Leaky Forms

Comme beaucoup d'entre vous, j'ai plusieurs adresses de courriel, dont une que j'utilise en particulier pour mes achats sur les sites commerciaux, une autre étant réservée à la correspondance personnelle; même chose s'agissant des mots de passe.

Ça, c'est la théorie, car en pratique il arrive souvent que je m'inscrive sur un site commerçant et ne me souvienne plus quelques mois plus tard quelle adresse de courriel et quel mot de passe j'avais utilisés pour m'inscrire. La conséquence est qu'avant de me résoudre à utiliser la fonction de réinitialisation du mot de passe, j'effectue plusieurs tentatives avec diverses adresses de courriel et divers mots de passes.

Bien sûr, il existe des gestionnaires de login/mot de passe pour ce genre d'oublis chroniques.

Cela étant, vous pensiez certainement comme moi que l'unique conséquence de ces petites erreurs à répétition était de vous faire perdre du temps. Or, selon un article intitulé "Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission" rédigé par Asuman Senol, Gunes Acar, Mathias Humbert et Frederik Zuiderveen Borgesius (des universités de Leuven, Radboud et de Lausanne), ce ne serait pas si anodin.

Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission (USENIX Security′22)

Leaky Forms

En effet, les adresses de courriel, ou les identifiants dérivés desdites adresses, sont utilisés par les courtiers en données et les agences publicitaires pour créer une empreinte numérique de chaque utilisateur, qui permet de l'identifier par la suite, quel que soit le site internet consulté et le système utilisé (PC, Mac, smartphone, etc...).

Or, les auteurs de cet article ont découvert qu'un certain nombre de sites internet (classés dans le top 100 des plus consultés) enregistre tout ce que vous tapez dans leurs formulaires avant même que vous n'ayez appuyé sur le bouton "envoyer". En substance, les auteurs de cet article relèvent les points suivants:

Les adresses e-mail sont envoyées à des domaines internet de "tracking", de marketing et d'analyse avant la soumission du formulaire et avant de donner son consentement dans 1,844 sites web quand ils sont consultés depuis l'Europe et 2,950 lorsqu'ils sont consultés depuis les USA.

Les mots de passe ont été récupérés de la même manière et de façon accidentelle dans 52 sites internet par des "session replay scripts". (Ces problèmes ont depuis été résolus à la suite de leur divulgation par les auteurs).

Au cours d'une enquête complémentaire, les auteurs ont découvert que Meta (anciennement Facebook) et TikTok collectent des données personnelles sous forme cryptée ("hashed") issues des formulaires web, même quand l'utilisateur ne soumet pas le formulaire et ne donne pas son consentement.

Ces pratiques sont à priori contraires à la Loi sur la protection des données suisse (ci-après "LPD"), notamment à l'art. 4 LPD qui prévoit que le traitement des données doit être effectué "conformément aux principes de la bonne foi et de la proportionnalité" (art. 4 al. 2 LPD) ou encore que "la collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée" (art. 4 al. 4 LPD).

Toutefois, se pose la question de savoir si une simple adresse de courriel pourrait être considérée comme une donnée personnelle qui, selon l'art. 3 let. a LPD, rentre dans le champ de la définition de "toutes les informations qui se rapportent à une personne identifiée ou identifiable". En d'autres termes, est-ce que dans ce contexte bien particulier, une adresse de courriel peut déjà être suffisamment rattachée à une personne? Cela mériterait une recherche un peu plus approfondie. La suite au prochain épisode ! ⚖️👨‍💻