Fuite de données avant la validation de formulaire : analyse de l’étude LeakyForms

Des chercheurs universitaires (KU Leuven, Université Radboud, Université de Lausanne), ont réalisé une étude sur l’exfiltration d’e-mails et de mots de passe avant la soumission de formulaires sur pas moins de 100 000 sites Web parmi les plus importants. L’étude a été réalisée sur des utilisateurs provenant de deux régions : Europe et Etats-Unis.

 

L’objet de l’étude consiste à se rendre sur chaque site web pour remplir les informations d’un formulaire (Nom, Prénom, Sexe, Mail, Mot de passe, etc…) sans soumettre la requête. Le but était de voir si des sites avaient collecté les informations renseignées dans le formulaire alors que ce dernier n’a pas été validé.

 

Le résultat est sans appel, 1 844 sites Web recueillaient l’adresse e-mail d’un utilisateur de l’UE sans son consentement. Ce chiffre grimpe à 2 950 pour un utilisateur américain. Les différences régionales peuvent s’expliquer par la différence dans la réglementation, plus stricte en Europe grâce au règlement général sur la protection des données (RGPD).

 

De manière générale, la majorité des adresses e-mail sont envoyées à des domaines de suivi connus (Sites tiers spécialisés dans la publicité). Outre la collecte d’adresses mails sans le consentement des utilisateurs, certains sites (52) collectaient « accidentellement » des mots de passe.

 

Certains géants du numérique sont concernés, les chercheurs ont en effet découvert que les traqueurs marketing invisibles « Meta Pixel » et « TikTok Pixel », collectaient des informations personnelles hachées, même lorsqu’un utilisateur décidait d’abandonner un formulaire. Les identifiants hachés sont ensuite utilisés pour cibler les publicités sur les plateformes respectives, mesurer les conversions ou créer de nouvelles audiences personnalisées.

 

En mesurant l’effet des choix de consentement sur l’exfiltration des informations personnelles, les chercheurs ont constaté que leur effet était minime. Les utilisateurs doivent donc supposer que les informations personnelles qu’ils saisissent dans les formulaires Web peuvent être collectées par des trackers, même si le formulaire n’est jamais soumis.

 

Pour conclure, les navigateurs ne protègent pas efficacement les informations personnelles des utilisateurs contre les tentatives de reniflement et d’exfiltration. Les chercheurs ayant réalisé cette étude ont donc développé « LEAKINSPECTOR », un add-on qui avertit les utilisateurs contre les tentatives de reniflement et bloque les demandes contenant des informations personnelles.

L’étude montre que de nombreux sites n’ont pas l’intention de procéder à la collecte de données, mais ils intègrent des services de marketing et d’analyse tierce à l’origine de ce comportement. La raison est simple, les sites Web utilisent généralement des services de publicité et de marketing tiers pour monétiser leur contenu. Ces services dépendent fortement de la surveillance des activités en ligne des utilisateurs, parfois à leur insu et sans leur consentement.

 

Il y a encore quelques années, les cookies (isolés par origine et limités à la plate-forme Web) étaient utilisés pour effectuer le suivi des utilisateurs. Mais avec l’expansion des appareils connectés, les activités en ligne des utilisateurs sont maintenant réparties sur différents appareils connectés, de plus les principaux fournisseurs de navigateurs ont commencé à bloquer/limiter les cookies et les traqueurs tiers. Les adresses mails deviennent donc des cibles de choix pour les services de publicités tiers pour suivre les utilisateurs sur toutes les plates-formes car elles sont persistantes, uniques et disponibles sur de nombreux sites Web et applications, pour faciliter la connexion à un compte par exemple.

 

Au niveau européen, si des propriétaires de sites Web ou des tiers exfiltrent des adresses e-mail, ils traitent des données personnelles et le RGPD s’applique. De ce fait, l’entité à qui appartient le site web devient un « contrôleur » d’après le RGPD. Le « contrôleur » est responsable du respect du RGPD et peut-être condamné à une amende en cas de non-conformité. Dans le cas de l’exfiltration d’e-mails, le propriétaire du site Web et le tiers sont généralement tous deux responsables (en tant que « contrôleurs conjoints »).

Se protéger contre l’exfiltration d’informations personnelles n’est pas simple, car peu d’outils disponibles au plus grand nombre existent et les techniques d’exfiltration évoluent rapidement. De ce fait, il semble plus judicieux de partir du principe qu’un site visité par un utilisateur tentera potentiellement d’exfiltrer des informations sans le consentement de l’utilisateur. Pour se prémunir, il est nécessaire d’appliquer à minima les bonnes pratiques suivantes :

• Utiliser un mot de passe unique pour chaque compte et utiliser un gestionnaire de mot de passe pour stocker tous les identifiants de manière sécurisée.

 

• Tenir compte des alertes indiquées par le navigateur lors de la visite d’un site web « HTTP » et quitter ce site sans renseigner d’informations personnelles.

 

• Avant de renseigner des informations personnelles sur un site, s’assurer que les informations demandées par le site sont cohérentes et légitimes.

Yaël KOWALCZYK, Consultant et Xavier PREISEMANN, Manager