Le fabricant de matelas Casper fait l’objet d’une plainte : il violerait le Wireless Act en espionnant allégrement les visiteurs de son site. L’entreprise se défend, mais l’affaire éclaire une nouvelle fois les pratiques invasives d'une partie des sites.
Vous ne connaissez pas Casper ? C'est presque normal. Jusqu'à maintenant il s'agissait surtout d'une marque de matelas connue pour sa communication à coups de billets sponsorisés et d'achat d'influenceurs en tous genres.
L'un de ces fabricants de matelas comme on en trouve désormais depuis quelques années. Dans la veine d’un Tediber (français) ou d’un Eve (anglais), il propose un site web présentant un modèle unique, simplement décliné en plusieurs tailles. Une formule qui a beaucoup de succès.
Seulement voilà, le site du fabricant embarquerait également des scripts douteux capables de suivre à la trace toutes les actions d’un internaute. La société fait depuis peu l’objet d’une plainte.
Ce que reproche le plaignant à Casper
Brady Cohen, habitant New York, a déposé plainte contre Casper au niveau fédéral. Il reproche à l’entreprise d’avoir sciemment espionné ses faits et gestes lors de ses sessions de navigation sur le site marchand, comme le rapporte CBS News.
Plus précisément, il accuse Casper d’avoir récupéré de nombreuses informations comme son adresse IP, d’avoir enregistré toutes ses frappes au clavier et d’être allé jusqu’à garder une empreinte de tous ses mouvements de souris. En bref, un tableau complet de ses faits et gestes sur le site, sans qu’il ait commandé quoi que ce soit. Des sessions de navigation qui se sont étalées sur environ six mois, pendant qu’il réfléchissait à un achat de matelas.
Ces données auraient été récoltées par un code masqué appartenant à la société NaviStone, qui fournirait ce type de solution. Il reproche également à Casper de procéder à cette récupération sans jamais avertir l’internaute, aboutissant à ce qu’il nomme une « écoute illégale ». De fait, le cœur de la plainte est une violation du Wireless Act américain.
Le plaignant (et/ou son avocat) cherche actuellement à transformer sa démarche en action collective.
Le fabricant nie tout comportement illégal de son site
Casper est bien cliente des produits de NaviStone, mais l’entreprise nie faire quoi que ce soit d’illégal. Dans une réplique cinglante, elle indique simplement que Brady Cohen cherche à « extorquer » de l’argent à une société dont le succès commercial ferait des envieux. Mieux, ses activités publicitaires respectent les « standards de l’industrie » et sont décrites dans sa politique de vie privée.
De son côté, NaviStone ne décrit pas précisément les techniques utilisées, mais son site officiel affirme que ses clients auront la capacité « d’atteindre des visiteurs précédemment non identifiables ». Comme si la technologie fournie pouvait dépasser les capacités offertes en temps normal à travers un navigateur. Elle se vante même de pouvoir faire parvenir une carte postale aux domiciles des visiteurs anonymes en un jour ou deux.
La société a d’ailleurs réagi, affirmant qu’elle avait été « surprise » de la plainte lorsqu’elle « en a entendu parler pour la première fois ». Elle regrette : « Nous n’avons pas eu l’opportunité de parler au plaignant ou à ses avocats au sujet de leurs inquiétudes. Nous espérons qu’une fois le dialogue entamé, nous pourrons dissiper tout malentendu qu’ils pourraient avoir sur ce que fait NaviStone, ou ne fait pas ».
NaviStone : une réputation sulfureuse
En dépit des protestations de NaviStone et du ton conciliant de la réponse à CBS News, l’entreprise a déjà été évoquée plusieurs fois par le passé pour des comportements troublants de ses technologies.
En juin dernier, Gizmodo montrait ainsi la capacité de NaviStone à enregistrer toute donnée présente dans un formulaire, même si l’utilisateur ne le validait pas. Ce qui se rapproche en effet des fonctions d’un keylogger, puisque aucune action n’est requise pour envoyer les informations vers un serveur.
Nos confrères se sont lancés dans une petite enquête et ont découvert sur plusieurs sites de sociétés clientes de NaviStone (Acurian, Quicken Loans et autres) du code JavaScript bien particulier : les données entrées dans les formulaires, soit manuellement soit remplies automatiquement par une extension ou un navigateur, étaient captées puis transmises.
Peu importe que l’internaute ait expédié ou non le formulaire, NaviStone récupérait les informations, avec de bonnes chances qu’elles soient parfaitement personnelles et donc identifiantes. Il avait collé accidentellement du texte ? Dommage, les informations du presse-papier étaient expédiées.
Gizmodo indiquait dans son article qu’il existait au moins une centaine de sites utilisant les solutions de NaviStone. Sur la douzaine testée, un seul – Gardeners.com – précisait dans sa politique de vie privée que les données des formulaires étaient systématiquement collectées dès leur entrée dans les champs.
Un peu plus tard, NaviStone avait finalement indiqué que l’adresse email ne serait plus collectée de cette manière, et plusieurs sites qu’ils ne se servaient plus des solutions de cet éditeur.
Les petites habitudes des sites web
Difficile pour l’instant de savoir si la plainte de Brady Cohen va aboutir, mais l’affaire redonne un coup d’éclairage à un phénomène loin d’être nouveau : la collecte des données personnelles et le manque de contrôle sur les activités liées. Nul besoin d’aller jusqu’aux enceintes connectées pour se poser des questions, un bon vieux navigateur est suffisant pour trouver des pratiques bien peu éthiques.
L’une des expériences de Gizmodo permettait d'ailleurs de mieux cerner la problématique. Nos confrères se sont rendus sur plusieurs sites utilisant la technologie de NaviStone, remplissant un panier mais ne validant finalement pas l’achat. Après quoi trois sites (Rockler.com, CollectionsEtc.com et BostonProper.com) leur ont envoyé des emails pour leur rappeler que des articles dans leur panier restaient à acheter. Des courriers envoyés sur des adresses qui, à aucun moment, n’avaient été envoyées via un formulaire. Elles avaient simplement été saisies.
Plus récemment, une étude de l’université américaine de Princeton indiquait que près de 500 sites parmi les plus visités au monde contenaient au moins une fonction de type keylogger. Les symptômes décrits étaient toujours du même acabit : des données saisies dans une zone – le plus souvent des formulaires – mais non validées étaient quand même envoyées.
Dans l’étude, les chercheurs évoquaient les scripts « session replay », normalement utilisées pour agréger toute sorte de statistiques d’utilisation de leurs sites, pour en améliorer par exemple l’ergonomie. Mais ces mêmes scripts peuvent être utilisés d’autres manières, notamment pour enregistrer la totalité des actions d’un utilisateur.
La publication de l’étude avait fait réagir de nombreuses entreprises, qui avaient indiqué notamment à Motherboard et Wired qu’elles ne se serviraient plus de tels scripts. Le cas, tout comme celui de Casper, rappelle toutefois le peu de considération fait de l’internaute dans la plupart des cas.
Le besoin d'une meilleure protection des internautes
L’utilisateur devient un simple lot de données personnelles à faire traiter pour l’exploiter ad nauseam, le pourchassant dans ses sessions de navigation pour lui proposer l’achat de produits déjà consultés, l’inscrivant à des newsletters qu’il n’a jamais demandées, et autres formes de tracking. De quoi rendre vital le renforcement des protections en la matière, ce qui doit arriver en Europe à travers le RGPD et ePrivacy dès le mois de mai prochain.
Même si une prise de conscience collective se fait progressivement jour, il s’écoulera encore du temps pour que ces pratiques se calment, sans parler de s’arrêter. Le pistage est encore au cœur de l’activité publicitaire, en dépit d’un prodigieux agacement des internautes, qui réagissent souvent de la même façon : l’installation d’extensions bloquantes.
Une protection à laquelle certains sites réagissent à leur tour par des techniques plus invasives. Pas étonnant, donc, que des navigateurs comme Chrome, Firefox ou Safari se penchent de plus en plus sur la question, à des degrés très divers.
Commentaires (28)
#1
Quel différence avec Intercom, ou Hotjar.js par exemple 🤔?
#2
Question bête, un Ghostery ou un Adnauséam pourrait bloquer ce genre de script ?
#3
Oui mais avec de potentiels effet de bord comme les champs autocomplète qui pourraient ne plus fonctionner.
#4
C’est pas faux, différencier l’autocomplete de l’espionnage, c’est vraiment pas facile.
