Étude : les renseignements entrés sur les sites web sont transmis aux agences publicitaires pendant la saisie
Lorsque les internautes tapent des renseignements sur les sites web, par exemple leur adresse électronique dans des formulaires ou des champs de saisie, ces informations sont souvent transmises directement à des entreprises de web tracking ou à des agences publicitaires. Et cet espionnage a lieu avant même que les internautes envoient leurs données, c’est ce qu’a révélé une étude publiée récemment.
Les chercheuses et chercheurs des universités Radboud Nijmegen, KU Leuven et de Lausanne ont examiné 100 000 pages internet parmi les sites les plus populaires au monde et étudié le comportement des masques de saisie. L’étude "Leaky Forms : une étude sur les fuites d’e-mails et de mots de passe avant la soumission des formulaires" a conclu que sur 1844 sites parmi ceux examinés, des traqueurs fonctionnant en arrière-plan transmettaient les données utilisateurs à des tiers dès que celles-ci étaient tapées – lorsque ces sites étaient consultés depuis l’UE. Les saisies des internautes depuis les USA ont été, quant à elles, transmises à 2950 des sites web.
Ce phénomène concernait des plateformes très visitées comme le Time Magazine, Fox News, Newsweek et le portail de statistiques FiveThirtyEight. Mais les sites de la chaîne hôtelière Marriot Hotels et de la plateforme de commerce électronique Shopify enregistraient également les données dès leur saisie.
« Nous avons été très surpris par ces résultats. Nous pensions que nous allions peut-être trouver quelques centaines de sites web où votre e-mail est collecté avant que vous ne le soumettiez », a commenté Güneş Acar, une des directrices de l’étude, interviewée par le site d’information sur les TIC Wired, « mais cela a dépassé de loin nos attentes ».
Transmission des données personnelles
Les expert·e·s avaient examiné de manière ciblée le comportement des traqueurs de prestataires tiers, intégrés aux sites web.
Certains de ces scripts enregistrent toutes les interactions des internautes avec le site, c’est-à-dire sur quoi ils cliquent ou bien jusqu’où ils font défiler l’écran. Les chercheuses et chercheurs supposent donc que certains des outils n’enregistrent les saisies, telles que l’adresse électronique, que comme produit secondaire, le logiciel aspirant tout. Pendant l’étude, certains traqueurs ont enregistré chaque frappe sur le clavier et l’ont aussitôt transmise. D’autres en revanche n’ont envoyé les données qu’une fois que le curseur passait au champ suivant.
De cette façon, les données atterrissaient à l’insu des utilisatrices et utilisateurs chez les créateurs des scripts – des agences de web tracking, de marketing et d’analyse telles que Facebook, Oracle et Adobe.
Les données sont utilisées par exemple pour identifier les internautes et mobinautes sur différents sites et applications et pour diffuser de la publicité personnalisée. La directrice de l’étude, G. Acar met en garde : « Les risques d’atteinte à la vie privée des internautes résident dans le fait qu’ils peuvent être suivis de manière plus efficace, au cours de plusieurs sessions successives sur leur mobile ou ordinateur ». Une adresse électronique est un identifiant extrêmement utile pour le suivi, car elle est globale, unique et constante.
Gérants contactés
Les traqueurs sur 52 sites internet ont même enregistré les mots de passe saisis sans que ceux-ci n’aient été envoyés par les utilisateurs. Dans la majorité des cas, les données étaient destinées à l’entreprise russo-néerlandaise Yandex. Les chercheuses et chercheurs ont communiqué leurs résultats à Yandex et aux gérants du site web. Depuis, les mots de passe ne sont plus exfiltrés sur les pages examinées.
Par ailleurs, l’équipe de recherche a contacté 58 gérants des plus grands sites concernés et leur ont demandé s’ils étaient conscients que les adresses e-mail étaient aspirées par des tiers. Entre autres fivethirtyeight.com, trello.com (Atlassian), lever.co, branch.io et cision.com ont affirmé ne pas être au courant de la collecte d’e-mails sur leurs sites web et ont désormais désactivé cette fonction.
La chaîne hôtelière Marriott a indiqué recevoir les données du service de traqueurs Glassbox et les utiliser pour le suivi client, l’assistance technique et la prévention des fraudes. La marque vestimentaire Stella McCartney a déclaré que les adresses électroniques avaient été transmises en raison d’un défaut technique et que le problème était depuis résolu.
Parmi les 28 entreprises de web tracking interrogées, 15 ont répondu à l’équipe de recherche : huit entreprises dont Adobe, FullStory et Yandex l’ont simplement renvoyée aux gérants des sites web. L’agence publicitaire Taboola a indiqué enregistrer les adresses électroniques pendant 13 mois sous forme de code de hachage et les utiliser pour personnaliser les annonces et contenus. Mais les adresses e-mail ne seraient pas transmises à des tiers. L’entreprise a également déclaré ne collecter les codes de hachage des adresses qu’avec le consentement des internautes. Cependant, les résultats de l’étude démentent cette affirmation.
Selon les dires de Zoominfo, leur script complète les coordonnées des utilisateurs lorsqu’ils se trouvent déjà dans la base de données marketing. Les gérants des sites web peuvent décider si les données sont transmises avant même la validation des saisies.
Le RGPD dissuade – vraisemblablement
C’est chez les prestataires appartenant aux catégories « Mode/beauté » (19 %) et « achats en ligne » (15,1 %) que les chercheuses et chercheurs ont constaté la part la plus élevée de scripts aspirant les données.
L’équipe explique les divergences entre les USA et l’UE par le fait que les entreprises européennes sont certainement plus prudentes en matière de suivi des utilisateurs, en raison du Règlement général sur la protection des données (RGPD) et collaborent avec moins de prestataires externes.
Selon les experts, la transmission des adresses électroniques, c’est-à-dire de données personnelles, à des entreprises tierces est susceptible d’enfreindre plusieurs principes du RGPD : les données doivent être traitées de manière transparente et définie, et les utilisateurs doivent autoriser le traitement. Cependant, les chercheuses et chercheurs n’ont pas évalué dans leur étude les cas précis de délit.
Publicité indésirable
Pour réaliser cette étude, l’équipe a développé un logiciel qui automatise la saisie des adresses e-mail dans les champs correspondants des sites web. Le système accédait aux pages internet depuis les USA et l’UE. Il utilisait à chaque fois un navigateur pour ordinateur de bureau et un pour appareils mobiles.
Bien que l’envoi des adresses électroniques ne fut approuvé ni pour les gérants des sites web ni pour des opérateurs tiers, les testeurs reçurent au cours de l’étude des milliers d’e-mails publicitaires. Ayant utilisé pour chaque site une adresse spécifique, ils pouvaient parfaitement retracer d’où les publicités provenaient.
En l’espace de six semaines, 477 e-mails indésirables ont été envoyés à 159 des adresses tests – la plupart offrant des remises ou incitant les utilisateurs à retourner sur le site. Les testeurs n’avaient donné à aucun moment leur consentement pour recevoir des messages publicitaires.
Contre-mesures
Les expert·e·s ont signalé que les navigateurs web les plus populaires, tels que Chrome, Firefox et Safari, possèdent désormais des mesures pour empêcher le suivi – mais ceux-ci n’ont rien entrepris contre l’aspiration des adresses électroniques lors des essais menés par les chercheurs. L’équipe s’est montrée peu surprise par les résultats : « Nous nous attendions à ce résultat étant donné que les deux navigateurs [Firefox et Safari] essaient de trouver un compromis entre la minimisation des restrictions et la limitation du suivi intersite. »
L’équipe appelle les opérateurs de navigateurs à bloquer les scripts examinés pendant l’étude pour stopper la transmission non consentie de données. Ou ils proposent comme solution alternative de fournir aux scripts des adresses électroniques inventées afin que les fonctions des sites web ne soient pas entravées.
Les expert·e·s conseillent actuellement aux internautes d’utiliser les navigateurs uBlock Origin ou Brave qui bloquent les scripts examinés. L’équipe a même développé un module complémentaire de navigateur, Leakinspector. Mais celui-ci n’est pas encore disponible. (hcz)