Qui vous traque sur Internet et comment

Qu’est-ce qu’un pixel espion ? Pourquoi est-il si énervant ? Comment le désactiver ?

Imaginez que vous êtes dans un centre commercial et qu’un inconnu commence à vous suivre. Il prend minutieusement des notes et indique dans quels magasins vous êtes entré. Si vous acceptez un flyer, il regarde par-dessus votre épaule afin de savoir si vous avez pris le temps de le lire. Lorsque vous êtes dans un magasin, il chronomètre le temps exact que vous y passez. Cela semble absurde et quelque peu inquiétant, n’est-ce pas ? Malheureusement, c’est exactement ce qui vous arrive à chaque fois que vous consultez un site important, lisez les e-mails de boutiques ou de services en ligne, ou utilisez l’application mobile officielle d’un service. Les systèmes d’analyse virtuellement connectés à tous les sites, applications ou campagnes e-mail s’occupent de vous chronométrer.

Pourquoi les entreprises ont-elles besoin de ces données ? Pour plusieurs raisons :

  • Pour mieux connaître vos préférences et pour vous proposer des produits et des services que vous êtes plus susceptible d’acheter. C’est pour cela que cette publicité embêtante de vélos vous poursuit deux mois après que vous avez consulté un site de cyclisme.
  • Afin d’ajouter des textes et des images plus efficaces sur les sites et dans les messages. Les entreprises testent plusieurs légendes, en-têtes et bannières publicitaires, et choisissent les contenus qui retiennent le plus l’attention des clients.
  • Pour identifier les sections les plus populaires d’une application mobile ou d’un site, et pour déterminer comment vous interagissez.
  • Afin de tester de nouveaux produits, services et fonctionnalités.
  • Pour vendre le comportement de l’utilisateur et les données de préférence à d’autres entreprises.

Nous avons analysé les statistiques des plus gros « espions »  dans cet article publié sur Securelist : Google, Microsoft et Amazon sont les plus gourmands de données.

Le fonctionnement du pixel espion

Le suivi des activités décrit ci-dessus repose sur le pixel espion, aussi connu comme balise web, pixel invisible ou web beacon en anglais. Cette technique de pistage est la plus populaire et consiste à insérer une toute petite image numérique, si petite qu’elle est pratiquement invisible et a un format de 1×1 ou 0x0 pixel, dans un e-mail, une application ou une page Web. Lorsque l’écran affiche l’information, votre messagerie ou votre navigateur demande à télécharger l’image du serveur en communiquant des informations à propos de vous, et que le serveur enregistre : durée, dispositif utilisé, système d’exploitation, type de navigateur et page à partir de laquelle le pixel a été téléchargé. C’est comme ça que les opérateurs du pixel espion savent que vous avez ouvert l’e-mail ou la page Web et comment. Une petite partie du code (JavaScript) qui se trouve dans la page, et qui peut recueillir des informations encore plus détaillées, est souvent utilisée à la place du pixel. Dans tous les cas, le traqueur est invisible dans l’e-mail ou sur le site : il vous est tout simplement impossible de le voir. Pourtant, les pixels installés dans chaque page ou application peuvent vous « suivre » en connaissant votre itinéraire de navigation et le temps que vous avez passé sur chaque page.

Les cybercriminels et le pixel espion

Les agences de marketing et les entreprises technologiques ne sont pas les seules à utiliser le pixel espion : les cybercriminels s’en servent aussi. Le pixel espion est un moyen commode pour effectuer une reconnaissance préliminaire d’attaques e-mail ciblées (spear phishing et compromission de la messagerie en entreprise, BEC). Il permet aux cybercriminels de savoir quand les victimes consultent leurs e-mails (ou ne le font pas) afin de déterminer quel est le meilleur moment pour lancer une attaque : il est plus facile de pirater le compte d’un utilisateur ou d’envoyer de faux e-mails en son nom lorsque celui-ci n’est pas actif.

Les informations sur l’utilisateur, dont son comportement et les données relatives à ses intérêts, peuvent être divulguées à la suite d’une attaque lancée par les cybercriminels. Même les leaders du marché comme Mailchimp, Klaviyo ou ActiveCampaign, sont parfois victimes de ce genre de fuites. Les informations volées peuvent être utilisées pour réaliser plusieurs arnaques. Par exemple, les cybercriminels qui ont attaqué Klaviyo ont volé les listes des utilisateurs qui s’intéressent aux cryptomonnaies et pourraient vouloir investir. Une technique d’hameçonnage spécialisée peut être utilisée pour cibler cette audience et l’escroquer à l’aide de la cryptomonnaie.

Comment vous protéger contre ce pistage

Il est impossible de contrôler les fuites et les piratages, mais vous pouvez vous assurer que les serveurs des géants technologiques obtiennent le moins possible de données à votre sujet. Les conseils ci-dessous peuvent être suivis séparément ou ensemble :

  1. Bloquez le téléchargement automatique d’images dans les e-mails. Lorsque vous configurez votre adresse e-mail sur votre smartphone, ordinateur ou sur la version Web du service, vous devez vérifier que vous avez activé le paramètre qui bloque l’affichage automatique des images. La plupart des messages sont compréhensibles sans les images. Et la plupart des services de messagerie ajoute le bouton « télécharger les images » juste au-dessus du corps du message pour que vous puissiez afficher les images en un clic, si besoin.
  2. Bloquez le pistage de sites Web. Vous pouvez empêcher le chargement de la plupart des pixels espions. Les produits de sécurité de Kaspersky disposent du paramètre de Navigation privée. Le navigateur Firefox vous laisse activer et personnaliser la Protection renforcée contre le pistage. Des plug-ins spécialisés de confidentialité et des extensions officiellement recommandées sont disponibles dans les catalogues de Chrome, Firefox et Safari. Vous pouvez les trouver en saisissant les termes vie privée ou protection contre le pistage dans la barre de recherche.
  3. Protégez votre connexion Internet. La protection contre le pistage fonctionne bien au niveau du système d’exploitation ou du routeur domestique. Si vous bloquez le pixel espion sur votre routeur, il ne fonctionnera plus sur votre adresse e-mail, sur les sites Web, sur les applications et même sur votre Smart TV. Pour ce faire, nous vous conseillons d’activer un DNS sécurisé dans les paramètres du système d’exploitation ou du routeur, et d’indiquer un serveur DNS qui bloque les traqueurs. Une connexion VPN peut parfois fournir une certaine protection contre le pistage. Si cette option est la plus simple pour vous, vérifiez que votre fournisseur de VPN propose bel et bien un service qui bloque les traqueurs.
Conseils