Google Analytics ne sert pas seulement à beaucoup de gens, mais il peut nuire potentiellement à chaque site web. Avec Google Analytics, le vol de données est plus facile que jamais, car cela permet d'envoyer des données dans les pools de données des hackers.
Introduction
La cybercriminalité est un secteur économique en plein essor. Quiconque peut voler les données de cartes de crédit ou d'autres données sensibles, peut utiliser ces données pour tirer profit. Avec Google Analytics, l'outil d'analyse populaire de Google, le vol de données devient encore plus facile.
Pour comprendre cela, un regard derrière les coulisses est utile. Une attaque informatique sur un site web suit souvent ce schéma:
- Une logique de programme nuisible est introduite sur le site web
- Le logiciel nuisible lit les données des visiteurs du site Web, notamment à partir de formulaires
- Les données transmises sont envoyées à un serveur propre pour y être exploitées.
Le troisième de ces étapes échoue souvent en raison du fait que les navigateurs ou les pare-feu locaux bloquent de nombreux transferts de données. Avec Google Analytics, ce problème peut être presque complètement éliminé pour le hacker.
Méthodes pour voler des données
Une méthode courante pour voler les données d'un tiers est de l'inviter sur une page web préparée. Idéalement, il s'agit d'une page web connue du victime. Les attaques qui copient des pages web connues ou qui se basent sur des sites web hébergés par soi-même ne seront pas examinées plus en détail ici.
Ne seriez-vous pas à donner votre mot de passe ou vos numéros de carte bancaire dans un magasin en ligne, si vous connaissez le magasin, que vous lui faites confiance et qu'on vous y demande ?
Comment prépare-t-on une page Web d'un tiers pour qu'elle puisse envoyer des données à un inconnu ?
Pour cela, les hackers utilisent des failles dans la logique de programmation au frontend (vue d'ensemble du navigateur de la page web) ou backend (logiciel en cours sur le serveur) pour s'en servir. Des représentants connus des méthodes d'attaque sont:
- SQL Injection
- Cross Side Scripting (XSS) / JavaScript Injection / HTML Injection
- Failles de sécurité dans les codes serveurs / Backdoors
- Hijacking de session
Par exemple, à l'aide d'un lien préparé, un morceau de code JavaScript peut être injecté sur une page Web. Le lien préparé est envoyé au victime. Lorsque la victime clique sur le lien, la page Web qu'elle connaît est appelée. De plus, sans que la victime ne s'en aperçoive, un code malveillant est exécuté sur la page Web.
Si l'on parvient à glisser un code malveillant sur une page Web, le répondeur est prêt à fonctionner. Il doit maintenant simplement enregistrer et transmettre les données gagnées au criminel.
Ainsi fonctionne le hacking avec Google Analytics
N'est-il pas plus simple de faire envoyer les données capturées à son compte Google Analytics ?
Les avantages de Google Analytics du point de vue des hackers sont énormes. Le domaine google-analytics.com est en soi souvent débloqué pour les transferts de données. Sur une page Web qui utilise Google Analytics, un transfert de données vers un autre compte d'analyse ne saute pas aux yeux du laïc. Même les professionnels devraient déjà regarder très attentivement pour détecter un exploit.
Avec Google Analytics, on peut envoyer n'importe quelles données dans une piscine de données personnelle. On utilise par exemple des paramètres ou l'URL de référence, à laquelle on peut ajouter des valeurs sans attirer l'attention. Il est facile de chiffrer ou coder les données avant d'y envoyer Analytics. Ainsi, les flux de données sont difficiles à détecter.
L'envoi de données via Google Analytics fonctionne même dans le mode appelé Mode de consentement de Google. Si l'utilisateur n'a pas encore donné son consentement, Google Analytics envoie tout de même un appel appelé "Ping" vers les serveurs Google. Le Ping est identique à un événement de suivi normal. La différence réside dans le fait que les données ne sont pas stockées dans la base de données d'Analytics. L'échappatoire pour les hackers est de spécifier le paramètre gcs avec une valeur appropriée, à condition que le site web utilise activement le mode Consent.
Les hackers ont l'arme parfaite avec Google Analytics pour voler des données sensibles sans être détectés.
La réalité actuelle.
Si le hacker veut savoir si son attaque a réussi, il se connecte simplement à son compte Google Analytics et regarde dans l'interface de dashboard pour voir quelles données ont été enregistrées. Avec la fonction d'exportation et l'API Reporting Analytics, les données peuvent même être récupérées en masse et avec beaucoup de confort.
Puisque beaucoup de sites Web utilisent Google Analytics, la chance pour le hacker est élevée qu'il trouve ce mécanisme efficace et difficile à détecter pour l'abus des données.
Recommandations
Moins est plus. Moins de code programme signifie en moyenne moins de failles. La sécurisation des codes existants est fastidieuse. Surtout les interfaces (client appelle serveur) sont vulnérables. Quiconque veut ou doit plonger plus avant devrait s'attendre à des coûts plus élevés.
Sans Google Analytics, une page Web est plus sûre qu'avec cet outil. Je me demande régulièrement qui peut augmenter ses ventes grâce à Google Analytics. Tout d'abord, je pense à Google. Ensuite, il me vient en tête les grandes entreprises avec un grand budget publicitaire. Il m'est difficile de croire au miracle de l'enrichissement par les produits Google pour les petites et moyennes entreprises.
La discussion de marketing ne doit pas être poursuivie ici. Cependant, quelques discussions constructives avec des marketeurs en ligne me montrent que, d'ordinaire, un important effort et une importante connaissance ainsi qu'un budget important sont nécessaires pour que les produits Google soient réellement rentables pour une entreprise.
La publicité en ligne est souvent le reflet de la désespérance et/ou d'une manque de créativité.
Mon expérience, qui ne s'applique pas à tous, mais semble s'appliquer à beaucoup de publicitaires.
On peut facilement voir si une publicité en ligne fonctionne ou non. C'est tout à fait le contraire de la publicité imprimée, où on commence à deviner après sa publication. Mais beaucoup ne veulent pas savoir que leur campagne publicitaire a échoué, mais plutôt qu'elle a réussi. Dans ce contexte, il me vient en mémoire quelques excellentes conversions grâce à la publicité imprimée, des articles en ligne ou des contacts personnels, mais aucune conversion exceptionnelle grâce à la publicité en ligne. Je dis cela comme quelqu'un qui avait beaucoup d'expérience avec Google Ads et Facebook Werbung avant l'introduction du RGPD.
Avant d'utiliser Publicités Google ou Google Analytics comme remède miracle, il faut essayer d'abord avec des moyens plus traditionnels, plus simples juridiquement ainsi que techniquement contrôlables et généralement gratuits. Qu'en pensez-vous de faire un posting sur les réseaux sociaux pour une superbe contribution de votre part (le mieux étant de ne pas le faire sur Facebook ou Twitter)? Cela rapporte souvent, en fonction du marché, plus d'argent que les produits miracle de Google. Je parle ici à partir de mon expérience personnelle, mais je ne peux pas parler pour tous les marchés. Les commerces régionaux n'ont besoin en tout cas pas de Google Analytics. Ils ne comprennent d'abord rien au [9] droit à l'image [6] et ont généralement quelqu'un qui ne leur donne pas des conseils solides. Deuxièmement, ils ont trop peu de visiteurs pour que le moteur d'Analytics tourne rond. Troisièmement, ils n'ont pas assez de budget pour se faire valoir efficacement en ligne. Quatrièmement, ils peuvent mieux faire autre chose que s'occuper des réseaux sociaux.
Avec Google Analytics, une page web est gâchée par le pop-up d'acceptation toujours nécessaire. Sans ce outil de Google, il est même possible d'éviter les pop-ups sur les cookies. Quel bonheur pour les visiteurs ! Ainsi, en tant que propriétaire d'une page web, vous seriez également équipés pour TTDSG, qui est applicable en Allemagne depuis le 01.12.2021.
La commission française de protection des données a constaté que Google Analytics est lui-même interdit avec l'accord. La raison en est qu'Google ne fait pas suffisamment pour protéger les données personnelles des utilisateurs. Les autorités et les services secrets américains peuvent ainsi facilement lire et apprendre davantage sur votre comportement sur Internet.
Qui veut savoir combien de visiteurs ont visité le site web et quel est l'article le plus consulté, peut disposer gracieusement de Matomo. On peut même y accéder sans les pop-up cookies gênants. Qui souhaite en outre connaître les mots-clés avec lesquels les visiteurs ont trouvé le site web utilise la Console de recherche, un produit de Google, qui est exceptionnellement utilisable conformément à la législation sur la protection des données par des tiers. Il vaut mieux activer un bloqueur publicitaire avant cela, afin que Google ne vous suive pas dans la Console de recherche au-delà de ce qui est autorisé.
L'organisme professionnel BITMi a proposé un webinaire gratuit sur ce sujet, donné par Klaus Meffert / IT Logic GmbH.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
