saisie de mot de passe. Mais des tests effectués par les chercheurs montrent que cette anonymisation n’est pas totalement efficace, et nécessite des personnalisations que tous les éditeurs de sites ne mettent pas en place. « Ces données ne peuvent raisonnablement pas rester anonymes. En fait, certaines entreprises permettent aux éditeurs de lier explicitement les enregistrements à la véritable identité d'un utilisateur », ont prévenu les chercheurs.

    Pour cette étude, les chercheurs ont analysé sept des meilleures sociétés de replay session (en fonction de leur popularité relative dans leurs mesures). Les services étudiés sont Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale et SessionCam. Ils ont trouvé leurs services dans 482 sites parmi les sites figurant dans le top 50 000 d’Alexa (baromètre qui donne la liste des sites en fonction du volume de trafic).


    Méthodologie

    Les chercheurs ont détecté les preuves d'enregistrements de session en combinant les signaux provenant des sources de données suivantes :
    1. Les sites qui intègrent des scripts de services d'enregistrement de session ; ici, ils ont utilisé les données de réseau issues des données de recensement Web de Princeton de septembre 2017. La liste des modèles d'URL de script utilisés pour détecter ces incorporations est disponible sur GitHub ;
    2. Les services d’enregistrement eux-mêmes sont examinés de plusieurs façons afin de déterminer s’ils ne disposent pas d’une URL « backend » unique qui n'est présente que lorsqu'un enregistrement est en cours. « Nous avons découvert ces URL pour Yandex Metrika, Hotjar, Mouseflow, Clicktale et Decibel Insight, et les utilisons pour marquer des sites dans l'ensemble de données de septembre 2017 du recensement de Princeton Web » ;
    3. Les chercheurs ont utilisé une mesure d'exploration en deux étapes plus ciblée basée sur OpenWPM pour parcourir les sites figurant dans le Top 50 000 d’Alexa. Tout d'abord, le robot d'indexation injecte une chaîne unique dans le code HTML de la page et recherche la preuve que cette valeur a été envoyée à un tiers dans le trafic de la page. Pour détecter les valeurs qui peuvent être codées ou hachées, les chercheurs utilisent une méthodologie de détection similaire à celle du travail précédent sur le suivi des courriels. Après avoir filtré les destinataires de la chaîne unique, ils isolent les pages sur lesquelles au moins un tiers reçoit une grande quantité de données HTTP POST lors de la visite, mais pour lesquelles ils ne détectent pas d'identifiant unique. Sur ces sites, ils effectuent une analyse de suivi qui injecte un bloc de données de 200 Ko dans la page et vérifie s’ils observent une augmentation correspondante de la taille des données envoyées à la tierce partie.

    Des résultats des tests, les chercheurs mettent en évidence quatre vulnérabilités

    Les mots de passe sont inclus dans les enregistrements de session : tous les services étudiés tentent d'empêcher les fuites de mots de passe en excluant automatiquement les champs de saisie de mot de passe des enregistrements. Cependant, les boîtes de connexion compatibles avec les mobiles qui utilisent des entrées de texte pour stocker les mots de passe non masqués ne sont pas régies par cette règle, sauf si l'éditeur ajoute manuellement des étiquettes pour les exclure. Les chercheurs ont trouvé au moins un site Web où le mot de passe entré dans un formulaire d'enregistrement a été divulgué à SessionCam, même si le formulaire n'est jamais envoyé.

    Les entrées sensibles de l'utilisateur sont rédigées de manière partielle et imparfaite : lorsque les utilisateurs interagissent avec un site, ils fournissent des données sensibles lors de la création du compte, lors d'un achat ou lors de la recherche sur le site. Les scripts d'enregistrement de session peuvent utiliser une combinaison de touches ou des enregistreurs d'éléments d'entrée pour collecter ces données.

    Toutes les entreprises étudiées offrent des mesures d'atténuation grâce à la rédaction automatisée, mais la couverture offerte varie grandement d'un fournisseur à l'autre. UserReplay et SessionCam remplacent toutes les entrées utilisateur par un texte de masquage de longueur équivalente, tandis que FullStory, Hotjar et Smartlook excluent des champs de saisie spécifiques par type. Le tableau ci-dessous résume la situation.


    La rédaction manuelle d'informations d'identification personnelle affichées sur une page est un modèle fondamentalement non sécurisé : en plus de recueillir les entrées des utilisateurs, les sociétés d'enregistrement de session collectent également le contenu de la page rendue. Contrairement à l'enregistrement d'entrée de l'utilisateur, aucune des sociétés ne semble proposer une rédaction automatisée du contenu affiché par défaut.

    Au lieu de cela, les sociétés d'enregistrement de session s'attendent à ce que les sites indiquent manuellement toutes les informations d'identification personnelle incluses dans une page rendue. Les données utilisateur sensibles ont un certain nombre de possibilités de se retrouver dans les enregistrements, et de petites fuites sur plusieurs pages peuvent entraîner une accumulation importante de données personnelles dans un seul enregistrement de session.

    Les services d'enregistrement peuvent ne pas protéger les données de l'utilisateur : les services d'enregistrement augmentent l'exposition aux violations de données, car les données personnelles finiront inévitablement dans les enregistrements. Ces services doivent gérer les données d'enregistrement avec les mêmes pratiques de sécurité que celles auxquelles un éditeur est censé gérer les données utilisateur.

    Quel est donc le risque de tout ceci ?

    Les chercheurs rappellent que la collecte du contenu de la page par des scripts de relecture tiers peut provoquer des fuites d'informations sensibles telles que les conditions médicales, les détails d’une carte de crédit et d'autres informations personnelles affichées sur une page lors de l'enregistrement. Cela peut exposer les utilisateurs au vol d'identité, aux arnaques en ligne et à d'autres comportements indésirables. La même chose est vraie pour la collecte des entrées utilisateur lors des processus de paiement et d'enregistrement.

    Source : résultats de l'étude, liste des sites contenant des scripts de session replay tiers

    Et vous ?

    En tant qu'utilisateur, qu'en pensez-vous ?
    En tant que Webmaster, cela vous semble-t-il utile ?

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 391
    Points
    9 391
    Par défaut
    Il faudrait plus de détail car quand on voit la liste des sites impactés... On y retrouve Skype, Microsoft, Wordpress et compagnie...
    Donc cela voudrait dire potentiellement que ces sites (ou bien les services proposés par ces sites et intégrés à d'autres sites, j'ai parcouru en diagonale je dois l'avouer...) enregistrent tout ce que l'on tape ?
    C'est Big Brother en puissance... Cela donne envie de bazarder son câble ethernet ou de fracasser sa carte wifi.

  3. #3
    Expert confirmé
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    Juin 2006
    Messages
    2 479
    Détails du profil
    Informations personnelles :
    Âge : 54
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juin 2006
    Messages : 2 479
    Points : 4 691
    Points
    4 691
    Par défaut
    Citation Envoyé par transgohan Voir le message
    Donc cela voudrait dire potentiellement que ces sites (ou bien les services proposés par ces sites et intégrés à d'autres sites, j'ai parcouru en diagonale je dois l'avouer...) enregistrent tout ce que l'on tape ?
    C'est Big Brother en puissance...
    je suis etonne que ca t'etonne
    ce qui va devenir etonnant, ce sont les sites "clean"

Discussions similaires

  1. Enregistrer les actions faites dans un panneau de gestion
    Par Fuertes dans le forum Sécurité
    Réponses: 3
    Dernier message: 27/02/2012, 09h17
  2. Enregistrer les actions dans un logiciel
    Par azboul dans le forum Windows
    Réponses: 3
    Dernier message: 04/01/2011, 14h37
  3. [Conception] Collecter les IP des visiteurs d un site web dans une bdd
    Par dakoyaz dans le forum PHP & Base de données
    Réponses: 8
    Dernier message: 07/04/2006, 19h02
  4. Supprimer un fichier dans un des repertoires du site?
    Par Death83 dans le forum Langage
    Réponses: 5
    Dernier message: 03/12/2005, 19h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo