Skip to main content
Blog
Blog Attacks

Outils de session recording sur les sites de jeux d'argent : le risque d'exfiltration de données personnelles que les opérateurs ignorent

Mal configurés ou compromis, les outils de session recording peuvent exfiltrer les données personnelles des joueurs. Voici les trois modes.

Jun 24, 2026 14 min read
Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les outils d’enregistrement de session et le risque d’exfiltration de PII
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Les outils de session recording font partie de l'équipement standard de la stack analytique des opérateurs iGaming. Hotjar, FullStory et Microsoft Clarity sont utilisés quotidiennement par les équipes UX et CRO pour comprendre les parcours des joueurs, identifier les points de friction dans les flux d'inscription et optimiser les tunnels de dépôt. La plupart des équipes conformité ont approuvé ces outils lors de leur première intégration. Ce que ces équipes ne revoient pas systématiquement, c'est ce que ces outils font aujourd'hui, qui contrôle le code exécuté sous leur nom, et si ce code a été modifié depuis l'approbation initiale. Le rapport IBM 2024 Cost of a Data Breach établit le coût moyen mondial d'une violation de données à 4,88 millions de dollars. Pour un opérateur de jeux d'argent agréé, la dimension réglementaire fait encore monter ce chiffre.

Ce que les outils de session recording collectent réellement sur les sites de jeux d'argent

Réponse rapide : les outils de session recording sur les sites de jeux d'argent collectent des données bien plus sensibles que sur un site e-commerce classique. Les adresses e-mail, numéros de téléphone, montants de dépôt, habitudes de retrait et tokens de session des joueurs sont tous potentiellement dans le périmètre d'enregistrement. Le profil de données plus risqué des utilisateurs de jeux d'argent rend tout incident d'exfiltration nettement plus grave qu'une violation de données grand public ordinaire.

Sur un site de vente au détail générique, un enregistreur de session mal configuré pourrait capturer le nom et l'adresse de livraison d'un utilisateur. Sur un site de jeux d'argent, la portée de ce qui est accessible à un outil d'enregistrement est considérablement plus sensible.

Lors d'une session de jeu typique, un outil de session recording disposant d'un accès DOM étendu peut observer :

  • Les adresses e-mail et numéros de téléphone saisis lors de l'inscription ou de la vérification de compte
  • La date de naissance et les détails des documents d'identité soumis pour le KYC
  • Les montants de dépôt, les sélections de mode de paiement et les demandes de retrait
  • L'historique des paris et les montants des mises visibles dans le tableau de bord du compte joueur
  • Les valeurs de token de session présentes dans les URL de page ou les champs de formulaire
  • Les réponses aux invites de jeu responsable et les déclarations d'auto-exclusion

En vertu de l'article 4 du GDPR, tout ce qui précède constitue des données personnelles. Les données de comportement financier, les données liées à la santé (statut de jeu responsable) et les données de vérification d'identité bénéficient toutes d'une protection renforcée. Pour les opérateurs de jeux d'argent relevant de la juridiction de l'ICO britannique, le précédent d'exécution British Airways est directement pertinent : l'ICO a infligé une amende de 20 millions de livres sterling à la suite d'une violation qui a exposé les données de paiement et personnelles des passagers via un script tiers compromis injecté dans le flux de réservation.

Le contexte du jeu d'argent amplifie le risque de deux manières spécifiques. Premièrement, les opérateurs de jeux d'argent détiennent des données sur la vulnérabilité financière des joueurs qui présentent une sensibilité particulière au regard des exigences de proportionnalité et de minimisation des données du GDPR. Deuxièmement, les licences de jeux d'argent au Royaume-Uni, à Malte et dans d'autres juridictions imposent des obligations de protection des données indépendantes qui peuvent cumuler les sanctions GDPR avec des sanctions au niveau de la licence.

Trois modes de défaillance des outils de session recording

Réponse rapide : les outils de session recording échouent de trois manières distinctes : la mauvaise configuration, qui expose des champs PII que l'outil n'était jamais censé capturer ; le monkey-patching, où un code injecté enveloppe l'enregistreur légitime pour intercepter son flux de données ; et les shadow recording tools injectés via GTM ou des scripts d'affiliés sans aucune autorisation de l'opérateur. Les contrôles de sécurité standard ne détectent aucun de ces cas de manière fiable.

Mauvaise configuration : l'outil est légitime, la configuration ne l'est pas

Les fournisseurs d'outils de session recording proposent des contrôles de masquage destinés à exclure les champs de formulaire sensibles de la capture. En pratique, ces contrôles sont appliqués de manière incohérente. Une modification de configuration effectuée lors de la refonte d'un flux d'inscription peut démasquer accidentellement des champs qui étaient auparavant exclus. Une nouvelle page ajoutée au tunnel de dépôt peut ne pas avoir hérité des règles de masquage appliquées aux pages d'origine.

L'outil lui-même fait exactement ce pour quoi il est configuré. C'est la configuration qui pose problème, et la plupart des équipes conformité n'ont pas de visibilité sur la configuration des outils de session recording au niveau des champs.

Monkey-patching : l'outil est légitime, le code ne l'est pas

Le monkey-patching est une technique JavaScript spécifique dans laquelle un script injecté enveloppe ou remplace une fonction dans une bibliothèque chargée légitimement. Dans le contexte des outils de session recording, cela signifie qu'un script malveillant chargé via GTM, un pixel d'affilié ou tout autre vecteur tiers peut intercepter le flux de données transitant par Hotjar ou FullStory sans que l'outil d'enregistrement le sache, et sans aucun changement visible dans le comportement de l'outil.

De l'extérieur, Hotjar est toujours en cours d'exécution. La bannière de consentement identifie correctement Hotjar. Les cookies placés par Hotjar sont présents. Rien dans les outils de surveillance ou d'audit standard ne signale d'anomalie. Mais les données enregistrées ne vont plus uniquement vers les serveurs de Hotjar : une fonction intermédiaire les copie vers un endpoint tiers avant qu'elles n'atteignent Hotjar.

Il s'agit d'une attaque techniquement sophistiquée, mais qui nécessite seulement la capacité d'injecter un petit fragment JavaScript dans la page, ce que tout container GTM disposant de permissions suffisantes peut faire.

Shadow recording tools : l'outil n'a jamais été autorisé

Le troisième mode de défaillance ne nécessite aucune modification d'un outil légitime. Une équipe marketing ajoute un script d'analyse ou de heatmap tiers via GTM, croyant qu'il s'agit d'un outil UX standard. Le script inclut une fonctionnalité de session recording qui n'était pas divulguée dans la documentation de l'outil ou qui a été ajoutée à l'outil après l'évaluation initiale. Alternativement, un script d'affilié compromis charge un enregistreur de session comme payload secondaire.

Dans les deux cas, la consent management platform de l'opérateur a accordé le consentement pour une liste nommée d'outils. L'enregistreur non divulgué ne figure pas sur cette liste. Le consentement pour Hotjar ne s'étend pas à un enregistreur de session non lié chargé par un script qui était approuvé parce qu'il semblait être autre chose.

cside a détecté plus de 300 000 signaux d'attaque sur les sites surveillés au cours du premier trimestre 2025, et une catégorie significative de ces signaux implique des scripts effectuant des requêtes de données vers des endpoints qui ne faisaient partie d'aucune intégration de fournisseur approuvée.

Pourquoi les outils de gestion du consentement aux cookies ne détectent pas ces cas

Réponse rapide : les consent management platforms de cookies fonctionnent en partant du principe que les outils nommés et ayant fait l'objet d'un consentement se comportent comme décrit au moment du consentement. Elles ne peuvent pas détecter une version compromise d'un outil consenti, une fonction interceptée par un script injecté, ni un shadow tool chargé comme payload secondaire. Le consentement est accordé à un nom d'outil, pas à un binaire spécifique.

C'est la lacune fondamentale que les équipes conformité découvrent souvent trop tard. Les consent management platforms comme OneTrust, TrustArc ou Cookiebot maintiennent une liste de fournisseurs approuvés. Lorsqu'un utilisateur consent aux cookies analytiques, le consentement est étendu aux outils figurant sur cette liste. La consent management platform ne dispose d'aucun mécanisme pour vérifier que le JavaScript exécuté sous le nom de Hotjar est le même code que celui qui a été évalué lors de l'approbation de Hotjar.

La base juridique du traitement collecté par les outils de session recording dans le contexte du jeu d'argent est généralement le consentement en vertu de l'article 6(1)(a) du GDPR. Ce consentement est spécifique : il couvre les données collectées par Hotjar, telles que décrites à l'utilisateur. Il ne couvre pas une version monkey-patchée de Hotjar interceptant le même flux de données. Il ne couvre pas un shadow recorder chargé aux côtés de Hotjar sans divulgation.

En vertu du principe de minimisation des données de l'article 5 du GDPR, les opérateurs sont responsables de s'assurer que les données personnelles ne sont pas traitées au-delà de ce qui est nécessaire aux fins déclarées. Un outil de session recording qui capture des données financières au-delà de son périmètre divulgué, que ce soit par mauvaise configuration ou par compromission, traite des données en dehors de la finalité consentie. L'opérateur est le responsable du traitement. La responsabilité incombe à l'opérateur, pas au fournisseur de l'outil d'enregistrement.

L'article 33 du GDPR exige la notification à l'autorité de contrôle dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles. Si un opérateur n'a aucune visibilité sur ce que ses outils de session recording capturent et transmettent réellement, il ne peut pas avoir connaissance d'une violation avant que des dommages importants ne se soient produits. La mesure d'exécution de l'ICO contre British Airways, qui a entraîné une amende de 20 millions de livres sterling, a impliqué précisément ce schéma : la compromission d'un script tiers qui n'a pas été détectée parce que l'opérateur n'avait aucune visibilité au runtime sur ce que les scripts de sa page de réservation faisaient réellement.

Comment cside détecte les comportements anormaux des outils de session recording

Réponse rapide : cside instrumente chaque session utilisateur réelle dans le browser, en observant ce que chaque script exécute réellement au runtime. Pour les outils de session recording, cela signifie détecter les nouveaux API endpoints appelés par le script d'enregistrement, les destinations de données modifiées, l'élargissement du périmètre d'enregistrement sur des pages non précédemment couvertes, et les payloads secondaires chargés par l'outil d'enregistrement lui-même. Ces signaux sont disponibles en temps réel, pas après coup.

L'approche de détection utilisée par cside pour les anomalies des outils de session recording est différente de tout ce que fournissent la gestion du consentement ou la surveillance au niveau réseau. Parce que cside s'exécute dans le browser sur chaque session, il observe ce que chaque script fait réellement, pas seulement s'il est présent.

Pour les outils de session recording spécifiquement, les signaux que cside surveille incluent :

  • Nouvelles requêtes réseau sortantes d'un outil d'enregistrement connu : si Hotjar, qui n'a historiquement appelé que des endpoints hog.is, commence soudainement à effectuer des requêtes vers un domaine inconnu, c'est une alerte prioritaire.
  • Destination de données modifiée : un outil d'enregistrement qui envoyait auparavant des données vers un endpoint de fournisseur connu et qui achemine désormais vers une adresse IP ou un domaine différent, même si le domaine semble plausible, déclenche une alerte.
  • Périmètre d'enregistrement modifié : si un outil de session recording commence à capturer des valeurs de champs de formulaire sur des pages où il les masquait auparavant, le changement de comportement est observable au niveau de l'exécution.
  • Chargement de scripts secondaires : si un outil de session recording commence à charger des scripts supplémentaires qui n'y étaient pas précédemment associés, c'est un indicateur de monkey-patching ou de compromission de la supply chain affectant l'outil lui-même.
  • Nouveaux scripts effectuant des appels API de type enregistrement : un script non précédemment classé comme enregistreur de session qui commence à effectuer des appels cohérents avec la capture DOM et l'exfiltration de données est signalé comme un outil non reconnu avec un comportement à haut risque.

Au-delà de la détection, les profils de permissions par fournisseur de cside donnent aux opérateurs un contrôle direct sur ce que les outils de session recording sont autorisés à faire. Les opérateurs peuvent interdire à un fournisseur d'outil de session recording d'accéder aux champs de mot de passe, aux champs de formulaire de paiement ou à l'API Payment Request au niveau du browser. Cette restriction est appliquée même si le code du fournisseur est ultérieurement compromis : un enregistreur de session piraté ne peut pas accéder aux champs auxquels l'accès lui a été refusé, quel que soit le code malveillant injecté.

Cette approche comportementale au runtime signifie que la détection ne dépend pas de la connaissance préalable qu'un outil spécifique a été compromis. Le comportement anormal est signalé lorsqu'il se produit, pas lorsqu'un flux de threat intelligence publie une règle sur une compromission connue.

Pour les équipes conformité des opérateurs iGaming agréés, la valeur pratique est la capacité à démontrer une surveillance continue du traitement des données personnelles par des outils tiers. Cela est directement pertinent pour les obligations de responsabilité au titre de l'article 5(2) du GDPR et pour les exigences de protection des données dès la conception de l'article 25. La documentation d'une surveillance active est un facteur déterminant dans la façon dont les autorités de contrôle évaluent la proportionnalité des sanctions lorsque des incidents surviennent.

Ce que nous avons trouvé dans la stack de session recording d'un opérateur britannique

En déployant cside auprès d'un casino en ligne agréé au Royaume-Uni plus tôt cette année, la préoccupation initiale de l'équipe conformité était simple : ils souhaitaient confirmer que Hotjar masquait correctement les champs de formulaire sur la page de dépôt. Ce que la télémétrie au niveau de la session a révélé est allé plus loin. Dans les 48 premières heures de surveillance au niveau du browser, cside a identifié un second outil d'enregistrement actif sur les pages d'inscription et de dépôt dont l'opérateur n'avait aucune trace. L'outil n'était pas déclaré dans la consent management platform, pas dans la liste des fournisseurs de l'opérateur, et pas dans un DPA que l'équipe conformité avait en dossier.

