RTBFPasser au contenu

Vie privée

Leaky Forms : des milliers de sites récupèrent vos adresses e-mails avant que vous ne validiez le formulaire

Leaky Forms : des milliers de sites récupèrent vos adresses e-mails avant que vous ne validiez le formulaire
19 mai 2022 à 09:463 min
Par Chloé Rosier

Des milliers de sites web permettent de capturer des données saisies en direct dans des formulaires en ligne avant que vous ne confirmiez le formulaire.

Des milliers de sites web divulguent régulièrement des données d’identification à des courtiers de données tiers, des annonceurs et des sociétés de marketing, comme le met en lumière une nouvelle étude de la KU Leuven.

Cette pratique est connue de beaucoup mais ce qui est nouveau, c’est que ces données sont parfois recueillies sans même que vous cliquiez sur la case de consentement et soumetiez le formulaire au site web. En effet, une étude menée par des chercheurs de l’Université Radboud, de la KU Leuven et de l’Université de Lausanne a révélé que des milliers de sites web transmettent des informations à des trackers tiers avant même que les visiteurs du site n’appuient sur le bouton "Enter" ou sur le bouton d’inscription.

Un enregistreur de frappe qui vous vole vos données personnelles

Cela ressemble à un enregistreur de frappe qui enregistre tout ce que l’utilisateur tape sur son clavier avant même que celui-ci ait accepté de soumettre ces informations sachant qu’il peut se raviser et finalement renoncer à s’enregistrer, fermer la page et penser que personne n’a recueilli ces informations. L’utilisation de scripts qui surveillent et capturent les frappes du clavier lorsque l’utilisateur remplit un formulaire avait déjà été signalée début mai 2022 par Gizmodo.

Une adresse e-mail, une adresse IP, un cookie de suivi, un numéro d’identification et un identifiant en ligne sont presque toujours considérés comme des données personnelles en vertu du RGPD, même chose pour les adresses e-mail (cryptées ou pas), tant qu’elles contiennent un identifiant unique pouvant être lié à une personne.

Plus de 100.000 sites concernés

D’après l’étude, plus de 100.000 sites dans le monde seraient concernés. Sur les 2,8 millions de pages web analysées, 1844 sites en Europe ont permis aux trackers d’exfiltrer les adresses e-mail quel que soit le "statut de soumission" des données saisies, 2950 sites aux USA. Pire, 52 sites web collectent les mots de passe au moment où ils sont écrits par l’internaute !

"Nous avons été super surpris par ces résultats. Nous pensions que nous allions peut-être trouver quelques centaines de sites web sur lesquels votre courrier électronique est collecté avant de le soumettre, mais cela a dépassé de loin nos attentes", explique à Wired Güneş Acar, professeur et chercheur au sein du groupe de sécurité numérique de l’Université Radboud.

Quels sites sont à risque ?

Les secteurs de la mode et de la beauté sont les plus représentés dans les sites avec un tel comportement, tant aux États-Unis qu’en Europe. En 2e position, on retrouve les sites d’achats en ligne.

  • Les sites collectant des adresses e-mail

Dans l’UE, les cinq principaux domaines de suivi collectant des e-mails appartenaient à : Taboola, Adobe, FinStory, Awin et Yandex. Meta et TikTok étaient également les deux plus grandes entreprises parmi les domaines de suivi qui collectaient les données des utilisateurs, principalement les e-mails.

  • Les sites collectant les mots de passe

Les domaines de suivi collectant les mots de passe dans l’UE étaient : Yandex.com, Yandex.ru, mixpanel.com et lr-ingest.io.

  • Les sites divulguant des adresses e-mail vers des domaines de suivi

Les 5 principaux sites web qui divulguaient des données vers des domaines de suivi tiers en UE étaient : usatoday.com, trello.com, Independent.co.uk, Shopify.com et marriott.com.

Les sites concernés auraient rectifié leur comportement en ligne après divulgation de l’étude. Cependant, "sur la base de nos conclusions, les utilisateurs doivent supposer que les informations personnelles qu’ils saisissent dans les formulaires web peuvent être collectées par des trackers – même si le formulaire n’est jamais soumis", ont conclu les chercheurs.

Sur le même sujet

26 mai 2022 à 08:34
2 min
04 mai 2022 à 08:00
3 min

Articles recommandés pour vous