Lorsque vous signez vous inscrire à une newsletter, faire une réservation d’hôtel ou effectuer un paiement en ligne, vous tenez probablement pour acquis que si vous tapez trois fois votre adresse e-mail de manière erronée ou si vous changez d’avis et que X quitte la page, cela n’a pas d’importance. Rien ne se passe réellement jusqu’à ce que vous appuyiez sur le bouton Soumettre, n’est-ce pas ? Eh bien, peut-être pas. Comme pour tant d’hypothèses sur le Web, ce n’est pas toujours le cas, selon de nouvelles recherches : un nombre surprenant de sites Web collectent tout ou partie de vos données lorsque vous les saisissez dans un formulaire numérique.
Des chercheurs de la KU Leuven, de l’Université Radboud et de l’Université de Lausanne ont exploré et analysé les 100 000 sites Web les plus importants, en examinant des scénarios dans lesquels un utilisateur visite un site alors qu’il se trouve dans l’Union européenne et visite un site depuis les États-Unis. Ils ont découvert que 1 844 sites Web recueillaient l’adresse e-mail d’un utilisateur de l’UE sans son consentement, et un nombre impressionnant de 2 950 ont enregistré l’e-mail d’un utilisateur américain sous une forme ou une autre. De nombreux sites n’ont apparemment pas l’intention de procéder à l’enregistrement des données, mais intègrent des services de marketing et d’analyse tiers qui provoquent le comportement.
Après avoir spécifiquement exploré des sites à la recherche de fuites de mots de passe en mai 2021, les chercheurs ont également trouvé 52 sites Web sur lesquels des tiers, dont le géant russe de la technologie Yandex, collectaient accidentellement des données de mot de passe avant de les soumettre. Le groupe a divulgué ses conclusions à ces sites, et les 52 cas ont depuis été résolus.
“S’il y a un bouton Soumettre sur un formulaire, on peut raisonnablement s’attendre à ce qu’il fasse quelque chose – qu’il soumette vos données lorsque vous cliquez dessus”, explique Güneş Acar, professeur et chercheur au sein du groupe de sécurité numérique de l’Université Radboud et l’un des dirigeants. de l’étude. « Nous avons été super surpris par ces résultats. Nous pensions que nous allions peut-être trouver quelques centaines de sites Web sur lesquels votre courrier électronique est collecté avant que vous ne le soumettiez, mais cela a dépassé de loin nos attentes.
Les chercheurs, qui présenteront leurs découvertes lors de la conférence sur la sécurité Usenix en août, disent qu’ils ont été inspirés pour enquêter sur ce qu’ils appellent des “formulaires qui fuient” par des reportages dans les médias, en particulier de Gizmodo, sur des tiers collectant des données de formulaire quel que soit le statut de soumission. Ils soulignent que, à la base, le comportement est similaire aux soi-disant enregistreurs de frappe, qui sont généralement des programmes malveillants qui enregistrent tout ce qu’une cible tape. Mais sur un site grand public du top 1 000, les utilisateurs ne s’attendront probablement pas à ce que leurs informations soient enregistrées au clavier. Et dans la pratique, les chercheurs ont vu quelques variations du comportement. Certains sites ont enregistré des données frappe par frappe, mais beaucoup ont saisi des soumissions complètes d’un champ lorsque les utilisateurs ont cliqué sur le suivant.
“Dans certains cas, lorsque vous cliquez sur le champ suivant, ils collectent le précédent, comme vous cliquez sur le champ du mot de passe et ils collectent l’e-mail, ou vous cliquez simplement n’importe où et ils collectent toutes les informations immédiatement”, explique Asuman Senol, un spécialiste de la protection de la vie privée. et chercheur en identité à la KU Leuven et l’un des co-auteurs de l’étude. “Nous ne nous attendions pas à trouver des milliers de sites Web ; et aux États-Unis, les chiffres sont vraiment élevés, ce qui est intéressant »,
