Lorsque vous vous inscrivez à une newsletter, effectuez une réservation d’hôtel ou effectuez un paiement en ligne, vous tenez probablement pour acquis que si vous tapez trois fois votre adresse e-mail de manière erronée ou si vous changez d’avis et que X quitte la page, cela n’a pas d’importance. Rien ne se passe réellement jusqu’à ce que vous appuyiez sur le bouton Soumettre, n’est-ce pas ? Eh bien, peut-être pas. Comme pour tant d’hypothèses sur le Web, ce n’est pas toujours le cas, selon de nouvelles recherches : un nombre surprenant de sites Web collectent tout ou partie de vos données lorsque vous les saisissez dans un formulaire numérique.
Des chercheurs de la KU Leuven, de l’Université Radboud et de l’Université de Lausanne ont exploré et analysé les 100 000 sites Web les plus importants, en examinant des scénarios dans lesquels un utilisateur visite un site alors qu’il se trouve dans l’Union européenne et visite un site depuis les États-Unis. Ils ont découvert que 1 844 sites Web recueillaient l’adresse e-mail d’un utilisateur de l’UE sans son consentement, et un nombre impressionnant de 2 950 ont enregistré l’e-mail d’un utilisateur américain sous une forme ou une autre. De nombreux sites n’ont apparemment pas l’intention de procéder à l’enregistrement des données, mais intègrent des services de marketing et d’analyse tiers qui provoquent le comportement.
Après avoir spécifiquement exploré des sites à la recherche de fuites de mots de passe en mai 2021, les chercheurs ont également trouvé 52 sites Web sur lesquels des tiers, dont le géant russe de la technologie Yandex, collectaient accidentellement des données de mot de passe avant de les soumettre. Le groupe a divulgué ses conclusions à ces sites, et les 52 cas ont depuis été résolus.
« S’il y a un bouton Soumettre sur un formulaire, on peut raisonnablement s’attendre à ce qu’il fasse quelque chose – qu’il soumette vos données lorsque vous cliquez dessus », explique Güneş Acar, professeur et chercheur au sein du groupe de sécurité numérique de l’Université Radboud et l’un des dirigeants. de l’étude. « Nous avons été super surpris par ces résultats. Nous pensions que nous allions peut-être trouver quelques centaines de sites Web sur lesquels votre courrier électronique est collecté avant que vous ne le soumettiez, mais cela a dépassé de loin nos attentes.
Les chercheurs, qui présenteront leurs découvertes lors de la conférence sur la sécurité Usenix en août, disent qu’ils ont été inspirés pour enquêter sur ce qu’ils appellent les « formulaires qui fuient » par les médias, en particulier de Gizmodo., sur les tiers collectant des données de formulaire quel que soit le statut de soumission. Ils soulignent que, à la base, le comportement est similaire aux soi-disant enregistreurs de frappe, qui sont généralement des programmes malveillants qui enregistrent tout ce qu’une cible tape. Mais sur un site grand public du top 1 000, les utilisateurs ne s’attendront probablement pas à ce que leurs informations soient enregistrées au clavier. Et dans la pratique, les chercheurs ont vu quelques variations du comportement. Certains sites ont enregistré des données frappe par frappe, mais beaucoup ont saisi des soumissions complètes d’un champ lorsque les utilisateurs ont cliqué sur le suivant.
« Dans certains cas, lorsque vous cliquez sur le champ suivant, ils collectent le précédent, comme vous cliquez sur le champ du mot de passe et ils collectent l’e-mail, ou vous cliquez simplement n’importe où et ils collectent toutes les informations immédiatement », explique Asuman Senol, un spécialiste de la protection de la vie privée. et chercheur en identité à la KU Leuven et l’un des co-auteurs de l’étude. « Nous ne nous attendions pas à trouver des milliers de sites Web ; et aux États-Unis, les chiffres sont vraiment élevés, ce qui est intéressant. »
Les chercheurs affirment que les différences régionales peuvent être liées au fait que les entreprises sont plus prudentes quant au suivi des utilisateurs, et même potentiellement à l’intégration avec moins de tiers, en raison du règlement général sur la protection des données de l’UE. Mais ils soulignent qu’il ne s’agit que d’une possibilité, et l’étude n’a pas examiné les explications de la disparité.
Grâce à un effort substantiel pour informer les sites Web et les tiers qui collectent des données de cette manière, les chercheurs ont découvert qu’une explication de certaines des collectes de données inattendues peut être liée au défi de différencier une action « soumettre » des autres actions des utilisateurs sur certains sites Web. pages. Mais les chercheurs soulignent que du point de vue de la confidentialité, ce n’est pas une justification adéquate.
Depuis la fin de l’article, le groupe a également fait une découverte sur Meta Pixel et TikTok Pixel, des trackers marketing invisibles que les services intègrent sur leurs sites Web pour suivre les utilisateurs sur le Web et leur montrer des publicités. Les deux ont affirmé dans leur documentation que les clients pouvaient activer la « correspondance avancée automatique », ce qui déclencherait la collecte de données lorsqu’un utilisateur soumettait un formulaire. En pratique, cependant, les chercheurs ont découvert que ces pixels de suivi récupéraient des adresses e-mail hachées, une version masquée des adresses e-mail utilisées pour identifier les utilisateurs Web sur toutes les plateformes, avant la soumission. Pour les utilisateurs américains, 8 438 sites peuvent avoir divulgué des données à Meta, la société mère de Facebook, via des pixels, et 7 379 sites peuvent être impactés pour les utilisateurs de l’UE. Pour TikTok Pixel, le groupe a trouvé 154 sites pour les utilisateurs américains et 147 pour les utilisateurs européens.
Les chercheurs ont déposé un rapport de bogue auprès de Meta le 25 mars et la société a rapidement affecté un ingénieur à l’affaire, mais le groupe n’a pas entendu de mise à jour depuis. Les chercheurs ont informé TikTok le 21 avril – ils ont découvert le comportement de TikTok plus récemment – et n’ont pas eu de réponse. Meta et TikTok n’ont pas immédiatement renvoyé la demande de commentaires de WIRED sur les résultats.
« Les risques pour la vie privée des utilisateurs sont qu’ils seront suivis encore plus efficacement ; ils peuvent être suivis sur différents sites Web, sur différentes sessions, sur mobile et sur ordinateur », explique Acar. « Une adresse e-mail est un identifiant très utile pour le suivi, car elle est globale, unique, constante. Vous ne pouvez pas l’effacer comme vous effacez vos cookies. C’est un identifiant très puissant.
Acar souligne également que, alors que les entreprises technologiques cherchent à éliminer progressivement le suivi basé sur les cookies en signe de respect de la vie privée, les spécialistes du marketing et autres analystes s’appuieront de plus en plus sur des identifiants statiques tels que les numéros de téléphone et les adresses e-mail.
Étant donné que les résultats indiquent que la suppression de données dans un formulaire avant de le soumettre peut ne pas suffire à vous protéger de toute collecte, les chercheurs ont créé une extension Firefox appelée LeakInspector pour détecter la collecte de formulaires malveillants. Et ils disent qu’ils espèrent que leurs découvertes sensibiliseront au problème, non seulement les utilisateurs Web réguliers, mais aussi les développeurs et les administrateurs de sites Web qui peuvent vérifier de manière proactive si leurs propres systèmes ou l’un des tiers qu’ils utilisent collectent des données à partir de formulaires sans consentement.
Les formulaires qui fuient ne sont qu’un type de collecte de données de plus dont il faut se méfier dans un domaine en ligne déjà extrêmement encombré.
Cette histoire est apparue à l’origine sur wired.com.