Accueil » Actualité » Les formulaires de certains sites Web récoltent vos données avant même de cliquer sur « envoyer »

Les formulaires de certains sites Web récoltent vos données avant même de cliquer sur « envoyer »

Des chercheurs basés en Suisse, en Belgique et aux Pays-Bas ont révélé que plusieurs milliers de sites Web récoltent les données des utilisateurs provenant de pages de saisie de coordonnées sans l’accord de l’internaute. E-mails, noms, prénoms, numéros de téléphone et mots de passe sont récoltés, avant même que le formulaire ne soit validé.

Un formulaire de contact
Un formulaire de contact © WordPress

Sur certains sites Web, les formulaires récoltent vos données avant même que vous n’ayez validé l’envoi. C’est ce que révèle cette nouvelle étude menée par une équipe de quatre chercheurs spécialisés en confidentialité de l’université Radboud de Nimègue aux Pays-Bas, de la KU Leuven en Belgique et de l’École polytechnique fédérale de Lausanne, qui ont exposé cette découverte lors du colloque Usenix Securiy de Boston, entre les 10 et 12 août 2022.

Les formulaires de 100 000 sites passés au crible

Les chercheurs ont analysé le comportement des pages de saisie de coordonnées d’un peu plus de 100 000 sites Web importants, certains étant localisés en Europe et d’autres, aux États-Unis. Il s’agit de sites relatifs à l’hôtellerie, au commerce en ligne, de médias, etc. L’équipe a constaté avec étonnement qu’ils sont nombreux à récupérer les données personnelles de l’internaute, avant même qu’il n’ait confirmé l’envoi du formulaire. Au total, 1 844 sites européens et 2 950 sites américains sont concernés, tels que cars.com, Shopify, Marriott, malwarebytes.com, etc.

Avant d’avoir cliqué sur envoyer, les formulaires récoltent les e-mails, noms, prénoms et numéros de téléphone. Une cinquantaine de sites Web récupèrent même les mots de passes accidentellement, selon l’étude. Les données sont récoltées de trois manières différentes, en fonction des sites : à chaque changement de ligne, dès qu’un caractère est entré par l’utilisateur ou une fois que le formulaire est complet.

L’étude révèle que ce ne sont pas les sites en question qui récoltent les données des utilisateurs, mais des sociétés tierces qui se spécialisent dans le ciblage marketing. Les noms sont annoncés : Taboola, Adroll, AddThis, SaleCycle, FullStory, Criteo, Yahoo et bien évidemment, Facebook.

S’il n’existe à ce jour aucune contre-mesure à ces pratiques, l’équipe a développé une extension de navigateur dédiée : Leak Inspector, dont le code source (encore expérimental) est libre.

Source : Leaky Forms