Clé à emporter
- Les chercheurs ont découvert que des milliers de sites Web parmi les meilleurs capturent et partagent des données de formulaire avant même que les utilisateurs n'appuient sur le bouton Soumettre.
- La collecte n'est pas toujours à des fins publicitaires, suggèrent des experts en matière de confidentialité.
- De nombreux sites Web ont reconnu et corrigé les erreurs, mais plusieurs défient toujours les règles.
Les sites Web sont de plus en plus astucieux pour collecter et partager vos informations.
Une étude approfondie sur les 100 000 sites Web les plus importants a révélé que de nombreuses fuites d'informations ont été saisies dans les formulaires du site vers des trackers tiers avant même que les utilisateurs n'appuient sur le bouton d'envoi. Il a trouvé des milliers de sites Web de ce type qui divulguaient tout, des adresses e-mail aux mots de passe, mais heureusement, beaucoup ont résolu les problèmes une fois que les chercheurs les ont contactés.
"Il est inquiétant de voir des sites Web divulguer des mots de passe", a déclaré Rick McElroy, stratège principal en cybersécurité chez VMware, à Lifewire par e-mail, réagissant à la recherche. "Je suis heureux de voir qu'une fois informés, les organisations ont apporté des modifications à leur code pour mettre fin à cette pratique."
Entrez pour fuir
L'étude a été menée pour déterminer si les trackers en ligne abusent de l'accès aux formulaires Web. Les chercheurs citent une enquête dans laquelle 81 % des personnes interrogées ont admis avoir abandonné les formulaires en ligne à un moment donné.
"Nous pensons qu'il est fortement contraire aux attentes des utilisateurs de collecter des données personnelles à partir de formulaires Web à des fins de suivi avant de soumettre un formulaire", ont noté les chercheurs. "Nous voulions mesurer ce comportement pour évaluer sa prévalence."
En tout, ils ont testé 2,8 millions de pages sur les sites les mieux classés au monde. Parmi ceux-ci, 1 844 sites Web permettaient aux trackers d'exfiltrer les adresses e-mail avant leur soumission, lorsqu'elles étaient visitées depuis l'Europe. Lors d'une visite depuis les États-Unis, le nombre de sites collectant des informations avant leur soumission est passé à 2 950.
Les chercheurs notent que les fuites de données étaient apparemment involontaires dans certains cas, la collecte accidentelle de mots de passe sur 52 sites Web ayant été résolue grâce aux résultats de l'étude.
"Certains sites Web nous ont dit qu'ils n'étaient pas au courant de cette collecte de données et ont rectifié le problème lors de nos divulgations", ont écrit les chercheurs, qui présenteront leurs conclusions lors du prochain USENIX Security Symposium, à Boston, Massachusetts.
Restez en sécurité
Chris Hauk, champion de la confidentialité des consommateurs chez Pixel Privacy, a déclaré que bien que les fuites de données proviennent des sites Web, il y a plusieurs choses que les gens peuvent faire de leur côté pour au moins ralentir les fuites de données.
"Les utilisateurs peuvent visiter le site Web Cover Your Tracks de l'Electronic Frontier Foundation pour déterminer comment les traqueurs de sites Web voient votre navigateur, révélant comment les sites peuvent vous suivre lorsque vous êtes en ligne et ce que vous pouvez faire pour l'empêcher au moins partiellement", a suggéré Hauk à Lifewire par e-mail.
Les données personnelles et leur valeur constituent le modèle commercial de nombreuses entreprises numériques modernes depuis plus de 20 ans…
Le conseil habituel d'utiliser un VPN pour couvrir vos traces en ligne ne sera pas d'une grande utilité pour empêcher ce genre de fuite. Hauk suggère d'utiliser une adresse e-mail jetable, distincte de votre compte de messagerie personnel habituel, à utiliser sur les sites Web qui demandent de telles informations.
McElroy a demandé aux gens soit d'utiliser un navigateur Web conçu pour la confidentialité comme Brave, soit d'installer des modules complémentaires de confidentialité, tels que Privacy Badger, sur leur navigateur habituel. Il a également plaidé pour une authentification multifacteur afin de minimiser les dommages causés par les fuites de mots de passe.
De plus, les chercheurs ont développé un module complémentaire de navigateur de preuve de concept appelé Leak Inspector qui avertit et protège contre l'exfiltration de données.
Économie de données
Exprimant sa surprise face à l'ampleur de la collecte, McElroy a déclaré que les gens doivent comprendre que les données générées par l'homme sont une marchandise qui sera collectée, partagée, analysée et utilisée à des fins multiples.
"La plupart du temps, ces objectifs ne sont pas nécessairement malveillants (comme le partage de données avec un annonceur tiers), mais le flux entre et parmi les systèmes avec différents niveaux de sécurité rend tous les consommateurs vulnérables et crée un paysage mûr pour attaquants dont il faut profiter ", a expliqué McElroy.
David Rickard, CTO Amérique du Nord chez Cipher, une société Prosegur, pense que les gens devraient présumer que chaque formulaire qu'ils remplissent sur Internet enregistre des données pendant la saisie des données, et chaque formulaire qu'ils remplissent devient la propriété du site Web et revendus à des tiers.
"Les données personnelles et leur valeur constituent le modèle commercial de nombreuses entreprises numériques modernes depuis plus de 20 ans, même si leurs politiques de confidentialité stipulent explicitement qu'elles ne collectent pas de PII [Personally Identifiable Information] et ne les vendent pas, " Rickard a déclaré à Lifewire par e-mail.
Il a déclaré que les agrégateurs de données contournent les règles de confidentialité en collectant plusieurs ensembles de données différents qui peuvent ne pas inclure le nom, l'adresse, etc., qui ne sont pas des PII en tant que tels, mais lorsqu'ils sont comparés à des centaines de points de données supplémentaires provenant d'autres ensembles de données, peut identifier les individus avec un taux de réussite supérieur à 90 %.
"Cela donne lieu à des services qui ressemblent à des tables actuarielles (ou que l'on croit être en fait des tables actuarielles) indiquant la solvabilité, l'assurabilité, l'employabilité, la probabilité de différentes dépendances, les affiliations politiques et religieuses probables, etc. " dit Rickard.
