Firefox : Mozilla supprime l'API HTML5 qui donne le statut de la batterie
Après des recherches montrant qu'elle permet de traquer les internautes

Le , par Michael Guilloux, Chroniqueur Actualités
En 2015, des chercheurs ont montré que les utilisateurs peuvent être identifiés en ligne, grâce à une API HTML5 qui donne le statut de la batterie. Introduite en 2012 par le World Wide Web Consortium (W3C), l’API de statut de la batterie a été implémentée dans Firefox, Chrome et Opera. Elle permet aux sites Web de consulter les propriétés de la batterie telles que le niveau de charge, le temps de charge et le temps de décharge entre autres propriétés disponibles.

En ce qui concerne l’utilité de cette norme, le W3C explique que si un serveur peut détecter l'état de la batterie d'un appareil et qu’il reconnaît que le dispositif est presque déchargé, il pourrait par exemple faire passer l’utilisateur sur une version plus légère du site, optimisée pour permettre à l'appareil de rester beaucoup plus longtemps en marche grâce à une réduction des ressources utilisées. S’il s’agit d’un réseau social ou d'un site de contenu audiovisuel par exemple, le site pourrait désactiver la fonction de lecture automatique sachant que l’appareil est presque déchargé.

Si l’idée semble brillante, les chercheurs ont montré que les sites pourraient abuser de cette API pour suivre les utilisateurs et les identifier de manière unique lorsqu’ils sont connectés. Avec ce nouvel identifiant, les sites pourront faire du « respawning ». C’est-à-dire que si les cookies de l’utilisateur sont stockés à distance, même s'il supprime les cookies stockés localement, il sera toujours possible de les rétablir une fois que l’utilisateur est identifié grâce aux données collectées sur l’état de sa batterie. « Quand des visites consécutives sont faites dans un court intervalle, le site peut lier de nouvelles et vieilles identités en exploitant le niveau de la batterie et les temps de charge/décharge. Le site peut alors réinstancier les cookies des utilisateurs et autres identificateurs côté client, une méthode connue sous le nom de respawning, », ont expliqué les chercheurs.

Cet avertissement n’a pas vraiment été pris au sérieux jusqu’il y a quelques mois, lorsqu’une nouvelle étude de deux chercheurs de l’Université de Princeton a révélé que cette API est utilisée pour traquer les utilisateurs. Ils ont en effet trouvé des scripts qui exploitent cette API pour suivre les utilisateurs.

En plus de ce fait, un autre chercheur a souligné que cette API pourrait être exploitée pour d’autres fins en dehors de l’espionnage des utilisateurs. Constatant que les gens ont tendance à agir avec précipitation lorsque leur appareil est sur le point de se décharger, le chercheur a expliqué que des sites peuvent par exemple profiter de cette situation pour vendre un service un peu plus cher, sachant que si l’utilisateur est en déplacement par exemple, il aura tendance à vouloir payer avant que son appareil se décharge.

Ces dernières découvertes ont donc poussé Mozilla à supprimer la fonctionnalité de Firefox. L’API de statut de la batterie a finalement été retirée le 27 octobre : « En 2015, des chercheurs en sécurité ont publié une étude qui présentait que l’API de statut de la batterie comme une source de fuite de confidentialité potentielle. Elle est maintenant désactivée pour le contenu Web, mais est toujours disponible pour les modules complémentaires Firefox. Si l'API de batterie fait partie de la spécification HTML5, IE, Edge et Safari ne l'ont jamais implémentée et il y a peu d'utilisations courantes dans le monde réel en dehors du fingerprinting [une technique permettant de créer une empreinte digitale à partir des informations de l'appareil de l'utilisateur]. La suppression de cette API prendra effet avec Firefox 52 et réduira la quantité d'informations pouvant être utilisées pour suivre les utilisateurs sur le Web », a déclaré Mozilla dans un communiqué.

Après que Mozilla a supprimé l'API de batterie, les développeurs de Webkit, le moteur open source sur lequel est basé le navigateur Safari d'Apple, ont également proposé de supprimer le code supportant l'API de leur projet. Cela veut dire que cette API ne sera peut-être jamais supportée dans Safari.

Sources : The Guardian, Bugzilla, WebKit mailing list

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Des chercheurs montrent que les utilisateurs peuvent être identifiés en ligne, grâce à une API html5 qui donne le statut de la batterie
Le niveau de la batterie est exploité pour traquer les utilisateurs, en assignant des empreintes uniques pour chaque appareil


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 03/11/2016 à 12:35
Flagfox et compagnie ? Avec une adresse IP fixe sa facilite les choses.
Avatar de SylvainPV SylvainPV - Rédacteur/Modérateur https://www.developpez.com
le 03/11/2016 à 14:11
Cette API sera probablement remaniée à l'avenir pour éviter ces problèmes. Le principal intérêt de l'API était d'économiser les ressources quand la batterie était faible, ou au contraire de forcer l'enregistrement pour éviter la perte de données si la batterie est épuisée. On pourrait donc se contenter d'un flag et d'un évènement indiquant que le navigateur souhaite passer dans un mode économie d'énergie, sans détails particuliers sur le niveau de batterie.
Avatar de Jonyjack Jonyjack - Membre averti https://www.developpez.com
le 04/11/2016 à 9:57
@SylvainPV : ça ne résout pas le problème des prix gonflés quand le mode d'économie d'énergie sera enclenché.
Avatar de domi65 domi65 - Membre actif https://www.developpez.com
le 04/11/2016 à 18:53
Bonjour à tous.
Au delà de l'info, je n'avais jamais entendu parlé de cette API. Y'en a beaucoup, des API comme ça ?
Offres d'emploi IT
Ingénieur produit (Landing gear) H/F
Safran - Ile de France - MASSY Hussenot
Responsable de projets - actionneurs H/F
SAFRAN - Ile de France - MASSY / MANTES
Responsable de lot vérification et qualification (IVVQ) H/F
Safran - Alsace - MASSY Hussenot

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil