Des chercheurs universitaires ont découvert que des milliers de sites web parmi les plus fréquentés enregistrent les frappes des utilisateurs avant l’envoi de formulaires.
D’après l’étude « Leaky Forms : une étude sur l'exfiltration d'e-mails et de mots de passe avant la soumission de formulaires », de nombreux sites Web collectent tout ou partie de des données renseignées dans un formulaire numérique sans même la validation de l’utilisateur.
Des mots de passe siphonnés
Les chercheurs de la KU Leuven, de l'Université Radboud et de l'Université de Lausanne ont analysé 100 000 sites Web parmi les plus importants.
Ils ont examiné des cas dans lesquels un utilisateur visite un site en Union européenne et aux Etats-Unis. Résultat, 1 844 sites Web recueillaient l'adresse e-mail d'un utilisateur de l'UE sans son consentement. Ce chiffre grimpe à 2 950 pour un utilisateur américain.
Plus grave, les chercheurs ont également découvert que 52 sites Web dont le géant russe de la technologie Yandex, collectaient accidentellement des mots de passe avant même que ceux-ci soient soumis. Un problème résolu depuis, après que les chercheurs ont contacté les 52 sites en question.
Meta et TikTok sont concernés
D’après les chercheurs, les écarts entre l'Union européenne et les Etats-Unis peuvent s’expliquer par la différence dans la réglementation, plus stricte sur le vieux continent régit par le règlement général sur la protection des données de l'UE (RGPD).
Sans grande surprise, des groupes comme Meta et TikTok sont de la partie par l’intermédiaire de leurs trackers marketing Meta Pixel et TikTok Pixel. Deux programmes intégrés sur les sites web des deux entreprises à des fins de publicité ciblée. Les chercheurs ont découvert que ces traqueurs ont récupéré des données en provenance d’autres sites web. « Meta et TikTok Pixel collectent des informations personnelles hachées, même lorsqu'un utilisateur décide d'abandonner un formulaire et clique sur un bouton/lien pour quitter la page. » décrivent-ils.
Aux Etats-Unis, 8 438 sites auraient divulgué des données à Meta et 7 379 sites pour l’UE. Contre respectivement 154 sites et 147 pour TikTok. La maison mère de Facebook a été prévenue par les chercheurs le 25 mars et un ingénieur travaille depuis à régler le problème. Contacté le 21 avril, TikTok n’a pour sa part toujours pas répondu.