Lorsque vous vous inscrivez à une newsletter, lorsque vous faites une réservation d'hôtel ou lorsque vous payez en ligne, vous pensez probablement que si vous vous trompez trois fois dans votre adresse électronique ou si vous changez d'avis et quittez la page, cela ne fait rien. Il ne se passe rien tant que vous n'avez pas appuyé sur le bouton "Envoyer", n'est-ce pas ? Eh bien, peut-être pas. Comme pour beaucoup de présomptions concernant internet, ce n'est pas toujours le cas, selon une nouvelle étude : un nombre surprenant de sites web collectent tout ou partie de vos données lorsque vous les saisissez sous forme numérique.
Des chercheurs de la KU Leuven, de l'université Radboud et de l'université de Lausanne ont exploré et analysé 100 000 principaux sites web, en analysant des scénarios dans lesquels un utilisateur visite un site dans l'Union européenne et un site aux États-Unis. Ils ont découvert que 1 844 sites Web recueillaient l'adresse électronique d'un utilisateur de l'UE sans son consentement et que 2 950 sites Web enregistraient l'adresse électronique d'un utilisateur américain sous une forme ou une autre. Il semble que de nombreux sites n'aient pas l'intention de procéder à la collecte de données, mais qu'ils intègrent des services de marketing et d'analyse tiers à l'origine de ce comportement.
En mai 2021, après avoir exploré des sites à la recherche de fuites de mots de passe, les chercheurs ont également découvert 52 sites Web sur lesquels des tiers, dont le géant russe de la technologie Yandex, collectaient accidentellement des données relatives aux mots de passe avant de les envoyer. Le groupe a communiqué ses conclusions à ces sites, et les 52 cas ont depuis été résolus.
"S'il y a un bouton Soumettre sur un formulaire, on peut raisonnablement s'attendre à ce qu'il fasse quelque chose - qu'il soumette vos données lorsque vous cliquez dessus", explique Güneş Acar, professeur et chercheur au sein du groupe de sécurité numérique de l'Université Radboud et l'un des responsables de l'étude. "Nous avons été super surpris par ces résultats. Nous pensions que nous allions peut-être trouver quelques centaines de sites web où votre email est collecté avant que vous ne le soumettiez, mais cela a dépassé de loin nos attentes."
Les chercheurs, qui présenteront leurs résultats lors de la conférence Usenix sur la sécurité en août, disent avoir été incités à enquêter sur ce qu'ils appellent les "formulaires percés" par les articles de presse, notamment ceux de Gizmodo, sur la collecte par des tiers des données des formulaires, quel que soit le statut de la validation. Ils soulignent qu'à la base, ce comportement est similaire à celui des enregistreurs de frappe, qui sont généralement des programmes malveillants qui enregistrent tout ce qu'une cible saisit. Mais sur un site grand public du top 1 000, les utilisateurs ne s'attendent probablement pas à ce que leurs informations soient enregistrées de la même manière qu'un keyloggers. Dans la pratique, les chercheurs ont constaté quelques variations de ce comportement. Certains sites enregistraient les données touche par touche, mais de nombreux sites capturaient les données complètes d'un champ lorsque les utilisateurs passaient au suivant.
"Dans certains cas, lorsque vous cliquez sur le champ suivant, ils collectent le précédent, comme lorsque vous cliquez sur le champ du mot de passe et ils collectent l'email, ou vous cliquez n'importe où et ils collectent toutes les informations immédiatement", explique Asuman Senol, chercheur sur la vie privée et l'identité à la KU Leuven et l'un des coauteurs de l'étude. "Nous ne nous attendions pas à trouver des milliers de sites web ; et aux États-Unis, les chiffres sont vraiment élevés, ce qui est intéressant."
Les chercheurs affirment que les différences régionales peuvent être liées au fait que les entreprises sont plus prudentes en ce qui concerne le suivi des utilisateurs, et même potentiellement l'intégration avec moins de tiers, en raison du règlement général sur la protection des données de l'UE. Ils soulignent toutefois qu'il ne s'agit là que d'une possibilité, et que l'étude n'a pas examiné les explications de cette disparité.
Grâce à un effort substantiel pour informer les sites web et les tiers collectant des données de cette manière, les chercheurs ont découvert que l'une des explications de la collecte inattendue de données peut être liée à la difficulté de différencier une action " envoyer " des autres actions de l'utilisateur sur certaines pages web. Mais les chercheurs soulignent que, du point de vue de la protection de la vie privée, ce n'est pas une justification adéquate.
Depuis l'achèvement du document, le groupe a également fait une découverte sur Meta Pixel et TikTok Pixel, des traceurs marketing invisibles que les services intègrent à leurs sites Web pour suivre les utilisateurs sur le Web et leur montrer des publicités. Dans leur documentation, tous deux affirment que les clients peuvent activer la "correspondance automatique avancée", qui déclenche la collecte de données lorsqu'un utilisateur soumet un formulaire. Dans la pratique, cependant, les chercheurs ont constaté que ces pixels de suivi saisissaient les adresses électroniques hachées, une version masquée des adresses électroniques utilisées pour identifier les internautes sur les différentes plateformes, avant leur envoi. Pour les utilisateurs américains, 8 438 sites pourraient avoir transmis des données à Meta, la société mère de Facebook, par le biais de pixels, et 7 379 sites pourraient être concernés pour les utilisateurs européens. Pour TikTok Pixel, le groupe a trouvé 154 sites pour les utilisateurs américains et 147 pour les utilisateurs européens.
Les chercheurs ont déposé un rapport de bogue auprès de Meta le 25 mars, et la société a rapidement affecté un ingénieur au dossier, mais le groupe n'a pas eu de nouvelles depuis. Les chercheurs ont informé TikTok le 21 avril - ils ont remarqué le comportement de TikTok plus récemment - et n'ont pas eu de réponse. Meta et TikTok n'ont pas répondu immédiatement à la demande de commentaires du WIRED sur ces découvertes.
"Les risques pour la vie privée des utilisateurs sont qu'ils seront suivis encore plus efficacement ; ils peuvent être suivis à travers différents sites Web, à travers différentes sessions, via leur téléphone mobile et via un ordinateur", dit Acar. "Une adresse électronique est un identifiant tellement utile pour le suivi, car elle est globale, unique et constante. Vous ne pouvez pas l'effacer comme vous effacez vos cookies. C'est un identifiant très puissant."
M. Acar souligne également qu'à mesure que les entreprises technologiques cherchent à éliminer progressivement le suivi basé sur les cookies pour répondre aux préoccupations en matière de protection de la vie privée, les spécialistes du marketing et autres analystes s'appuient de plus en plus sur des identifiants statiques tels que les numéros de téléphone et les adresses électroniques.
Étant donné que les résultats indiquent que la suppression des données d'un formulaire avant de le soumettre peut ne pas suffire à vous protéger de toute collecte, les chercheurs ont créé une extension Firefox appelée LeakInspector pour détecter les formulaires malveillants. Ils espèrent que leurs résultats sensibiliseront les internautes, mais aussi les développeurs et les administrateurs de sites Web, qui pourront vérifier de manière proactive si leurs propres systèmes ou les tiers qu'ils utilisent collectent des données dans des formulaires sans consentement.
Les formulaires non sécurisés ne sont qu'un type supplémentaire de collecte de données dont il faut se méfier dans un domaine en ligne déjà très encombré.
source :
https://arstechnica.com/information-technology/2022/05/some-top-100000-websites-collect-everything-you-type-before-you-hit-submit/