Les sites web sont de plus en plus habiles pour collecter et partager vos informations.

Une étude approfondie des 100 000 principaux sites Web a révélé que beaucoup d’entre eux transmettaient les informations saisies dans les formulaires du site à des traqueurs tiers avant même que les internautes n’aient appuyé sur le bouton d’envoi. Des milliers de sites Web ont ainsi laissé échapper des informations allant des adresses électroniques aux mots de passe, mais, heureusement, beaucoup d’entre eux ont corrigé le problème lorsque les chercheurs les ont contactés.

« Il est inquiétant de voir des sites Web divulguer des mots de passe », a déclaré Rick McElroy, principal stratège en cybersécurité chez VMware, par courriel, en réaction à la recherche. « Je suis heureux de voir qu’une fois notifiées, les organisations ont apporté des modifications à leur code pour mettre fin à cette pratique. »

Comment créer un site Web pour présenter votre blog d’analyse sportive

Entrer pour fuir

L’étude a été menée pour déterminer si les traqueurs en ligne abusent de l’accès aux formulaires web. Les chercheurs pointent du doigt une enquête où 81% des personnes interrogées ont admis avoir abandonné des formulaires en ligne à un moment donné.

« Nous pensons qu’il est fortement contraire aux attentes des utilisateurs de collecter des données personnelles à partir de formulaires web à des fins de suivi avant de soumettre un formulaire », notent les chercheurs. « Nous avons voulu mesurer ce comportement pour évaluer sa prévalence ».

Au total, ils ont testé 2,8 millions de pages sur les sites les mieux classés au monde. Sur ce nombre, 1 844 sites permettaient aux traqueurs d’exfiltrer les adresses électroniques avant leur envoi, lorsqu’ils étaient visités depuis l’Europe. Lorsqu’ils sont visités depuis les États-Unis, le nombre de sites collectant des informations avant leur envoi passe à 2 950.

Les chercheurs notent que les fuites de données étaient apparemment involontaires dans certains cas, la collecte accidentelle de mots de passe sur 52 sites web ayant été résolue grâce aux résultats de l’étude.

« Certains sites Web nous ont dit qu’ils n’étaient pas au courant de cette collecte de données et ont rectifié le problème dès que nous les avons informés », ont écrit les chercheurs, qui présenteront leurs conclusions lors du prochain USENIX Security Symposium, à Boston, dans le Massachusetts.

Restez en sécurité

Chris Hauk, champion de la protection de la vie privée des consommateurs chez Pixel Privacy, a déclaré que, bien que les fuites de données proviennent des sites Web, il y a plusieurs choses que les gens peuvent faire de leur côté pour au moins ralentir les fuites de données.

« Les utilisateurs peuvent visiter le site Web Cover Your Tracks de l’Electronic Frontier Foundation pour déterminer comment les traceurs de sites Web voient votre navigateur, révélant comment les sites peuvent vous suivre lorsque vous êtes en ligne, et ce que vous pouvez faire pour au moins partiellement l’empêcher », a suggéré Hauk par e-mail.

Les données personnelles et leur valeur constituent le modèle économique de nombreuses entreprises numériques modernes depuis plus de 20 ans…

Le conseil habituel d’utiliser un VPN pour couvrir vos traces en ligne ne sera pas d’une grande utilité pour empêcher ce type de fuite. M. Hauk suggère d’utiliser une adresse électronique jetable, distincte de votre compte de messagerie personnel habituel, à utiliser sur les sites Web qui demandent de telles informations.

M. McElroy a demandé aux internautes d’utiliser un navigateur Web conçu pour la protection de la vie privée, comme Brave, ou d’installer des modules complémentaires de protection de la vie privée, comme Privacy Badger, sur leur navigateur habituel. Il a également préconisé l’authentification multifactorielle afin de minimiser les dommages causés par les fuites de mots de passe.

En outre, les chercheurs ont mis au point un module complémentaire de navigateur proof-of-concept appelé Leak Inspector qui avertit et protège contre l’exfiltration de données.

L’économie des données

Exprimant sa surprise devant l’ampleur de la collecte, M. McElroy a déclaré que les gens doivent comprendre que les données générées par l’homme sont une marchandise qui sera collectée, partagée, analysée et utilisée à des fins multiples.

« La plupart du temps, ces objectifs ne sont pas nécessairement malveillants (comme le partage de données avec un annonceur tiers), mais le flux entre et parmi des systèmes présentant différents niveaux de sécurité rend tous les consommateurs vulnérables et crée un environnement propice aux attaques », a expliqué M. McElroy.

David Rickard, directeur technique pour l’Amérique du Nord chez Cipher, une société de Prosegur, pense que les gens devraient présumer que chaque formulaire qu’ils remplissent sur Internet enregistre des données pendant la saisie, et que chaque formulaire qu’ils remplissent devient la propriété du site Web et est revendu à des tiers.

« Les données personnelles et leur valeur constituent le modèle économique de nombreuses entreprises numériques modernes depuis plus de 20 ans, même si leur politique de confidentialité stipule explicitement qu’elles ne recueillent pas d’IIP [informations personnellement identifiables] et ne les vendent pas », a déclaré M. Rickard par courrier électronique.

Il a expliqué que les agrégateurs de données contournent les réglementations en matière de confidentialité en collectant plusieurs ensembles de données différents qui peuvent ne pas inclure le nom, l’adresse, etc., qui ne sont pas des IPI en tant que tels, mais qui, lorsqu’ils sont comparés à des centaines de points de données supplémentaires provenant d’autres ensembles de données, peuvent identifier des individus avec un taux de réussite de plus de 90 %.

« Cela donne lieu à des services qui ressemblent à des tables actuarielles (ou qui sont censés l’être) indiquant la solvabilité, l’assurabilité, l’employabilité, la probabilité de différentes dépendances, les affiliations politiques et religieuses probables, et ainsi de suite », a déclaré M. Rickard.