Comment un hébergeur Web peut injecter sournoisement du code JavaScript dans votre site web, et comment le stopper ?
Un exemple avec GoDaddy

Le , par Bill Fassinou

174PARTAGES

13  0 
Quel registraire ou hébergeur de nom de domaine utilisez-vous ? Lui faites-vous confiance pour la sécurité de vos données ? Dans un monde informatique où l’ingénierie sociale est grandissante, la question de la confiance envers celui qui héberge vos ressources pour votre site Web ou application Web est un sujet difficile à traiter. Il existe aujourd’hui des services d’hébergements gratuits comme payants. Dans le premier cas, l’option étant gratuite, on peut s’attendre à des risques d’injection de code ou d’ingérence dans la manière dont le site Web va fonctionner. L’on pourrait comprendre que les services d’hébergements gratuits, pour compenser les coûts liés à la gratuité du service, peuvent s’adonner à des pratiques douteuses telles que des injections de code dans les pages Web, la collecte de statistiques ou bien d’autres pour un profit quelconque.

Cependant, que des services d’hébergements payants se retrouvent dans ce lot semble susciter beaucoup de questions. Dans un article de blog, Igor Kromin, consultant et développeur de solution informatique, nous parle du cas de l’américain GoDaddy. Dans son article du 12 janvier, Kromin explique qu’en essayant de résoudre un problème provenant d’un site Web dont il a la charge, il est tombé sur un script JavaScript de tiers totalement inconnu. Il estime que même si les erreurs sur son site Web ne provenaient pas de ce script, ce dernier n’avait pas lieu d’être.

« J'ai récemment commencé à avoir des problèmes avec l'interface d'administration d'un site Web que je dirige et j'ai décidé de vérifier la console du navigateur pour voir si des erreurs y étaient affichées. Il y avait une erreur indiquant qu'un fichier de carte JavaScript chargé (et défaillant) était inconnu et que je ne reconnaissais pas. Cela signifiait que le fichier JavaScript lui-même était déjà chargé via mon site Web. Cela a déclenché toutes sortes d’alarmes et j’ai commencé à creuser davantage », a-t-il écrit. Il a constaté après l’analyse du fichier et des commentaires qui s’y trouvaient qu’il provenait de l’hébergeur GoDaddy. Pourquoi un hébergeur injecterait-il un script JavaScript dans mon site Web et cela sans mon consentement ?, s’est-il demandé. Le fichier de script se présentait comme suit :


Lorsqu’il s’est référé à son fournisseur de service, GoDaddy lui indiquait qu’il s’agit d’une manière de collecter des métriques pour apporter des améliorations aux performances du site Web. Ce script est un script RUM (Real User Metrics). GoDaddy explique sur son site Web qu’un script RUM est un extrait de code Javascript qui leur permet de mesurer et de suivre les performances d’un site Web quelconque et de collecter des informations telles que le temps de connexion et le temps de chargement de la page. A cela, un utilisateur pose la question de savoir « pourquoi ne pas demander au préalable l’avis du propriétaire du site Web avant de réaliser une telle injection ? N’auriez-vous pas une autre idée derrière ce silence ? »

Il y a deux mois de cela, les utilisateurs du site communautaire Reddit prévenaient la communauté par rapport à un tel agissement de GoDaddy. Certains d’entre eux voyaient cette inscription, qui se fait sans le consentement de l’administrateur du site Web comme une mauvaise chose et que cela ne devrait pas être légal. Ils jugeaient cela de mauvaise pratique commerciale. Ils préconisent d'éviter tout fournisseur de service qui fait cela et de choisir ceux qui sont opt-in (démarche emblématique de permission en marketing sur Internet. L'opt-in consiste à solliciter l'autorisation préalable de l'internaute pour pouvoir lui adresser un message électronique ou tout simplement collecter des informations à son sujet telles que ses historiques de navigation sur un site, la nature de ses achats en ligne, son profil, son mode de paiement. Par opposition, l'opt-out ou opting out consiste à faire fi de cette autorisation préalable).

