L’indicateur de batterie est une fonction de base qui n’appelle pas, en général, de problèmes particuliers. Des chercheurs français et belges ont toutefois réussi à démontrer que cet état, qui parait bien inoffensif, peut servir à suivre à la trace l’utilisateur d’un smartphone ou d’un ordinateur portable.
Une API HTML5, certifiée par le W3C en 2012 et supportée par Firefox, Opera et Chrome permet à ces navigateurs de connaitre le niveau de batterie de l’appareil. À noter : les chercheurs ont porté leurs efforts sur Firefox sur Linux, et en attendant que la découverte soit confirmée sur d'autres plateformes, la généralisation aux deux autres navigateurs reste encore hypothétique. L’idée maîtresse de cette API est de permettre la désactivation automatique de fonctions gourmandes de sites web ou de web apps, lorsque l’autonomie du terminal est très faible. Cela part d’un bon sentiment : allonger la durée de vie de l’ordinateur ou du téléphone en lançant un mode d’économie d’énergie (s’il est prévu par le service en ligne).
Et histoire d’accommoder un peu plus l’internaute, le W3C autorise les sites web à activer ce mode sans demander l’autorisation de l’utilisateur. L’organisme en charge des standards internet explique que « l’information dévoilée a un impact minime sur la vie privée, et peut donc être dévoilée sans demande de permission ». Sauf que les données qui transitent automatiquement et sans permission de l’appareil de l’internaute vers le site web sont plutôt complètes.
Elles comprennent ainsi le temps estimé (en secondes) avant que la batterie soit complètement déchargée, ainsi que le pourcentage, estimé là aussi, de la capacité de la batterie. Exploitées ensemble, ces deux informations permettent de générer un chiffre parmi 14 millions de combinaisons possibles : un numéro d’identification unique, en somme. Les valeurs récupérées par l’API se mettent à jour toutes les 30 secondes, un laps de temps qui permet d’identifier un internaute sur plusieurs sites web. Autrement dit, un trésor pour les annonceurs et les régies publicitaires qui traquent les habitudes des internautes.
C’est d’autant plus problématique que l’identification de l’utilisateur par ce biais fonctionne également même lorsque ce dernier active le VPN en mode de navigation privée. « Les utilisateurs qui essaient de revisiter un site web sous une nouvelle identité peuvent se servir du mode privé ou supprimer les cookies et autres identificateurs côté client », expliquent les chercheurs. Mais « quand des visites sont réalisées de façon consécutive dans un intervalle réduit, le site web peut identifier l’internaute » avec l’aide de cette API.
Sur iOS comme sur OS X, mieux vaut donc utiliser Safari pour s’éviter les problèmes de ce genre.
Source : The Guardian