Pas d’autocomplete sans envoyer des infos, et d’un autre côté, on ne peut pas précharger les infos, ça pourrait aussi fournir des données qu’on ne souhaite pas vraiment donner en masse ou qui sont vraiment affreusement volumineuses.
Au delà de l’autocomplete, ça m’arrive souvent d’avoir un champ avec une info saisie, et quand on a vérifié la valeur (du coup, on l’a envoyée au serveur), on met des détails à côté ou en dessous du champ. C’est un peu pareil, on envoie l’info, et l’utilisateur ne peut pas présumer de notre bonne foi derrière…
#5
Casper n’est pas un gentil vendeur.
" />
#6
6 mois de recherche pour un matelas, le mec est pingre quand même.
#7
Dur de choisir un matelas en ligne, on peut pas le tester.
" />
#8
INternaute, pompe à fric.
#9
#10
T’as 100 jours pour le retourner normalement (preuve du matraquage de ces pubs quand même
" />)
Mais du coup c’est vrai que c’est pas très rassurant ces histoires, on a vu passer des outils pour forcer l’appel de la saisie semi-automatique, si en plus c’est enregistré dans la foulée, ça devient vraiment limite.
#11
Le Casper qu’on a chez nous, il fait aussi chier, mais pas pour les mêmes raisons.
C’est l’appli de pointage en MySQL qui porte ce nom dans mon administration…
#12
#13
#14
Selon ma compréhension : Rien de nouveau sous le soleil, ça s’appelle l’auto-complétion de champ.
Quand je recherche une référence d’article, certains sites complètent automatiquement la référence avant d’avoir appuyé sur Entrée. Même Google le fait. Donc ils ont bien capté l’information saisie et non envoyée.
Quelle est la différence ? Ne pas avoir averti l’utilisateur ? Auquel cas, c’est juste l’information à ajouter dans les CGU.
#15
NaviStone ne fait pas de l’auto-completion , elle fait du ciblage comportemental. Donc il y a fort à parier qu’en effet, elle collecte un maximum d’informations pouvant traduire les centres d’intérêts des utilisateurs.
#16
#17
Les autocomplete de formulaires sont stockées en local normalement; eux les aspirent en plus.
#18
#19
#20
Mais comment est-ce que ça peut être ne serait-ce que légal? Mettons par exemple que tu entres trop rapidement les données demandées en utilisant les raccourcis clavier, ou que tu te trompes tout simplement et que par inadvertance tu entres le pass dans le mauvais champs, ou une autre donnée sensible qui se fait aspiré non crypté sans distinction…. Ca devrait être assimilable à du hacking tout ça, clairement illégale…
#21
De toutes les manières, le passe est envoyé au site, qu’il le soit avant ne va pas y changer grand chose, sauf si ce n’est pas le bon passe. Et si tu as des craintes à ce sujet, rien ne t’empêche (ce que je fais) d’utiliser un gestionnaire de mots de passes qui va générer un passe différent pour chaque site, au pire ils récupèrerons le passe qui est déjà dans leur base.
Il faudra voir en Europe comment ce type de pratique peut se marier avec le RGPD qui entre en vigueur dans les prochains mois. Et à mon avis, cela ne rentre pas dans les récupérations autorisées.
#22
Ce que tu dis vaut aussi pour les champs avec auto-completion, je vois mal comment on pourrait faire le distingo entre les deux, dans les deux cas on transmet au serveur des données non validées. Ce n’est pas la technique en elle même qui est répréhensible, mais sa finalité.
#23
#24
Je pensais pas à l’autocomplete du navigateur, mais à l’autocomplete qu’on ferait par exemple sur un champ avec le nom d’une ville, on envoie les premières saisies lettres au serveur et ça te propose les villes.
Pomper l’autocomplete que mon navigateur fait, c’est pomper direct mon adresse et tout, c’est violent, oui.
#25
Marrant, mais pour moi, Casper me fait penser au gentil fantôme :p.
#26
J’ai dit une bêtise?
#27
Effet secondaire 
" />
#28
@digital-jedi
on peu désactiver l’auto-complétion, et pour d’identifiants/mot de passe personnellement je met un mot de passe principal sur Firefox qui permet de ne pas les auto-compléter . comme mes cookies sont supprimés à la fermeture, ils ont plus de soucis pour savoir qui je suis. au final c’est surtout pour que les sites soient moins personnalisés.