+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Coriolan
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2016
    Messages
    356
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 356
    Points : 8 642
    Points
    8 642

    Par défaut Le niveau de la batterie est exploité pour traquer les utilisateurs

    Le niveau de la batterie est exploité pour traquer les utilisateurs
    En assignant des empreintes uniques pour chaque appareil

    L'API de statut de la batterie, souvent mentionnée sous le nom Battery API, fournit des informations sur le niveau de charge du système et envoie des notifications lors du changement du niveau de charge de la batterie. Cela peut être utilisé pour ajuster la consommation d'une application et la réduire lorsque la batterie est faible ou encore de sauvegarder les données quand la batterie est bientôt vide. Cette API peu connue a été introduite avec le HTML5, la dernière révision majeure du HTML (format de données conçu pour représenter les pages web).

    Une nouvelle étude de deux chercheurs de l’Université de Princeton a révélé que cette API est utilisée pour traquer les utilisateurs. Et pour cause, elle permet aux administrateurs de sites web d’avoir accès à des informations sur le niveau de la batterie ou le temps de charge et le temps de décharge, des informations entre autres qui ont soulevé dès le début des questions de confidentialité. Dès son lancement dans les navigateurs Firefox, Chrome et Opéra, des chercheurs avaient mis en garde contre une éventuelle possibilité d’utilisation de l’API pour trouver des combinaisons uniques du niveau de la batterie restant ainsi que sa capacité, ce qui permet d’assigner une empreinte digitale unique pour identifier chaque appareil. Autrement dit, l’API pourrait aider à démasquer l’identité des utilisateurs en ligne.

    C’est ce que viennent de confirmer les deux chercheurs de Princeton. En ayant recours à un navigateur modifié, ils ont pu trouver deux scripts qui exploitent cette API pour traquer les utilisateurs. Un de ces deux scripts se charge d’enregistrer le niveau de charge de la batterie et combine cette information avec d’autres données comme l’adresse IP locale. Le deuxième script retrouve le statut de charge de la batterie, c'est-à-dire le temps restant pour la décharger ou la recharger. En exploitant les informations fournies par l’API, il devient possible d’assigner des empreintes spécifiques pour chaque appareil, ce qui permet de traquer les utilisateurs. Il faut noter que cette empreinte est quasi unique et sa chance de se reproduire est très minime (une chance sur 14 millions).

    Un autre chercheur nommé Lukasz Olejnik a souligné que cette API pourrait être exploitée pour d’autres fins en dehors de l’espionnage des utilisateurs. Le chercheur a constaté que les gens ont tendance à agir différemment lorsque la batterie de leur appareil est sur le point de mourir. Olejnik explique que les acteurs sans scrupule peuvent exploiter cette API pour adapter les prix au niveau de la batterie par exemple. « Quelques firmes pourraient analyser la possibilité de monétiser l’accès au niveau de la batterie », écrit-il. « Quand la batterie est faible, les gens sont susceptibles de prendre des décisions différentes. Dans quelques cas, les gens acceptent de payer plus pour un service ».


    Source : Randomwalker - Blog.lukaszolejnik

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Forum Sécurité

  2. #2
    Membre émérite
    Avatar de RyzenOC
    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    2 848
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 2 848
    Points : 2 406
    Points
    2 406
    Billets dans le blog
    8

    Par défaut

    Qu'en pensez-vous ?
    On le fait déjà avec le cpu, la protection Denuvo utilise ce procédé. Chaque cpu est unique.
    =>Comment jouer sur xbox one à moindre coût ?
    Achetez un notebook de 2010 à 50€ sur leboncoin, installez steam, connectez le pc à un écran, branchez une manette xbox au pc
    Enjoy

  3. #3
    Membre émérite
    Profil pro
    Inscrit en
    janvier 2010
    Messages
    652
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : janvier 2010
    Messages : 652
    Points : 2 344
    Points
    2 344

    Par défaut

    Une nouvelle étude de deux chercheurs de l’Université de Princeton a révélé que cette API est utilisée pour traquer les utilisateurs.
    J'en pense que "traquer les utilisateurs" devient une méchante habitude qui commence à me "gonfler"!!!

  4. #4
    Membre actif
    Homme Profil pro
    Étudiant
    Inscrit en
    mars 2014
    Messages
    122
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 21
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mars 2014
    Messages : 122
    Points : 201
    Points
    201

    Par défaut

    J'ai une question.
    Est il possible de ne pas supporter HTML5 (ou du moins les fonctionnalités a problème ) tout en gardant un navigateur sécurisé ?
    entre les DRM intégré, cette nouvelle manière de tracking, l'accées au periferique USB ( euh WTF) cette norme m'en...erde de plus en plus

  5. #5
    Membre actif
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2004
    Messages
    332
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2004
    Messages : 332
    Points : 217
    Points
    217

    Par défaut

    Une chose m'échappe dans cet article: comment peut-on déterminer une empreinte d'une machine à l'aide du niveau de charge, paramètre on ne peut plus aléatoire d'un moment à un autre?