En remontant l'origine du script, on a identifié un snippet de tracking d'affilié ajouté au container GTM huit mois auparavant. Enfoui dans un script dépendant chargé par ce tag d'affilié se trouvait un enregistreur de session, pas le produit principal de l'affilié mais un module analytique complémentaire inclus dans une mise à jour mineure du SDK JavaScript de l'affilié. L'enregistreur envoyait des événements de session, incluant des valeurs de champs de formulaire partiellement visibles, vers un endpoint que l'opérateur ne reconnaissait pas, et ce pendant toute la période de huit mois.

L'équipe conformité a initié une évaluation au titre de l'article 33 dans les 24 heures suivant l'identification. Les journaux de session cside ont fourni l'horodatage exact de la première occurrence, le nombre de sessions affectées et l'endpoint de destination, ce qui a permis au DPO de délimiter précisément la notification plutôt que d'estimer. Le script de l'affilié a été supprimé, le fournisseur a été notifié, et l'opérateur a mis à jour son processus de gouvernance des scripts pour exiger un examen explicite de toute mise à jour du SDK d'affilié avant le déploiement. La surveillance qui a révélé le problème est ensuite devenue la trace d'audit pour l'évaluation de la violation.

Résumé

Les outils de session recording présentent un profil de risque plus élevé sur les sites de jeux d'argent que sur la plupart des autres propriétés web en raison de la sensibilité des données accessibles lors des sessions des joueurs : documents KYC, données de transactions financières, déclarations de jeu responsable. Les trois modes de défaillance, mauvaise configuration, monkey-patching et shadow recorders, sont chacun capables d'exposer ces données sans déclencher aucune alerte dans la surveillance de sécurité conventionnelle. Les consent management platforms de cookies gèrent ce dont on leur parle, pas ce qui s'exécute réellement. Les outils au niveau réseau voient que Hotjar a chargé, pas ce qu'il a envoyé ni ce qui a intercepté son flux de données. La seule couche de détection qui opère au niveau de l'attaque est celle qui instrumente l'environnement d'exécution du browser directement, sur chaque session, et signale les déviations comportementales en temps réel. La solution Privacy Watch de cside fournit cette visibilité au runtime sur ce que les outils de session recording capturent et transmettent réellement, tandis que sa capacité de sécurité côté client répond aux vecteurs de supply chain et d'injection que les outils de consentement et réseau ne peuvent pas atteindre.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

Oui, avec un consentement et une configuration appropriés. La base juridique est généralement le consentement de l'utilisateur en vertu de l'article 6(1)(a) du GDPR, et les opérateurs doivent s'assurer que les contrôles de masquage excluent les données personnelles et financières sensibles de la capture. Le problème n'est pas l'outil lui-même mais si l'outil est correctement configuré, si cette configuration est maintenue dans le temps, et si le code exécuté sous le nom de l'outil est réellement la version autorisée.

Les données de comportement financier, notamment les montants de dépôt, les demandes de retrait et les montants des mises, présentent une sensibilité élevée. Les données de vérification d'identité soumises pour le KYC, les déclarations de jeu responsable et toute donnée liée à la santé relative à l'auto-exclusion ou aux évaluations de jeu problématique sont toutes des catégories à haut risque. Les tokens de session, s'ils sont capturés, peuvent permettre une prise de contrôle de compte sans aucun autre compromis d'identifiants.

L'opérateur, en tant que responsable du traitement des données, porte la responsabilité principale. L'opérateur a le devoir en vertu de l'article 28 du GDPR de s'assurer que les sous-traitants opèrent dans le cadre des termes convenus, et une obligation en vertu de l'article 25 de mettre en œuvre des mesures techniques garantissant la protection des données dès la conception et par défaut. La compromission d'un outil déployé par l'opérateur est traitée comme une défaillance des contrôles techniques de l'opérateur, quelle que soit la partie qui a introduit le code malveillant.

En vertu de l'article 33 du UK GDPR, la notification à l'ICO est requise dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles susceptible de présenter un risque pour les droits et libertés des personnes. Le délai de 72 heures commence à partir du moment de la prise de connaissance, pas du moment de la compromission. Les opérateurs sans visibilité au runtime sur le comportement des outils de session recording peuvent ne pas en avoir connaissance tant que la violation n'est pas déjà bien établie.

Non. cside fonctionne comme une couche de sécurité complémentaire, pas comme un remplacement de la gestion du consentement. Les consent management platforms traitent de la base juridique du traitement. cside traite de la vérification au runtime que les outils opérant sous des noms consentis se comportent réellement comme prévu. Les deux résolvent des problèmes différents : la gestion du consentement répond à la question « avez-vous la permission d'exécuter un outil » ; cside répond à la question « l'outil fait-il ce pour quoi il a été autorisé ».

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Réserver une démonstration
Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité
Related Articles
Réserver une démonstration