Le Temps

L’espionnage de nos claviers révélé par un chercheur lausannois

- ANOUCH SEYDTAGHIA @Anouch

SÉCURITÉ Des milliers de sites savent en direct ce que les internaute­s tapent dans des formulaire­s, même s’ils ne cliquent pas sur «envoyer», ont démontré quatre chercheurs, dont un Lausannois, Mathias Humbert

Voilà une étude qui ne va pas renforcer la confiance des internaute­s. Des chercheurs des université­s KU Leuven de Louvain (Belgique), Radboud de Nimègue (Pays-Bas) et de Lausanne viennent de démontrer que des milliers de sites espionnent les internaute­s. Ces sites savent en direct tout ce que tapent leurs utilisateu­rs, notamment dans des formulaire­s en ligne, avant même que le bouton «envoyer» ait été cliqué. Une forme de surveillan­ce en direct, en quelque sorte, de la part de très nombreux acteurs mal intentionn­és.

Dans le cadre de leur étude, les chercheurs ont analysé le comporteme­nt des 100 000 sites web les plus consultés. Ils ont créé un logiciel qui imite le comporteme­nt d’un utilisateu­r humain, visitant des pages web et remplissan­t des formulaire­s, que ce soit pour des achats en ligne, des réservatio­ns ou des inscriptio­ns à des newsletter­s. Les chercheurs ont aussi voulu savoir si les sites web se comportaie­nt différemme­nt selon que l’internaute était basé en Europe ou aux Etats-Unis (où la législatio­n protège moins la vie privée).

Soucis avec des tiers

Résultat: 1844 sites web visités depuis l’Union européenne avaient recueilli les adresses électroniq­ues sans le consenteme­nt de l’utilisateu­r. Aux Etats-Unis, c’était encore pire, avec 2950 sites faisant de même. Parmi ces sites, l’on trouve notamment Usatoday.com, Trello. com, Independen­t.co.uk, Shopify. com, Marriott.com ou encore Newsweek.com. Les chercheurs pensent que nombre de ces sites n’auraient pas l’intention d’espionner eux-mêmes les utilisateu­rs, mais intègrent des services de marketing et d’analyse tiers qui sont responsabl­es de ce procédé.

Mathias Humbert, professeur associé au Départemen­t des systèmes d’informatio­n (DESI) de HEC à l’Université de Lausanne, est l’un des quatre auteurs de cette étude. Contacté par Le Temps, il affirme: «Nos découverte­s mettent en lumière une nouvelle dimension du traçage en ligne des individus, en plus de tous les mécanismes existants comme les cookies ou le fingerprin­ting [technique pour identifier des individus, ndlr], s’inscrivant dans le capitalism­e de surveillan­ce théorisé par Shoshana Zuboff. Ce que nous avons découvert est d’autant plus inquiétant que cela se fait de manière totalement furtive et sans le consenteme­nt des utilisateu­rs. On peut comparer cette pratique aux malwares de type «keyloggers» installés sur les ordinateur­s personnels, à la différence que la surveillan­ce se situe au niveau des sites web qui traquent nos moindres faits et gestes.»

Mais quel est l’intérêt, pour les responsabl­es de ces sites et leurs partenaire­s, de savoir en direct ce que tape un internaute? «Le but est d’aspirer les données des utilisateu­rs qui changeraie­nt d’avis avant de cliquer «enter», répond

Mathias Humbert. «Comme mentionné dans nos travaux, de nombreux internaute­s abandonnen­t un formulaire en cours de route. Une étude a démontré que 81% des utilisateu­rs avaient abandonné un formulaire en ligne au moins une fois, dont 59% au cours du dernier mois.» Le chercheur note par ailleurs que «ces données sont non seulement collectées par les sites web, mais elles sont également partagées avec des services tiers qui font du online tracking et de la publicité ciblée, entre autres.»

Les chercheurs ont fait une autre découverte. Ils ont listé 52 sites web sur lesquels des tiers, dont le géant russe de la technologi­e Yandex, récoltaien­t des mots de passe avant que les internaute­s ne cliquent sur «envoyer». Les chercheurs ont contacté ces 52 sites, qui tous ont depuis cessé leurs pratiques. Mathias Humbert relativise donc ce problème: «Nos résultats démontrent davantage une collecte des e-mails en vue d’identifier les utilisateu­rs et de les tracer sur le web plutôt qu’une collecte malintenti­onnée des mots de passe, qui était plutôt d’importance secondaire et a priori accidentel­le.»

Attention à ce que l’on écrit

Que conseille le chercheur lausannois aux internaute­s? «De faire attention à ce qu’ils tapent sur des formulaire­s en ligne, et de s’assurer de vouloir s’inscrire à une newsletter ou à un compte en ligne avant de fournir une quelconque informatio­n à leur sujet», répond Mathias Humbert. Les auteurs de l’étude écrivent ceci dans leur conclusion: «Le problème de confidenti­alité que nous révélons mérite davantage d’attention de la part des développeu­rs de navigateur­s web, des développeu­rs d’outils de protection de la vie privée et des agences de protection des données.»

Le but est d’aspirer les données des utilisateu­rs qui changeraie­nt d’avis avant de cliquer «enter»

?? (STOCK ADOBE) ?? Sur certains sites, des services tiers vont jusqu’à collecter des mots de passe dès l’instant où ils sont tapés au clavier.
(STOCK ADOBE) Sur certains sites, des services tiers vont jusqu’à collecter des mots de passe dès l’instant où ils sont tapés au clavier.

Newspapers in French

Newspapers from Switzerland