Des chercheurs de l’Université technique de Graz, en Autriche, ont récemment publié un article décrivant en détail une nouvelle méthode permettant de suivre l’activité des utilisateurs via leur navigateur Web. Ce qui est le plus fascinant avec cette nouvelle technique, baptisée FROST, c’est qu’elle fait appel au disque SSD d’un ordinateur pour mener à bien cette opération d’espionnage. Sans entrer dans les détails techniques, voici comment fonctionne cette attaque : un pirate informatique attire sa victime sur un site spécialement conçu à cet effet.
Tant que la page reste ouverte, le pirate peut suivre avec précision les applications que l’utilisateur lance et les pages Web qu’il consulte. Mais comment procèdent-ils exactement ? La première réaction est naturellement de rejeter la faute sur le navigateur.
Mais dans les navigateurs Web modernes, chaque site Web s’exécute dans un environnement isolé (sandbox) et n’a généralement pas la possibilité d’accéder aux autres onglets, sans parler du matériel de l’ordinateur lui-même. Même si les pirates parviennent parfois à trouver des failles dans ces systèmes de protection, ce n’est pas ce qui se passe ici. L’attaque FROST n’a pas besoin de contourner les protections du navigateur.
Elle fonctionne parfaitement même lorsque toutes les mesures de sécurité standard sont activées. Elle détourne en effet une fonctionnalité tout à fait légitime du navigateur, appelée Origin Private File System (OPFS), qui attribue aux sites Web leur propre espace de stockage virtuel pour conserver leurs données. Cependant, bien que cet espace de stockage soit isolé numériquement, les données sont tout de même enregistrées physiquement sur le même SSD que celui utilisé par toutes les autres applications et tous les autres sites ouverts sur l’ordinateur.
Les chercheurs ont découvert que si une page malveillante bombarde en permanence le SSD de demandes de données, les délais infimes liés à l’accès aux données peuvent permettre de déterminer quels autres programmes sont en cours d’exécution sur l’ordinateur. Avant d’entrer dans les détails de la manière dont ils y parviennent, examinons brièvement la théorie derrière cette attaque. Présentation rapide des attaques par canaux auxiliaires Le terme « canal auxiliaire » désigne une méthode permettant d’espionner indirectement un ordinateur, voire une simple puce électronique.
Au lieu d’intercepter les données elles-mêmes, un pirate pourrait, entre autres, analyser les fluctuations de la consommation électrique, surveiller la température de certains composants ou capter les ondes électromagnétiques. En théorie, cela signifie qu’une personne pourrait espionner une conversation dans une pièce simplement à l’aide d’une souris d’ordinateur, puisque le capteur optique est capable de capter les vibrations sonores. De même, le fait d’observer les fluctuations de la fréquence d’horloge d’un processeur pourrait permettre à un pirate informatique de voler une clé de chiffrement.
Même un simple voyant LED sur un lecteur de badges pourrait révéler suffisamment d’informations sur le fonctionnement interne de l’appareil pour permettre à un pirate de cloner une carte à puce. L’intérêt de ces fuites de données indirectes, du moins du point de vue d’un pirate informatique, réside dans le fait qu’il n’est pas facile de les détecter. Les fabricants d’appareils en tiennent rarement compte lorsqu’ils conçoivent des systèmes de sécurité.
L’inconvénient, cependant, est tout aussi évident : extraire des informations à l’aide d’un mécanisme qui n’a jamais été conçu pour la transmission de données s’avère souvent complexe, lent et fastidieux. Les chercheurs autrichiens se sont intéressés à un sous-type spécifique connu sous le nom d’attaque par canal auxiliaire de contention. Il s’agit d’une fuite qui survient lorsque plusieurs processus se disputent la même ressource.
Dans ce cas précis, la ressource disputée est la bande passante du disque de stockage. Dans les coulisses de l’attaque FROST Ce canal auxiliaire spécifique a en effet déjà fait l’objet d’études, notamment dans un article de recherche publié en 2025. À l’époque, cependant, le procédé était assez simple : les chercheurs lançaient un programme sur un ordinateur pour qu’il serve de source de données, tandis qu’un deuxième programme, exécuté sur la même machine, tentait d’intercepter ces données.
Même si cela convient pour une étude théorique universitaire, ce modèle d’attaque n’avait rien de vraiment révolutionnaire. Après tout, si un pirate informatique peut déjà exécuter n’importe quel programme de son choix, il n’a pas besoin de recourir à des canaux auxiliaires complexes : il dispose de nombreux moyens directs pour voler les données. Cela dit, l’étude de l’année dernière n’a pas été une perte de temps totale.
Elle a démontré que la précision obtenue grâce à la surveillance d’un SSD est assez élevée, que la fuite de données est bien réelle et que les informations capturées peuvent effectivement s’avérer utiles. L’attaque FROST s’inscrit pour l’essentiel dans le prolongement logique de cette même idée. Voici comment elle fonctionne concrètement.
Imaginons qu’il y ait un fichier assez volumineux sur un SSD, rempli de données aléatoires. Un processus spécifique lit ces données à intervalles réguliers et mesure le temps nécessaire pour obtenir une réponse. Cette vitesse varie en fonction de la charge de travail du disque, qui peut être occupé par d’autres tâches.
Ces temps d’accès sont des indices révélateurs de l’activité du disque dur. Les chercheurs autrichiens ont démontré que le tracé de ces délais dans le temps peut aider à identifier avec une précision raisonnable quelle autre tâche est en cours d’exécution sur l’ordinateur à ce moment même. Des profils de latence distincts générés lors de l’ouverture de sites Web spécifiques Source Les chercheurs ont établi des graphiques de latence, comme ceux présentés ci-dessus, pour un large éventail de sites Web et d’applications exécutées localement.
Ils ont ainsi mis en évidence des schémas distincts, ou « empreintes numériques », générés à chaque fois qu’un site spécifique se charge ou qu’une application se lance. Pour détecter ces courtes périodes de démarrage ou de chargement, il est nécessaire de surveiller le SSD en permanence pendant une longue période. Cependant, ces tendances se sont révélées remarquablement cohérentes d’un système à l’autre.
Les auteurs ont testé leur méthode avec succès aussi bien sur un ordinateur de bureau sous Linux que sur un Apple Mac Mini. À partir de là, la prochaine étape semble assez simple : il suffit de rassembler un catalogue d’empreintes numériques connues, de mesurer les temps de réponse réels des SSD, de faire correspondre les deux, et d’identifier précisément les applications que l’utilisateur ouvre et les sites qu’il consulte. Mais comment mettre en place ce genre de surveillance en toute discrétion, sans installer de programme malveillant sur l’ordinateur de la victime ?
Et c’est là qu’intervient une fonctionnalité relativement récente des navigateurs, appelée « Origin Private File System » (OPFS). Un pirate hypothétique n’a pas besoin de piéger l’utilisateur pour qu’il télécharge un cheval de Troie suspect. Il lui suffit de faire en sorte que la victime se rende sur une page Web spécialement conçue à cet effet, et cette page utilisera le système OPFS pour surveiller discrètement l’activité du SSD.
Cet acronyme astucieux résume bien tous ces éléments : FROST signifie « Fingerprinting Remotely using OPFS-based SSD Timing » (Identification à distance à l’aide de la synchronisation SSD basée sur le système OPFS). Voici le déroulement étape par étape de l’attaque : Comment la méthode FROST peut être utilisée pour espionner l’activité d’un ordinateur Source Limites de la méthode Comme toute attaque par canal auxiliaire, la technique FROST n’est pas vraiment conçue pour la rapidité. C’est un processus lent et méthodique.
Pour déterminer à quel point il est lent, les chercheurs ont mis au point un banc d’essai dédié afin de le mesurer. La structure du banc d’essai permettant de mesurer la vitesse d’extraction des données via le système OPFS Source L’équipe a lancé un programme sur un ordinateur afin de transmettre des données de façon indirecte. Imaginez une sorte d’espion numérique qui diffuse un message secret en modifiant la façon dont il interagit avec le disque dur.
Par exemple, un « 1 » dans le code binaire pourrait signifier que le programme utilise activement le SSD, tandis qu’un « 0 » indiquerait qu’il est inactif. Parallèlement, ils ont mis en place un récepteur au sein du navigateur Web qui accédait au disque de stockage via le système OPFS. Comme le récepteur du navigateur et le programme émetteur se disputaient la bande passante du SSD, le navigateur subissait de légers ralentissements chaque fois que l’émetteur envoyait activement des données.
