scripts d'enregistrement vpn


De nombreux VPN promettent de protéger votre vie privée et votre sécurité - mais que se passe-t-il si leurs sites Web enregistrent chacun de vos mouvements et envoient les données à des serveurs tiers?

Récemment, des nouvelles ont annoncé que certains des sites Web les plus populaires au monde enregistraient:

  • toutes vos frappes;
  • mouvements de souris;
  • comportement de défilement;
  • tout contenu que vous saisissez dans des formulaires (cartes de crédit, mots de passe, adresses, etc.), même si le formulaire n'est pas soumis;
  • et le contenu de la page elle-même, ces informations étant automatiquement transmises à serveurs tiers.

Essentiellement, ces scripts de suivi agissent comme un Caméra de surveillance - au sens propre enregistrer chaque mouvement que vous faites lorsque vous naviguez sur le site Web.

Avant de divulguer les contrevenants VPN, mettons cela en perspective.

De nombreux sites Web utilisent Google Analytics ou un autre logiciel de suivi, ce qui contribue à optimiser le contenu du site. Il s'agit d'une pratique standard, même si elle n'est pas idéale. Cependant, lorsqu'une équipe de chercheurs de Princeton a examiné ces scripts d'enregistrement de session, ils ont découvert un tout nouveau niveau de suivi et de surveillance d'entreprise.

Avec seulement quelques scripts de «relecture de session» ajoutés au code, les sites Web peuvent facilement enregistrer chacun de vos mouvements. Voici un script de réponse de session (FullStory) en action:

L'enregistrement de session en action.

Examinons maintenant les problèmes que cela crée…

Qu'est ce qui pourrait aller mal?

Cela crée évidemment des risques de confidentialité et de sécurité pour l'utilisateur final, qui transmet sans le savoir des données personnelles - des données potentiellement sensibles - à des serveurs tiers.

Le rapport de recherche résume les risques suivants:

La collecte du contenu de la page par des scripts de relecture tiers peut provoquer la fuite d'informations tierces dans le cadre de l'enregistrement d'informations sensibles telles que les conditions médicales, les détails de la carte de crédit et d'autres informations personnelles affichées sur une page. Cela peut exposer les utilisateurs au vol d'identité, aux escroqueries en ligne et à d'autres comportements indésirables. Il en va de même pour la collecte des entrées utilisateur lors des processus de commande et d'enregistrement.

En outre, ces sociétés, telles que FullStory, permettent également aux propriétaires de sites Web de «lier les enregistrements qu’ils rassemblent aux véritable identité."

Confidentialité perdue.

Vos données privées reposant sur des serveurs tiers, cela crée davantage problèmes à long terme, comme indiqué dans le rapport:

Enfin, les auteurs de l'étude craignent que les sociétés de script de session ne soient vulnérables aux hacks ciblés, en particulier parce qu'il s'agit probablement de cibles de grande valeur. Par exemple, beaucoup de ces sociétés ont des tableaux de bord où les clients peuvent lire les enregistrements qu'ils collectent. Mais les tableaux de bord de Yandex, Hotjar et Smartlook exécutent des pages HTTP non chiffrées, plutôt que des pages HTTPS chiffrées beaucoup plus sécurisées.

Il est également important de noter que certaines de ces sociétés fournissent des outils de rédaction. En théorie, ces outils empêcheraient les données sensibles d'être enregistrées et stockées sur des serveurs tiers. Cependant, les chercheurs ont constaté que ce n'est souvent pas le cas.

Comme indiqué dans le rapport:

Les mots de passe sont souvent accidentellement inclus dans les enregistrements, bien que les scripts soient conçus pour les exclure. Les chercheurs ont constaté que d'autres informations personnelles n'étaient souvent pas caviardées, ou seulement partiellement caviardées, du moins avec certains des scripts.

Cause d'alarme - Ainsi, non seulement les scripts de suivi enregistrent chacun de vos mouvements, mais les outils de rédaction censés protéger les données sensibles ne fonctionnent pas toujours correctement..

Voulez-vous que vos données soient effacées de ces serveurs tiers?

Bonne chance.

Il n'y a pas d'exclusion - mais vous pouvez bloquer ces scripts, que nous couvrirons plus loin ci-dessous.

Les coupables

Les chercheurs ont publié les données ici, qui comprennent environ 97 000 sites Web qui «intègrent des scripts de fournisseurs d'analyse qui offrent des services d'enregistrement de session». Ils n'ont examiné que sept des scripts d'enregistrement de session les plus populaires. Par conséquent, l'étude n'est en aucun cas exhaustive, surtout si l'on considère la large expansion dans le domaine du suivi en ligne.

Pour voir quels sites VPN ont été inclus dans l'ensemble de données, vous pouvez télécharger le fichier CSV compressé ici.

Lorsque vous examinez le fichier CSV, vous trouverez les fournisseurs VPN suivants et les scripts d'enregistrement de session trouvés sur leurs sites Web..

Remarque: depuis la publication du rapport au début du mois, la plupart des VPN ont supprimé les scripts d'enregistrement de session de leurs sites Web. Cependant, avec certains fournisseurs, les scripts sont toujours utilisés:

Site Internet

Enregistreur de session

Toujours utilisé?

astrill.com
hotjar
Oui

cyberghostvpn.com
hotjar
Non

hidemyass.com
hotjar
Non

ipvanish.com
hotjar
Non

nordvpn.com
hotjar
Non

purevpn.com
hotjar
Oui

safervpn.com
inspectlet
Oui

strongvpn.com
hotjar
Non

zenmate.com
hotjar
Non

Les services VPN promettent de protéger la confidentialité des utilisateurs, tout en utilisant des scripts d'enregistrement de session, ce qui viole cette confidentialité.

Partage de données tiers - Une autre contradiction évidente ici est que beaucoup de ces VPN prétendent également ne pas partager de données avec des tiers. Pourtant, par défaut, ces scripts sont conçus pour tout enregistrer et envoyer les données à des serveurs tiers.

Par conséquent, l'utilisation de scripts d'enregistrement de session peut être violant la politique de confidentialité du VPN.

Pas d'avertissement - Cela est également problématique car les utilisateurs doivent souvent accéder au site Web VPN et à la zone des membres, par exemple lors du téléchargement de logiciels, de l'assistance ou du renouvellement d'un abonnement. Malheureusement, il ne semble pas que ces sites émettent des avertissements, tels que:

«AVERTISSEMENT - Tout ce que vous faites est enregistré et envoyé à des serveurs tiers. Il n'y a aucun moyen de se retirer. "

Protège toi

Le suivi et la collecte de données est une entreprise très importante et en croissance. Étant donné qu'il existe des milliers de sites Web hébergeant ces scripts, et aucun moyen efficace de se retirer, la seule solution qui reste est de les bloquer.

L'article d'origine affirmait que Adblock Plus bloquera tous les scripts d'enregistrement de session identifiés dans l'étude. Un autre module complémentaire de navigateur qui devrait effectivement empêcher l'exécution de ces scripts est NoScript. et enfin, Origine uBlock devrait aussi fonctionner.

Une autre solution consiste à utiliser un bloqueur de publicité VPN qui filtre ces scripts et domaines au niveau du serveur VPN. J'ai testé le  caractéristique de  et l'a trouvé pour bloquer efficacement les scripts «hotjar» et «inspectlet» cités ci-dessus.

Mise à jour du 4 décembre 2017 - SaferVPN a supprimé le script «inspectlet» de son site Web.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me