La batterie de votre smartphone pourrait vous espionner

La batterie de votre smartphone peut espionner et suivre votre empreinte numérique sur Internet

La technologie ne manque jamais de surprises. Votre activité en ligne peut désormais être suivie grâce à la durée de vie de la batterie de votre smartphone. Selon un article de chercheurs en sécurité, les batteries de téléphone transmettent des informations qui pourraient être utilisées pour trouver leurs propriétaires et les suivre sur Internet, malgré les mesures de confidentialité appropriées.

Les chercheurs en sécurité ont découvert qu’une fonctionnalité de la spécification HTML5 indique aux sites Web combien de batterie reste dans le téléphone d’un utilisateur et est destinée à permettre aux sites Web d’aider à préserver la batterie si les téléphones sont à court de charge. En même temps, les informations pourraient alors être utilisées pour espionner leur activité en ligne, permettant aux gens d’être suivis.

Vous activez le mode d’économie d’énergie chaque fois que votre smartphone ou votre ordinateur portable est à court de batterie. Toutes les fonctionnalités ou applications qui consomment de la batterie supplémentaire sont désactivées.

Les téléphones répondent aux demandes des sites Web et des scripts qui fonctionnent sur HTML5 en indiquant combien de charge ils ont et combien de temps il leur faudrait pour se recharger. Le téléphone répond aux demandes, car ils n’ont pas besoin de demander la permission des utilisateurs pour voir combien de charge reste. Ainsi, sans la connaissance des utilisateurs, les informations peuvent alors être utilisées comme un moyen d’identifier les téléphones eux-mêmes.

Actuellement pris en charge dans les navigateurs Firefox, Opera et Chrome, l’API de statut de batterie libère clairement les sites de l’obligation de demander la permission de l’utilisateur pour connaître la durée de vie restante de la batterie.

Selon les chercheurs (PDF), le site Web reçoit des informations précises, y compris le temps estimé pour que la batterie se décharge complètement ainsi que le pourcentage de batterie restant dans le téléphone.

Les rapports du Guardian suggèrent que les deux chiffres fonctionnent comme un numéro d’identification potentiel, ce qui signifie qu’ils pourraient être l’une des 14 millions de combinaisons. L’API de statut de batterie pourrait être utilisée pour reconnaître les utilisateurs à travers les sites Web, étant donné que les valeurs se mettent à jour toutes les 30 secondes.

Des technologies comme les VPN sont en gros plus que suffisantes pour empêcher les gens de suivre un utilisateur sur Internet. Cependant, ces mesures pourraient être contournées en raison des problèmes de sécurité dans le logiciel de la batterie.

L’argument avancé par le World Wide Web Consortium, W3C, l’organisation qui a introduit l’API, indique que « les informations divulguées ont un impact minimal sur la vie privée ou le fingerprinting, et sont donc exposées sans autorisation ».

Cependant, les chercheurs fournissent des conseils de prudence en disant que « les utilisateurs qui essaient de revisiter un site Web avec une nouvelle identité peuvent utiliser le mode privé des navigateurs ou effacer les cookies et autres identifiants côté client. Lorsque des visites consécutives sont effectuées dans un court intervalle, le site Web peut lier les nouvelles et anciennes identités des utilisateurs en exploitant le niveau de batterie et les temps de charge/décharge. Le site Web peut alors réinstaurer les cookies des utilisateurs et d’autres identifiants côté client, une méthode connue sous le nom de respawn.