Faille Frost : un site web peut espionner vos activités via votre SSD sans interaction

1 L’exploitation de la latence du SSD via l’OPFS Jusqu’à présent, les attaques par canal auxiliaire nécessitant un accès au système pour l’exécution de code étaient la norme. Cependant, une étude récente publiée par des chercheurs autrichiens change la donne : l’attaque Frost peut désormais être lancée directement depuis un navigateur web, sans aucune interaction de l’utilisateur, si celui-ci visite le site malveillant. Selon les informations rapportées par Futura, cette technique permet à un simple site de détecter les logiciels ouverts sur un ordinateur. Le mécanisme repose sur l’utilisation de l’Origin Private File System (OPFS), une fonctionnalité de stockage temporaire intégrée aux navigateurs. L’attaque consiste à créer un fichier si volumineux qu’il oblige le système à vider systématiquement le cache du disque à chaque lecture. En analysant les micro-délais de réponse du matériel, le programme peut déduire si le processeur ou le disque est sollicité par une autre activité.

“L’attaquant mesure continuellement la contention du SSD en effectuant des lectures aléatoires à partir d’un grand fichier OPFS.” Les chercheurs, via <a href="https://arstechnica.

L’utilisation de réseaux neuronaux pour l’identification Pour transformer ces mesures de latence en informations exploitables, l’attaque Frost utilise une technologie d’intelligence artificielle. Les traces de lecture sont soumises à un réseau neuronal convolutif (CNN) pré-entraîné, capable de classifier les signatures de performance pour identifier précisément les activités en cours. Les résultats de cette méthode sont particulièrement frappants en termes de fiabilité. Les chercheurs ont obtenu les taux de réussite suivants :

• 88,95 % pour l’identification des sites Web visités.
• 95,83 % pour la détection des applications ouvertes sur le système.

Bien que les tests complets aient été réalisés sur un Mac M2, la menace ne se limite pas à l’écosystème Apple. Si l’attaque n’a pas encore été testée intégralement sur Windows, les chercheurs ont démontré que les principes de base fonctionnent sur Linux.

“Cependant, comme la performance de la primitive est similaire entre macOS et Linux, nous nous attendons à une performance similaire pour la classification complète.

Les limites de l’attaque et les moyens de protection Malgré sa dangerosité, l’attaque Frost présente des contraintes techniques qui pourraient limiter sa diffusion massive. Pour être efficace, le fichier OPFS doit être extrêmement imposant, probablement de l’ordre d’un gigaoctet ou plus, ce qui pourrait alerter les utilisateurs attentifs à l’utilisation de leur espace de stockage. De plus, l’attaque est inefficace si les activités surveillées sont stockées sur un SSD distinct de celui utilisé par le navigateur. Il est important de noter que cette faille ne permet pas de voler des fichiers personnels ou des mots de passe. Elle sert uniquement à l’espionnage comportemental et au profilage des activités. Pour limiter les risques, les experts suggèrent plusieurs mesures de prudence :

• Fermer les onglets de navigation dès qu’ils ne sont plus nécessaires.
• Surveiller la création et la taille inhabituelle des fichiers alloués par l’OPFS pour des sites inconnus.
• Attendre les mises à jour des navigateurs, les chercheurs préconisant de limiter la taille maximale autorisée pour ces fichiers afin de neutraliser ce canal auxiliaire.

Les détails techniques de cette recherche seront présentés lors de la conférence DIMVA en juillet prochain. Pour l’heure, aucune utilisation de l’attaque Frost dans la nature n’a été signalée. <!– /wp:paragraph Cette technique exploite les variations imperceptibles de latence pour inférer des informations sensibles, révélant ainsi des activités cachées même sous des systèmes censurés ou isolés.