Windows, Adidas, Logitech, HP… comment ils transmettent nos données bancaires et mots de passe à des sociétés tierces

482 sites parmi les plus consultés au monde jouent avec vos données personnelles. Partenaires de sociétés fournissant des session-replay scripts, ces sites scannent les actions que vous effectuez sur leurs pages pour analyser le comportement des internautes. Ils enregistrent vos faits et gestes mais aussi des données sensibles comme des mots de passe ou des coordonnées bancaires.

tracking session replay script

Windows, Adidas, Logitech, HP, Kaspersky, Gap, Western Union et bien d’autres… D’après une étude de trois chercheurs de l’université de Princeton, au moins 482 sites web parmi les 50 000 étudiés (ceux qui génèrent le plus d’audience selon Alexa) récoltent tout un tas d’informations sur vous et votre navigation et transfèrent vos données personnelles à des sociétés tierces. Parmi ces informations peuvent se trouver des données sensibles comme vos noms et prénoms, votre adresse, ou même votre mot de passe et vos coordonnées bancaires.

Données bancaires et mots de passe

Ces sociétés tierces travaillent dans le marketing web et l’analyse comportementale. Elles fournissent des session-replay scripts aux sites en question pour exploiter les données récupérées et analyser le comportement des internautes sur une page web. En comprenant les habitudes des utilisateurs, leurs réflexes, leurs difficultés, il est alors possible de réfléchir à des améliorations sur la structure de la page. Sauf que Steven Englehardt, Gunes Acar et Arvind Narayanan ont analysé le type de données soutirées par les sept plus gros fournisseurs de session-replay scripts et ont découvert que ces sociétés obtenaient bien plus de données qu’elles ne sont supposées recevoir.

Les données relatives à la carte bancaire sont par exemple envoyées « en clair » à la société russe Yandex, qui a accès au numéro de la carte, à sa date d’expiration et au code CVC. Comme FullStory, Hotjar et Smartlook, elle reçoit également vos noms et prénoms, votre numéro de téléphone, votre adresse, votre numéro de sécurité sociale ainsi que votre date de naissance. Autant de données qui n’ont rien à faire dans leurs serveurs. A noter que ces entreprises ne recueillent pas forcément ces données volontairement. Dans certains cas, on peut penser qu’elles cherchent simplement à comprendre votre manière d’utiliser les formulaires et se retrouvent avec ce « surplus » d’informations qu’elles ne comptent pas exploiter. Mais voir des données si importantes voyager librement alors qu’on les croit sécurisées peut se révéler perturbant. Dans leur étude, les chercheurs rapportent le cas d’un site qui envoyait un mot de passe qui avait été tapé dans un formulaire qui n’avait finalement pas été validé.

donnees personnelles
Réagissez à cet article !
  • Jean-Michel

    Comme dans la chanson ( il faut foutre les portables au chiote)

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !