Des milliers de sites dans le monde enregistrent ce que vous tapez avant même que vous le validiez

Atlantico : Dans votre étude "Leaky Forms : A Study of Email and Password Exfiltration Before Form Submission", vous avez analysé plus de 100 000 sites web. Vous concluez que sur des milliers de sites, les adresses e-mail sont collectées à partir des formulaires de connexion, d'enregistrement et d'abonnement à la newsletter, et envoyées à des traqueurs avant que les utilisateurs ne soumettent un formulaire ou ne donnent leur consentement. Comment cela fonctionne-t-il exactement ? Qui en est responsable ?

Asuman Senol : Les sites web utilisent couramment des services de publicité et de marketing tiers pour monétiser leur contenu. Ces services dépendent fortement de la surveillance des activités en ligne des utilisateurs, parfois à leur insu et sans leur consentement. Notre étude montre que ces scripts collectent tout ou partie des données des clients lorsqu'ils les saisissent sous forme numérique. Selon le cas, il se peut que ce soit le site web qui configure le script tiers pour collecter les données avant la soumission du formulaire ; ou que ce soit le comportement par défaut du tiers.

Plus inquiétant, vous avez mis en évidence des fuites de mots de passe. Ce sont des cas moins nombreux mais ils sont évidemment plus dommageables. S'agit-il d'un acte délibéré ?

Nous ne pensons pas qu'il s'agisse d'un acte délibéré. Notre analyse le confirme également. Lorsque nous avons vérifié les fuites de mots de passe vers Yandex - le domaine le plus connu pour la collecte de mots de passe - nous avons constaté que le script de Yandex filtre les champs de mots de passe. Cependant, en raison d'un problème technique avec ces sites Web, ce filtre d'exclusion a été contourné.

On pourrait faire valoir que, la plupart du temps, les gens s'inscrivent et appuient sur le bouton "Envoyer". Mais il arrive qu'ils changent d'avis. Mais en quoi cette pratique est-elle de toute façon problématique ?

Il est probablement vrai que la plupart des gens soumettent les formulaires qu'ils commencent à remplir. Toutefois, lorsque vous soumettez un formulaire (comme les formulaires de connexion et d'inscription) et qu'il est clair que le site web reçoit les informations, vous ne vous attendez pas à ce qu'un *traqueur* récupère vos adresses électroniques dans les champs du formulaire, au cours de ce processus.

En outre, selon une enquête de The Manifest, 81 % des 502 personnes interrogées ont abandonné des formulaires au moins une fois, et 59 % ont abandonné un formulaire au cours du dernier mois, ce qui montre que de nombreux utilisateurs quittent effectivement des sites Web sans soumettre le formulaire qu'ils ont commencé à remplir. Nous pensons que la collecte de données avant la soumission du formulaire va fortement à l'encontre des attentes des utilisateurs.

Comment avez-vous réussi à étudier ce phénomène sur une base aussi large ?

Nous avons étendu un crawler open source existant appelé Tracker Radar Collector, et ajouté des modèles d'apprentissage automatique pré-entraînés qui reconnaissent les champs des emails. En outre, nous avons ajouté des modules qui simulent un utilisateur tapant dans des champs de saisie, ainsi que des modules permettant de capturer et d'analyser les données collectées par les trackers. En d'autres termes, nous avons automatisé les actions d'un utilisateur dans notre logiciel et construit des modules pour enregistrer les données collectées par les scripts des trackers.

Notre code source est public afin que d'autres chercheurs puissent s'en inspirer : https://github.com/leaky-forms.

Comment expliquez-vous les divergences entre les utilisateurs européens et américains que vous avez observées ?

La différence peut être liée au fait que les entreprises sont plus prudentes en matière de suivi des utilisateurs, en raison du règlement général sur la protection des données de l'UE. Cependant, nous ne disposons pas de données permettant de prouver que c'est le cas.

Vous avez signalé le problème des mots de passe et les brèches ont été réparées, mais cela a-t-il résolu le problème fondamental ?  Vu l'ampleur du problème, notamment sur les adresses email, y a-t-il quelque chose à faire contre cet envoi non sollicité d'informations privées ?

Bien sûr, notre étude n'a pas résolu le problème fondamental, mais nous pensons qu'elle a contribué à sensibiliser le public à cette méthode de suivi particulière et a aidé certains grands sites web à prendre des mesures.

Certaines des contre-mesures existantes contre le suivi en ligne protégeraient également contre le suivi par adresse électronique. Par exemple, des extensions de navigateur comme uBlock Origin et des navigateurs comme Brave et DuckDuckGo bloquent les requêtes vers les domaines de suivi. Récemment, Mozilla, Apple et DuckDuckGo ont commencé à proposer des services de relais de messagerie privés qui permettent aux utilisateurs de générer et d'utiliser des adresses électroniques pseudonymes (alias). Ces services transfèrent automatiquement les courriels reçus à l'adresse alias et permettent aux utilisateurs de ne pas divulguer leur véritable adresse électronique aux services en ligne non fiables. Cependant, aucune des contre-mesures disponibles ne permet d'inspecter les tentatives de reniflage et d'exfiltration. C'est pourquoi nous avons développé LEAKINSPECTOR, un module complémentaire de navigateur qui avertit les utilisateurs des tentatives de reniflage et bloque les requêtes contenant des informations personnelles.