Ouvrir le menu principal

MacGeneration

Recherche

Leaky Forms : des milliers de sites récupèrent les emails avant de valider un formulaire

Nicolas Furno

lundi 16 mai 2022 à 15:00 • 45

Ailleurs

Les formulaires web que l’on doit remplir pour créer un compte sur de nombreux sites peuvent être indiscrets et transmettre des informations sans notre accord. C’est ce que révèle l’enquête nommée « Leaky Forms » menée par quatre universitaires spécialistes en sécurité. Sur des milliers de sites web, l’adresse email est enregistrée dès qu’elle a été saisie par l’utilisateur, même s’il ne valide pas le formulaire. Dans quelques cas plus rares, le mot de passe d’un compte nouvellement créé peut même être transmis par erreur.

Sur cet exemple fourni par les chercheurs, le formulaire de création de compte de Gitlab.com (concurrent de GitHub) transmet l’adresse mail dès qu’elle a été saisie, même sans valider le formulaire. On voit distinctement l’adresse mail dans la console du navigateur, en bas, alors que le formulaire est toujours en train d’être rempli.

En théorie, les informations saisies dans un formulaire web ne sont transmises que lorsque l’utilisateur choisit de l’envoyer, en appuyant sur un bouton le plus souvent. Si l’internaute choisit de ne pas valider son inscription, il devrait pouvoir annuler l’opération en fermant la page web et tout ce qu’il aura saisi ne devrait pas avoir été enregistré par le site. En réalité, des milliers de sites web ne respectent pas cette bonne pratique et récupèrent les informations dès qu’elles sont saisies. Tous les navigateurs web, y compris Safari, sont touchés.

Cette méthode peu scrupuleuse permet aux sites web d’obtenir de nombreuses adresses mail même si les visiteurs ne s’abonnent pas à leur site. Ces adresses peuvent être utilisées à des fins de statistiques, ajoutées à une liste de diffusion ou même revendues à un tiers. Les chercheurs ont analysé automatiquement les 100 000 sites les plus populaires et découvert cette pratique pour 2950 aux États-Unis et encore 1 844 en Europe, malgré son irrespect total du RGPD.

Dans 52 cas, c’est même le mot de passe qui était transmis dès sa saisie dans le formulaire, mais c’était une erreur qui a été corrigée dès que les chercheurs ont envoyé l’information. Une erreur liée à l’utilisation de scripts « clés en mains » fournis aux sites web par les services spécialisés dans la publicité et le marketing en ligne. Ou par des entreprises comme Meta (ex-Facebook) et TikTok, qui peuvent récupérer des informations sur les formulaires des sites tiers qui utilisent leurs outils.

Le site canadien de la Croix Rouge transmet à TikTok, sans doute à son insu, les adresses mail saisies dans le formulaire dédié à sa liste de diffusion. L’adresse est ici « hachée » en SHA256, mais il est facile de la retrouver en clair de l’autre côté.

Les chercheurs ont contacté Meta et TikTok, ainsi que les services publicitaires impliqués par ces collectes pour leur remonter l’information, notamment sous l’angle du RGPD. Quand ils ont fait une nouvelle analyse en début d’année, ils ont noté une baisse significative du nombre de sites qui transmettaient les informations des formulaires dès leur saisie, du moins en Europe. Dans un grand nombre de cas, la transmission ne se faisait plus sans avoir validé au préalable le partage de données avec un pop-up initial. La baisse est toutefois nettement moins significative aux États-Unis, où la réglementation est plus souple.

Les résultats de la recherche sont disponibles dans cet article universitaire, mais on peut aussi consulter des listes des sites les plus populaires détectés sur cette page web plus accessible. Le code source de l’outil chargé d’analyser les sites est disponible sur GitHub et on peut aussi utiliser LeakInspector, une extension web qui avertit si un site est concerné. L’extension ne respecte pas les exigences de Chrome (elle doit accéder aux requêtes web effectuées par une page) et ne sera pas proposé directement pour le navigateur de Google, mais une version pour Firefox devrait être fournie par les chercheurs.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Free propose un an de fibre optique à 19,99 € par mois avec la Freebox Revolution Light

11:59

• 18


Produits Apple : vers une baisse de prix à la rentrée grâce à la faiblesse du dollar ?

11:38

• 22


Apple Store : le crédit à 0 % prolongé cet été

10:14

• 19


Stockage cloud : l’offre pCloud Lifetime avec 70 % de remise jusqu’au 15 juillet 📍

08:08

• 0


Apple fait une nouvelle mise à jour de son antimalware XProtect

01/07/2025 à 22:13

• 10


L'absence de ventilateurs de certains Mac portable peut les protéger des malwares

01/07/2025 à 19:30

• 17


Mactracker 8 synchronise votre collection de produits Apple sur tous vos Mac

01/07/2025 à 17:44

• 8


Passez à CarPlay sans fil pour moins de 20 €

01/07/2025 à 16:53

• 42


De très nombreuses failles dangereuses dans les imprimantes de Brother (et quelques autres)

01/07/2025 à 15:24

• 7


Bon plan Wi-Fi : l’Eero 6 (3 modules) à 130 € seulement

01/07/2025 à 13:30

• 20


Apple détaille des fonctions d'iOS et macOS 26 qui n'arriveront pas en Europe

01/07/2025 à 11:57

• 112


Proton se joint à une plainte contre Apple pour pratiques anticoncurrentielles

01/07/2025 à 11:10

• 58


États-Unis : Apple n’échappera pas au procès pour abus de position dominante

01/07/2025 à 09:55

• 41


Seriez-vous intéressé par un iPhone qui se transforme en ordinateur traditionnel ?

01/07/2025 à 09:06

• 59


Apple envisage de remplacer le moteur de Siri par celui de ChatGPT ou Claude AI

30/06/2025 à 23:00

• 67


MacBook : jusqu’où Apple ira-t-elle pour casser les prix ?

30/06/2025 à 21:40

• 13