Le fabricant de matelas Casper fait l’objet d’une plainte : il violerait le Wireless Act en espionnant allégrement les visiteurs de son site. L’entreprise se défend, mais l’affaire éclaire une nouvelle fois les pratiques invasives d'une partie des sites.
Vous ne connaissez pas Casper ? C'est presque normal. Jusqu'à maintenant il s'agissait surtout d'une marque de matelas connue pour sa communication à coups de billets sponsorisés et d'achat d'influenceurs en tous genres.
L'un de ces fabricants de matelas comme on en trouve désormais depuis quelques années. Dans la veine d’un Tediber (français) ou d’un Eve (anglais), il propose un site web présentant un modèle unique, simplement décliné en plusieurs tailles. Une formule qui a beaucoup de succès.
Seulement voilà, le site du fabricant embarquerait également des scripts douteux capables de suivre à la trace toutes les actions d’un internaute. La société fait depuis peu l’objet d’une plainte.
Ce que reproche le plaignant à Casper
Brady Cohen, habitant New York, a déposé plainte contre Casper au niveau fédéral. Il reproche à l’entreprise d’avoir sciemment espionné ses faits et gestes lors de ses sessions de navigation sur le site marchand, comme le rapporte CBS News.
Plus précisément, il accuse Casper d’avoir récupéré de nombreuses informations comme son adresse IP, d’avoir enregistré toutes ses frappes au clavier et d’être allé jusqu’à garder une empreinte de tous ses mouvements de souris. En bref, un tableau complet de ses faits et gestes sur le site, sans qu’il ait commandé quoi que ce soit. Des sessions de navigation qui se sont étalées sur environ six mois, pendant qu’il réfléchissait à un achat de matelas.
Ces données auraient été récoltées par un code masqué appartenant à la société NaviStone, qui fournirait ce type de solution. Il reproche également à Casper de procéder à cette récupération sans jamais avertir l’internaute, aboutissant à ce qu’il nomme une « écoute illégale ». De fait, le cœur de la plainte est une violation du Wireless Act américain.
Le plaignant (et/ou son avocat) cherche actuellement à transformer sa démarche en action collective.
Le fabricant nie tout comportement illégal de son site
Casper est bien cliente des produits de NaviStone, mais l’entreprise nie faire quoi que ce soit d’illégal. Dans une réplique cinglante, elle indique simplement que Brady Cohen cherche à « extorquer » de l’argent à une société dont le succès commercial ferait des envieux. Mieux, ses activités publicitaires respectent les « standards de l’industrie » et sont décrites dans sa politique de vie privée.
De son côté, NaviStone ne décrit pas précisément les techniques utilisées, mais son site officiel affirme que ses clients auront la capacité « d’atteindre des visiteurs précédemment non identifiables ». Comme si la technologie fournie pouvait dépasser les capacités offertes en temps normal à travers un navigateur. Elle se vante même de pouvoir faire parvenir une carte postale aux domiciles des visiteurs anonymes en un jour ou deux.
La société a d’ailleurs réagi, affirmant qu’elle avait été « surprise » de la plainte lorsqu’elle « en a entendu parler pour la première fois ». Elle regrette : « Nous n’avons pas eu l’opportunité de parler au plaignant ou à ses avocats au sujet de leurs inquiétudes. Nous espérons qu’une fois le dialogue entamé, nous pourrons dissiper tout malentendu qu’ils pourraient avoir sur ce que fait NaviStone, ou ne fait pas ».
NaviStone : une réputation sulfureuse
En dépit des protestations de NaviStone et du ton conciliant de la réponse à CBS News, l’entreprise a déjà été évoquée plusieurs fois par le passé pour des comportements troublants de ses technologies.
En juin dernier, Gizmodo montrait ainsi la capacité de NaviStone à enregistrer toute donnée présente dans un formulaire, même si l’utilisateur ne le validait pas. Ce qui se rapproche en effet des fonctions d’un keylogger, puisque aucune action n’est requise pour envoyer les informations vers un serveur.