  6. #6
    Provisoirement toléré Avatar de MikeRowSoft
    Homme Profil pro
    sans profession
    Inscrit en
    avril 2013
    Messages
    1 002
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession

    Informations forums :
    Inscription : avril 2013
    Messages : 1 002
    Points : 0
    Points
    0

    Par défaut

    Les scientifiques ont de quoi marquer les animaux sauvage pour un meilleur suivi de leurs habitudes.
    Qui sait, le tout puissant n'utilise rien de tous sa.

  7. #7
    Membre chevronné
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    novembre 2005
    Messages
    830
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 69
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : novembre 2005
    Messages : 830
    Points : 1 866
    Points
    1 866

    Par défaut

    Citation Envoyé par NSKis Voir le message
    J'en pense que "traquer les utilisateurs" devient une méchante habitude qui commence à me "gonfler"!!!
    Je propose une petite chanson qui commencerait par "Allons enfants de la batterie".
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  8. #8
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 306
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 306
    Points : 4 308
    Points
    4 308
    Billets dans le blog
    6

    Par défaut

    dire que à elle seule cette API permet le tracking est totalement IDIOT !
    premièrement en cas de PC fixe ou PC portable toujours branché ça te renvois 100% 0 temps de chargement, comment veut tu en déduire la capacité du Terminal ?
    puis après l'état d'une batterie peut parfois se détériorer rapidement rendant impossible le suivit sans test précieux cookies
    enfin je pense que même le temps de charge n'est pas une donnée fiable car en fonction de l'utilisation du terminal ce temps peut varier(je parle de l'évolution du temps à un instant T)

    Bref trop de biais sont présents pour que l'affirmation de cette étude soit prise au sérieux

  9. #9
    Provisoirement toléré Avatar de MikeRowSoft
    Homme Profil pro
    sans profession
    Inscrit en
    avril 2013
    Messages
    1 002
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession

    Informations forums :
    Inscription : avril 2013
    Messages : 1 002
    Points : 0
    Points
    0

    Par défaut

    Sérieusement...
    Eicar à un équivalent dans se domaine ? (savoir si on est correctement traqué)

  10. #10
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2013
    Messages
    20
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2013
    Messages : 20
    Points : 55
    Points
    55

    Par défaut

    Citation Envoyé par jackk Voir le message
    Une chose m'échappe dans cet article: comment peut-on déterminer une empreinte d'une machine à l'aide du niveau de charge, paramètre on ne peut plus aléatoire d'un moment à un autre?
    Les infos disponibles sont les suivantes :

    charging (boolean) : le statut de la batterie
    chargingTime (double) : le temps restant, en secondes, avant que la batterie ne soit chargée
    dischargingTime (double) : le temps restant, en secondes, avant que la batterie ne soit déchargée
    level (double) : le niveau de la batterie compris entre 0 et 1.0

    Une batterie c'est un peu particulier. C'est un composant qui (je suppose) présente déjà des caractéristique UNIQUES à sa sortie d'usine. Une batterie peut être plus ou moins performante, suivant les modèles de batterie bien-sur, mais aussi suivant son usure.


    Un cas ou tu peux te servir du niveau de batterie pour identifier un utilisateur :

    Imagine tu es admin sur developpez.net. Tu commence par logger les 4 infos ci-dessus pour chaque utilisateur authentifié pendant une semaine.
    La semaine d'après, tu prends les infos associées au compte de Madame Michou, tu les recoupe avec d'autres infos simples comme le jour de la semaine, l'heure, pour avoir quelque chose comme :

    "Le lundi midi, Madame Michou se connecte en général une heure, et a tendance à brancher sa batterie quand elle est a 10%. De plus je sais que les carac de sa batterie (chargingTime et dischargingTime) sont : X et Y"

    Le lundi midi, tu regarde logs (niveaux de batterie) des utilisateurs qui ne sont pas authentifiés. Tu te rends compte qu'une connexion colle vraiment bien au modèle que tu as établi et découvre que l'ambassadrice C# qu'est Madame Michou regarde en fait des posts sur le Java !!! Scandale diplomatique d'envergure.

    Si tu n'a pas de section authentifié pas grave, tu n'as pas de nom, mais si tu sais que Utilisateur1 à consulté des jeux de société lors de sa dernière visite, tu va innocemment lui en proposer ça risque de l’intéresser.



    Plus largement, toute info qui varie d'un utilisateur à un autre permet de l'identifier. En recoupant le maximum d'infos et en établissant un modèle, on peut retrouver, ou simplement se donner une idée de qui est derrière l'écran. Un exemple tout bête, l'utilisateur qui ne se sert que de l’ascenseur à droite pour monter naviguer dans une grande page a de forts risques d'avoir plus de 50 ans. Donc a mon avis fausse polémique ici, le problème est plus large que ça. Mais c'est toujours bien d'être au courant

  11. #11
    Membre actif
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2004
    Messages
    332
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2004
    Messages : 332
    Points : 217
    Points
    217

    Par défaut

    La semaine d'après, tu prends les infos associées au compte de Madame Michou, tu les recoupe avec d'autres infos simples comme le jour de la semaine, l'heure, pour avoir quelque chose comme :

    "Le lundi midi, Madame Michou se connecte en général une heure, et a tendance à brancher sa batterie quand elle est a 10%. De plus je sais que les carac de sa batterie (chargingTime et dischargingTime) sont : X et Y"
    J'avais bien compris l'utilisation qui pouvait être faite de la charge de la batterie. Mais tu fais le postulat que Mme Michou a été identifiée et que l'on collecte les données de la batterie APRES identification.
    Moi, ce que je ne comprends pas, et ce que semble indiquer l'article, c'est que le niveau de batterie permettrait d'identifier Mme Michou: je cite
    En exploitant les informations fournies par l’API, il devient possible d’assigner des empreintes spécifiques pour chaque appareil, ce qui permet de traquer les utilisateurs. Il faut noter que cette empreinte est quasi unique et sa chance de se reproduire est très minime (une chance sur 14 millions).

  12. #12
    Membre régulier
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    novembre 2008
    Messages
    64
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : novembre 2008
    Messages : 64
    Points : 120
    Points
    120

    Par défaut

    Citation Envoyé par Tagashy Voir le message
    J'ai une question.
    Est il possible de ne pas supporter HTML5 (ou du moins les fonctionnalités a problème ) tout en gardant un navigateur sécurisé ?
    entre les DRM intégré, cette nouvelle manière de tracking, l'accées au periferique USB ( euh WTF) cette norme m'en...erde de plus en plus
    Heu utiliser windows 98 ?

  13. #13
    Membre du Club
    Profil pro
    Inscrit en
    septembre 2005
    Messages
    17
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2005
    Messages : 17
    Points : 61
    Points
    61

    Par défaut

    Inutile d'identifier le nom. Les gouts et besoin de l'utilisateur identifié sont suffisants pour proposer à ce profils de la pub ciblées.

  14. #14
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 230
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 230
    Points : 31 879
    Points
    31 879
    Billets dans le blog
    2

    Par défaut Firefox : Mozilla supprime l’API HTML5 qui donne le statut de la batterie

    Firefox : Mozilla supprime l’API HTML5 qui donne le statut de la batterie
    après des recherches montrant qu’elle permet de traquer les internautes

    En 2015, des chercheurs ont montré que les utilisateurs peuvent être identifiés en ligne, grâce à une API HTML5 qui donne le statut de la batterie. Introduite en 2012 par le World Wide Web Consortium (W3C), l’API de statut de la batterie a été implémentée dans Firefox, Chrome et Opera. Elle permet aux sites Web de consulter les propriétés de la batterie telles que le niveau de charge, le temps de charge et le temps de décharge entre autres propriétés disponibles.

    En ce qui concerne l’utilité de cette norme, le W3C explique que si un serveur peut détecter l'état de la batterie d'un appareil et qu’il reconnaît que le dispositif est presque déchargé, il pourrait par exemple faire passer l’utilisateur sur une version plus légère du site, optimisée pour permettre à l'appareil de rester beaucoup plus longtemps en marche grâce à une réduction des ressources utilisées. S’il s’agit d’un réseau social ou d'un site de contenu audiovisuel par exemple, le site pourrait désactiver la fonction de lecture automatique sachant que l’appareil est presque déchargé.

    Si l’idée semble brillante, les chercheurs ont montré que les sites pourraient abuser de cette API pour suivre les utilisateurs et les identifier de manière unique lorsqu’ils sont connectés. Avec ce nouvel identifiant, les sites pourront faire du « respawning ». C’est-à-dire que si les cookies de l’utilisateur sont stockés à distance, même s'il supprime les cookies stockés localement, il sera toujours possible de les rétablir une fois que l’utilisateur est identifié grâce aux données collectées sur l’état de sa batterie. « Quand des visites consécutives sont faites dans un court intervalle, le site peut lier de nouvelles et vieilles identités en exploitant le niveau de la batterie et les temps de charge/décharge. Le site peut alors réinstancier les cookies des utilisateurs et autres identificateurs côté client, une méthode connue sous le nom de respawning, », ont expliqué les chercheurs.

    Cet avertissement n’a pas vraiment été pris au sérieux jusqu’il y a quelques mois, lorsqu’une nouvelle étude de deux chercheurs de l’Université de Princeton a révélé que cette API est utilisée pour traquer les utilisateurs. Ils ont en effet trouvé des scripts qui exploitent cette API pour suivre les utilisateurs.

    En plus de ce fait, un autre chercheur a souligné que cette API pourrait être exploitée pour d’autres fins en dehors de l’espionnage des utilisateurs. Constatant que les gens ont tendance à agir avec précipitation lorsque leur appareil est sur le point de se décharger, le chercheur a expliqué que des sites peuvent par exemple profiter de cette situation pour vendre un service un peu plus cher, sachant que si l’utilisateur est en déplacement par exemple, il aura tendance à vouloir payer avant que son appareil se décharge.

    Ces dernières découvertes ont donc poussé Mozilla à supprimer la fonctionnalité de Firefox. L’API de statut de la batterie a finalement été retirée le 27 octobre : « En 2015, des chercheurs en sécurité ont publié une étude qui présentait que l’API de statut de la batterie comme une source de fuite de confidentialité potentielle. Elle est maintenant désactivée pour le contenu Web, mais est toujours disponible pour les modules complémentaires Firefox. Si l'API de batterie fait partie de la spécification HTML5, IE, Edge et Safari ne l'ont jamais implémentée et il y a peu d'utilisations courantes dans le monde réel en dehors du fingerprinting [une technique permettant de créer une empreinte digitale à partir des informations de l'appareil de l'utilisateur]. La suppression de cette API prendra effet avec Firefox 52 et réduira la quantité d'informations pouvant être utilisées pour suivre les utilisateurs sur le Web », a déclaré Mozilla dans un communiqué.

    Après que Mozilla a supprimé l'API de batterie, les développeurs de Webkit, le moteur open source sur lequel est basé le navigateur Safari d'Apple, ont également proposé de supprimer le code supportant l'API de leur projet. Cela veut dire que cette API ne sera peut-être jamais supportée dans Safari.

    Sources : The Guardian, Bugzilla, WebKit mailing list

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Des chercheurs montrent que les utilisateurs peuvent être identifiés en ligne, grâce à une API html5 qui donne le statut de la batterie
    Le niveau de la batterie est exploité pour traquer les utilisateurs, en assignant des empreintes uniques pour chaque appareil
    Cdlt!
    M.K

  15. #15
    Provisoirement toléré Avatar de MikeRowSoft
    Homme Profil pro
    sans profession
    Inscrit en
    avril 2013
    Messages
    1 002
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession

    Informations forums :
    Inscription : avril 2013
    Messages : 1 002
    Points : 0
    Points
    0

    Par défaut

    Flagfox et compagnie ? Avec une adresse IP fixe sa facilite les choses.

  16. #16
    Rédacteur/Modérateur

    Avatar de SylvainPV
    Profil pro
    Inscrit en
    novembre 2012
    Messages
    3 124
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2012
    Messages : 3 124
    Points : 9 127
    Points
    9 127

    Par défaut

    Cette API sera probablement remaniée à l'avenir pour éviter ces problèmes. Le principal intérêt de l'API était d'économiser les ressources quand la batterie était faible, ou au contraire de forcer l'enregistrement pour éviter la perte de données si la batterie est épuisée. On pourrait donc se contenter d'un flag et d'un évènement indiquant que le navigateur souhaite passer dans un mode économie d'énergie, sans détails particuliers sur le niveau de batterie.
    One Web to rule them all

  17. #17
    Membre averti Avatar de Jonyjack
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2011
    Messages
    142
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : avril 2011
    Messages : 142
    Points : 398
    Points
    398

    Par défaut

    @SylvainPV : ça ne résout pas le problème des prix gonflés quand le mode d'économie d'énergie sera enclenché.

  18. #18
    Membre actif
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    102
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 102
    Points : 209
    Points
    209

    Par défaut

    Bonjour à tous.
    Au delà de l'info, je n'avais jamais entendu parlé de cette API. Y'en a beaucoup, des API comme ça ?

Discussions similaires

  1. Réponses: 8
    Dernier message: 18/09/2014, 15h59
  2. Réponses: 0
    Dernier message: 22/04/2014, 11h16
  3. Les 4 tendances qui changeront (peut-être) la BI dans les trois ans à venir, selon Gartner
    Par Gordon Fowler dans le forum Forum général Business Intelligence
    Réponses: 4
    Dernier message: 14/01/2011, 14h13
  4. Réponses: 20
    Dernier message: 02/02/2008, 22h14

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo