La pratique s’appelle session replay, littéralement « rejouer une session ». Elle consiste à enregistrer l’intégralité des actions d’un visiteur sur un site Web : les endroits où il clique bien sûr, mais aussi ses mouvements de souris, ce qu’il ou elle tape dans un formulaire de série et à quelle vitesse… Des données qui permettent de « revoir », en vidéo, comment un internaute s’est comporté en reproduisant l’intégralité de sa session sur le site.

Prisée des ergonomes et des personnes qui cherchent à améliorer le fonctionnement de leur site, la pratique est le plus souvent réalisée à l’insu des internautes. Une étude menée par des chercheurs de l’université de Princeton montre que les outils la permettant se sont multipliés sur les sites Internet : en recherchant la présence du code informatique concerné, ils en ont trouvé la trace sur 482 des 50 000 sites les plus visités aux Etats-Unis. Un moteur de recherche permet de vérifier la présence des scripts d’enregistrement dans la liste des sites les plus utilisés – sans que cela ne montre que les sessions sont systématiquement enregistrées.

Failles de sécurité

En théorie, les données collectées par ces outils de session replay – édités notamment par des entreprises comme Yandex, FullStory, Hotjar, ou Clicktale – doivent être anonymisées. Certains prévoient automatiquement de ne pas enregistrer certaines informations sensibles – comme les caractères tapés dans un champ de saisie de mot de passe. Mais des tests effectués par les chercheurs montrent que cette anonymisation n’est pas totalement efficace, et nécessite des personnalisations que tous les éditeurs de sites ne mettent pas en place.

Par ailleurs, les chercheurs notent que les vidéos générées par ces outils ne sont pas particulièrement bien protégées contre d’éventuels piratages. Les pages permettant d’y accéder ne bénéficient, par exemple, pas de la protection conférée par la version sécurisée du protocole http, le https, contrairement à la pratique standard pour les pages pouvant contenir des mots de passe.

« Certaines des vulnérabilités que nous soulignons sont structurellement liées à la pratique d’enregistrement de sessions », notent les chercheurs. « Cela ne signifie pas que des vulnérabilités spécifiques ne peuvent pas être corrigées par les éditeurs de sites (…). Mais tant que la sécurité des données dépendra du bon vouloir des éditeurs de site, ces vulnérabilités structurelles continueront d’exister. »

Le Monde