La batterie de votre smartphone dévoile votre identité
Des spécialistes en sécurité de la KULeuven ont démontré comment l’identité d’utilisateurs de smartphones et d’ordinateurs portables peut être déterminée sur base de leur batterie. Les chercheurs signalent du reste que cela menace le respect de la vie privée des utilisateurs.
La cause du problème réside dans la peu connue API ‘battery status’ dans HTML5, qui fait en sorte que des sites web puissent connaître l’état de l’autonomie de l’accu d’un visiteur. Une équipe de 4 spécialistes en sécurité (2 Belges et 2 Français) indique que cette information peut être utilisée pour dévoiler l’identité du visiteur.
L’API dont il est question, est actuellement supportée dans Firefox, Opera et Chrome, dans le navigateur Android (version 5.0 et supérieure) et dans Chrome for Android (à partir de la version 4.0). Elle fut introduite en 2012 par le World Wide Web Consortium (W3C, l’organe qui contrôle et gère les standards web) dans le but de permettre aux sites web d’économiser l’énergie contenue dans les appareils de leurs visiteurs.
Idéalement, un site web ou une appli web dans HTML 5 détecte grâce à l’API battery status si un internaute ne dispose plus guère d’énergie sur son appareil et le bascule alors vers une sorte de mode ‘allégé’, où les principales fonctions énergivores sont désactivées.
Dans les spécifications de cette API, il est explicitement mentionné que les sites web ne sont pas tenus de demander l’autorisation des utilisateurs pour déterminer le statut de leur batterie, du fait que cette information n’exercerait qu’un impact minimal et ne mettrait pas en danger le respect de la vie privée de l’internaute.
Mais d’un rapport de deux chercheurs ESAT belges (KULeuven) et de leurs collègues français de l’INRIA (l’Institut national de recherche en informatique et en automatique), il ressort à présent que c’est exactement le contraire.
Les chercheurs affirment en effet que l’information que les sites web reçoivent de l’API battery status, est si spécifique qu’elle peut être utilisée pour identifier leurs utilisateurs et ce, même si ces derniers utilisent un VPN de protection de leur identité.
Empreinte digitale
Les données qui sont transmises, comprennent la durée en secondes d’autonomie restante de la batterie, ainsi que la capacité restante exprimée sous forme d’un pourcentage. Une fois ces deux données combinées (il existe quelque 14 millions de combinaisons possibles), elles peuvent servir de numéro ID unique.
En d’autres mots, des personnes mal intentionnées (mais aussi des spécialistes du marketing) pourraient ainsi créer une sorte d”empreinte digitale’ de votre appareil grâce aux données émanant de l’API battery status, pour mieux suivre ensuite vos activités sur internet.
Comme les deux données issues de l’API en question ne sont mises à jour que toutes les 30 secondes, les parties intéressées disposent de ce délai pour exécuter les identifications.
Au cours de cette intervalle, des pirates sont à même d’introduire du code dans votre navigateur, afin de vous identifier et de vous suivre, un peu comme cela se passe avec les evercookies (un evercookie est une application qui est utilisée pour insérer des ‘zombiecookies’ alias des mouchards zombies malaisément détectables dans des navigateurs web).
Dans un environnement professionnel, où plusieurs appareils partagent souvent une adresse IP unique, l’information sur la batterie d’un ordinateur portable ou d’un smartphone Android peut également être exploitée pour distinguer et identifier ces appareils à l’arrière du pare-feu (firewall), ce que les méthodes de suivi (tracking) traditionnelles éprouvent bien plus de difficultés à faire.
Solution
Heureusement, il existe, selon les chercheurs, une solution relativement simple au problème. “Veillez à ce que les mesures des données relatives à la batterie soient moins précises”, explique Gunes Acar d’ESAT à la KULeuven. “Si l’on arrondit ces valeurs, l’on ne perd quasiment rien en fonctionnalité, mais il est en revanche nettement plus compliqué de suivre encore les utilisateurs.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici