Comment les utilisateurs sont suivis sur Internet à l'aide de JavaScript OnlineSim
- 26 sept. 2023, 23:54
- 10 minutes
Comment les utilisateurs sont suivis sur Internet à l'aide de JavaScript
Lorsque vous vous rendez sur YouTube, Netflix ou Google Maps, les sites chargent automatiquement du contenu. Ce faisant, les pages sont toujours adaptées à votre appareil et à votre navigateur.
Les pages Internet détectent votre appareil et chargent automatiquement le contenu du site web en utilisant JavaScript. En plus de donner vie aux sites, JS collecte les informations personnelles des utilisateurs, qui peuvent ensuite être utilisées par des publicitaires ou des pirates informatiques.
Dans ce quatrième article de notre série « Sécurité sur Internet », nous expliquons ce qu'est JavaScript et comment il est utilisé pour traquer les individus.
Qu'est-ce que JavaScript ?
JavaScript est un langage de programmation qui permet aux sites web de s'animer et de créer du contenu manipulé dynamiquement : menus, sons et autres éléments interactifs. Dans le passé, ce langage était utilisé pour des fonctions simples. Par exemple, JavaScript permettait de vérifier que tous les champs d'inscription étaient remplis avant de soumettre le formulaire.
Aujourd'hui, JS est utilisé pour créer toutes sortes d'applications (application web en JavaScript). Par exemple, des cartes interactives, des graphiques animés en 2D/3D ou des lecteurs vidéo intégrés au browser.
Le langage fonctionne comme suit : l'utilisateur effectue une certaine action → le navigateur la détecte → active le code JS → le changement spécifié se produit sur la page.
En outre, JavaScript peut être utilisé pour trouver des informations sur l'utilisateur qui a interagi avec le script.
Par exemple, les sites spécifient souvent votre navigateur. Les métabalises contiennent des liens vers les scripts qui sont exécutés lorsque la page est ouverte. Lorsqu'un utilisateur se rend sur le site, dans cette session, le code est déclenché et identifie le navigateur à partir duquel la personne visite la ressource.
D'autres scripts peuvent s'exécuter automatiquement et lire des informations sur votre écran ou votre activité sur le site.
Ce que JavaScript peut apprendre sur vous
Grâce à JS, il est possible d'écrire d'autres codes dans le code du site qui interrogent le browser de l'utilisateur pour trouver des paramètres et des données spécifiques, et uniques dans le navigateur et sur le système informatique. C'est pourquoi JavaScript aide à reconnaître :
Préférences Internet. Cela fonctionne grâce à un code de suivi. Il permet aux annonceurs, aux webmasters et aux spécialistes du marketing d'analyser les visiteurs et leurs actions sur un site. Par exemple, les publicités sur lesquelles les clients ont cliqué, la durée de leur lecture, etc.
Ces informations sont ensuite introduites dans Google Analytics, Yandex.Metrika ou d'autres systèmes d'analyse.
Informations sur l'appareil. Il existe un code de navigation en JS (JavaScript test navigateur). Il contient des informations complètes sur le browser et le nom du système d'exploitation du visiteur. Si vous liez le code au bouton du site, le propriétaire de la ressource trouvera des informations sur l'utilisateur lorsqu'il cliquera sur celui-ci.
L'information sur l'écran de l'utilisateur indique l'écran de code. Il permet aux propriétaires de sites de connaître la taille de l'écran et les couleurs utilisées par l'utilisateur.
Et Navigator.plugins collecte des informations sur les plugins et leurs versions.
Les mots que vous tapez. Si un tel code est déjà intégré au site ou si des pirates l'ont intégré, ils peuvent suivre les champs de texte que les utilisateurs remplissent.
Par exemple, c'est ainsi que les escrocs peuvent obtenir les coordonnées d'une carte bancaire par le biais d'un faux site de paiement.
Informations de la caméra. Grâce à des codes spéciaux, les sites web peuvent accéder à la caméra ou au microphone, ainsi qu'à la vidéo et à l'audio capturés par l'appareil.
C'est ainsi, par exemple, que les créateurs de sites web peuvent accéder à la caméra avant et arrière d'un smartphone et observer ce que fait l'utilisateur.
Comment Javascript est lié aux systèmes d'analyse
Grâce aux services d'analyse, les propriétaires de sites Web peuvent également suivre d'autres informations : les pages consultées par les utilisateurs, les actions qu'ils ont effectuées, la manière dont ils ont interagi avec les numéros de téléphone du site et le temps qu'ils ont passé sur la ressource.
Certains services populaires sont Google Analytics, Yandex.Metrika, Hotjar, Statcounter et d'autres.
Les services montrent combien de personnes se sont inscrites sur la ressource, ont payé quelque chose, se sont connectées, ont ajouté au panier, ont regardé un produit, ont utilisé le script moteur de recherche pour site web, etc.