D’autres disent que GoDaddy oublierait parfois les restrictions sur la vie privée. Ils témoignent qu’après votre inscription chez l’hébergeur, vous rencontrez un afflux de spam dans votre boîte de réception et recommandent d’autres hébergeurs comme Krystal ou Heart Internet. « Nous ne collectons aucune information d'utilisateur avec RUM. Les données que nous collectons nous permettent d’améliorer nos systèmes, la résolution DNS, le routage réseau et la configuration des serveurs », assure GoDaddy à ses clients. Néanmoins l’hébergeur reconnaît que l’utilisation de ce JavaScript de tiers peut être à la base de certains problèmes du point de vue performance d’un site Web.

La présence de script au sein de votre hébergement peut entraîner la lenteur de votre site Web, le rendre défectueux ou inutilisable, reconnaît le fournisseur de services. L’autre information donnée par GoDaddy est que si vous êtes un client aux États-Unis ou si votre site Web est hébergé dans un centre de données américain, vous êtes automatiquement inscrit à ce service et toutes les pages de votre site Web ont ce code JavaScript injecté. Mais pourquoi procéder à une telle chose si les retombés risquent d’être très sévères pour les site Web des clients ?, s’insurge un autre internaute.
Cependant, il existe quand même une procédure pour désactiver l’utilisation des scripts RUM par GoDaddy dont en voici les étapes :

  1. Accédez à votre compte d'hébergement cPanel en accédant à myh.godaddy.com, en vous connectant et en cliquant sur le compte d'hébergement pour lequel vous souhaitez désactiver RUM ;
  2. Cliquez sur le bouton indiquant trois points de suspension (...) puis sur “Aidez-nous” ;
  3. Cliquez sur Désinscription.


Une fois que vous réalisez ses trois actions, le script RUM disparaît de tous vos fichiers et pages Web. Outre cela, vous pouvez le réactiver à nouveau dans un délais de 24h après cette désactivation.

Sources : Billet de blog, GoDaddy

Et vous ?

Que pensez-vous de ces pratiques d'injection sournoise ?
Connaissez-vous d'autres hébergeurs qui font de même ?

Voir aussi

Le langage JavaScript est-il responsable de la lenteur des sites Web de nos jours ? Oui, selon un expert

Les meilleurs cours et tutoriels pour apprendre le JavaScript

Emploi développeur 2017 : les langages les plus demandés et les mieux payés Java, JavaScript et PHP plus demandés, mais Perl, Go et Scala mieux payés

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de luigifab
Membre du Club https://www.developpez.com
Le 15/01/2019 à 12:41
C'est plutôt le moment de changer d'hébergeur.
Avatar de earhater
Membre confirmé https://www.developpez.com
Le 15/01/2019 à 14:11
Citation Envoyé par luigifab Voir le message
C'est plutôt le moment de changer d'hébergeur.
Gros +1, ou alors avoir une technique permettant d'automatiser la suppression de resources injectées de manière externe (la directive CSP par exemple) avec un exemple bien sympa pour montrer comment on peut éviter du pistage ou du XSS aurait pu être plus intéressant que montrer comment faire 3 clics dans le BO d'un hébergeur bien douteux
Avatar de Cassoulatine
Membre actif https://www.developpez.com
Le 15/01/2019 à 15:47
A partir du moment où c'est godaddy qui fait l'install et la maintenance du serveur web, goDaddy peut mettre des outils techniques pour cela ...
Avatar de grunk
Modérateur https://www.developpez.com
Le 15/01/2019 à 16:00
Citation Envoyé par Cassoulatine Voir le message
A partir du moment où c'est godaddy qui fait l'install et la maintenance du serveur web, goDaddy peut mettre des outils techniques pour cela ...
Mouais on parle pas ici d'un outil de stats qui viendrait parser les logs du serveur mais belle et bien d'un injection de code et donc potentiellement une altération du fonctionnent initial.
Ça commence par relever des metrics et puis ça s’arrête où ? Si demain il se mettent à récupérer des infos personnelles , qui est responsable ?
Avatar de Thomasa21
Membre actif https://www.developpez.com
Le 15/01/2019 à 19:48
Il a le droit de faire ça ?
Avatar de Kapeutini
Membre régulier https://www.developpez.com
Le 12/02/2019 à 18:05
Comment peux t on désactiver d'autres scripts que les siens sur une page web ?
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web