Votre e-mail et votre mot de passe peuvent être enregistrés à votre insu

18 mai 2022 Hibou Gourou

Une étude approfondie révèle que jusqu'à 3% des sites Web peuvent collecter vos entrées de formulaire avant même que vous n'appuyiez sur «Soumettre». C'est vrai – même si vous tapez quelque chose puis le supprimez, ces sites Web enregistreront toujours vos frappes et se souviendront des choses que vous avez choisi de ne pas saisir.

Les données, collectées à votre insu et sans votre consentement, peuvent contenir certaines des informations les plus personnelles, qui peuvent ensuite être utilisées à diverses fins, telles que des publicités ciblées.

Liste des sites Web qui suivent les adresses e-mail avant de les soumettre. — Kuleuven

L'étude s'intitule « Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission », et elle a été menée par des chercheurs universitaires sur un large échantillon de 100 000 sites Web parmi les mieux classés au monde, soit un total de 2,8 millions. pages.

À l'aide d'un robot d'exploration de site Web (basé sur Tracker Radar Collector de DuckDuckGo), les chercheurs ont parcouru Internet et sont revenus avec des résultats stupéfiants. Bien que la plupart d'entre nous supposent que les sites Web n'enregistrent que les éléments que nous tapons lorsque nous les soumettons, il semble que pour 2 950 sites sur les 100 000 échantillonnés, ce n'était tout simplement pas vrai. Il semble que, jusqu'à 3% du temps, les trackers collectent des données à partir du moment où elles sont saisies dans le formulaire.

Les sites Web utilisent des trackers pour de nombreuses raisons, mais pour la plupart, ils sont utilisés pour personnaliser votre expérience de navigation ainsi que pour collecter des informations sur l'activité des visiteurs. En théorie, cela est censé être anonyme, mais bien sûr, les identifiants personnels réduisent beaucoup les choses.

Les trackers peuvent être utiles, car ils permettent aux sites Web de savoir quel type de contenu intéresse le plus les utilisateurs. Cependant, des trackers tiers sont utilisés pour aider les annonceurs à s'assurer que les publicités que vous voyez sont ciblées, ce qui signifie que vous seriez plus susceptible de cliquez et achetez quelque chose.

Le robot d'exploration utilisé dans la recherche était équipé d'un classificateur d'apprentissage automatique qui avait été préalablement formé pour détecter les champs de courrier électronique et de mot de passe, puis intercepter tout accès de script potentiel à ces champs. Il semble que de nombreux trackers tiers aient été capturés en utilisant des scripts qui surveillent les frappes lorsque le visiteur tape dans un formulaire. Si les traceurs enregistrent les informations avant qu'elles ne soient soumises, certains d'entre eux pourraient collecter des adresses e-mail et des mots de passe sans le consentement de l'utilisateur.

Trackers qui ont été affectés par des fuites de mots de passe. — Kuleuven

Le fait que certains trackers tiers aient pu collecter des frappes au clavier, et donc des données, avant que quoi que ce soit ne soit soumis, est définitivement alarmant. Selon les chercheurs, ce problème affecte un petit pourcentage de trackers, mais ils sont assez répandus sur le Web. Les plus grands coupables étaient LiveRamp (662 sites Web), Taboola (383), Verizon (255) et Bizible (191). Ces trackers étaient présents sur les sites Web où les adresses e-mail étaient enregistrées. Lorsqu'il s'agit d'arracher des mots de passe, les trackers Yandex sont en tête de liste.

Un facteur intéressant de la recherche est que les utilisateurs européens ont été soumis à moins de tentatives d'extraction d'e-mail/de mot de passe que les utilisateurs aux États-Unis. Seuls 1 844 sites Web ont autorisé les trackers à le faire lorsqu'ils sont visités depuis l'Europe, contre 2 950 pour les utilisateurs aux États-Unis.

Les utilisateurs en Europe sont protégés par le GDPR, un ensemble de réglementations légales concernant les données personnelles. Selon l'étude, l'exfiltration d'e-mails via des trackers enfreint au moins trois lois GDPR. La violation du GDPR peut entraîner d'énormes amendes pouvant atteindre 20 millions d'euros ou jusqu'à 4% du chiffre d'affaires annuel global de l'entité en question.

Les faits saillants de l'étude ont été publiés par des chercheurs accompagnés d'une version complète et beaucoup plus technique pour ceux qui veulent en savoir un peu plus. Cela a ensuite été partagé pour la première fois par Bleeping Computer . Il est important de noter que la moitié des premières et tierces parties répertoriées ont répondu aux chercheurs et affirmé que la collecte était due à une erreur.

Si vous souhaitez vous protéger des trackers similaires, il peut être judicieux de désactiver complètement les trackers tiers. Vous pouvez le faire dans les paramètres de votre navigateur. Il est également considéré comme une bonne pratique de changer votre mot de passe de temps en temps. Les gestionnaires de mots de passe peuvent s'avérer utiles si vous jonglez avec de nombreux mots de passe différents qui changent régulièrement.