Vesper
ENESFRTR
Graphiques
Articles :SportSantéHistoireTech
Markets
EUR/USD1.1631 0.05%GBP/USD1.3431 0.03%USD/JPY159.47 0.03%USD/CHF0.7870 0.06%AUD/USD0.7139 0.12%USD/CAD1.3831 0.02%USD/CNY6.7939 0.17%USD/INR95.81 0.12%USD/BRL5.0477 0.04%USD/ZAR16.36 0.03%USD/TRY45.90 0.02%Gold$4,391.00BTC$73,260 3.20%ETH$1,986 4.44%SOL$80.89 3.34%
Tech

Les sites web disposent d'une nouvelle façon d'espionner leurs visiteurs : analyser leur activité SSD

Ars Technicail y a 2 h
ShareXWhatsAppTelegramLinkedIn
Une salle de serveurs de centre de données avec équipements illuminés
Photo: Brett Sayles / Pexels

Des chercheurs universitaires ont révélé que les sites web ont trouvé une nouvelle façon de suivre les visiteurs : observer l'activité du disque SSD (solid-state drive) du visiteur via le navigateur. Selon Ars Technica, cette technique d'attaque peut profiler l'appareil du visiteur d'une manière qui diffère de la plupart des protections actuelles des navigateurs ; cela crée une nouvelle préoccupation pour la vie privée sur le web.

Au cœur de la technique d'attaque se trouvent des différences de chronométrage dans les requêtes que le navigateur adresse indirectement au système d'exploitation via JavaScript et d'autres API web. Le site web déclenche des opérations contrôlées de lecture/écriture de fichiers et mesure les temps de réponse. Les différences dans la structure de cache interne des SSD et le comportement du contrôleur de disque permettent de tirer des inférences à partir de ces mesures.

L'équipe de recherche a documenté que divers modèles de SSD (Samsung, Crucial, Western Digital, Kingston) présentent des comportements de « signature » différents. Cette signature a permis aux données générées au cours d'une session de navigation d'être utilisées pour classer le modèle de SSD de l'appareil avec un haut degré de précision. La technique peut être qualifiée de « fingerprinting » classique, mais c'est une variante adaptée à la couche SSD.

Du point de vue de l'impact sur la vie privée, cette technique contourne les mesures actuelles des navigateurs telles que la suppression des cookies ou le mode incognito. Même après qu'un utilisateur a effacé les cookies de son navigateur, la signature SSD restant stable, un lien peut être établi entre les visites suivantes. La façon dont les lois actuelles sur la vie privée comme le RGPD de l'Union européenne et la CCPA de Californie répondront à ce type de technique de suivi n'est pas encore claire.

Les preuves notées dans le rapport de recherche montrent que la technique peut fonctionner avec une grande précision en conditions de laboratoire. Cependant, diverses limites existent dans les scénarios d'attaque réels : un SSD du visiteur très sollicité réduit la sensibilité des mesures ; le comportement du contrôleur SSD des appareils mobiles diffère des versions de bureau ; et les méthodes d'injection de bruit temporel (timing-noise injection) appliquées par le navigateur peuvent réduire le taux de réussite de l'attaque.

Cette recherche s'inscrit dans la littérature plus large des « attaques par canal auxiliaire » (side-channel attacks). En 2018, les attaques Spectre et Meltdown utilisaient les fonctionnalités d'exécution spéculative des architectures CPU modernes pour fuiter des données. La nouvelle attaque basée sur le SSD suit une logique similaire mais cible une couche matérielle différente. La prolifération des attaques par canal auxiliaire pose une question politique difficile aux fabricants de matériel et aux développeurs de navigateurs.

Les grands navigateurs tels que Mozilla Firefox, Google Chrome, Apple Safari et Microsoft Edge mettent continuellement à jour leurs protections de la vie privée. On attend une réponse des développeurs de navigateurs après la découverte de l'actuelle technique d'attaque SSD ; cependant, la protection contre les attaques par canal auxiliaire peut nécessiter de sacrifier les performances matérielles. Ce compromis est décrit comme une décision politique importante pour les éditeurs de navigateurs.

Pour l'industrie de la publicité et de la collecte de données, de nouvelles techniques comme l'attaque SSD mettent à l'épreuve les limites juridiques et techniques des modèles économiques existants. La politique App Tracking Transparency mise en œuvre par Apple dans iOS en 2021 et la stratégie de suppression progressive des cookies de Google dans Chrome (Privacy Sandbox) reflètent que le secteur subit une pression croissante en matière de surveillance. L'attaque SSD constitue une nouvelle preuve technique renforçant cette pression.

Pour les utilisateurs, les mesures de protection directes sont limitées. Les approches suggérées incluent l'usage d'un VPN, l'ajout de bruit temporel via des extensions de navigateur et l'utilisation d'outils de recherche spécialisés. Cependant, ces mesures ne sont pas accessibles aux utilisateurs ordinaires ; le renouvellement des lois sur la vie privée et le renforcement des protections par défaut des navigateurs restent la principale source de protection pour les individus.

Sur le plan réglementaire, les autorités européennes de protection des données (DPA) avaient commencé à évaluer des techniques similaires de fingerprinting d'appareils dans le cadre de la directive ePrivacy. La classification juridique de l'attaque SSD pourrait nécessiter qu'elle soit traitée, dans le cadre du droit actuel à la vie privée, comme « une technique de suivi nécessitant le consentement explicite de l'utilisateur ». Cela affectera les coûts opérationnels de mise en conformité des sites web.

Cet article ne constitue pas un conseil pour les pratiques de cybersécurité ; les détails techniques reposent sur les reportages d'Ars Technica et sur les documents publiés par les chercheurs universitaires. Pour les utilisateurs soucieux de leur vie privée, les décisions relatives à la protection des données personnelles devraient être prises en concertation avec des spécialistes en cybersécurité ou en vie privée.

Cet article est un résumé éditorial assisté par IA basé sur Ars Technica. L'image est une photo d'archive de Brett Sayles sur Pexels.