L'API de statut de la batterie, souvent mentionnée sous le nom Battery API, fournit des informations sur le niveau de charge du système et envoie des notifications lors du changement du niveau de charge de la batterie. Cela peut être utilisé pour ajuster la consommation d'une application et la réduire lorsque la batterie est faible ou encore de sauvegarder les données quand la batterie est bientôt vide. Cette API peu connue a été introduite avec le HTML5, la dernière révision majeure du HTML (format de données conçu pour représenter les pages web).Une nouvelle étude de deux chercheurs de l’Université de Princeton a révélé que cette API est utilisée pour traquer les utilisateurs. Et pour cause, elle permet aux administrateurs de sites web d’avoir accès à des informations sur le niveau de la batterie ou le temps de charge et le temps de décharge, des informations entre autres qui ont soulevé dès le début des questions de confidentialité. Dès son lancement dans les navigateurs Firefox, Chrome et Opéra, des chercheurs avaient mis en garde contre une éventuelle possibilité d’utilisation de l’API pour trouver des combinaisons uniques du niveau de la batterie restant ainsi que sa capacité, ce qui permet d’assigner une empreinte digitale unique pour identifier chaque appareil. Autrement dit, l’API pourrait aider à démasquer l’identité des utilisateurs en ligne.
C’est ce que viennent de confirmer les deux chercheurs de Princeton. En ayant recours à un navigateur modifié, ils ont pu trouver deux scripts qui exploitent cette API pour traquer les utilisateurs. Un de ces deux scripts se charge d’enregistrer le niveau de charge de la batterie et combine cette information avec d’autres données comme l’adresse IP locale. Le deuxième script retrouve le statut de charge de la batterie, c'est-à-dire le temps restant pour la décharger ou la recharger. En exploitant les informations fournies par l’API, il devient possible d’assigner des empreintes spécifiques pour chaque appareil, ce qui permet de traquer les utilisateurs. Il faut noter que cette empreinte est quasi unique et sa chance de se reproduire est très minime (une chance sur 14 millions).
Un autre chercheur nommé Lukasz Olejnik a souligné que cette API pourrait être exploitée pour d’autres fins en dehors de l’espionnage des utilisateurs. Le chercheur a constaté que les gens ont tendance à agir différemment lorsque la batterie de leur appareil est sur le point de mourir. Olejnik explique que les acteurs sans scrupule peuvent exploiter cette API pour adapter les prix au niveau de la batterie par exemple. « Quelques firmes pourraient analyser la possibilité de monétiser l’accès au niveau de la batterie », écrit-il. « Quand la batterie est faible, les gens sont susceptibles de prendre des décisions différentes. Dans quelques cas, les gens acceptent de payer plus pour un service ».
Source : Randomwalker - Blog.lukaszolejnik
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Forum Sécurité 
Envoyé par NSKis
