Une attaque temporelle sur SSD permet aux sites de déduire ce que vous faites d’autre

Un nouveau canal auxiliaire du navigateur élargit encore la boîte à outils déjà vaste de la surveillance du Web

Des chercheurs ont démontré une technique qui permet aux sites de déduire quels autres sites un visiteur consulte et quelles applications sont ouvertes sur son appareil en analysant de subtiles गतिविधés de SSD depuis le navigateur. La méthode, appelée FROST, fonctionne en mesurant les délais de stockage via JavaScript et le système de fichiers privé d’origine du navigateur, ou OPFS.

Le résultat est notable non pas parce qu’il vole des données au sens classique, mais parce qu’il transforme le comportement ordinaire du matériel en fuite de vie privée. Selon le rapport fourni, le visiteur n’a rien d’autre à faire qu’ouvrir le site hostile. À partir de là, le code côté navigateur peut observer la contention dans les opérations d’entrée-sortie du SSD et utiliser ces mesures pour déduire des informations sur ce qui se passe d’autre sur la machine.

Pourquoi FROST se distingue

Le suivi sur le Web est déjà une véritable course aux armements, mêlant cookies, fingerprinting, session replay et canaux auxiliaires de plus en plus créatifs. FROST compte parce qu’il montre comment les capacités croissantes du navigateur peuvent créer de nouvelles surfaces de surveillance même lorsque l’accès direct aux autres applications ou onglets est bloqué par les règles du sandbox.

L’attaque est décrite comme un canal auxiliaire de contention. En termes simples, elle observe la manière dont plusieurs processus se disputent une ressource partagée, ici l’E/S du SSD, et en tire des indices à partir du temps nécessaire à l’exécution de certaines opérations. Les chercheurs auraient montré qu’ils pouvaient déterminer les sites ouverts dans d’autres onglets, y compris dans d’autres navigateurs, ainsi que les applications exécutées sur l’appareil.

C’est un rappel puissant du fait que les frontières de la vie privée ne sont pas définies uniquement par les boîtes de dialogue d’autorisation et les politiques de même origine. Elles sont aussi façonnées par des signaux physiques indirects, tels que la temporisation, le comportement du cache et les goulots d’étranglement matériels partagés. À mesure que les navigateurs deviennent des plateformes pour les suites bureautiques, les éditeurs et les outils de développement, les conséquences de ces fuites indirectes peuvent augmenter.

Le navigateur est désormais une surface d’attaque bien plus grande

Le rapport fourni cite l’idée plus large des chercheurs : les navigateurs sont passés du statut de simples lecteurs de documents à celui d’environnements applicatifs complexes. Cette évolution a des avantages évidents. Elle permet des outils de productivité plus riches et des applications Web plus performantes. Mais elle augmente aussi le nombre de fonctionnalités qui peuvent être détournées.

L’OPFS en est un exemple. Il donne aux sites un espace de stockage réservé pour prendre en charge des fonctionnalités avancées. En usage normal, cela aide les applications modernes à mieux fonctionner. En usage hostile, suggère le rapport, cela peut fournir un mécanisme de mesure des schémas d’activité du SSD depuis une page Web, en JavaScript uniquement.

C’est ce qui rend FROST particulièrement préoccupant sur le plan des politiques et de la sécurité. Il ne nécessite ni installation de malware, ni exploitation d’un bug de corruption mémoire du navigateur, ni persuasion de l’utilisateur pour obtenir des autorisations inhabituelles. Si la technique s’avère praticable à grande échelle, elle transforme une visite de site Web ordinaire en capteur comportemental potentiel.

La suite

Le fait que FROST devienne ou non une menace répandue dépendra de plusieurs facteurs, notamment du bruit des mesures selon les systèmes, de la capacité des éditeurs de navigateurs à atténuer le signal temporel, et de la possibilité pour de véritables attaquants de transformer la technique en profilage ou en surveillance fiables. Le rapport note que des attaques de contention SSD existaient déjà, mais que FROST se distingue parce qu’il fonctionne exclusivement dans le navigateur.

Cette nature exclusivement navigateur accroît la pression sur les éditeurs et les organismes de normalisation. Les défenses pourraient consister à modifier les schémas d’accès, dégrader la précision des mesures, restreindre les API ou, d’une autre manière, réduire la capacité des sites à observer clairement la contention de stockage. Chaque atténuation a des contreparties, car certaines de ces mêmes capacités soutiennent aussi des applications Web légitimes.

Pour les utilisateurs, la leçon immédiate est inconfortable mais familière : le navigateur moderne est l’un des logiciels grand public les plus exposés. On attend de lui qu’il soit assez sûr pour la banque, assez expressif pour le travail professionnel et assez permissif pour exécuter du code de plus en plus sophistiqué provenant de sites inconnus. Ces exigences sont souvent en tension.

FROST ne signifie pas que n’importe quel site peut soudain lire les secrets d’un utilisateur. Cela signifie toutefois que le modèle de confidentialité du Web reste vulnérable à des fuites indirectes issues de la conception du système plutôt que d’un partage explicite de données. Dans un paysage où les techniques de suivi continuent de muter, cela suffit à rendre cette recherche importante.

L’implication générale est simple. À mesure que les navigateurs absorbent davantage de fonctions de calcul, protéger la vie privée des utilisateurs exigera non seulement de bloquer les accès évidents, mais aussi d’anticiper les effets secondaires de l’exécution de nombreuses applications puissantes sur du matériel partagé. FROST est un signe supplémentaire que ces effets secondaires deviennent plus difficiles à ignorer.

Cet article s’appuie sur un reportage d’Ars Technica. Lire l’article original.