Lorsque vous visitez un site web, son propriétaire sait où vous cliquez, ce que vous tapez et comment vous déplacez votre souris. C'est ainsi que fonctionnent les sites web : Pour pouvoir effectuer des actions basées sur les actions de l'utilisateur, ils doivent savoir ce qu'est cette action.
En soi, ces informations ne sont pas très utiles, mais de nombreux sites web utilisent aujourd'hui un service qui rassemble toutes ces données pour créer des rediffusions de session de chaque mouvement de l'utilisateur. Le résultat est une vidéo qui donne l'impression de se trouver au-dessus de l'épaule d'un utilisateur et de le regarder utiliser directement le site - et ce que les sites peuvent glaner grâce à ce genre d'outils de suivi peut vous surprendre.
Les services de rediffusion de session existent depuis plus de dix ans et sont largement utilisés. Un service, appelé FullStory, liste des sites populaires comme Zillow, TeeSpring et Jane comme clients sur son site web. Un autre, appelé LogRocket, revendique Airbnb, Reddit et CarFax, et un troisième, appelé Inspectlet, compte Shopify, ABC et eBay parmi ses utilisateurs. Ils se présentent comme des outils permettant de concevoir des sites faciles à utiliser et de renforcer le comportement souhaité par l'utilisateur, comme l'achat d'un article. Si de nombreux utilisateurs ajoutent des articles à leur panier, mais abandonnent ensuite l'achat à un certain moment du processus de paiement, par exemple, le service aide les propriétaires de sites à trouver comment modifier la conception du site pour inciter les utilisateurs à passer à la caisse.
Pour comprendre à quoi ressemble ce type de suivi en pratique, j'ai mis en place FullStory sur le site de mon portfolio personnel (je l'ai depuis supprimé). C'était étonnamment facile. Après m'être inscrit pour un compte d'essai gratuit, j'ai simplement copié un petit script de 23 lignes et l'ai ajouté à l'en-tête de mon site - ce qui serait une tâche simple pour n'importe quel développeur web, mais encore plus facile pour moi puisque mon site utilise Squarespace - et le suivi a fonctionné immédiatement. Comme je n'avais pratiquement aucune expérience en matière de développement ou de codage, j'ai pu voir ce que faisait chaque visiteur de mon site.
Dans une fenêtre incognito, j'ai ouvert mon site et j'ai navigué pendant une minute. Quand je suis revenu à mon tableau de bord FullStory, j'ai trouvé une reconstitution vidéo de chaque mouvement que je venais de faire qui m'attendait.
Je m'attendais à ce que la vidéo montre les liens sur lesquels j'ai cliqué, et peut-être le texte que j'ai mis en évidence. Ce qui m'a surpris, c'est que le logiciel enregistrait même lorsque je secouais ma souris en décidant sur quoi cliquer. C'était comme si j'observais un langage corporel numérique.
FullStory possède même une fonction qui permet de suivre ce qu'il appelle les "clics de rage". C'est le moment où un utilisateur est frustré par un site et commence à cliquer avec colère, encore et encore.
Les propriétaires de sites ont des raisons inoffensives de vouloir ce genre de données. Pouvoir voir quand un utilisateur hésite à cliquer ou passe devant le produit qu'il cherchait peut lui en apprendre beaucoup sur l'efficacité de son site. Cela peut également constituer un puissant outil d'assistance à la clientèle.
Au-delà de la visualisation, FullStory et ses services similaires fournissent aux sites des rapports d'analyse sur le comportement global des utilisateurs et des cartes des zones de navigation qui montrent où les utilisateurs ont cliqué - ce qui est utile si, par exemple, les utilisateurs cliquent sur une image ou un logo en s'attendant à ce qu'il s'agisse d'un lien.
Mais après avoir vu moi-même la session se dérouler, j'ai eu des questions sur la vie privée des utilisateurs.
Alors qu'un site lui-même a toujours accès aux données brutes sur le comportement - et pourrait hypothétiquement consulter n'importe quelle session d'un utilisateur - l'utilisation d'un service comme FullStory fait entrer un tiers dans le jeu. Les utilisateurs ne partagent pas seulement les données avec le site sur lequel ils se trouvent, ce qu'ils attendent, mais aussi avec un service d'analyse qui peut veiller sur eux.
Les services de rediffusion offrent des outils permettant d'exclure ou de cacher de manière sélective des informations aux tiers avec lesquels ils s'associent, comme le contenu saisi dans les cases pour les mots de passe ou les informations sur les cartes de crédit. Mais c'est aux sites de présenter correctement leurs formulaires et d'utiliser les outils d'exclusion pour empêcher le service d'enregistrement d'avoir accès à des données sensibles. Par exemple, lorsque j'ai ajouté une case correctement codée pour être marquée comme un mot de passe, FullStory a automatiquement caché de ses enregistrements les informations qui y étaient tapées. Mais lorsque j'ai ajouté un champ de texte de base et que je lui ai simplement donné l'étiquette "mot de passe", FullStory était toujours en mesure de voir tout texte saisi dans la boîte, même s'il n'avait jamais été validé.
Dans la politique d'utilisation acceptable de l'entreprise, qui décrit la manière dont elle attend des sites qu'ils utilisent son produit, FullStory dit explicitement qu'elle "ne veut jamais voir" d'informations sensibles comme les numéros de cartes de crédit ou les cartes d'identité délivrées par le gouvernement. Mais il est possible que les sites ne prennent pas la précaution de les cacher ou qu'ils fassent des erreurs qui laissent les données exposées.
La politique de FullStory indique également que les sites ne doivent pas utiliser FullStory pour collecter les adresses électroniques qu'un utilisateur saisit dans une case, mais ne transmet ensuite jamais, ou pour collecter des informations à partager avec d'autres tiers.
Il n'est pas clair dans quelle mesure FullStory et ses applications peuvent faire respecter de manière proactive l'utilisation correcte de ses outils (dans une déclaration à OneZero, FullStory a déclaré qu'il avait "un modèle établi pour les engager respectueusement à déterminer si l'utilisation d'un site web est acceptable" et a cessé de travailler avec les clients qui ont violé sa politique dans le passé). Il est théoriquement possible pour quelqu'un d'ajouter un script à un site bon marché et de suivre les utilisateurs sans le divulguer, comme je l'ai fait. En fait, FullStory met même en garde contre l'utilisation du service dans les extensions de navigateur pour récupérer des données sur des sites dont l'utilisateur n'est pas propriétaire. Il est donc possible que quelqu'un ait déjà essayé.
source :
https://onezero.medium.com/almost-every-website-you-visit-records-exactly-how-your-mouse-moves-4134cb1cc7a0