Nos confrères se sont lancés dans une petite enquête et ont découvert sur plusieurs sites de sociétés clientes de NaviStone (Acurian, Quicken Loans et autres) du code JavaScript bien particulier : les données entrées dans les formulaires, soit manuellement soit remplies automatiquement par une extension ou un navigateur, étaient captées puis transmises.
Peu importe que l’internaute ait expédié ou non le formulaire, NaviStone récupérait les informations, avec de bonnes chances qu’elles soient parfaitement personnelles et donc identifiantes. Il avait collé accidentellement du texte ? Dommage, les informations du presse-papier étaient expédiées.
Gizmodo indiquait dans son article qu’il existait au moins une centaine de sites utilisant les solutions de NaviStone. Sur la douzaine testée, un seul – Gardeners.com – précisait dans sa politique de vie privée que les données des formulaires étaient systématiquement collectées dès leur entrée dans les champs.
Un peu plus tard, NaviStone avait finalement indiqué que l’adresse email ne serait plus collectée de cette manière, et plusieurs sites qu’ils ne se servaient plus des solutions de cet éditeur.
Les petites habitudes des sites web
Difficile pour l’instant de savoir si la plainte de Brady Cohen va aboutir, mais l’affaire redonne un coup d’éclairage à un phénomène loin d’être nouveau : la collecte des données personnelles et le manque de contrôle sur les activités liées. Nul besoin d’aller jusqu’aux enceintes connectées pour se poser des questions, un bon vieux navigateur est suffisant pour trouver des pratiques bien peu éthiques.
L’une des expériences de Gizmodo permettait d'ailleurs de mieux cerner la problématique. Nos confrères se sont rendus sur plusieurs sites utilisant la technologie de NaviStone, remplissant un panier mais ne validant finalement pas l’achat. Après quoi trois sites (Rockler.com, CollectionsEtc.com et BostonProper.com) leur ont envoyé des emails pour leur rappeler que des articles dans leur panier restaient à acheter. Des courriers envoyés sur des adresses qui, à aucun moment, n’avaient été envoyées via un formulaire. Elles avaient simplement été saisies.
Plus récemment, une étude de l’université américaine de Princeton indiquait que près de 500 sites parmi les plus visités au monde contenaient au moins une fonction de type keylogger. Les symptômes décrits étaient toujours du même acabit : des données saisies dans une zone – le plus souvent des formulaires – mais non validées étaient quand même envoyées.
Dans l’étude, les chercheurs évoquaient les scripts « session replay », normalement utilisées pour agréger toute sorte de statistiques d’utilisation de leurs sites, pour en améliorer par exemple l’ergonomie. Mais ces mêmes scripts peuvent être utilisés d’autres manières, notamment pour enregistrer la totalité des actions d’un utilisateur.
La publication de l’étude avait fait réagir de nombreuses entreprises, qui avaient indiqué notamment à Motherboard et Wired qu’elles ne se serviraient plus de tels scripts. Le cas, tout comme celui de Casper, rappelle toutefois le peu de considération fait de l’internaute dans la plupart des cas.
Le besoin d'une meilleure protection des internautes
L’utilisateur devient un simple lot de données personnelles à faire traiter pour l’exploiter ad nauseam, le pourchassant dans ses sessions de navigation pour lui proposer l’achat de produits déjà consultés, l’inscrivant à des newsletters qu’il n’a jamais demandées, et autres formes de tracking. De quoi rendre vital le renforcement des protections en la matière, ce qui doit arriver en Europe à travers le RGPD et ePrivacy dès le mois de mai prochain.
Même si une prise de conscience collective se fait progressivement jour, il s’écoulera encore du temps pour que ces pratiques se calment, sans parler de s’arrêter. Le pistage est encore au cœur de l’activité publicitaire, en dépit d’un prodigieux agacement des internautes, qui réagissent souvent de la même façon : l’installation d’extensions bloquantes.
Une protection à laquelle certains sites réagissent à leur tour par des techniques plus invasives. Pas étonnant, donc, que des navigateurs comme Chrome, Firefox ou Safari se penchent de plus en plus sur la question, à des degrés très divers.
