Saviez-vous que des milliers de site web voient ce que vous tapez avant même que vous fassiez Entrer ?

Pierre Crochart
Spécialiste smartphone & gaming
11 mai 2022 à 16h00
4
Clavier fuite données keylogger © © Shutterstock
© Shutterstock

On appelle cette pratique du keylogging, et elle est bien plus fréquente que vous ne le pensez. D’après une étude menée par trois universités, des milliers de sites web parmi les 100 000 plus fréquentés au monde ont une fâcheuse tendance à l’indiscrétion.

Une nouvelle étude réalisée par les universités KU Leuven, Radboud University et l’Université de Lausanne jette un sacré froid. En plus des cookies, en plus des trackers et autres pratiques destinées à siphonner vos données personnelles, des milliers de sites très populaires restent attentifs en permanence à ce que vous tapez sur votre clavier. Et les réglementations européennes, censément plus strictes en matière de confidentialité, n’y change pas grand-chose.

L’indiscrétion des sites web exposée au grand jour

Les instigateurs de cette enquête ont fait les choses bien. Conscients que les politiques ayant trait à la protection des données personnelles sont très différentes entre l’Europe et les États-Unis, ils ont pris soin d’effectuer des tests en se faisant passer pour des utilisateurs des deux continents. Et les résultats sont plutôt étonnants.

Parmi les 100 000 sites web les plus visités dans le monde, il est démontré que plusieurs milliers d’entre eux ont un dispositif de keylogging destiné, notamment, à récupérer des adresses mail. Par exemple, dans un formulaire visant à s’inscrire à une newsletter, ou à se connecter. Et même si l’internaute commence à taper son adresse, puis change d’avis ou n’envoie pas le formulaire, le site et ses partenaires récupèrent malgré tout ce qui avait été tapé.

Sites web keylogger © KU Leuven university
Quelques-un des sites web collectant les données des internautes américains épinglés par l'étude © KU Leuven, Radboud University, Université de Lausanne

L’étude précise néanmoins que cette aspiration des données n’est pas forcément du fait de l’éditeur du site web, mais le plus souvent d’un partenaire ou d’un outil marketing tiers (souvent Facebook/Meta, et TikTok). Contactées par les chercheurs, les entreprises n’ont pas encore donné suite.

Il est aussi bon de rappeler que, dans certains cas, le keylogging est mis en place à des fins d'efficacité. Par exemple, lorsque vous contactez un service client par chat. L'opérateur peut parfois lire ce que vous écrivez avant que vous n'envoyiez votre message afin de pouvoir commencer ses recherches en temps réel.

Les sites web plus gourmands envers les internautes américains

« Dans certains cas, lorsque vous cliquez sur le champ suivant [d’un formulaire, ndlr] le site collecte le contenu du champ précédent. Du genre vous cliquez sur le champ mot de passe, et votre adresse email est récupérée. Ou alors vous cliquez n’importe où sur la page, et le contenu des champs est aspiré immédiatement », précise Asuman Senol, chercheur spécialisé dans la confidentialité des données à KU Leuven. « Nous ne nous attendions pas à trouver des milliers de sites [qui utilisent cette pratique, ndlr]; et aux États-Unis, les chiffres sont vraiment haut, ce qui est intéressant ».

Un euphémisme. D’après les chiffres relevés par les chercheurs, 2 950 sites web enregistrent les adresses email des internautes aux États-Unis avant même qu’ils n'appuient sur Entrer. En Europe, on descend à 1 844 sites. Mais pourquoi un tel écart ?

Sites web keylogger © KU Leuven university
Quelques-un des sites web collectant les données des internautes européens épinglés par l'étude © KU Leuven, Radboud University, Université de Lausanne

Tout simplement parce que les lois en vigueur sur le Vieux Continent sont plus strictes en matière de collecte des données personnelles, et que les entreprises semblent davantage jouer le jeu du respect du consentement des utilisateurs. On peut toutefois s'étonner qu’à l’inverse, 1 844 sites web n’ont que faire qu’un internaute refuse toute collecte ou dépôt de cookie dans son navigateur, ce qui est alarmant pour d’autres raisons.

L’intégralité des sites web épinglés par l’étude peut être consultée sur le site de KU Leuven. Les chercheurs ont également développé une extension pour navigateur visant à vous informer et vous protéger contre ces fuites de données. Les développeurs précisent cependant qu’il s’agit pour l’heure d’une preuve de concept, et qu’elle n’est pas infaillible.

Source : Leaky Forms, via Wired

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
jcc137
Les programmeurs de navigateurs devraient se pencher sur cette question, plutôt que chercher à rendre ledit navigateur plus rapide, plus esthétique, ou de lui ajouter des gadgets dont personne ne se sert.<br /> Par exemple travailler sur l’instruction liée au positionnement du curseur de la souris (événement onclick- si mes souvenirs sont bons) pour éviter d’alerter la routine sous-jacente du site web malveillant.
Faisduvelo
Les programmeurs de navigateurs ? Ahahah, ce sont eux qui sont à la base de la récolte des données !<br /> Quand je vois la quantité de gens qui utilisent Chrome, je me dis que les données personnelles ne le sont pas tant que ça !<br /> B-A BA : supprimer son compte Facebook, supprimer le compte Gmail, ne pas utiliser les DNS de Google, ne pas utiliser Google (Duckduckgo fait bien l’affaire) et ne pas utiliser Chrome (Firefox ou Opera, voire Safari pour ceux qui sont concernés sont infiniment moins intrusifs), ne pas rester connecté à son compte, ne pas utiliser l’authentification offerte gentiment pas FB ou Google…<br /> Une fois de plus, à l’exception notable de l’open source, quand c’est gratuit, c’est vous le produit !
kroman
C’est assez drôle sur Google !<br /> Essayez « j’ai 12 ans et »<br /> (il y a quelques années c’était bien trash)<br /> « Les chercheurs ont également développé une extension pour navigateur visant à vous informer »<br /> Ce n’est pas une extension. Juste un code Python.
Nymoi
Tiens je me suis souvent demandé quand on Chatte avec un « conseiller en ligne » y’a marqué un truc genre « votre correspondant est en train d’écrire »… me demandais si lui il voyait directement ce que je tapais même si je faisais pas Entrée. Tiens, Clubic, je teste, je viens de taper les N° de ma carte bancaire, j’attends que vous retiriez tout mon pécule !!! WARF !
Voir tous les messages sur le forum

Lectures liées

Un chercheur en cybersécurité montre comment pirater une Tesla via une faille Bluetooth
Piratage : le site de téléchargement Tirexo n'est pas mort et devient PapaFlix.com
Le spyware Predator a infecté des smartphones Android en exploitant une faille 0-day
3 bons plans VPN pour assurer votre sécurité en ligne
Ces deux failles critiques ont été exploitées par des hackers d'État
Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois
Google dépose le bilan en Russie
Ce nouveau hack permet de récupérer vos informations bancaires
Surfshark VPN s'offre enfin une interface sous Linux
Ces 200 applications Android vous espionnent et volent vos données, supprimez-les d'urgence !
Haut de page