C’est l’une des plus anciennes craintes sur Internet, qui, au fil du temps, en était presque devenu un mythe : les sites Web espionneraient la moindre lettre tapée sur notre clavier. Dans une récente étude menée par des chercheurs de trois universités néerlandaise, suisse et belge, dont la version définitive sera présentée en août à la conférence Usenix Security, des chercheurs en cybersécurité montrent que le mythe est, en partie, fondé.
Pour cela, ils ont analysé plus de 2,8 millions de pages, provenant des cent mille sites les plus visités au monde. Leur constat est sans appel : lors d’une requête depuis l’Europe, 1 844 d’entre eux récupèrent l’adresse e-mail de l’utilisateur avant même qu’il n’ait cliqué sur le bouton « envoyer ». « S’il y a un bouton “envoyer” sur un formulaire, l’attente la plus logique est qu’il serve à quelque chose – et n’envoie vos données que lorsque vous cliquez dessus, réagit, auprès du magazine américain Wired, Güne Acar, chercheur en sécurité numérique à l’université de Radboud et membre de l’étude. Nous avons été très surpris par les résultats. On pensait qu’on allait peut-être trouver une petite centaine de sites où votre adresse e-mail est récupérée avant que vous ne l’envoyez, mais le résultat a largement dépassé nos attentes. »
Le nombre de sites recourant à cette pratique est encore plus élevé lorsque l’on se connecte depuis les Etats-Unis (2 950 cas). Une différence notable de 60 % par rapport à l’Europe, que les scientifiques attribuent en partie au Règlement général pour la protection des données personnelles (RGPD), qui oblige depuis 2018 un site Web à demander le consentement d’un utilisateur avant de collecter des informations à son sujet.
Un processus automatisé
Comment les sites procèdent-ils ? Concrètement, alors que vous n’avez pas encore cliqué sur le bouton « envoyer », votre adresse e-mail est transmise – de but en blanc ou hashée, c’est-à-dire cryptée – à des sites tiers, généralement des entreprises de publicité, qui récupèrent les données et peuvent ainsi créer des annonces personnalisées. En Europe, par exemple, selon les chercheurs, la majorité des adresses e-mails sont envoyées à Taboola, une entreprise publicitaire en ligne.
Dans certains cas, le procédé peut s’apparenter à un key logger (un enregistreur de touches). Les chercheurs ont pu prouver que, pour une partie des sites, les données étaient envoyées aux sites tiers « caractère par caractère, en même temps que l’utilisateur était en train de taper son adresse ». Un comportement qu’ils attribuent à « un programme de relecture » qui « collecte les interactions de l’utilisateur avec la page, incluant les touches tapées et les mouvements de souris ».
Mieux cibler le consommateur
Parmi les sites recourant le plus à ce type de pratiques, la catégorie mode-beauté est en tête des fautifs, à niveau égal avec le commerce en ligne. A l’opposé, les sites d’information publics, gouvernementaux et militaires représentent moins de 1 % des fuites constatées. Un classement qui fait sens au vu du but recherché : pousser l’internaute à acheter. Car c’est bien pour mieux séduire le consommateur que ce processus existe. Aujourd’hui, relève l’étude, les simples cookies (des petits fichiers stockés sur votre ordinateur ou votre téléphone par les sites que vous visitez) ne permettraient plus aux annonceurs de cerner précisément le profil du visiteur. « Avec l’étalement des utilisateurs sur différents supports connectés, les tracer seulement sur des sites Internet ne suffit pas », expliquent les auteurs. Or, ils avancent que « l’adresse e-mail est un identifiant idéal, car elle est unique, persistante et peut même être utilisée hors ligne ».
Ces envois illicites concernent également des réseaux sociaux. En effet, les chercheurs ont trouvé que Meta Pixel (propriété de Meta, anciennement Facebook) et TikTok Pixel – des programmes utilisés en temps normal pour suivre l’activité d’un visiteur sur un site, afin de lui proposer des contenus plus pertinents – récupéraient de manière automatique des adresses e-mails. Cette collecte s’effectue quel que soit le site visité, par exemple, d’information ou de livraison à domicile.
En Europe, cela concernerait plus de sept mille sites pour Meta, et presque cent cinquante pour TikTok. Sollicité par les chercheurs, le réseau social de Mark Zuckerberg a répondu, à la fin du mois de mars, avoir « transmis le problème à leur équipe d’ingénieurs ». Au moment de la publication de leur étude, TikTok n’avait pas donné de suite à leur sollicitation.