S'inscrire
Instructions

Comment les utilisateurs sont suivis sur Internet à l'aide de JavaScript OnlineSim

  • 26 sept. 2023, 23:54
  • 10 minutes

Comment les utilisateurs sont suivis sur Internet à l'aide de JavaScript

Lorsque vous vous rendez sur YouTube, Netflix ou Google Maps, les sites chargent automatiquement du contenu. Ce faisant, les pages sont toujours adaptées à votre appareil et à votre navigateur. 

Les pages Internet détectent votre appareil et chargent automatiquement le contenu du site web en utilisant JavaScript. En plus de donner vie aux sites, JS collecte les informations personnelles des utilisateurs, qui peuvent ensuite être utilisées par des publicitaires ou des pirates informatiques.

Dans ce quatrième article de notre série « Sécurité sur Internet », nous expliquons ce qu'est JavaScript et comment il est utilisé pour traquer les individus. 

Qu'est-ce que JavaScript ? 

JavaScript est un langage de programmation qui permet aux sites web de s'animer et de créer du contenu manipulé dynamiquement : menus, sons et autres éléments interactifs. Dans le passé, ce langage était utilisé pour des fonctions simples. Par exemple, JavaScript permettait de vérifier que tous les champs d'inscription étaient remplis avant de soumettre le formulaire. 

Aujourd'hui, JS est utilisé pour créer toutes sortes d'applications (application web en JavaScript). Par exemple, des cartes interactives, des graphiques animés en 2D/3D ou des lecteurs vidéo intégrés au browser. 

Le langage fonctionne comme suit : l'utilisateur effectue une certaine action → le navigateur la détecte → active le code JS → le changement spécifié se produit sur la page.

En outre, JavaScript peut être utilisé pour trouver des informations sur l'utilisateur qui a interagi avec le script.

 

Par exemple, les sites spécifient souvent votre navigateur. Les métabalises contiennent des liens vers les scripts qui sont exécutés lorsque la page est ouverte. Lorsqu'un utilisateur se rend sur le site, dans cette session, le code est déclenché et identifie le navigateur à partir duquel la personne visite la ressource.

D'autres scripts peuvent s'exécuter automatiquement et lire des informations sur votre écran ou votre activité sur le site.

Ce que JavaScript peut apprendre sur vous

Grâce à JS, il est possible d'écrire d'autres codes dans le code du site qui interrogent le browser de l'utilisateur pour trouver des paramètres et des données spécifiques, et uniques dans le navigateur et sur le système informatique. C'est pourquoi JavaScript aide à reconnaître :

Préférences Internet. Cela fonctionne grâce à un code de suivi. Il permet aux annonceurs, aux webmasters et aux spécialistes du marketing d'analyser les visiteurs et leurs actions sur un site. Par exemple, les publicités sur lesquelles les clients ont cliqué, la durée de leur lecture, etc.

Ces informations sont ensuite introduites dans Google Analytics, Yandex.Metrika ou d'autres systèmes d'analyse.

Informations sur l'appareil. Il existe un code de navigation en JS (JavaScript test navigateur). Il contient des informations complètes sur le browser et le nom du système d'exploitation du visiteur. Si vous liez le code au bouton du site, le propriétaire de la ressource trouvera des informations sur l'utilisateur lorsqu'il cliquera sur celui-ci.

L'information sur l'écran de l'utilisateur indique l'écran de code. Il permet aux propriétaires de sites de connaître la taille de l'écran et les couleurs utilisées par l'utilisateur.

Et Navigator.plugins collecte des informations sur les plugins et leurs versions.

Les mots que vous tapez. Si un tel code est déjà intégré au site ou si des pirates l'ont intégré, ils peuvent suivre les champs de texte que les utilisateurs remplissent.

Par exemple, c'est ainsi que les escrocs peuvent obtenir les coordonnées d'une carte bancaire par le biais d'un faux site de paiement.

Informations de la caméra. Grâce à des codes spéciaux, les sites web peuvent accéder à la caméra ou au microphone, ainsi qu'à la vidéo et à l'audio capturés par l'appareil.

C'est ainsi, par exemple, que les créateurs de sites web peuvent accéder à la caméra avant et arrière d'un smartphone et observer ce que fait l'utilisateur.

Comment Javascript est lié aux systèmes d'analyse

Grâce aux services d'analyse, les propriétaires de sites Web peuvent également suivre d'autres informations : les pages consultées par les utilisateurs, les actions qu'ils ont effectuées, la manière dont ils ont interagi avec les numéros de téléphone du site et le temps qu'ils ont passé sur la ressource. 

Certains services populaires sont Google Analytics, Yandex.Metrika, Hotjar, Statcounter et d'autres.

Les services montrent combien de personnes se sont inscrites sur la ressource, ont payé quelque chose, se sont connectées, ont ajouté au panier, ont regardé un produit, ont utilisé le script moteur de recherche pour site web, etc. 

Informations que le propriétaire du site Web tire de Google Analytics



Ces systèmes sont installés sur presque tous les sites web. Ils sont réglementés par de grandes entreprises, sont totalement légaux, ne surveillent que le comportement des clients et ne conservent aucune donnée personnelle. Le propriétaire du site n'a donc aucune idée de qui est qui. Il ne voit que des données agrégées. Et s'il tente de trouver les données personnelles de l'utilisateur et de les vendre, il se verra infliger une amende ou une interdiction dans le système.

L'objectif de ces systèmes est de rendre les sites pratiques et utiles. Pour indiquer aux propriétaires des ressources ce qui se passe sur un site lorsque les utilisateurs le visitent.

Pourquoi désactiver JavaScript

Lorsqu'un utilisateur visite un site internet, tous les programmes JavaScript sont lancés automatiquement. Si un code malveillant est intégré dans les scripts, lors de cette session, une personne peut perdre des informations confidentielles ou recevoir des virus sur son PC. 

C'est pourquoi la désactivation de JavaScript protège contre l'espionnage sur Internet : les sites ne sauront pas quel navigateur ou quel PC vous utilisez. Les lettres que vous écrivez et les actions que vous entreprenez.

>Désactiver JavaScript vous permettra de profiter d'une expérience web sans publicités, sans défilement de page interminable, sans fenêtres modales ennuyeuses qui surgissent et sans blocage de la page vous demandant de vous inscrire à quelque chose.

Que se passera-t-il si vous désactivez JavaScript

Si vous utilisez la fonction désactiver JavaScript, de nombreux sites Web ne fonctionneront plus correctement. La plupart des sites utilisent du code JS pour interagir avec l'utilisateur et afficher une page personnalisée. 

Par exemple, sans JavaScript, les sites d'hébergement vidéo cesseront de fonctionner : la page principale ne se chargera pas. Les réseaux sociaux, les cartes en ligne, les services de livraison de nourriture et autres cesseront de fonctionner ; les sites afficheront simplement des pages vides sans contenu.

Désactiver JavaScript vous permettra de vous protéger contre l'espionnage et de réduire le risque de vol d'informations sensibles. Toutefois, la désactivation de JS ne fournira pas une protection complète.

>Les cookies constituent la plus grande menace pour les données personnelles. Il s'agit de fichiers qui peuvent vérifier l'historique de navigation, les données que vous avez saisies dans des formulaires et votre localisation. La quantité d'informations dépend de ce que les propriétaires des ressources veulent savoir sur vous. Nonobstant, les sites peuvent partager des informations entre eux. Ainsi, si une ressource connaît vos informations personnelles, elle peut les communiquer à une autre. Avec JavaScript, ce n'est pas possible, car chaque site internet a son propre code.

Sans JavaScript, les mesures d'analyse cesseront également de fonctionner. Ils sont réalisés dans ce langage de programmation et sont automatiquement chargés lorsqu'un utilisateur se rend sur un site web.

Des systèmes d'analyse sont mis en place sur les sites pour optimiser la publicité et la rendre plus efficace. En fait, il s'agit de montrer des publicités à un public intéressé. Si la fonction désactiver JS est activée, l'utilisateur verra des publicités inintéressantes et non personnalisées.

>Google Analytics n'est pas seulement utilisé par les petites entreprises mais aussi par les grandes. Par exemple, Uber, Spotify, AirBnb.

Les métriques aident également à identifier les zones problématiques d'un site ou les contenus inintéressants et à les corriger.

Par exemple, le service Hotjar permet de créer une carte du site et de voir avec quels blocs les clients interagissent le plus. Si un élément non cliquable du site internet est fréquemment cliqué par les utilisateurs, les développeurs le verront et le rendront cliquable.

