Les adresses e-mail saisies dans des formulaires en ligne sont souvent transmises à des trackers Web avant d’être soumises et sans le consentement de l’utilisateur, a découvert une étude systématique menée par des informaticiens.
Les adresses e-mail – ou les identifiants dérivés de celles-ci – sont apparemment utilisées par les courtiers en données et les annonceurs pour l’identification intersite et multiplateforme des utilisateurs d’ordinateurs.
Dans le cadre d’une enquête sur la manière dont les données des formulaires en ligne sont utilisées pour le suivi, une équipe de quatre informaticiens a mesuré l’étendue de la collecte des e-mails et des mots de passe avant la soumission du formulaire en analysant les 100 000 sites Web les plus importants.
Les chercheurs – Asuman Senol de la KU Leuven aux Pays-Bas, Mathias Humbert (Université de Lausanne, Suisse) et Gunes Acar et Frederik Zuiderveen Borgesius (tous deux de l’Université Radboud, Belgique) – ont comparé les résultats de deux points de vue, aux États-Unis et dans l’UE. , ainsi qu’entre les navigateurs mobiles et de bureau.
Domaines de suivi
L’équipe a découvert que les adresses e-mail étaient exfiltrées vers des domaines de suivi avant la soumission du formulaire et sans donner leur consentement sur 1 844 sites Web dans le crawl de l’UE et 2 950 sites Web dans le crawl américain.
Dans la majorité des cas, les données ont été extraites vers des domaines de suivi bien connus, mais les chercheurs ont également identifié 41 domaines de suivi omis des listes de blocage populaires.
Le profilage à des fins de diffusion d’annonces n’est pas la seule préoccupation.
Les chercheurs ont également identifié une collecte de mots de passe apparemment involontaire sur 52 sites Web par des scripts de relais tiers.
UN document de recherche (PDF) basé sur l’étude doit être présenté lors de la prochaine conférence sur la sécurité Usenix ’22.
APERÇU La recherche a parcouru un long chemin, mais des lacunes subsistent – le chercheur en sécurité Artur Janc sur l’état des XS-Leaks
Les internautes saisissent généralement leurs adresses e-mail dans des formulaires en ligne pour des raisons telles que l’inscription à un service ou l’abonnement à une newsletter.
La recherche montre que toutes les données saisies dans de tels formulaires peuvent se retrouver entre les mains de courtiers en données – parfois même dans les cas où les individus ont des doutes sur l’inscription à quelque chose et n’ont pas appuyé sur « envoyer ».
Les chercheurs ont utilisé un robot d’exploration en ligne pour examiner systématiquement ce qui se passe lorsque les utilisateurs ferment leur session avant de soumettre les données saisies sur les formulaires.
Problèmes de violation du RGPD
Bien que n’étant pas avocat, Gunes Acar, l’un des quatre principaux chercheurs du projet, a déclaré La gorgée quotidienne que le comportement de certains sites Web peut être en violation de réglementations plus strictes en matière de confidentialité des données, telles que le règlement général sur la protection des données (RGPD) de l’Union européenne.
« L’exfiltration clandestine d’e-mails à des fins de suivi peut enfreindre certains principes du RGPD tels que la transparence, la limitation des finalités et la base juridique, mais nous ne pouvons pas dire avec certitude si des sites Web individuels violent le RGPD (ou d’autres lois) sans examiner les détails », a expliqué Acar.
Près de la moitié des sites contactés ont répondu aux demandes des chercheurs liées au RGPD (voir exemple de réponse ici).
« Certains sites Web ont déclaré qu’ils ne savaient pas que les e-mails de leurs visiteurs étaient collectés par des tiers, et ils ont résolu le problème », a déclaré Acar. « C’était le résultat le plus positif.
« D’autres sites Web nous ont informés de la manière dont ils utilisaient les e-mails collectés grâce à ce comportement », ont-ils ajouté.
Contre-mesures
Les internautes soucieux de leur vie privée pourraient bien reculer devant les révélations, comme résumé dans un article de blog contenant des captures d’écran et des vidéos.
Heureusement, certaines contre-mesures sont déjà disponibles.
Acar a expliqué : « Les bloqueurs de publicités (par exemple uBlock Origin) et les navigateurs axés sur la confidentialité (Brave, DuckDuckGo) bloquent les requêtes vers les domaines de suivi et de publicité, et peuvent donc empêcher ce type de collecte de données. Le seul blocage des cookies ne fournirait aucune protection.
« Les services de relais de messagerie peuvent être utilisés pour éviter de donner la même adresse e-mail à différentes entreprises en ligne et hors ligne. Apple, DuckDuckGo et Mozilla proposent de tels services, qui peuvent être utilisés pour générer des adresses alias », a conclu Acer.
Les chercheurs ont développé un plugin de navigateur de preuve de concept, Inspecteur de fuitequi informe les utilisateurs lorsque leur adresse e-mail et leurs mots de passe sont supprimés des formulaires, en plus de bloquer les demandes « fuites » vers les domaines de suivi.
« Malheureusement, le module complémentaire n’est pas disponible sur Chrome Web Store, car il s’appuie sur des API que Google interdit dans Manifest v3 », a déclaré Acar. « Nous travaillons à la publication du module complémentaire dans le référentiel de modules complémentaires de Firefox. »
