Une nouvelle étude publiée par des universitaires de la KU Leuven, de l’Université Radboud et de l’Université de Lausanne a révélé que les adresses e-mail des utilisateurs sont exfiltrées vers des domaines de suivi, de marketing et d’analyse avant qu’elles ne soient soumises et sans consentement préalable.
L’étude impliqué en explorant 2,8 millions de pages des 100 sites Web les plus importants, et a constaté que jusqu’à 1 844 sites Web permettaient aux trackers de capturer des adresses e-mail avant la soumission du formulaire dans l’Union européenne, un nombre qui est passé à 2 950 lorsque le même ensemble de sites Web a été visité depuis les États-Unis.
« Les e-mails (ou leurs hachages) ont été envoyés à 174 domaines distincts (eTLD+1) dans le crawl américain, et 157 domaines distincts dans le crawl européen », les chercheurs mentionné. De plus, il a été déterminé que 52 sites Web recueillaient des mots de passe de la même manière, un problème qui a depuis été résolu à la suite d’une divulgation responsable.
LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta Platforms, TikTok, Salesforce, Listrak et Oracle représentaient certains des principaux domaines de suivi tiers auxquels des adresses e-mail ont été transmises, tandis que Yandex, Mixpanel et LogRocket dirigent le liste dans la catégorie de saisie de mot de passe.
« Certains tiers envoient des adresses e-mail caractère par caractère, au fur et à mesure que l’utilisateur tape son adresse », ont déclaré les chercheurs. « Ce comportement semble être dû aux scripts de relecture de session qui collectent les interactions des utilisateurs avec la page, y compris les pressions sur les touches et les mouvements de la souris. »
la mode/beauté, les achats en ligne et l’actualité générale émergent comme les principales catégories ->
mode/beauté, achats en ligne, actualités générales, logiciels/matériel et affaires émergeant comme les principales catégories
Les adresses e-mail présentent un certain nombre d’avantages. Non seulement ils sont uniques, permettant à des tiers de suivre les utilisateurs sur tous les appareils, mais ils peuvent également être utilisés pour faire correspondre leurs activités en ligne et hors ligne, par exemple, dans des scénarios où ils effectuent un achat en magasin qui les oblige à partager leur adresse e-mail ou souscrire à une carte de fidélité.
L’idée derrière la collecte des adresses e-mail saisies dans les formulaires en ligne, même dans les cas où les utilisateurs ne soumettent aucun formulaire, a également été alimentée par les tentatives continues des fournisseurs de navigateurs d’abandonner la prise en charge des cookies tiers, obligeant les spécialistes du marketing à rechercher d’autres identifiants statiques. pour suivre les utilisateurs.
Ce n’est pas la première fois qu’une telle inquiétude est soulevée. En juin 2017, Gizmodo a découvert qu’un tiers appelé NaviStone recueillait des informations personnelles à partir de formulaires de calcul d’hypothèque avant leur soumission, et très peu de sites Web divulguaient explicitement cette pratique dans leur politique de confidentialité.
Avance rapide cinq ans plus tard, peu de choses ont changé, ont déclaré les chercheurs, avec des sites Web liés à la mode/beauté, aux achats en ligne et à l’actualité générale émergeant comme les principales catégories avec le plus « formes qui fuient. »
« Malgré le remplissage des champs de courrier électronique sur des centaines de sites Web classés comme pornographiques, nous n’avons pas une seule fuite de courrier électronique », montrent les résultats, notant comment cela correspond à études précédentes qui ont montré que les sites Web pour adultes ont relativement moins de trackers tiers par rapport aux sites généraux de popularité comparable.
De plus, une telle pratique peut enfreindre au moins trois règlements généraux différents sur la protection des données (RGPD) dans l’UE, en violation des principes de transparence, de limitation des finalités et de consentement de l’utilisateur.
Ces dernières années, les fabricants de navigateurs, à l’exception notable de Google Chrome, ont introduit de nouveaux mécanismes pour réduire les cookies intersites, mais Apple Safari et Mozilla Firefox se sont avérés ne rien faire pour se protéger contre les scripts qui exportent les adresses e-mail à des fins de suivi.
Une contre-mesure contre cette méthode de suivi consiste à installer des extensions de navigateur telles que uBlock Origin ou à passer à des navigateurs dotés d’une fonctionnalité intégrée de blocage des publicités, quel que soit le type d’appareil utilisé.
« Les utilisateurs doivent supposer que les informations personnelles qu’ils saisissent dans les formulaires Web peuvent être collectées par des trackers, même si le formulaire n’est jamais soumis », ont conclu les chercheurs, appelant à une enquête plus approfondie des fournisseurs de navigateurs, des développeurs d’outils de confidentialité et des agences de protection des données.