Ces systèmes sont installés sur presque tous les sites web. Ils sont réglementés par de grandes entreprises, sont totalement légaux, ne surveillent que le comportement des clients et ne conservent aucune donnée personnelle. Le propriétaire du site n'a donc aucune idée de qui est qui. Il ne voit que des données agrégées. Et s'il tente de trouver les données personnelles de l'utilisateur et de les vendre, il se verra infliger une amende ou une interdiction dans le système.
L'objectif de ces systèmes est de rendre les sites pratiques et utiles. Pour indiquer aux propriétaires des ressources ce qui se passe sur un site lorsque les utilisateurs le visitent.
Pourquoi désactiver JavaScript
Lorsqu'un utilisateur visite un site internet, tous les programmes JavaScript sont lancés automatiquement. Si un code malveillant est intégré dans les scripts, lors de cette session, une personne peut perdre des informations confidentielles ou recevoir des virus sur son PC.
C'est pourquoi la désactivation de JavaScript protège contre l'espionnage sur Internet : les sites ne sauront pas quel navigateur ou quel PC vous utilisez. Les lettres que vous écrivez et les actions que vous entreprenez.
Que se passera-t-il si vous désactivez JavaScript
Si vous utilisez la fonction désactiver JavaScript, de nombreux sites Web ne fonctionneront plus correctement. La plupart des sites utilisent du code JS pour interagir avec l'utilisateur et afficher une page personnalisée.
Par exemple, sans JavaScript, les sites d'hébergement vidéo cesseront de fonctionner : la page principale ne se chargera pas. Les réseaux sociaux, les cartes en ligne, les services de livraison de nourriture et autres cesseront de fonctionner ; les sites afficheront simplement des pages vides sans contenu.
Désactiver JavaScript vous permettra de vous protéger contre l'espionnage et de réduire le risque de vol d'informations sensibles. Toutefois, la désactivation de JS ne fournira pas une protection complète.
Sans JavaScript, les mesures d'analyse cesseront également de fonctionner. Ils sont réalisés dans ce langage de programmation et sont automatiquement chargés lorsqu'un utilisateur se rend sur un site web.
Des systèmes d'analyse sont mis en place sur les sites pour optimiser la publicité et la rendre plus efficace. En fait, il s'agit de montrer des publicités à un public intéressé. Si la fonction désactiver JS est activée, l'utilisateur verra des publicités inintéressantes et non personnalisées.
Les métriques aident également à identifier les zones problématiques d'un site ou les contenus inintéressants et à les corriger.
Par exemple, le service Hotjar permet de créer une carte du site et de voir avec quels blocs les clients interagissent le plus. Si un élément non cliquable du site internet est fréquemment cliqué par les utilisateurs, les développeurs le verront et le rendront cliquable.
Les systèmes d'analyse montrent comment les visiteurs interagissent avec l'interface du site. Les propriétaires de ressources verront tous les clics, les mouvements du curseur, le temps qu'une personne passe dans chaque partie de la page, et les problèmes qui surviennent dans certains navigateurs ou appareils.
Par exemple, si une fonctionnalité ne fonctionne pas dans un navigateur, le propriétaire du site internet la verra et résoudra le problème.
Comment les pirates informatiques volent des informations via JavaScript
En injectant un code malveillant. C'est ce qu'on appelle le cross-site scripting (XSS). Les pirates intègrent un code JS malveillant dans un site web. Il peut traiter et stocker des informations sensibles sur les utilisateurs.
Par exemple, un tel code sur un site internet de banque en ligne peut mémoriser les données de connexion à un compte bancaire ou d'autres informations concernant l'utilisateur.
En créant une injection SQL. L'injection SQL est une technique de piratage qui permet aux pirates d'accéder aux bases de données d'un site internet. Ils peuvent modifier ou voler les informations des utilisateurs se trouvant dans ces bases.
Les attaques de type CSRF (Cross-Site Request Forgery). CSRF est une attaque contre un site web à l'aide d'un site ou d'un script malveillant. Il oblige le navigateur d'un utilisateur à effectuer une action non désirée (session utilisateur JavaScript) sur un site internet de confiance où celui-ci est connecté. Pour que l'attaque fonctionne, ce dernier doit cliquer sur le lien du pirate.
Par exemple, une personne s'est connectée au site Web d'une banque et ouvre accidentellement un lien frauduleux demandant de transférer de l'argent sur le compte du voleur. La banque traitera la transaction à l'insu du client, puisqu'elle est autorisée sur son compte personnel.
Comment se protéger du vol d'informations via JavaScript
Visitez des sites qui utilisent le cryptage HTTPS/SSL. Les pirates ne peuvent pas intégrer leurs codes JS dans un tel site internet, ils ne peuvent donc rien voler. Mais si un site HTTPS contient du code JS malveillant, il n'y a aucun moyen de se protéger.
Comment désactiver le suivi via JavaScript
Pour vous débarrasser d'une partie de la surveillance, utilisez des extensions de bloqueurs de publicité. Par exemple, AdBlock, uBlock Origin, Ghostery, AdGuard et d'autres.
Ils bloquent les scripts inutiles et laissent ceux qui contribuent à améliorer les performances et la publicité du site internet.