vie privée

Qui vous traque sur Internet et comment

Qu’est-ce qu’un pixel espion ? Pourquoi est-il si énervant ? Comment le désactiver ?

Anna Larkina
28 Fév 2023

Imaginez que vous êtes dans un centre commercial et qu’un inconnu commence à vous suivre. Il prend minutieusement des notes et indique dans quels magasins vous êtes entré. Si vous acceptez un flyer, il regarde par-dessus votre épaule afin de savoir si vous avez pris le temps de le lire. Lorsque vous êtes dans un magasin, il chronomètre le temps exact que vous y passez. Cela semble absurde et quelque peu inquiétant, n’est-ce pas ? Malheureusement, c’est exactement ce qui vous arrive à chaque fois que vous consultez un site important, lisez les e-mails de boutiques ou de services en ligne, ou utilisez l’application mobile officielle d’un service. Les systèmes d’analyse virtuellement connectés à tous les sites, applications ou campagnes e-mail s’occupent de vous chronométrer.

Pourquoi les entreprises ont-elles besoin de ces données ? Pour plusieurs raisons :

Pour mieux connaître vos préférences et pour vous proposer des produits et des services que vous êtes plus susceptible d’acheter. C’est pour cela que cette publicité embêtante de vélos vous poursuit deux mois après que vous avez consulté un site de cyclisme.
Afin d’ajouter des textes et des images plus efficaces sur les sites et dans les messages. Les entreprises testent plusieurs légendes, en-têtes et bannières publicitaires, et choisissent les contenus qui retiennent le plus l’attention des clients.
Pour identifier les sections les plus populaires d’une application mobile ou d’un site, et pour déterminer comment vous interagissez.
Afin de tester de nouveaux produits, services et fonctionnalités.
Pour vendre le comportement de l’utilisateur et les données de préférence à d’autres entreprises.

Nous avons analysé les statistiques des plus gros « espions » dans cet article publié sur Securelist : Google, Microsoft et Amazon sont les plus gourmands de données.

Le fonctionnement du pixel espion

Le suivi des activités décrit ci-dessus repose sur le pixel espion, aussi connu comme balise web, pixel invisible ou web beacon en anglais. Cette technique de pistage est la plus populaire et consiste à insérer une toute petite image numérique, si petite qu’elle est pratiquement invisible et a un format de 1×1 ou 0x0 pixel, dans un e-mail, une application ou une page Web. Lorsque l’écran affiche l’information, votre messagerie ou votre navigateur demande à télécharger l’image du serveur en communiquant des informations à propos de vous, et que le serveur enregistre : durée, dispositif utilisé, système d’exploitation, type de navigateur et page à partir de laquelle le pixel a été téléchargé. C’est comme ça que les opérateurs du pixel espion savent que vous avez ouvert l’e-mail ou la page Web et comment. Une petite partie du code (JavaScript) qui se trouve dans la page, et qui peut recueillir des informations encore plus détaillées, est souvent utilisée à la place du pixel. Dans tous les cas, le traqueur est invisible dans l’e-mail ou sur le site : il vous est tout simplement impossible de le voir. Pourtant, les pixels installés dans chaque page ou application peuvent vous « suivre » en connaissant votre itinéraire de navigation et le temps que vous avez passé sur chaque page.

Les cybercriminels et le pixel espion

Les agences de marketing et les entreprises technologiques ne sont pas les seules à utiliser le pixel espion : les cybercriminels s’en servent aussi. Le pixel espion est un moyen commode pour effectuer une reconnaissance préliminaire d’attaques e-mail ciblées (spear phishing et compromission de la messagerie en entreprise, BEC). Il permet aux cybercriminels de savoir quand les victimes consultent leurs e-mails (ou ne le font pas) afin de déterminer quel est le meilleur moment pour lancer une attaque : il est plus facile de pirater le compte d’un utilisateur ou d’envoyer de faux e-mails en son nom lorsque celui-ci n’est pas actif.

Les informations sur l’utilisateur, dont son comportement et les données relatives à ses intérêts, peuvent être divulguées à la suite d’une attaque lancée par les cybercriminels. Même les leaders du marché comme Mailchimp, Klaviyo ou ActiveCampaign, sont parfois victimes de ce genre de fuites. Les informations volées peuvent être utilisées pour réaliser plusieurs arnaques. Par exemple, les cybercriminels qui ont attaqué Klaviyo ont volé les listes des utilisateurs qui s’intéressent aux cryptomonnaies et pourraient vouloir investir. Une technique d’hameçonnage spécialisée peut être utilisée pour cibler cette audience et l’escroquer à l’aide de la cryptomonnaie.

Comment vous protéger contre ce pistage

Il est impossible de contrôler les fuites et les piratages, mais vous pouvez vous assurer que les serveurs des géants technologiques obtiennent le moins possible de données à votre sujet. Les conseils ci-dessous peuvent être suivis séparément ou ensemble :

Bloquez le téléchargement automatique d’images dans les e-mails. Lorsque vous configurez votre adresse e-mail sur votre smartphone, ordinateur ou sur la version Web du service, vous devez vérifier que vous avez activé le paramètre qui bloque l’affichage automatique des images. La plupart des messages sont compréhensibles sans les images. Et la plupart des services de messagerie ajoute le bouton « télécharger les images » juste au-dessus du corps du message pour que vous puissiez afficher les images en un clic, si besoin.
Bloquez le pistage de sites Web. Vous pouvez empêcher le chargement de la plupart des pixels espions. Les produits de sécurité de Kaspersky disposent du paramètre de Navigation privée. Le navigateur Firefox vous laisse activer et personnaliser la Protection renforcée contre le pistage. Des plug-ins spécialisés de confidentialité et des extensions officiellement recommandées sont disponibles dans les catalogues de Chrome, Firefox et Safari. Vous pouvez les trouver en saisissant les termes vie privée ou protection contre le pistage dans la barre de recherche.
Protégez votre connexion Internet. La protection contre le pistage fonctionne bien au niveau du système d’exploitation ou du routeur domestique. Si vous bloquez le pixel espion sur votre routeur, il ne fonctionnera plus sur votre adresse e-mail, sur les sites Web, sur les applications et même sur votre Smart TV. Pour ce faire, nous vous conseillons d’activer un DNS sécurisé dans les paramètres du système d’exploitation ou du routeur, et d’indiquer un serveur DNS qui bloque les traqueurs. Une connexion VPN peut parfois fournir une certaine protection contre le pistage. Si cette option est la plus simple pour vous, vérifiez que votre fournisseur de VPN propose bel et bien un service qui bloque les traqueurs.

« On the Line » : un film sur le vishing

Des réalisateurs coréens ont fait un film sur la cybercriminalité qui mérite d’être vu, ne serait-ce que pour vous former.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Qui vous traque sur Internet et comment

Le fonctionnement du pixel espion

Les cybercriminels et le pixel espion

Comment vous protéger contre ce pistage

Garder le secret : applications de prise de notes et listes de tâches chiffrées

Pourquoi et comment désactiver l’historique des liens Facebook ?

« On the Line » : un film sur le vishing

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky