Passer au contenu

Comment certains trackers publicitaires enregistrent vos frappes de clavier en douce

Sur de milliers de sites web, les formulaires de connexion ou d’abonnement sont lus et analysés par des mouchards publicitaires qui collectent les données sans consentement.

Supposez que vous avez un compte en ligne chez Marriott, le groupe hôtelier. Vous allez sur la page de connexion et entrez votre adresse e-mail dans le champ d’identifiant, puis vous positionnez votre curseur sur le champ de mot de passe. À ce moment précis, votre adresse e-mail a déjà été transmise à la société marketing Glassbox Digital, même si vous n’avez pas donné votre consentement pour le partage de données. C’est une collecte sauvage, ultrarapide et particulièrement tordue, car les utilisateurs n’imaginent pas que les données d’un formulaire puissent être envoyées avant d’avoir cliqué sur le bouton « valider ».

Malheureusement, le site web de Marriott est loin d’être le seul à pratiquer ce genre de collecte. Quatre chercheurs en sécurité ont parcouru la Toile à l’aide d’un crawler fait sur mesure depuis une adresse IP européenne. Ils ont détecté 1844 sites web où les adresses e-mail de formulaires en ligne ont été collectées en douce. En parcourant la Toile depuis une adresse IP américaine, ils en ont même détecté 2950. Parmi les plus gros sites concernés, on trouve Trello.com, Usatoday.com, Shopify.com, Newsweek.com, Prezi.com ou Codeacademy.com. Voici une vidéo réalisée par les chercheurs qui montre ce genre de collecte pour un internaute européen.

Cette collecte peut se faire non seulement sur la page de connexion, mais aussi sur n’importe quel autre formulaire, comme la souscription à une newsletter. Parfois, ces informations sont transmises lettre par lettre, comme un keylogger, sans doute pour pouvoir récolter un maximum de données. Enfin, sur 52 sites, les chercheurs ont également détecté une collecte de mots de passe, ce qui est particulièrement effrayant.

Contactés par les chercheurs, seule la moitié des sites web et des éditeurs de trackers ont répondu. Concernant la collecte de mots de passe, il s’avère qu’elle n’était pas intentionnelle, mais liée à des bugs ou de mauvais paramétrages. Pour les e-mails et autres identifiants, les réponses sont plus diverses. Certains éditeurs, comme Trello.com, prétendent ne pas avoir été au courant d’une telle collecte. D’autres, comme Marriott, arguent que cette collecte s’effectue pour des raisons techniques et de lutte contre la fraude. D’autres encore ont dit que c’était un bug.

De leur côté, les prestataires marketing ne font preuve d’aucune remise en cause. Chez Taboola, par exemple, les e-mails des formulaires sont collectés pour les besoins publicitaires sous forme d’empreinte cryptographique et gardés pendant 13 mois. La collecte s’effectuerait seulement avec le consentement de l’internaute, ce qui est manifestement faux. Zoominfo, quant à lui, se cache derrière son client, en expliquant qu’il s’agit d’une option que ce dernier peut activer ou non.

À l’occasion de cette étude, les chercheurs ont également découvert une collecte similaire chez les trackers de Meta et de TikTok. Tous les deux disposent d’une fonctionnalité appelée « Automatic Advanced Matching », qui est censée transmettre les identifiants renseignés dans un formulaire lorsque l’utilisateur valide ce dernier. Or, il s’avère que ces trackers siphonnent les données dès que l’utilisateur clique sur un lien ou sur un autre bouton. Même le clic sur un bouton totalement inactif provoque la transmission de données. Et celle-ci se fait, bien évidemment, sans aucun consentement de la part de l’utilisateur.

A découvrir aussi en vidéo :

 

Après avoir parcouru la Toile avec leur crawler, les chercheurs estiment que cette fuite de données pourrait concerner plus de 7300 sites web depuis une adresse IP européenne, et plus de 8400 sites depuis une adresse IP américaine. Les chercheurs ont alerté Meta qui a reconnu l’existence d’un problème. Une équipe d’ingénieurs planche désormais sur le sujet. TikTok a également été prévenu, mais plus tardivement. Aucune réponse n’est parvenue aux chercheurs pour l’instant.

Afin de protéger les internautes, les chercheurs ont également développé une extension de navigateur baptisée « LeakInspector », capable de détecter la collecte inopinée d’informations dans les formulaires. C’est un logiciel encore expérimental qui devrait être publié à terme dans la boutique applicative de Firefox. Cette étude montre en tout cas que le Far West des trackers publicitaires est encore loin d’être terminé.

Source: Etude scientifique

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN