Leaky Forms : des milliers de sites récupèrent vos adresses e-mails avant que vous ne validiez le formulaire

Cela ressemble à un enregistreur de frappe qui enregistre tout ce que l’utilisateur tape sur son clavier avant même que celui-ci ait accepté de soumettre ces informations sachant qu’il peut se raviser et finalement renoncer à s’enregistrer, fermer la page et penser que personne n’a recueilli ces informations. L’utilisation de scripts qui surveillent et capturent les frappes du clavier lorsque l’utilisateur remplit un formulaire avait déjà été signalée début mai 2022 par Gizmodo.

Une adresse e-mail, une adresse IP, un cookie de suivi, un numéro d’identification et un identifiant en ligne sont presque toujours considérés comme des données personnelles en vertu du RGPD, même chose pour les adresses e-mail (cryptées ou pas), tant qu’elles contiennent un identifiant unique pouvant être lié à une personne.

D’après l’étude, plus de 100.000 sites dans le monde seraient concernés. Sur les 2,8 millions de pages web analysées, 1844 sites en Europe ont permis aux trackers d’exfiltrer les adresses e-mail quel que soit le "statut de soumission" des données saisies, 2950 sites aux USA. Pire, 52 sites web collectent les mots de passe au moment où ils sont écrits par l’internaute !

"Nous avons été super surpris par ces résultats. Nous pensions que nous allions peut-être trouver quelques centaines de sites web sur lesquels votre courrier électronique est collecté avant de le soumettre, mais cela a dépassé de loin nos attentes", explique à Wired Güneş Acar, professeur et chercheur au sein du groupe de sécurité numérique de l’Université Radboud.

Les secteurs de la mode et de la beauté sont les plus représentés dans les sites avec un tel comportement, tant aux États-Unis qu’en Europe. En 2e position, on retrouve les sites d’achats en ligne.

• Les sites collectant des adresses e-mail

Dans l’UE, les cinq principaux domaines de suivi collectant des e-mails appartenaient à : Taboola, Adobe, FinStory, Awin et Yandex. Meta et TikTok étaient également les deux plus grandes entreprises parmi les domaines de suivi qui collectaient les données des utilisateurs, principalement les e-mails.

• Les sites collectant les mots de passe

Les domaines de suivi collectant les mots de passe dans l’UE étaient : Yandex.com, Yandex.ru, mixpanel.com et lr-ingest.io.

• Les sites divulguant des adresses e-mail vers des domaines de suivi

Les 5 principaux sites web qui divulguaient des données vers des domaines de suivi tiers en UE étaient : usatoday.com, trello.com, Independent.co.uk, Shopify.com et marriott.com.

Les sites concernés auraient rectifié leur comportement en ligne après divulgation de l’étude. Cependant, "sur la base de nos conclusions, les utilisateurs doivent supposer que les informations personnelles qu’ils saisissent dans les formulaires web peuvent être collectées par des trackers – même si le formulaire n’est jamais soumis", ont conclu les chercheurs.