Les sites web disposent désormais d'un nouveau moyen d'espionner leurs visiteurs : l'analyse des interactions avec leur SSD. L'activité du SSD est mesurable dans le navigateur via un simple script JavaScript.

Les sites web disposent désormais d'un nouveau moyen d'espionner leurs visiteurs : l'analyse des interactions avec leur SSD. L'activité du SSD est mesurable dans le navigateur via un simple script JavaScript.

Les sites web disposent désormais d'un nouveau moyen d'espionner leurs visiteurs : la mesure des interactions subtiles avec leurs supports de stockage SSD. Cette technique, baptisée FROST (fingerprinting remotely using OPFS-based SSD timing), permet aux sites de surveiller les contenus consultés par un visiteur et les applications ouvertes sur son appareil. Contrairement aux techniques de pistage via les cookies ou aux attaques par fingerprinting, FROST permet à des sites web distants de retracer avec précision vos activités sur votre appareil, qu'il s'agisse d'onglets ou d'applications, ce qui engendre de graves risques pour la confidentialité et la sécurité.

Descriptif sommaire de l’attaque

L'attaque utilise JavaScript pour interagir avec le système de fichiers privé d'origine (OPFS) du navigateur, qui met à la disposition des sites web un espace de stockage isolé leur permettant d'effectuer des opérations directement sur le disque de l'utilisateur.

Lorsque plusieurs applications ou onglets de navigateur sont ouverts, ils se disputent les mêmes ressources du disque. En mesurant les subtiles différences de synchronisation des opérations d'entrée/sortie (E/S) des SSD, l'attaque détecte cette concurrence matérielle.

Les mesures de synchronisation sont traitées par un réseau neuronal pré-entraîné, capable de déduire avec précision quels autres sites web sont ouverts dans d'autres onglets et quelles applications sont en cours d'exécution sur le système d'exploitation.


Cette technique, décrite dans un article de recherche, exploite un canal latéral, c'est-à-dire une forme de fuite résultant de manifestations physiques telles que les émissions électromagnétiques, les caches de données ou le temps nécessaire à l'exécution d'une tâche.

En analysant ces manifestations, les pirates peuvent déchiffrer le trafic crypté et en déduire d'autres données confidentielles.

L'attaque utilisée par FROST est connue sous le nom de « canal latéral de contention » ; elle consiste à analyser l'interaction entre divers processus qui utilisent (ou se disputent) une ressource donnée. En mesurant la durée de certaines opérations d'E/S (entrée-sortie) du SSD utilisé par un visiteur, les chercheurs ont pu déterminer les sites web ouverts dans d'autres onglets — même sur d'autres navigateurs — ainsi que les applications ouvertes sur l'appareil du visiteur. FROST ne nécessite aucune interaction de la part du visiteur, si ce n'est l'ouverture du site hébergeant l'attaque.

Contrairement aux précédentes attaques par canal latéral de contention visant les SSD, FROST s'exécute exclusivement dans le navigateur. Il utilise du JavaScript qui interagit avec l'OPFS (système de fichiers privé d'origine), un espace de stockage alloué et réservé à un site spécifique pour exécuter le code nécessaire à la réalisation d'une tâche donnée. Les sites web peuvent en créer un sans aucune intervention de la part du visiteur.

Bien que chaque système de fichiers soit isolé dans un bac à sable, c'est-à-dire séparé des autres sites web et du système de l'appareil lui-même, le JavaScript peut mesurer les interactions d'E/S. Ensuite, en traitant ces interactions via un réseau neuronal convolutif pré-entraîné — un système qui utilise l'apprentissage profond pour analyser du texte, de l'audio et des images —, l'attaquant peut déduire les différentes applications et sites web ouverts sur l'appareil.

Cette technique présente toutefois certaines limites. Tout d'abord, le fichier OPFS doit être extrêmement volumineux, probablement d'au moins un gigaoctet. Cette exigence implique que des attaques à grande échelle seraient inévitablement détectées par de nombreux utilisateurs. De plus, le fichier OPFS doit être stocké sur le même SSD que celui utilisé par le visiteur. Cela ne pose généralement pas de problème pour le suivi des sites web ouverts, puisque le fichier OPFS est stocké à l'emplacement par défaut du navigateur. Si les applications utilisent un disque SSD distinct, celles-ci ne pourraient pas être détectées par FROST.

L'un des meilleurs moyens de prévenir les attaques FROST consiste à fermer les onglets dès qu'ils ne sont plus nécessaires. Les utilisateurs les plus avertis peuvent surveiller la création et la taille des fichiers OPFS alloués par des sites web inconnus. Les chercheurs ont proposé des solutions aux fabricants de navigateurs pour fermer ce canal latéral. L'une de ces méthodes consiste à limiter la taille maximale autorisée pour ces fichiers. Rien n'indique que des attaques FROST aient été menées dans la nature.

Les chercheurs ont mené l'attaque FROST complète sur un Mac M2. Sous Linux, ils ont démontré que le mécanisme sous-jacent (mesure des traces de latence d'accès au SSD à partir de JavaScript) fonctionne, mais n'ont pas exécuté l'attaque complète.

Les chercheurs n'ont pas effectué de tests sous Windows. La publication de recherche fournit de nombreux détails techniques supplémentaires. Les résultats en son sein doivent faire l’objet de présentation lors de la conférence DIMVA en juillet.

Source : Publication de recherche

Et vous ?

Avez-vous eu vent de cette nouvelle forme d’attaque au travers des sites web ? De quelles précautions pensez-vous qu’il faille s’entourer pour s’en prémunir ?

Voir aussi :

Des chercheurs développent une technique de fingerprinting permettant d'identifier à 99 % un internaute, même s'il se sert de plusieurs navigateurs

Firefox 52 envisage de mieux protéger les utilisateurs contre le fingerprinting de polices système, en se servant d'un mécanisme de liste blanche

Votre historique de navigation peut vous identifier de manière précise, d'après une étude menée par les chercheurs de Mozilla