FROST. Pas le gel en hiver, non. Mais plutôt une technique permettant à n’importe quel site internet de savoir quels sont les onglets actuellement ouverts sur votre navigateur web en analysant votre disque dur via du simple Javascript. Sans votre consentement, évidemment.
Des chercheurs démontrent une faille de Javascript permettant à n’importe qui d’en savoir beaucoup (mais beaucoup) sur vous!
Cette technique qu’ils dénomment FROST (Fingerprinting Remotely using OPFS-based SSD Timing) est plutôt astucieuse. Elle exploite une API moderne des navigateurs appelée OPFS (Origin Private File System), qui permet aux sites web de stocker et manipuler des fichiers directement depuis Javascript.
À première vue, rien d’alarmant. Après tout, de nombreuses applications web utilisent déjà ce type de stockage local pour fonctionner hors ligne ou sauvegarder des données. Là où les chercheurs ont été particulièrement malins, c’est qu’ils ont découvert qu’en effectuant continuellement des opérations de lecture et d’écriture sur ce stockage, il était possible de mesurer indirectement l’activité du SSD de la machine.
Le principe est assez simple à comprendre. Imaginez que votre disque SSD soit une autoroute: tant qu’elle est vide, les voitures roulent vite. Mais lorsqu’une application se met à lire ou écrire énormément de données, des embouteillages apparaissent et tout ralentit légèrement. En mesurant précisément ces ralentissements, un site web peut détecter que quelque chose d’autre est en train d’utiliser le disque.
C’est précisément ce que fait FROST. Un simple site internet exécute discrètement du Javascript qui effectue des milliers de petites opérations sur le disque. Il mesure ensuite le temps nécessaire à chacune d’entre elles. Ces variations sont minuscules, souvent invisibles pour l’utilisateur, mais suffisamment importantes pour être analysées par des algorithmes de machine learning.
Et c’est là que les choses deviennent intéressantes.
Chaque application possède sa propre « signature » d’utilisation du disque. Ouvrir Visual Studio Code, lancer Photoshop, regarder une vidéo YouTube ou consulter Gmail ne génère pas exactement les mêmes accès au SSD. En observant ces micro-variations pendant quelques secondes, il devient possible d’identifier avec une précision étonnante ce que fait l’utilisateur sur sa machine.
Les chercheurs ont notamment réussi à reconnaître quels sites web étaient visités parmi plusieurs dizaines de candidats, mais également quelles applications étaient ouvertes sur l’ordinateur. Dans certains scénarios, leur système atteint plus de 90 % de précision !
Concrètement, cela signifie qu’un site malveillant pourrait savoir que vous consultez votre banque dans un autre onglet, que vous utilisez certains logiciels professionnels ou encore déduire une partie de vos habitudes numériques. Le plus inquiétant est que cette technique ne nécessite aucune permission particulière, aucun téléchargement et aucun malware. Une simple page web ouverte dans votre navigateur suffit.
Heureusement, FROST ne permet pas de lire directement vos fichiers, mots de passe ou documents personnels. Il s’agit d’une attaque dite « par canal auxiliaire » (side-channel attack) : elle n’observe pas les données elles-mêmes, mais les effets secondaires produits par leur utilisation.
Vous pouvez en savoir plus sur cette technique en lisant le papier disponible ici : https://hannesweissteiner.com/pdfs/frost.pdf.
Javascript c’est cool. Mais putain que c’est aussi de la merde.