Une étude approfondie révèle que jusqu’à 3 % des sites Web peuvent collecter vos données de formulaire avant même que vous n’appuyiez sur « Envoyer ». En effet, même si vous tapez quelque chose et que vous l’effacez ensuite, ces sites Web enregistrent vos frappes et se souviennent des éléments que vous avez choisi de ne pas saisir.
Les données, collectées à votre insu et sans votre consentement, peuvent contenir certaines des informations les plus personnelles, qui peuvent ensuite être utilisées à diverses fins, comme des publicités ciblées.
L’étude s’intitule « Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission », elle a été menée par des chercheurs universitaires sur un large échantillon de 100 000 sites Web parmi les mieux classés au monde, soit un total de 2,8 millions de pages.
À l’aide d’un robot d’exploration de sites Web (basé sur le Tracker Radar Collector de DuckDuckGo), les chercheurs ont parcouru l’internet et ont obtenu des résultats stupéfiants. Bien que la plupart d’entre nous supposent que les sites Web n’enregistrent que ce que nous tapons lorsque nous les soumettons, il semble que pour 2 950 sites sur les 100 000 qui ont été échantillonnés, ce n’était tout simplement pas vrai. Il semble que, dans 3 % des cas, les trackers collectent les données à partir du moment où elles sont saisies dans le formulaire.
Les sites Web utilisent des trackers pour de nombreuses raisons, mais la plupart du temps, ils servent à personnaliser votre expérience de navigation et à recueillir des informations sur l’activité des visiteurs. En théorie, ces informations sont censées être anonymes, mais bien sûr, les identifiants personnels réduisent considérablement les possibilités.
Les trackers peuvent être utiles, car ils permettent aux sites Web de savoir quel type de contenu intéresse le plus les utilisateurs. Cependant, les trackers tiers sont utilisés pour aider les annonceurs à s’assurer que les publicités que vous voyez sont ciblées, ce qui signifie que vous serez plus susceptible de cliquer et d’acheter quelque chose.
Une simple erreur ou réelle envie de récupérer des informations ?
Le crawler utilisé dans la recherche était équipé d’un classificateur d’apprentissage automatique préalablement formé pour détecter les champs d’adresse électronique et de mot de passe, puis intercepter tout accès potentiel à ces champs par un script. Il semble que de nombreux trackers tiers aient été surpris en train d’utiliser des scripts qui surveillent les frappes au clavier lorsque le visiteur tape dans un formulaire. Si les trackers enregistrent les informations avant qu’elles ne soient soumises, certains d’entre eux seraient en mesure de collecter des adresses électroniques et des mots de passe sans le consentement de l’utilisateur.
Le fait que certains trackers tiers aient pu collecter des frappes au clavier, et donc des données, avant que quoi que ce soit ne soit soumis, est définitivement alarmant. Selon les chercheurs, ce problème ne concerne qu’un faible pourcentage de trackers, mais ils sont très répandus sur le Web. Les plus grands coupables sont LiveRamp (662 sites), Taboola (383), Verizon (255) et Bizible (191). Ces trackers étaient présents sur les sites Web où les adresses électroniques étaient enregistrées. Lorsqu’il s’agit de récupérer des mots de passe, les trackers de Yandex sont en tête de liste.
Un élément intéressant de la recherche est que les utilisateurs européens ont été soumis à moins de tentatives d’extraction d’adresses électroniques et de mots de passe que les utilisateurs américains. Seuls 1 844 sites Web ont permis aux trackers de le faire lorsqu’ils étaient visités depuis l’Europe, contre 2 950 pour les utilisateurs des États-Unis.
En Europe nous avons le RGPD
Les utilisateurs en Europe sont protégés par le RGPD, un ensemble de réglementations légales concernant les données personnelles. Selon l’étude, l’exfiltration d’e-mails par des trackers enfreint au moins trois lois du RGPD. La violation du RGPD peut entraîner d’énormes amendes atteignant jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entité en question.
Les points forts de l’étude ont été publiés par les chercheurs en même temps qu’une version complète, beaucoup plus technique, pour ceux qui veulent en savoir un peu plus. Cette dernière a ensuite été partagée par Bleeping Computer. Il est important de noter que la moitié des premières et tierces parties répertoriées ont répondu aux chercheurs et ont affirmé que la collecte était due à une erreur.
Si vous voulez vous protéger contre des trackers analogues, il peut être judicieux de désactiver complètement les trackers tiers — vous pouvez le faire dans les paramètres de votre navigateur. Il est également recommandé de changer de mot de passe de temps en temps. Les gestionnaires de mots de passe peuvent s’avérer utiles si vous jonglez avec un grand nombre de mots de passe différents qui changent régulièrement.