Une nouvelle méthode de pistage en ligne émerge. Des chercheurs de l'université de Graz, en Autriche, ont présenté une technique qui exploite les propriétés physiques des disques SSD pour identifier les sites web et les applications qu'un utilisateur consulte. Baptisée FROST (pour fingerprinting remotely using OPFS-based SSD timing), cette approche se passe de cookies ou de traceurs classiques et repose sur la mesure des délais d'accès au stockage.
Le principe, détaillé par l'équipe de recherche, consiste à créer un fichier de grande taille (au moins un gigaoctet) sur le disque SSD via une interface du navigateur appelée Origin Private File System (OPFS). Une fois ce fichier sonde établi, un script JavaScript lit ce fichier en continu et chronomètre très précisément chaque opération de lecture. Lorsqu'un autre processus – une application ou un onglet de navigateur – accède au même SSD, il provoque un ralentissement infime mais mesurable. Ces variations de latence, imperceptibles pour un humain, constituent une signature potentielle de l'activité concurrente.
Un réseau de neurones pour interpréter les signaux. Pour transformer ce bruit en information exploitable, les chercheurs ont eu recours à un réseau de neurones convolutif (CNN), un type d'intelligence artificielle habituellement utilisé pour la reconnaissance d'images. Entraîné sur un grand nombre de traces d'activité, ce modèle apprend à associer chaque profil de ralentissement à une application ou un site web spécifique.
Lors des tests réalisés sur un Mac équipé d'une puce M2, la technique a démontré des taux de réussite élevés. Pour un ensemble de cinquante sites web, FROST identifie le site consulté dans près de 90 % des cas. Ce taux grimpe à plus de 95 % pour la reconnaissance des applications ouvertes. Aucune action particulière de l'utilisateur n'est requise : il suffit d'avoir visité la page qui exécute le script.
Des limites techniques et pratiques notables. Si la méthode est préoccupante pour la vie privée, elle présente plusieurs freins qui en limitent pour l'instant la portée. Le fichier sonde, volumineux (un gigaoctet ou plus), est aisément repérable par un internaute attentif. Par ailleurs, le fichier doit impérativement se trouver sur le même SSD que celui hébergeant le navigateur : dans le cas contraire, l'attaque devient aveugle.
Les chercheurs ont également précisé le périmètre de leurs expérimentations. La classification complète n'a été menée que sur macOS (Apple Silicon). Sous Linux, la brique de base de l'attaque – la mesure des délais – a été validée, mais la phase de reconnaissance par IA n'a pas été déployée. Aucun test n'a été réalisé sous Windows. Surtout, aucune exploitation de FROST n'a été observée dans la nature à ce jour.
Des précédents et des parades potentielles. Daniel Gruss, chercheur déjà connu pour son implication dans la découverte des vulnérabilités Spectre et Meltdown, figure parmi les auteurs de ces travaux. La technique s'inscrit dans une série de méthodes alternatives de fingerprinting (identification à distance par empreinte numérique) qui contournent les protections habituelles comme les bloqueurs de cookies.
Selon les experts, quelques gestes simples permettraient de neutraliser cette menace. Bloquer l'exécution de JavaScript dans le navigateur, limiter la taille maximale des fichiers alloués via l'API OPFS, ou encore surveiller manuellement les fichiers créés par les sites inconnus constituent des contre-mesures efficaces. En attendant, fermer les onglets inactifs réduit le nombre de processus susceptibles d'être détectés.
Les chercheurs précisent que FROST demeure, à ce stade, une attaque complexe à mettre en œuvre à grande échelle pour du pistage massif, mais ils appellent à la vigilance face à l'évolution des techniques de surveillance dans le navigateur.
