Certains sites Web pourraient divulguer vos données avant même que vous ne les soumettiez

Les sites Web sont de plus en plus astucieux pour collecter et partager vos informations.

Un étude approfondie dans les 100 000 meilleurs sites Web a révélé que de nombreuses fuites d'informations saisies dans les formulaires du site vers des trackers tiers avant même que les gens n'appuient sur le bouton d'envoi. Il a trouvé des milliers de sites Web de ce type qui divulguaient tout, des adresses e-mail aux mots de passe, mais heureusement, beaucoup ont résolu les problèmes une fois que les chercheurs les ont contactés.

"Il est inquiétant de voir des sites Web divulguer des mots de passe",

Rick Mc Elroy, stratège principal en cybersécurité chez VMware, a déclaré à Lifewire par e-mail, réagissant à la recherche. "Je suis heureux de voir qu'une fois informés, les organisations ont apporté des modifications à leur code pour mettre fin à cette pratique."

Entrez pour fuir

L'étude a été menée pour déterminer si les trackers en ligne abusent de l'accès aux formulaires Web. Les chercheurs pointent un sondage où 81% des répondants ont admis avoir abandonné les formulaires en ligne à un moment donné.

"Nous pensons qu'il est fortement contraire aux attentes des utilisateurs de collecter des données personnelles à partir de formulaires Web à des fins de suivi avant de soumettre un formulaire", ont noté les chercheurs. "Nous voulions mesurer ce comportement pour évaluer sa prévalence."

Au total, ils ont testé 2,8 millions de pages sur les sites les mieux classés au monde. Parmi ceux-ci, 1 844 sites Web permettaient aux trackers d'exfiltrer les adresses e-mail avant leur soumission, lorsqu'elles étaient visitées depuis l'Europe. Lorsqu'ils sont visités depuis les États-Unis, le nombre de sites collectant des informations avant leur soumission est passé à 2 950.

Les chercheurs notent que les fuites de données étaient apparemment involontaires dans certains cas, la collecte accidentelle de mots de passe sur 52 sites Web ayant été résolue grâce aux résultats de l'étude.

"Certains sites Web nous ont dit qu'ils n'étaient pas au courant de cette collecte de données et ont rectifié le problème lors de nos divulgations", ont écrit les chercheurs, qui présenteront leurs conclusions lors du prochain Symposium sur la sécurité USENIX, à Boston, Massachusetts.

Soyez prudent

Chris Hauk, champion de la vie privée des consommateurs chez Confidentialité des pixels, a déclaré que bien que les fuites de données proviennent des sites Web, les gens peuvent faire certaines choses de leur côté pour au moins ralentir les fuites de données.

"Les utilisateurs peuvent visiter le site de l'Electronic Frontier Foundation Couvrir vos pistes site Web pour déterminer comment les trackers de site Web voient votre navigateur, révélant comment les sites peuvent vous suivre tout en en ligne, et ce que vous pouvez faire pour l'empêcher au moins partiellement », a suggéré Hauk à Lifewire par e-mail.

Le conseil habituel d'utiliser un VPN pour couvrir vos traces en ligne ne sera pas d'une grande utilité pour empêcher ce genre de fuite. Hauk suggère d'utiliser une adresse e-mail jetable, distincte de votre compte de messagerie personnel habituel, à utiliser sur les sites Web qui demandent de telles informations.

McElroy a demandé aux gens d'utiliser un navigateur Web conçu pour la confidentialité comme Brave, ou d'installer des modules complémentaires de confidentialité, tels que Blaireau de confidentialité, sur leur navigateur habituel. Il a également plaidé pour une authentification multifacteur afin de minimiser les dommages causés par les fuites de mots de passe.

De plus, les chercheurs ont développé un module complémentaire de navigateur de preuve de concept appelé Inspecteur de fuite qui avertit et protège contre l'exfiltration de données.

Économie de données

Exprimant sa surprise face à l'étendue de la collection, McElroy a déclaré que les gens devaient comprendre que les données générées par l'homme sont une marchandise qui sera collectée, partagée, analysée et utilisée pour de multiples fins.

"La plupart du temps, ces objectifs ne sont pas nécessairement malveillants (comme le partage de données avec un annonceur tiers), mais le flux entre et parmi systèmes avec différents niveaux de sécurité rend tous les consommateurs vulnérables et crée un paysage mûr dont les attaquants peuvent profiter », a expliqué McElroy.

David Rickard, CTO Amérique du Nord à Chiffrer, une société Prosegur, pense que les gens devraient présumer que chaque formulaire qu'ils remplissent sur Internet enregistre des données pendant que la saisie des données est en cours, et chaque formulaire qu'ils remplissent devient la propriété du site Web et revendu à tiers.

"Les données personnelles et leur valeur constituent le modèle commercial de nombreuses entreprises numériques modernes depuis plus de 20 ans, même si leur confidentialité les politiques stipulent explicitement qu'elles ne recueillent pas de PII [Personally Identifiable Information] et ne les vendent ", a déclaré Rickard à Lifewire sur e-mail.

Il a déclaré que les agrégateurs de données contournent les règles de confidentialité en collectant plusieurs ensembles de données différents qui peuvent ne pas inclure le nom, l'adresse, etc., ce qui ne sont pas des PII en tant que telles, mais lorsqu'elles sont comparées à des centaines de points de données supplémentaires provenant d'autres ensembles de données, elles peuvent identifier les individus avec un taux de réussite de plus de 90 %.

"Cela donne lieu à des services qui ressemblent à des tables actuarielles (ou que l'on croit être en fait des tables actuarielles) indiquant le crédit la dignité, l'assurabilité, l'employabilité, la probabilité de différentes dépendances, les affiliations politiques et religieuses probables, etc. », a déclaré Rickard.