Des chercheurs ont démontré qu’il est possible d’utiliser la batterie des smartphones pour identifier les utilisateurs, ce qui est une menace pour la vie privée.
L’API Battery Status de HTML 5 permet aux sites web de connaitre l’état de la batterie d’un visiteur dans le but de proposer un contenu approprié pour économiser son autonomie. Il s’agit à priori d’une fonction inoffensive.
Mais voilà, une équipe de quatre chercheurs en sécurité, deux chercheurs ESAT belges (KULeuven) et de leurs collègues français de l’INRIA (l’Institut national de recherche en informatique et en automatique), ont démontré que l’identité des utilisateurs peut être déterminée sur base de leur batterie.
Cette API est actuellement prise en charge par Firefox, Opera, Chrome, le navigateur Android (version 5.0 et supérieure) et Chrome for Android (à partir de la version 4.0).
Les spécifications édictées par le World Wide Web Consortium (W3C), spécifie explicitement que les sites web ne sont pas tenus de demander l’autorisation des utilisateurs pour connaitre le statut de leur batterie, au motif que cette information n’est pas dangereuse pour le respect de la vie privée des internautes.
Mais dans son étude, les chercheurs affirment tout le contraire en démontrant que les sites peuvent identifier un internaute sur la base de l’API Battery Status, et cela même s’ils sont protégés par un VPN ou du NAT.
En fait, des personnes qui voudraient traquer des internautes pourraient combiner la durée en secondes d’autonomie restante de la batterie et la capacité restante exprimée en pourcentage pour produire un ID unique, une sorte d’empreinte de l’appareil, ce qui permettrait ensuite de le suivre sur internet.
Il existe heureusement une solution, « Veillez à ce que les mesures relatives à la batterie soient moins précises », explique Gunes Acar. « Si on arrondit ces valeurs, on ne perd quasiment rien en fonctionnalité, mais il devient en revanche nettement plus compliqué de suivre les utilisateurs ».