Profilage : la capture automatisée de votre adresse email

Qui connaît les courtiers en donnée ?

Sur Internet, le monde de la publicité implique de nombreuses parties. Il y a le site que vous visitez, qui sert à la fois à collecter des informations sur vos habitudes et vous proposer des publicités ciblées. Il y a les courtiers en information qui créent un profil consommateur précis. Il y a les régies publicitaires qui achètent votre profil et fournissent une publicité ciblée.

Pour créer un profil riche qu’ils vendront cher, les courtiers :

1. vous identifient de manière unique et homogène sur l’ensemble de vos équipements (les navigateurs web de votre ordinateur, votre téléphone, vos tablettes, etc).
2. accumulent vos habitudes (typologie de pages web, des achats, horaire et temps passé devant un article, etc).

Vous retrouver, la grande difficulté

Les courtiers de données n’avaient aucune difficulté à vous suivre d’un site à l’autre lorsque vous n’utilisiez qu’un navigateur sur un seul ordinateur. Elles demandaient aux sites web que vous visitiez de déposer un identifiant unique (ces fameux cookies) dans votre navigateur, et votre navigateur resservait cet identifiant à chaque visite de site travaillant avec ces mêmes courtiers.

Lorsque vous vous êtes mis à naviguer depuis votre canapé sur la tablette, dans le métro sur votre téléphone, les courtiers ont commencé à avoir des vues fragmentées de vos usages. Leurs ingénieurs ont rivalisé d’inventivité pour associer vos équipements. Par exemple un site web visité par un navigateur joue dans une publicité un son inaudible (ultra-son) spécifique ; cette signature sonore est captée par le téléphone à proximité. Le fournisseur de publicité peut alors appairer le navigateur (et l’identité de son utilisateur) avec l’utilisateur du téléphone.

Il y a une identité que vous utilisez partout sur Internet, qui ne change pas, et qui ne dépend pas de l’équipement sur lequel vous vous connectez : votre adresse email. Il est donc important pour les courtiers de capter dès que possible votre adresse email.

Une nouvelle méthode déloyale révélée

Une nouvelle étude¹⁾ montre que, sur un grand nombre de site web, votre email est capturé par un courtier à l’instant où vous remplissez un formulaire. Il ne vous est pas nécessaire de valider le formulaire pour être déjà identifié et pisté.

Cette étude n’est malheureusement qu’une confirmation formelle d’un comportement déjà connu ou fortement soupçonné… La très mauvaise nouvelle est que certains sniffeurs se comportent en véritable keyloggers, de petits programmes informatiques transmettant la totalité des frappes claviers de l’utilisateur ; capturant et transmettant au passage les données sensibles tel les mots de passe.

Les effets sont réels, les chercheurs ont identifié près de 2 000 sites visités depuis l’Europe qui utilisent cette technique ; 10 % des sites de commerce, 7 % des sites d’information… Les scores doublent pour un utilisateur qui se trouve aux États-Unis. Le rgpd a effectivement un effet protecteur en Europe.

Comment se protéger

Dans le jeu du chat et de la souris entre les défenseurs de la vie privée et les courtiers de donnée, les souris (les utilisateurs) ne sont pas dénués de défense.

En Europe, la législation (encore ce rgpd) interdit les méthodes déloyales de capture de données personnelles. Les chercheurs précisent qu’une agence nationale en Europe a demandé la liste des sites faisant fuir les emails — pour lancer une procédure en infraction ? Cette législation explique probablement que l’on est deux fois moins à risque de voir son email fuiter depuis l’Europe que depuis les États-Unis.

Les mesures techniques sont également efficaces. Aujourd’hui, leur mise en œuvre ne pose pas de difficulté particulière. Ces mesures techniques sont de deux ordres. On peut au choix ou en combinaison utiliser un navigateur ou une extension de navigateur protégeant contre les sniffeurs des sites web, ou configurer son réseau pour bloquer les requêtes vers les courtiers en données.

Utiliser un navigateur ou une extension de navigateur bloquant les sniffeurs est la méthode la plus simple. Elle devra cependant être répétée sur chaque équipement utilisé. Beaucoup de bonnes options existent, en voici deux simples :

• le navigateur Internet Brave
• l’extension de navigateur DuckDuckGo

La manière la plus efficace de configurer son réseau pour bloquer les requêtes vers les courtiers de données consiste à gérer son propre résolveur dns (menteur). Il fera croire au navigateur que le site du courtier n’est pas joignable sur Internet. Cette solution a l’avantage d’être efficace sur tous les équipements. Par contre, les équipements nomades ne sont plus protégés dès qu’ils sortent du réseau (le wifi de la maison par exemple). L’installation d’un vpn résout cette dernière contrainte mais ajoute encore de la complexité technique. Parmi les options possibles, en voici deux préparées :

• le routeur wifi personnel OpenWrt et son extension ad-block
• le serveur pi-hole

Changer d’identité

Finalement, une manière directe de déconnecter ses profils sur les sites web où l’on navigue consiste à s’identifier de façon spécifique à chaque site.

De nombreux services d’email autorisent les utilisateurs à ajouter +… à la fin de leur adresse email (avant l’arobase). Ainsi baptiste+titi.fr@example.com est équivalent à baptiste+toto.com@example.com et finalement baptiste@example.com. C’est le cas de Gmail ; donc exemple+amazon.com@gmail.com sera reçu dans la même boîte que exemple@gmail.com. Cette astuce simple vous permettra à peu de frais de premièrement brouiller les sniffeurs et deuxièmement tracer l’origine des spams que vous recevez.

Références

• 1) Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission — Asuman Senol and Gunes Acar and Mathias Humbert and Frederik Zuiderveen Borgesius, aout 2022.
• Des milliers de sites Internet enregistrent les données des formulaires, avant même que le bouton « envoyer » ait été utilisé — Le Monde, Pixels, 13 mai2022.