Saviez-vous que des milliers de site web voient ce que vous tapez avant même que vous fassiez Entrer ?

On appelle cette pratique du keylogging, et elle est bien plus fréquente que vous ne le pensez. D’après une étude menée par trois universités, des milliers de sites web parmi les 100 000 plus fréquentés au monde ont une fâcheuse tendance à l’indiscrétion.

Une nouvelle étude réalisée par les universités KU Leuven, Radboud University et l’Université de Lausanne jette un sacré froid. En plus des cookies, en plus des trackers et autres pratiques destinées à siphonner vos données personnelles, des milliers de sites très populaires restent attentifs en permanence à ce que vous tapez sur votre clavier. Et les réglementations européennes, censément plus strictes en matière de confidentialité, n’y change pas grand-chose.

L’indiscrétion des sites web exposée au grand jour

Les instigateurs de cette enquête ont fait les choses bien. Conscients que les politiques ayant trait à la protection des données personnelles sont très différentes entre l’Europe et les États-Unis, ils ont pris soin d’effectuer des tests en se faisant passer pour des utilisateurs des deux continents. Et les résultats sont plutôt étonnants.

Parmi les 100 000 sites web les plus visités dans le monde, il est démontré que plusieurs milliers d’entre eux ont un dispositif de keylogging destiné, notamment, à récupérer des adresses mail. Par exemple, dans un formulaire visant à s’inscrire à une newsletter, ou à se connecter. Et même si l’internaute commence à taper son adresse, puis change d’avis ou n’envoie pas le formulaire, le site et ses partenaires récupèrent malgré tout ce qui avait été tapé.

L’étude précise néanmoins que cette aspiration des données n’est pas forcément du fait de l’éditeur du site web, mais le plus souvent d’un partenaire ou d’un outil marketing tiers (souvent Facebook/Meta, et TikTok). Contactées par les chercheurs, les entreprises n’ont pas encore donné suite.

Il est aussi bon de rappeler que, dans certains cas, le keylogging est mis en place à des fins d'efficacité. Par exemple, lorsque vous contactez un service client par chat. L'opérateur peut parfois lire ce que vous écrivez avant que vous n'envoyiez votre message afin de pouvoir commencer ses recherches en temps réel.

Les sites web plus gourmands envers les internautes américains

« Dans certains cas, lorsque vous cliquez sur le champ suivant [d’un formulaire, ndlr] le site collecte le contenu du champ précédent. Du genre vous cliquez sur le champ mot de passe, et votre adresse email est récupérée. Ou alors vous cliquez n’importe où sur la page, et le contenu des champs est aspiré immédiatement », précise Asuman Senol, chercheur spécialisé dans la confidentialité des données à KU Leuven. « Nous ne nous attendions pas à trouver des milliers de sites [qui utilisent cette pratique, ndlr]; et aux États-Unis, les chiffres sont vraiment haut, ce qui est intéressant ».

Un euphémisme. D’après les chiffres relevés par les chercheurs, 2 950 sites web enregistrent les adresses email des internautes aux États-Unis avant même qu’ils n'appuient sur Entrer. En Europe, on descend à 1 844 sites. Mais pourquoi un tel écart ?

Tout simplement parce que les lois en vigueur sur le Vieux Continent sont plus strictes en matière de collecte des données personnelles, et que les entreprises semblent davantage jouer le jeu du respect du consentement des utilisateurs. On peut toutefois s'étonner qu’à l’inverse, 1 844 sites web n’ont que faire qu’un internaute refuse toute collecte ou dépôt de cookie dans son navigateur, ce qui est alarmant pour d’autres raisons.

L’intégralité des sites web épinglés par l’étude peut être consultée sur le site de KU Leuven. Les chercheurs ont également développé une extension pour navigateur visant à vous informer et vous protéger contre ces fuites de données. Les développeurs précisent cependant qu’il s’agit pour l’heure d’une preuve de concept, et qu’elle n’est pas infaillible.

Source : Leaky Forms, via Wired