Cette technique a été baptisée FROST, acronyme de « Fingerprinting Remotely using OPFS-based SSD Timing ». Dans leur étude, les chercheurs démontrent qu’ils sont capables de mesurer et d’analyser l’activité d’un SSD via JavaScript dans le navigateur. À partir de ces mesures, ils ont pu identifier avec une précision remarquable les sites web ou les applications actifs sur un appareil de test.
Les chercheurs affirment avoir pu identifier les sites web consultés avec une précision d’environ 89 %. Les applications actives ont même été correctement identifiées dans environ 96 % des cas.
Une fonctionnalité du navigateur s’avère présenter une faille inattendue
Cette attaque exploite ce qu’on appelle l’Origin Private File System, ou OPFS. Il s’agit d’une fonctionnalité des navigateurs qui permet aux sites web de stocker des fichiers localement sans que les utilisateurs aient à donner leur consentement explicite. Les navigateurs modernes utilisent cette technique notamment pour les applications web hors ligne et la mise en cache.
FROST utilise cet espace de stockage d’une manière inhabituelle. L’attaque pousse un site web à créer un fichier gigantesque sur le SSD de la victime. Selon les chercheurs, sur les systèmes équipés d’un SSD de 256 Go, ce fichier peut atteindre plus de 150 Go. Comme cette taille dépasse la mémoire vive disponible, les opérations de lecture doivent s’effectuer directement à partir du SSD plutôt que de la mémoire RAM.
C’est là que réside le véritable problème. Lorsque d’autres applications ou sites web génèrent entre-temps une activité sur le disque, de légers ralentissements apparaissent dans ces opérations de lecture. Ces différences de timing s’avèrent suffisamment caractéristiques pour permettre de dégager une sorte de profil numérique propre à certains sites web ou programmes. À l’aide d’un modèle d’IA, les chercheurs ont ensuite pu reconnaître ces profils.
Il est à noter que cette attaque fonctionne également sur différents navigateurs. Une page malveillante dans Chrome pouvait, par exemple, détecter une activité provenant de Safari.
Les fichiers volumineux rendent l’attaque moins difficile à détecter
Pour l’instant, il existe toutefois quelques limitations importantes. Les chercheurs n’ont testé l’attaque dans son intégralité que sur un Mac Mini équipé d’une puce M2, de 8 Go de RAM et d’un SSD de 256 Go. Les systèmes Linux ont pu être partiellement testés, tandis que Windows reste pour l’instant hors de portée. Par ailleurs, on remarque surtout l’énorme espace de stockage nécessaire à l’attaque. Un site web qui occupe soudainement des dizaines, voire des centaines de gigaoctets sur un SSD, peut éventuellement éveiller les soupçons. Les chercheurs craignent toutefois que les fabricants de navigateurs ne s’attaquent pas immédiatement au problème pour l’instant.
Google a déclaré ne pas considérer le fingerprinting comme un problème de sécurité. Apple a qualifié cette attaque de « hors de son champ d’action pour le moment », tandis que Mozilla a pris acte du problème sans toutefois annoncer de solution pour l’instant. Les chercheurs proposent eux-mêmes quelques solutions possibles, telles que des limites plus strictes concernant la taille des fichiers OPFS ou l’obligation d’obtenir une autorisation explicite pour les sites web souhaitant utiliser de grandes quantités d’espace de stockage.
Même si cette attaque reste donc essentiellement théorique, FROST démontre une nouvelle fois à quel point les fonctionnalités modernes des navigateurs peuvent parfois créer des risques inattendus pour la vie privée. Même sans malware ni piratage classique, il s’avère que les sites web sont capables de collecter de plus en plus d’informations sur les systèmes des utilisateurs.