Cette configuration inhabituelle a permis de transmettre des données à un débit de 661 bits par seconde, avec une précision de près de 90 %, sur un ordinateur de bureau sous Linux équipé d’un processeur AMD. Sur un Mac Mini d’Apple fonctionnant sous macOS, le taux de transfert a atteint 719 bits par seconde, avec une précision avoisinant également les 90 %. Bien que ces chiffres soient légèrement inférieurs à ceux de l’étude de l’année dernière, qui portait sur les applications installées directement sur l’ordinateur, l’écart n’est en réalité pas si important.
Cela dit, la véritable menace que représente l’attaque FROST ne réside pas dans la transmission de données brutes, mais dans le suivi des activités de l’utilisateur. Même si un pirate dispose d’une base de données contenant les empreintes numériques d’applications et de sites spécifiques, les informations divulguées via un site malveillant utilisant le système OPFS sont trop bruitées. Après tout, un ordinateur lit et écrit en permanence des données sur le SSD en arrière-plan.
Pour faire le tri dans ce bruit numérique, les chercheurs se sont tournés vers un outil qui devient désormais monnaie courante dans les cyberattaques modernes : un réseau neuronal. Une IA entraînée à partir d’empreintes connues de SSD a pu identifier clairement l’activité des utilisateurs, même au milieu d’un enchevêtrement chaotique de données secondaires. Les résultats finaux sont révélateurs.
Sur l’Apple Mac Mini, l’IA a identifié avec précision le site Web ouvert par l’utilisateur dans 89 % des cas, et a détecté avec exactitude le lancement d’applications locales avec une précision de 96 %. Plus important encore, elle a même pu détecter quels sites Web étaient ouverts dans un navigateur totalement différent de celui utilisé dans l’onglet malveillant. On aurait pu croire à un véritable coup de maître pour les pirates informatiques… s’il n’y avait pas eu une longue liste de cas réels où le système a réussi à les déjouer.
L’attaque FROST est-elle une menace réelle ? Le simple fait de savoir quelles applications sont ouvertes ou quels sites sont consultés ne donne pas beaucoup de marge de manœuvre à un pirate. Ce type de données est généralement utile aux annonceurs qui cherchent à établir le profil numérique d’un utilisateur sans son consentement.
Cependant, la mise en œuvre à grande échelle de cette méthode de suivi est difficilement réalisable. Ce problème tient à la manière même dont les ordinateurs traitent les données : le système transfère régulièrement les données fréquemment consultées vers sa mémoire vive (RAM). Comme l’attaque FROST repose entièrement sur la mesure de la bande passante relativement faible du SSD physique, les données présentes dans la RAM sont, en pratique, invisibles pour cette méthode.
Pour contourner cet obstacle, la page Web malveillante devrait forcer le système OPFS à créer un fichier volumineux, d’une taille bien supérieure à un gigaoctet. Il va sans dire qu’un site qui monopoliserait les ressources du disque dur de manière aussi agressive éveillerait immédiatement des soupçons. Les solutions EDR ou XDR le signaleraient très probablement comme une activité anormale.
Au final, cela signifie que l’attaque FROST, comme la plupart des méthodes d’espionnage par canal auxiliaire, n’est viable que pour des opérations très ciblées. Mais nous voilà revenus à la case départ : savoir quelles applications une personne ouvre ou quelles pages Web elle consulte est une récompense bien maigre au regard de l’effort colossal nécessaire pour mener à bien un coup aussi élaboré. Cela dit, l’attaque FROST a des années-lumière d’avance sur la plupart des attaques par canaux auxiliaires développées en milieu académique sur le plan de son applicabilité concrète.
Aucun logiciel malveillant préinstallé n’est requis, et la victime n’a rien d’autre à faire que d’ouvrir une page malveillante. À tout le moins, cette étude nous rappelle de manière frappante à quel point les ordinateurs modernes sont complexes, et combien de vulnérabilités inattendues peuvent être à l’origine de fuites de données. Lors de la conception de systèmes ultra-sécurisés destinés à des données hautement confidentielles, il est absolument indispensable de tenir compte des particularités du matériel.
Si le prix à la clé est suffisamment élevé, un pirate déterminé n’hésitera pas à consacrer le temps nécessaire à la mise au point d’une attaque complexe et ultra-ciblée. Des recherches comme celle-ci démontrent que, dans le domaine de la cybersécurité, un tel scénario n’est pas impossible. Kaspersky Next