FROST – Quand un site web peut vous tracker grâce à votre SSD
FROST, c’est le nom d’une nouvelle attaque qui transforme votre SSD en mouchard. Des chercheurs de l’université de Graz, avec Daniel Gruss au générique (un des cerveaux derrière Spectre et Meltdown), ont montré qu’un simple site web peut deviner quels autres sites et applis vous avez ouverts et cela juste en mesurant les micro-ralentissements de votre disque. Oui, je sais c’est geudin !
Le principe ?
Quand vous ouvrez la page piégée, elle crée discrètement un gros fichier sur votre disque via une API du navigateur baptisée OPFS (
Origin Private File System
), présente aujourd’hui dans tous les navigateurs modernes. C’est ce fichier qui sert de sonde.
Le JavaScript passe son temps à lire dedans et chronomètre chaque lecture au poil de cul et dès qu’une autre appli ou un autre onglet sollicite le SSD, ça crée un embouteillage minuscule sur le disque… que le code peut repèrer sous forme de ralentissement.
Sauf que des variations de timing, ça reste du bruit illisible pour un humain. Du coup les chercheurs ont balancé toutes ces mesures dans un réseau de neurones (un CNN, le même genre de bidule qui reconnaît des choses sur des photos).
Entraîné sur des tonnes de traces, le modèle apprend alors la signature de chaque appli et de chaque site web et voilà comment à partir de çà, il devine ce que vous avez ouvert !
Sur un Mac, dans les tests présentés cette semaine, le truc retrouve le bon site parmi un top 50 dans près de 9 cas sur 10, et grimpe à plus de 95% pour reconnaître les applications ouvertes. Le tout sans la moindre action de votre part, à part avoir cliqué sur le lien. C’est totalement invisible.
Mais avant de débrancher votre PC, renvoyer votre box internet et vous lancer à temps complet dans la culture de chanvre, faut relativiser, car cette attaque a plusieurs limites… Le hic numéro un, c’est que le fichier-sonde doit être énorme, genre 1 Go ou plus, et un site qui se met à bouffer autant de place sur votre disque, ça se remarque vite. Le hic numéro deux, c’est que ce fichier doit être sur le même SSD que le navigateur sinon l’attaque est aveugle.
Les chercheurs ont fait tourner l’attaque complète sur un Mac M2, et démontré que la brique de base fonctionne aussi sous Linux (sans dérouler la classification complète), mais n’ont pas testé Windows. Et surtout, personne n’a encore vu FROST exploité dans la nature.
Perso, je trouve que cette attaque est trop bancale / incertaine pour faire du tracking de masse, en tout cas aujourd’hui…
Pensez donc à fermer les onglets dont vous ne vous servez plus comme ça, y’a moins d’activité à mesurer et pour les plus paranoïaques, vous pouvez toujours vous mettre à surveiller les fichiers OPFS créé par des sites web inconnus. Après comme tout repose sur du JavaScript, bloquer le JS sur les sites pas nets (avec un NoScript ou équivalent) ça coupe aussi l’attaque à la racine.
Les chercheurs proposent aussi aux éditeurs de navigateurs de plafonner la taille de ces fichiers OPFS. Ce serait dans la lignée de ce que fait par exemple Firefox avec le pistage, qui a récemment musclé son
anti-fingerprinting
.
Bref, pas de panique, personne ne fouille votre SSD en douce mais la technique reste intéressante. Les détails techniques complets sont dans le
papier de recherche
, qui sera présenté à la conférence DIMVA en juillet. Bonne lecture !
Source : korben.info