Selon l’article de recherche “Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission”, qui sera présenté lors du 31e symposium de cybersécurité USENIX, en août 2022, des milliers de sites exfiltrent les adresses de messagerie et les mots de passe entrés dans un formulaire en ligne, avant même que l’utilisateur ne confirme son envoi en appuyant sur le bouton Envoyer.
L’appui sur ce bouton est considéré comme une acceptation tacite de l’envoi de ces données par l’utilisateur. Inversement, aucune personne ne s’attend à ce que des données soient envoyées sans que le formulaire ne soit envoyé. Il n’est pas rare de décider de clore un formulaire sans l’envoyer.
En d’autres termes, l’utilisateur n’est pas informé de l’envoi de ces données personnelles, pour lequel aucun consentement n’a été ni demandé ni confirmé. Ce qui est en violation d’au moins trois articles du RGPD, et sans doute de lois de protection des données personnelles des pays hors UE.
Sur les 100 000 premiers sites analysés, près de 2 000 en Europe et 3 000 aux États-Unis exfiltrent ces données.
Elles sont envoyées à des entreprises liées à la publicité numériques : entreprises de pistage, de marketing, d’analyse.
Les systèmes d’enregistrement des touches, des mouvements de la souris, du défilement d’une page et de toute autre interaction ou de tout autre capteur disponible, généralement dénommés logiciels malveillants, sont connus sous le nom de « scripts de relecture de session » dans le monde de la publicité.
Alors que l’on pourrait croire que les sites pour adultes sont en tête des infractions, ce n’est pas le cas. Aucun de ces derniers n’exfiltre sans information ni consentement les adresses de messagerie ou les mots de passe.
La plupart des sites coupables ont pour thématique la mode et la beauté, le commerce en ligne et l’information.
Les sites appartenant à des grands groupes médiatiques et ayant été contactés par les chercheurs, ont parfois exprimé leur surprise et ordonné l’abandon de ces collectes illégales.
Facebook, qui reçoit illégalement ces données de 21 sites en Europe, n’a pas souhaité commenter ces recherches.
L’adresse de messagerie devient un identifiant unique d’autant plus prisé que les législations sur les cookies et les mesures de protection de la vie privée introduites dans les navigateurs rendent le pistage plus difficile.
Pour protéger leurs utilisateurs, les auteurs de l’étude concluent que les créateurs de navigateurs devraient prendre des mesures contre ces exfiltrations secrètes.
Via: The Register.