Surfons Tranquille: API Battery Status, un espion insoupçonné

Batterie 15

En voyant celles et ceux qui partagent avec nous les transports en commun le matin, on peut se demander combien sont au courant de la découverte qui a été faite par des chercheurs de l'Université de Leuven et de l'Institut français de recherche en informatique et en automatique. Une découverte qui s'appuie sur une fonctionnalité qui a vu le jour en 2012 et qui complète le langage HTML, lequel est utilisé pour construire les sites que nous visitons chaque jour.

Cette fonctionnalité qui se nomme API Battery Status permet au site que vous visitez de savoir quel est le niveau de la batterie de votre ordinateur ou encore de votre tablette ou de votre smartphone. Si ce niveau est faible et qu'il oblige votre smartphone, par exemple, à passer en mode économie, le site web que vous visitez vous proposera automatiquement une version allégée afin de réduire la consommation et de permettre une navigation plus longue.

Deux informations sont envoyées à savoir le niveau de charge en pourcentage et le temps restant avant que votre batterie ne soit entièrement vide. Les chercheurs ont découvert qu'il était possible de combiner ces informations et d'en tirer un identifiant unique qui permet de savoir que c'est votre appareil qui se connecte et donc, quels sont les sites que vous visitez.

D'après cette étude, il semble que l'identifiant est à ce point précis que, même si vous vous trouvez connecté au réseau de votre employeur, et donc avec la même adresse IP que tous vos collègues, votre smartphone pourra être différencié de celui de ces mêmes collègues.

Et il sera aussi difficile pour vous de savoir si ces données sont utilisées puisque votre téléphone ne vous le signalera pas. En effet, la fonctionnalité décrite aujourd'hui ne prend pas connaissance des données stockées sur votre smartphone et donc, elle ne doit pas demander d'autorisations.

Ces précieuses informations vont donc pouvoir être utilisées par les agences spécialisées en marketing pour vous adresser de la publicité ciblée.

Mais les pirates pourront aussi en faire usage. Comme les données sont renouvelées toutes les 30 secondes, durant ce laps de temps, ils pourront pousser un code dans votre navigateur, ce qui leur permettra de vous tracer avec précision.

A ce stade, autant être clair, il n'y a pas vraiment de solution à la situation décrite. Les chercheurs proposent bien dans leur rapport que les mesures de données en rapport avec la batterie soient moins précises mais tous les smartphones ou tablettes n'offrent pas cette option dans leur paramétrage. Autant le savoir si votre métier exige la confidentialité.

Podcast 15/09/2015: Surfons Tranquille: API Battery Status, un espion insoupçonné