Grâce à un script utilisé par les sites mobiles pour connaître la batterie qui vous reste, n’importe quelle entreprise peut suivre votre activité en ligne.
À voir aussi sur Konbini
Vous avez un VPN sur votre téléphone portable ? Bravo. Vous effectuez toutes vos recherches en ligne en navigation privée via Tor ? Encore mieux. Vous avez installé un anti-malware en béton armé pour vous protéger des sniffers, des applications open source pour vérifier les mises à jour, une boîte mail avec clé PGP et une messagerie instantanée à cryptage end-to-end pour vos SMS ? Félicitations, vous êtes particulièrement concerné par les enjeux de l’anonymat en ligne. Maintenant, la mauvaise nouvelle : tout ça ne sert virtuellement à rien, puisque votre batterie vous balance en permanence. Et vous ne pouvez strictement rien y faire.
Cette nouvelle plutôt flippante émane d’une étude, publiée le 11 juillet dernier par deux chercheurs de l’université Princeton (New Jersey) et relayée par le Daily Dot, qui s’est intéressée aux utilisations potentielles de l’interface de programmation (API) HTML5 Battery Status, qui permet aux sites et applications mobiles de savoir combien de batterie il vous reste.
Au premier abord, le service paraît tout ce qu’il y a de plus innocent, et est majoritairement utilisé par les services mobiles pour vous proposer des versions moins gourmandes de leurs sites afin de préserver la charge de votre téléphone (et vous faire rester plus longtemps sur la page, du coup). Plutôt pratique, me direz-vous. Certes, mais Battery Status est aussi un petit cachottier, qui permet d’obtenir beaucoup plus d’informations sur vous que la simple estimation du temps que vous pouvez encore passer sur Tinder.
Un profil unique d’utilisateur à partir de deux données
L’année dernière, un groupe de chercheurs franco-belge (cocorico!) s’était déjà penché sur le rapport complexe entre Battery Status et la vie privée en ligne. Conclusion : en combinant les données sur le temps de batterie restant dans votre portable à celles sur la capacité de ladite batterie, il est possible de créer une “empreinte digitale” quasi unique pour vous identifier. Selon l’étude, la combinaison n’a qu’une chance sur 14 millions de se reproduire. Plus le modèle de téléphone est vieux (et sa batterie utilisée), plus cette empreinte est unique. Comme l’explique le Daily Dot, l’existence de cette empreinte permet à qui le souhaite de suivre votre activité en ligne, même à travers différents navigateurs et dispositifs d’anonymisation.
Après avoir découvert ces premiers résultats, qui laissaient entrevoir la possibilité d’un espionnage grâce à cet API, les deux chercheurs de Princeton ont développé une sorte de révélateur, nommé OpenWPM, pour vérifier si des programmes d’espionnage basés sur ces données existent déjà. Sans surprise, ils ont découvert l’existence de deux scripts récoltant tranquillement les données de Battery Status pour identifier des utilisateurs.
Et si vous vous dites (encore une fois) que vous n’avez de toute façon rien à cacher, prenez l’exemple suivant – et bien réel – avancé par le Daily Dot : un tel système permet par exemple à Uber de savoir quand vous êtes sur le point de tomber en rade de batterie… et donc prêt à payer plus cher pour avoir une voiture sur-le-champ. Et soudainement, la vie privée devient beaucoup plus importante.
