Une simple page Web peut-elle en apprendre davantage sur votre activité que vous ne l’imaginez ? Des chercheurs viennent de démontrer qu’un mécanisme méconnu des navigateurs modernes peut être détourné pour observer ce qui se passe sur une machine, sans logiciel malveillant ni accès au système.

Des chercheurs autrichiens viennent de publier un article détaillant une nouvelle attaque qui permet d'obtenir des informations sur l'activité d'un utilisateur en se basant sur le temps d'accès à son disque SSD. Ils avaient déjà montré une attaque similaire par le passé, mais elle nécessitait un accès au système pour l'exécution de code. Cette nouvelle version peut être lancée directement depuis le navigateur, et cela change tout.

Baptisée Frost (fingerprinting remotely using OPFS-based SSD timing), cette attaque permet tout simplement à un site d'obtenir des informations sur l'activité en cours sur un ordinateur. Cela ne se limite pas aux autres sites visités, puisqu'elle permet également de détecter les logiciels ouverts. Pire encore, ce n'est pas une faille liée à Windows, puisque les chercheurs ont testé Frost sur macOS et Linux Linux.

Une attaque sérieuse, mais une portée limitée

Il s'agit d'une attaque par canal auxiliaire, qui s'appuie sur le JavaScript du navigateur et ne nécessite aucune interaction de l'utilisateur, à part accéder au site hébergeant cette attaque.

Frost crée un fichier dans l'OPFS (Origin Private File System), une fonctionnalité des navigateurs qui sert à stocker temporairement des données pour une application Web. Ce fichier est plus volumineux que la mémoire cache du disque, obligeant le système à vider le cache à chaque lecture. En lisant continuellement différentes parties de ce fichier, le programme détecte les ralentissements à chaque fois que l'ordinateur accède à un autre fichier. Ces latences permettent d'établir des signatures. Ces informations sont ensuite analysées par un réseau neuronal convolutif, qui peut identifier le site ou l'application. Les chercheurs annoncent un taux de réussite de 88,95 % pour les sites Web, et de 95,83 % pour les applications.

Heureusement, cette attaque ne permet pas de voler d'autres informations que le site visité ou l'application utilisée. Elle ne permet pas de voler de fichiers ou de mots de passe. De plus, la taille du fichier créé peut trahir l’attaque, et elle ne fonctionne pas si les données liées aux activités sont stockées sur un autre SSD.

Même si aucun site ne semble, pour l'instant, utiliser cette technique, elle pourrait être utilisée par des hackers pour cibler des victimes. Mais l'usage le plus probable viendrait sans doute des sites avides de données personnelles pour augmenter les revenus publicitaires, comme Google ou Meta... À l'heure actuelle, la seule parade est de fermer les onglets inutilisés, mais les développeurs des navigateurs cherchent déjà une parade, par exemple en réduisant la précision des minuteurs JavaScript.

Les chercheurs comptent présenter leurs résultats à la conférence sur la cybersécurité DIMVA en juillet.

par hi-tech

Les articles sur un même sujet : Des sites Web peuvent vous espionner via votre SSD : la faille que personne n’avait vue publié : le 2026-06-03 09:16:53am | Source : | Mis à jour il y a environ 1 jours | vu 156 fois