Cette page répertorie des sites web contenant des programmes JavaScript qui espionnent les utilisateurs ou les trompent. Ils se servent de ce que nous appelons le piège JavaScript. Bien entendu, beaucoup de sites collectent de l'information envoyée par l'utilisateur, entre autres au moyen de formulaires, mais ce n'est pas ce dont nous voulons parler ici.

• 2022-04

  Une agence fédérale américaine a envoyé a Facebook des données personnelles sur chaque étudiant ayant fait une demande d'aide financière. En guise de justification, elle a dit que c'était pour une « campagne ».

  Parmi les données, on trouvait le nom, le numéro de téléphone et l'adresse de courriel. Cela montre que l'agence n'a pas fait le moindre effort d'anonymisation. Ce n'est pas que cela serve à grand chose en général, mais en négligeant ne serait-ce que d'essayer, l'agence a montré qu'elle était complètement fermée à la question du respect de la vie privée des étudiants.

• 2020-09

  The Markup a publié une statistique de l'espionnage des utilisateurs par 80 000 sites web populaires. Près de 70 000 avaient des traceurs tiers. 5 000 enregistraient les caractéristiques du navigateur pour identifier les utilisateurs. 12 000 enregistraient les clics et mouvements de la souris.

• 2018-11

  De nombreux sites web utilisent du code JavaScript pour récupérer l'information que les utilisateurs ont saisie dans un formulaire mais n'ont pas envoyée, et ainsi découvrir leur identité. Certains ont été poursuivis pour cela.

  La messagerie instantanée de certains supports techiques utilise le même genre de maliciel pour lire le messsage que l'utilisateur est en train d'écrire avant qu'il ne l'ait envoyé.

• 2018-07

  British Airways a utilisé du JavaScript non libre sur son site web pour donner aux autres compagnies des données personnelles de ses clients.

• 2018-05

  L'extension de navigateur Verify (publiée par Storyful) espionne les journalistes qui l'utilisent.

• 2018-05

  Un cracker a exploité une faille dans un logiciel non mis à jour pour injecter un « mineur » dans les pages web servies aux visiteurs. Ce type de maliciel pirate le processeur de l'ordinateur pour générer une cryptomonnaie.

  (Notez que l'article se réfère au logiciel infecté sous le nom de « système de gestion de contenu ». Il aurait été plus correct de l'appeler « système de révision pour site web ».)

  Comme le mineur était un programme JavaScript, les visiteurs n'auraient pas été affectés s'ils avaient utilisé LibreJS. Il existe également plusieurs extensions de navigateurs qui bloquent spécifiquement les mineurs JavaScript.

• 2017-12

  Certains logiciels JavaScript malveillants raflent les identifiants provenant des gestionnaires de mots de passe associés aux navigateurs.

• 2017-11

  Certains sites envoient du code JavaScript pour collecter tout ce qui est saisi par l'utilisateur, ce qui permet de reproduire l'ensemble de la session.

  Si vous utilisez LibreJS, il bloquera ce code JavaScript malveillant.

• 2017-01

  Quand une page utilise Disqus pour les commentaires, le logiciel privateur Disqus charge un logiciel de Facebook dans le navigateur de chaque visiteur anonyme de la page et communique son URL à Facebook.

• 2016-12

  Les ventes en ligne, et le pistage et la surveillance des clients qui vont avec, permettent aux commerçants de montrer des prix différents à différentes personnes. L'essentiel du pistage se fait en enregistrant les interactions avec les serveurs, mais le logiciel privateur joue un rôle.

• 2016-11

  Un article de recherche a étudié 283 applis VPN pour Android du point de vue de la confidentialité et de la sécurité. Voici sa conclusion : « En dépit des promesses de confidentialité, de sécurité et d'anonymat faites par la plupart des applis VPN, des millions d'utilisateurs peuvent être victimes à leur insu des garanties de sécurité fallacieuses et des pratiques abusives que ces applis leur infligent. »

  Voici deux exemples, tirés de cet article, d'applis VPN privatrices utilisant du code JavaScript pour pister les utilisateurs et porter atteinte à leur vie privée.

  Service VPN HotspotShield

  Injecte du code JavaScript dans les pages HTML renvoyées aux utilisateurs. Le but avoué de cette injection est d'afficher des pubs. Cette appli utilise cinq bibliothèques de pistage environ. En outre, elle redirige le trafic de l'utilisateur par valueclick.com (un site de publicité).

  WiFi Protector

  Injecte du code JavaScript dans les pages HTML et utilise également cinq bibliothèques de pistage. Ses développeurs ont confirmé que l'injection de JavaScript par la version gratuite de l'appli sert au pistage des utilisateurs et à l'affichage de pubs.

• 2016-03

  Les livres électroniques peuvent contenir du code JavaScript et parfois ce code espionne l'utilisateur.

• 2013-10

  Flash et JavaScript sont employés dans des dispositifs de « profilage » destinés à identifier les utilisateurs.

• 2012-10

  De nombreux sites dénoncent leurs visiteurs aux réseaux publicitaires qui font du pistage. Une statistique prenant en compte les 1000 sites web les plus populaires a montré que 84% d'entre eux (le 17 mai 2012) servaient à leurs visiteurs des cookies tierces permettant à d'autres sites de les suivre à la trace.

• 2012-08

  De nombreux sites envoient à Google un rapport sur chacun de leurs visiteurs par le biais de Google Analytics, rapport qui contient son adresse IP et la page visitée.

• [2012]

  Beaucoup également essaient de récupérer les carnets d'adresse des utilisateurs (répertoires contenant les numéros de téléphone ou les adresses de courriel d'autres personnes). C'est une atteinte à la vie privée de ces autres personnes.

• 2011-10

  Les pages qui contiennent des boutons Like permettent à Facebook de pister les visiteurs de ces pages, même ceux qui n'ont pas de compte Facebook.

• 2010-03

  Un cookie du lecteur Flash aide les sites web à suivre les visiteurs à la trace).