Une nouvelle technique d’espionnage numérique appelée FROST a été révélée par des chercheurs de l’université de Graz, en collaboration avec Daniel Gruss, connu pour son implication dans les attaques Spectre et Meltdown. Cette attaque ingénieuse transforme le SSD de votre ordinateur en un outil de traçage discret, en utilisant simplement un site web malveillant. La méthode repose sur la création d’un fichier via l’API OPFS (Origin Private File System) du navigateur, qui sert de sonde, et sur la mesure des micro-ralentissements liés à l’ouverture d’autres sites ou applications. Un réseau de neurones est ensuite utilisé pour analyser ces variations, permettant de deviner précisément quels sites ou applications ont été ouverts, et ce, sans interaction supplémentaire de l’utilisateur, ni détection visible.
Le processus est simple en apparence : lorsque l’utilisateur clique sur un lien piégé, le site crée discrètement un gros fichier (au moins 1 Go) dans le système de fichiers privé du navigateur, via OPFS. Le JavaScript associé lit ce fichier en boucle, chronométrant chaque accès. Lorsqu’une autre application ou un nouvel onglet sollicite le SSD, cela entraîne une microscopique congestion que le script peut détecter comme un ralentissement. En agrégeant toutes ces mesures dans un réseau de neurones convolutionnels (CNN), l’attaque parvient à reconnaître avec une précision élevée les sites web ou applications utilisés, notamment sur Mac M2, où le taux de reconnaissance atteint près de 9 cas sur 10 pour les sites, et plus de 95% pour les applications.
Malgré son ingéniosité technique, cette attaque reste pour l’instant fragile, limitée par la nécessité d’un fichier sonde très volumineux, et par le fait qu’elle ne fonctionne que si le fichier est stocké sur le même SSD que le navigateur.
Les limites de FROST sont importantes : pour qu’elle fonctionne, le fichier de sonde doit être de taille conséquente, ce qui la rend facilement visible pour l’utilisateur ou le gestionnaire de système. De plus, elle ne peut opérer si le fichier n’est pas sur le même SSD que le navigateur, limitant ainsi sa portée. Les chercheurs ont expérimenté cette attaque principalement sur Mac M2, mais aussi sous Linux, sans encore l’avoir testé sur Windows. Par ailleurs, aucune utilisation malveillante de cette technique n’a été observée dans la vraie vie à ce jour, ce qui limite la crainte immédiate d’une exploitation à grande échelle.
Pour les utilisateurs soucieux de leur vie privée, il existe plusieurs moyens de se défendre contre cette menace. Fermer les onglets inutilisés, bloquer l’exécution de JavaScript avec des extensions telles que NoScript, ou limiter la taille des fichiers OPFS via la configuration du navigateur, sont autant de mesures simples mais efficaces. Les chercheurs proposent également aux développeurs de navigateurs d’imposer des plafonds à la taille des fichiers OPFS pour réduire la surface d’attaque, un pas dans la continuité des efforts pour lutter contre le fingerprinting. Même si la menace paraît limitée pour l’instant, cette recherche souligne la nécessité d’une vigilance accrue face aux nouvelles formes de traçage numérique.
En résumé, si cette technique sophistiquée pose de sérieuses questions sur la vie privée et la sécurité des systèmes modernes, elle reste à l’état expérimental et présente des limites importantes. La nécessité d’un fichier géant, stocké sur le même SSD, et l’absence de preuve d’une exploitation réelle dans le monde sont de bonnes nouvelles pour le moment. Néanmoins, elle rappelle que la sécurité de nos appareils doit constamment évoluer pour faire face à des attaques toujours plus subtiles. Pour en savoir plus, le papier de recherche complet sera présenté lors de la conférence DIMVA en juillet.
