La batterie de vos appareils est utilisée pour vous traquer !

Depuis la mise en place du HTML5 pour les sites internet en 2012, une petite fonctionnalité peu utilisée à fait son apparition : l’API Battery Status. Elle permet au site sur lequel vous naviguez de savoir combien de batterie il reste sur votre smartphone ou ordinateur portable afin de passer en mode « conservation d’énergie » pour économiser votre batterie. Mais des chercheurs se sont rendus compte que ces données peuvent être utilisées pour vous traquer en ligne.

batterie-traque-vie-privée

Puisque ces informations sur la batterie ne donnent aucun accès à vos données ni aux empreintes digitales stockées sur votre smartphone celles-ci ne requièrent aucune autorisation pour être utilisées, autrement dit ni votre ordinateur, ni votre smartphone ne vous avertira lorsqu’un site internet récupérera vos informations de batterie.

Quelles informations récupèrent-ils ? Grâce à cette API, les sites récupèrent deux informations toutes les 30 secondes :

  • Le niveau de charge de votre batterie en pourcentage
  • Le temps restant avant que votre batterie ne soit entièrement vide

On peut penser que ces informations ne représentent pas quelque chose d’important et ne mettent pas notre vie privée en jeu, c’est faux. En effet si les sites internet ne peuvent pas récupérer nos informations personnelles en passant directement par la batterie, ils peuvent nous identifier facilement et cela malgré tous les efforts que nous pouvons faire.

Les navigateurs intégrant cette API sont Chrome, Firefox et Opéra, autrement dit si vous ouvrez une fenêtre Chrome pour naviguer sur un site et qu’en même temps vous ouvrez une navigation privée sur Firefox en utilisant un VPN, les sites visités en utilisant le VPN pourront identifier votre machine et donc savoir quels sites vous visitez simultanément, ces données pourront ensuite être exploitées, comme les données prélevées par Windows 10.

C’est une équipe de chercheurs franco-belge spécialisée en sécurité qui a mis en évidence cette faille, ils expliquent même qu’en visitant plusieurs fois les sites utilisant cette API, ces derniers enregistrent vos informations et peuvent ainsi créer une base de données comparative des différents appareils pour les identifier plus facilement.

Une solution proposée serait d’arrondir les valeurs fournies aux navigateurs afin que ceux-ci ne puissent plus différencier les appareils mais qu’ils puissent toujours détecter si la batterie est faible.

Via

Réagissez à cet article !
  • « autrement dit si vous ouvrez une fenêtre Chrome pour naviguer sur un site et qu’en même temps vous ouvrez une navigation privée sur Firefox en utilisant un VPN, les sites visités en utilisant le VPN pourront identifier votre machine et donc savoir quels sites vous visitez simultanément, ces données pourront ensuite être exploitées »

    > Exploitées par qui ?
    > Sachant qu’un VPN change l’IP, il faudrait que les deux données récupérées sur la batterie soient uniques au monde et insérées dans une base de données commune aux deux sites pour être exploitables, et ainsi pouvoir faire le lien entre les deux ?

    • Soli

      Connaisseur

  • tom

    Mouais… Ça reste très théorique comme faille…

    Sur le papier c’est vrai que c’est faisable, mais dans la pratique ça me semble très compliqué à exploiter.

    • Ah bon !

      Avec 5 informaticiens compétents cela est largement faisable …

  • bitchette

    y’en a qui auraient besoin de revoir les cours de maths à plusieurs inconnues…

  • MrPillowFR

    je ne voit pas comment il peuvent nous traquer juste avec l’état de notre batterie :se gratte la tête:

  • itachi

    ça me fait penser à un article ou un type disait que les batteries qui se rechargent sans contact étaient là pour nous espionner.

    Regardez phonandroid

    http://www.phonandroid.com/stickers-nfc-batteries-etaient-espionner.html

  • itachi

    Il est où mon com?

  • Sébastien Redox

    Où est-il question d’ID de la batterie ? Il n’est que question du temps restant et du niveau de batterie…

    • Vaykadji

      l’addition de données insignifiantes fait une donnée importante. C’est comme ça que fonctionne les trucs révélés par Snowden. On appelle ça du Big Data il me semble (pas sûr)

    • Geoffrey

      Effectivement, je lis entre les lignes… Je l’interprète comme ça, tout matériel dans nos machines dispose d’une numéro de série unique. A partir de la si on peut relever des infos de certains composants, il est aisé de penser qu’on peut facilement accéder à ces numéro de séries ou ID ou tout autres informations permettant de t’identifier sur le net.
      Bien sur cela ne reste que des suppositions et c’est a prendre en tant que telle…

      • Sébastien Redox

        Bah là ça ne s’appelle plus « lire entre les lignes », ça s’appelle « modifier ce qui est affirmer ».
        Les infos dispo pour les sites ne sont pas cachées, c’est publique, ce sont les 2 infos citées et rien d’autre, il n’y a pas de numéro de série…

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !