L’espionnage de nos claviers révélé par un chercheur lausannois
SÉCURITÉ Des milliers de sites savent en direct ce que les internautes tapent dans des formulaires, même s’ils ne cliquent pas sur «envoyer», ont démontré quatre chercheurs, dont un Lausannois, Mathias Humbert
Voilà une étude qui ne va pas renforcer la confiance des internautes. Des chercheurs des universités KU Leuven de Louvain (Belgique), Radboud de Nimègue (Pays-Bas) et de Lausanne viennent de démontrer que des milliers de sites espionnent les internautes. Ces sites savent en direct tout ce que tapent leurs utilisateurs, notamment dans des formulaires en ligne, avant même que le bouton «envoyer» ait été cliqué. Une forme de surveillance en direct, en quelque sorte, de la part de très nombreux acteurs mal intentionnés.
Dans le cadre de leur étude, les chercheurs ont analysé le comportement des 100 000 sites web les plus consultés. Ils ont créé un logiciel qui imite le comportement d’un utilisateur humain, visitant des pages web et remplissant des formulaires, que ce soit pour des achats en ligne, des réservations ou des inscriptions à des newsletters. Les chercheurs ont aussi voulu savoir si les sites web se comportaient différemment selon que l’internaute était basé en Europe ou aux Etats-Unis (où la législation protège moins la vie privée).
Soucis avec des tiers
Résultat: 1844 sites web visités depuis l’Union européenne avaient recueilli les adresses électroniques sans le consentement de l’utilisateur. Aux Etats-Unis, c’était encore pire, avec 2950 sites faisant de même. Parmi ces sites, l’on trouve notamment Usatoday.com, Trello. com, Independent.co.uk, Shopify. com, Marriott.com ou encore Newsweek.com. Les chercheurs pensent que nombre de ces sites n’auraient pas l’intention d’espionner eux-mêmes les utilisateurs, mais intègrent des services de marketing et d’analyse tiers qui sont responsables de ce procédé.
Mathias Humbert, professeur associé au Département des systèmes d’information (DESI) de HEC à l’Université de Lausanne, est l’un des quatre auteurs de cette étude. Contacté par Le Temps, il affirme: «Nos découvertes mettent en lumière une nouvelle dimension du traçage en ligne des individus, en plus de tous les mécanismes existants comme les cookies ou le fingerprinting [technique pour identifier des individus, ndlr], s’inscrivant dans le capitalisme de surveillance théorisé par Shoshana Zuboff. Ce que nous avons découvert est d’autant plus inquiétant que cela se fait de manière totalement furtive et sans le consentement des utilisateurs. On peut comparer cette pratique aux malwares de type «keyloggers» installés sur les ordinateurs personnels, à la différence que la surveillance se situe au niveau des sites web qui traquent nos moindres faits et gestes.»
Mais quel est l’intérêt, pour les responsables de ces sites et leurs partenaires, de savoir en direct ce que tape un internaute? «Le but est d’aspirer les données des utilisateurs qui changeraient d’avis avant de cliquer «enter», répond
Mathias Humbert. «Comme mentionné dans nos travaux, de nombreux internautes abandonnent un formulaire en cours de route. Une étude a démontré que 81% des utilisateurs avaient abandonné un formulaire en ligne au moins une fois, dont 59% au cours du dernier mois.» Le chercheur note par ailleurs que «ces données sont non seulement collectées par les sites web, mais elles sont également partagées avec des services tiers qui font du online tracking et de la publicité ciblée, entre autres.»
Les chercheurs ont fait une autre découverte. Ils ont listé 52 sites web sur lesquels des tiers, dont le géant russe de la technologie Yandex, récoltaient des mots de passe avant que les internautes ne cliquent sur «envoyer». Les chercheurs ont contacté ces 52 sites, qui tous ont depuis cessé leurs pratiques. Mathias Humbert relativise donc ce problème: «Nos résultats démontrent davantage une collecte des e-mails en vue d’identifier les utilisateurs et de les tracer sur le web plutôt qu’une collecte malintentionnée des mots de passe, qui était plutôt d’importance secondaire et a priori accidentelle.»
Attention à ce que l’on écrit
Que conseille le chercheur lausannois aux internautes? «De faire attention à ce qu’ils tapent sur des formulaires en ligne, et de s’assurer de vouloir s’inscrire à une newsletter ou à un compte en ligne avant de fournir une quelconque information à leur sujet», répond Mathias Humbert. Les auteurs de l’étude écrivent ceci dans leur conclusion: «Le problème de confidentialité que nous révélons mérite davantage d’attention de la part des développeurs de navigateurs web, des développeurs d’outils de protection de la vie privée et des agences de protection des données.»
■
Le but est d’aspirer les données des utilisateurs qui changeraient d’avis avant de cliquer «enter»