Carte thermique d’un site internet provenant de Hotjar



Les systèmes d'analyse montrent comment les visiteurs interagissent avec l'interface du site. Les propriétaires de ressources verront tous les clics, les mouvements du curseur, le temps qu'une personne passe dans chaque partie de la page, et les problèmes qui surviennent dans certains navigateurs ou appareils. 

Par exemple, si une fonctionnalité ne fonctionne pas dans un navigateur, le propriétaire du site internet la verra et résoudra le problème.

>Les systèmes d'analyse sont utiles aux propriétaires de sites web car ils montrent les zones à problèmes et aident à améliorer les ressources et l'expérience client. Et les utilisateurs profitent de ces services car ils les aident à obtenir un contenu personnalisé.

Comment les pirates informatiques volent des informations via JavaScript

En injectant un code malveillant. C'est ce qu'on appelle le cross-site scripting (XSS). Les pirates intègrent un code JS malveillant dans un site web. Il peut traiter et stocker des informations sensibles sur les utilisateurs.

Par exemple, un tel code sur un site internet de banque en ligne peut mémoriser les données de connexion à un compte bancaire ou d'autres informations concernant l'utilisateur.

>En 2018, des fraudeurs ont attaqué British Airways et ont volé environ 380 000 données de cartes bancaires.Les attaquants ont modifié un script pour envoyer les données des clients à un serveur malveillant dont le nom de domaine est similaire à celui de British Airways. Le faux serveur possédait un certificat SSL, de sorte que les clients pensaient acheter des billets sur un serveur sécurisé.  Les pirates ont finalement appris les détails de 380 000 cartes bancaires.

En créant une injection SQL. L'injection SQL est une technique de piratage qui permet aux pirates d'accéder aux bases de données d'un site internet. Ils peuvent modifier ou voler les informations des utilisateurs se trouvant dans ces bases.

>En 2019, un pirate a volé des centaines de milliers de données de cartes bancaires en utilisant une injection SQL. Il a volé des informations sur les cartes de paiement dans les bases de données des sites web et les a ensuite vendues sur des marchés en ligne illégaux. Un peu plus tard, d'autres pirates ont volé 8,3 millions d'e-mails et de mots de passe d'utilisateurs du site Flaticon. L'attaque a également été réalisée par injection SQL.

Les attaques de type CSRF (Cross-Site Request Forgery). CSRF est une attaque contre un site web à l'aide d'un site ou d'un script malveillant. Il oblige le navigateur d'un utilisateur à effectuer une action non désirée (session utilisateur JavaScript) sur un site internet de confiance où celui-ci est connecté. Pour que l'attaque fonctionne, ce dernier doit cliquer sur le lien du pirate.

Par exemple, une personne s'est connectée au site Web d'une banque et ouvre accidentellement un lien frauduleux demandant de transférer de l'argent sur le compte du voleur. La banque traitera la transaction à l'insu du client, puisqu'elle est autorisée sur son compte personnel.

>Un autre type de fraude est le mining caché. En 2021, Coinhive a intégré un cryptomineur dans un site web via un code JS. Lorsque les utilisateurs accèdent au site internet, le mineur s'active et extrait secrètement la cryptomonnaie. Troy Hunt, directeur régional de Microsoft, estime que les escrocs gagnaient jusqu'à 250 000 dollars par mois.

Comment se protéger du vol d'informations via JavaScript

Visitez des sites qui utilisent le cryptage HTTPS/SSL. Les pirates ne peuvent pas intégrer leurs codes JS dans un tel site internet, ils ne peuvent donc rien voler. Mais si un site HTTPS contient du code JS malveillant, il n'y a aucun moyen de se protéger.

>Un autre avantage des ressources avec un cryptage HTTPS est la sécurisation des cookies. Il s'agit de fichiers qui ne peuvent être envoyés au serveur web que via HTTPS et qui sont plus difficiles à pirater.

Comment désactiver le suivi via JavaScript

>La désactivation de JavaScript empêchera la plupart des pages de s'ouvrir. Il n'est donc pas judicieux de désactiver complètement les scripts car la plupart des sites cesseront de fonctionner correctement.

Pour vous débarrasser d'une partie de la surveillance, utilisez des extensions de bloqueurs de publicité. Par exemple, AdBlock, uBlock Origin, Ghostery, AdGuard et d'autres.

Ils bloquent les scripts inutiles et laissent ceux qui contribuent à améliorer les performances et la publicité du site internet.