Cette page rÊpertorie des sites web contenant des programmes JavaScript qui espionnent les utilisateurs ou les trompent. Ils se servent de ce que nous appelons le piège JavaScript. Bien entendu, beaucoup de sites collectent de l'information envoyÊe par l'utilisateur, entre autres au moyen de formulaires, mais ce n'est pas ce dont nous voulons parler ici.

• Une agence fĂŠdĂŠrale amĂŠricaine a envoyĂŠ a Facebook des donnĂŠes personnelles sur chaque ĂŠtudiant ayant fait une demande d'aide financière. En guise de justification, elle a dit que c'ĂŠtait pour une « campagne ».

  Parmi les donnÊes, on trouvait le nom, le numÊro de tÊlÊphone et l'adresse de courriel. Cela montre que l'agence n'a pas fait le moindre effort d'anonymisation. Ce n'est pas que cela serve à grand'chose en gÊnÊral, mais en nÊgligeant ne serait-ce que d'essayer, l'agence a montrÊ qu'elle Êtait complètement fermÊe à la question du respect de la vie privÊe des Êtudiants.

• The Markup a publiĂŠ une statistique de l'espionnage des utilisateurs par 80 000 sites web populaires. Près de 70 000 avaient des traceurs tiers. 5 000 enregistraient les caractĂŠristiques du navigateur pour identifier les utilisateurs. 12 000 enregistraient les clics et mouvements de la souris.

• De nombreux sites web utilisent du code JavaScript pour rĂŠcupĂŠrer l'information que les utilisateurs ont saisie dans un formulaire mais n'ont pas envoyĂŠe, et ainsi dĂŠcouvrir leur identitĂŠ. Certains ont ĂŠtĂŠ poursuivis pour cela.

  La messagerie instantanĂŠe de certains supports techiques utilise le mĂŞme genre de maliciel pour lire le messsage que l'utilisateur est en train d'ĂŠcrire avant qu'il ne l'ait envoyĂŠ.

• British Airways a utilisĂŠ du JavaScript non libre sur son site web pour donner aux autres compagnies des donnĂŠes personnelles de ses clients.

• L'extension de navigateur Verify (publiĂŠe par Storyful) espionne les journalistes qui l'utilisent.

• Un cracker a exploitĂŠ une faille dans un logiciel non mis Ă  jour pour injecter un « mineur » dans les pages web servies aux visiteurs. Ce type de maliciel pirate le processeur de l'ordinateur pour gĂŠnĂŠrer une cryptomonnaie.

  (Notez que l'article se réfère au logiciel infecté sous le nom de « système de gestion de contenu ». Il aurait été plus correct de l'appeler « système de révision pour site web ».)

  Comme le mineur ĂŠtait un programme JavaScript, les visiteurs n'auraient pas ĂŠtĂŠ affectĂŠs s'ils avaient utilisĂŠ LibreJS. Il existe ĂŠgalement plusieurs extensions de navigateurs qui bloquent spĂŠcifiquement les mineurs JavaScript.

• La plateforme de pub de Google a permis Ă  des annonceurs de faire tourner des mineurs de cryptomonnaie sur les machines des utilisateurs de YouTube au moyen de JavaScript privateur. Certains s'en sont aperçus, et l'indignation gĂŠnĂŠrale a conduit Google Ă  supprimer les mineurs, mais il est probable que beaucoup d'utilisateurs ont ĂŠtĂŠ affectĂŠs.

• Certains logiciels JavaScript malveillants raflent les identifiants provenant des gestionnaires de mots de passe associĂŠs aux navigateurs.

• Certains sites envoient du code JavaScript pour collecter tout ce qui est saisi par l'utilisateur, ce qui permet de reproduire l'ensemble de la session.

  Si vous utilisez LibreJS, il bloquera ce code JavaScript malveillant.

• Quand une page utilise Disqus pour les commentaires, le logiciel privateur Disqus charge un logiciel de Facebook dans le navigateur de chaque visiteur anonyme de la page et communique son URL Ă  Facebook.

• Les ventes en ligne, et le pistage et la surveillance des clients qui vont avec, permettent aux commerçants de montrer des prix diffĂŠrents Ă  diffĂŠrentes personnes. L'essentiel du pistage se fait en enregistrant les interactions avec les serveurs, mais le logiciel privateur joue un rĂ´le.

• Un article de recherche a ĂŠtudiĂŠ 283 applis VPN pour Android du point de vue de la confidentialitĂŠ et de la sĂŠcuritĂŠ. Voici sa conclusion : « En dĂŠpit des promesses de confidentialitĂŠ, de sĂŠcuritĂŠ et d'anonymat faites par la plupart des applis VPN, des millions d'utilisateurs peuvent ĂŞtre victimes Ă  leur insu des garanties de sĂŠcuritĂŠ fallacieuses et des pratiques abusives que ces applis leur infligent. »

  Voici deux exemples, tirĂŠs de cet article, d'applis VPN privatrices utilisant du code JavaScript pour pister les utilisateurs et porter atteinte Ă  leur vie privĂŠe.

  Service VPN HotspotShield

  Injecte du code JavaScript dans les pages HTML renvoyÊes aux utilisateurs. Le but avouÊ de cette injection est d'afficher des pubs. Cette appli utilise cinq bibliothèques de pistage environ. En outre, elle redirige le trafic de l'utilisateur par valueclick.com (un site de publicitÊ).

  WiFi Protector

  Injecte du code JavaScript dans les pages HTML et utilise Êgalement cinq bibliothèques de pistage. Ses dÊveloppeurs ont confirmÊ que l'injection de JavaScript par la version gratuite de l'appli sert au pistage des utilisateurs et à l'affichage de pubs.

• Les livres ĂŠlectroniques peuvent contenir du code JavaScript et parfois ce code espionne l'utilisateur.

• Flash et JavaScript sont employĂŠs dans des dispositifs de « profilage » destinĂŠs Ă  identifier les utilisateurs.

• De nombreux sites dĂŠnoncent leurs visiteurs aux rĂŠseaux publicitaires qui font du pistage. Une statistique prenant en compte les 1000 sites web les plus populaires a montrĂŠ que 84% d'entre eux (le 17 mai 2012) servaient Ă  leurs visiteurs des cookies tierces permettant Ă  d'autres sites de les suivre Ă  la trace.

• De nombreux sites envoient Ă  Google un rapport sur chacun de leurs visiteurs par le biais de Google Analytics, rapport qui contient son adresse IP et la page visitĂŠe.

• Beaucoup ĂŠgalement essaient de rĂŠcupĂŠrer les carnets d'adresse des utilisateurs (rĂŠpertoires contenant les numĂŠros de tĂŠlĂŠphone ou les adresses de courriel d'autres personnes). C'est une atteinte Ă  la vie privĂŠe de ces autres personnes.

• Les pages qui contiennent des boutons Like permettent Ă  Facebook de pister les visiteurs de ces pages, mĂŞme ceux qui n'ont pas de compte Facebook.

• Un cookie du lecteur Flash aide les sites web Ă  suivre les visiteurs Ă  la trace).