Les sites web ont un nouveau moyen d’espionner les visiteurs : analyser l’activité de leur SSD
Les chercheurs en sécurité ont découvert une nouvelle technique de pistage sophistiquée qui permet aux sites web de surveiller les visiteurs en analysant les performances de leurs disques durs à semi-conducteurs. Cette méthode exploite une faiblesse dans la façon dont les navigateurs web gèrent certaines opérations de stockage.
La technique de pistage, détaillée dans une étude récente, fonctionne en mesurant le temps nécessaire à un SSD pour effectuer des opérations d’écriture spécifiques. Comme les SSD deviennent plus lents au fil de leur utilisation, ces variations de performance peuvent créer une empreinte digitale unique pour chaque appareil.
Les chercheurs ont démontré que les sites web malveillants peuvent exploiter l’API Cache Storage des navigateurs web pour créer et mesurer ces schémas de performance. En observant combien de temps prennent différentes opérations d’écriture, ils peuvent identifier les visiteurs qui reviennent avec une précision remarquable.
Ce type de pistage est particulièrement préoccupant car il fonctionne même lorsque les utilisateurs ont effacé leurs cookies, utilisent le mode navigation privée ou emploient des VPN. Contrairement aux méthodes de pistage traditionnelles qui s’appuient sur des données stockées dans le navigateur, cette technique lit les caractéristiques physiques du matériel.
L’étude a révélé que la méthode peut identifier avec succès les appareils avec un taux de réussite allant jusqu’à 80 pour cent. Le pistage reste efficace pendant plusieurs semaines, car les schémas de performance du SSD changent lentement au fil du temps.
Les principaux navigateurs web, dont Chrome, Firefox et Safari, sont tous vulnérables à cette technique de pistage. Les chercheurs ont informé les développeurs de navigateurs de cette découverte, mais mettre en œuvre des protections sans affecter les fonctionnalités légitimes des sites web s’avère difficile.
Les experts en confidentialité avertissent que cette découverte représente une escalade significative dans la course aux armements du pistage en ligne. Alors que les utilisateurs et les navigateurs développent de meilleures défenses contre les méthodes de pistage traditionnelles, les pisteurs trouvent des moyens de plus en plus créatifs pour identifier les individus.
Certaines solutions potentielles incluent la limitation de la précision des mesures de temps dans les navigateurs ou la restriction de la façon dont les sites web peuvent accéder aux API de stockage. Cependant, ces changements pourraient casser des applications web légitimes qui dépendent de ces fonctionnalités pour des raisons de performance.
Pour l’instant, les utilisateurs ont des options limitées pour se protéger contre ce type de pistage. Les bloqueurs de publicités et les extensions anti-pistage standards n’aident pas car la technique n’utilise aucun cookie ou script de pistage traditionnel.
La recherche met en évidence le défi continu de protéger la confidentialité des utilisateurs dans les navigateurs web modernes. À mesure que la technologie web devient plus puissante et que les navigateurs donnent aux sites web plus d’accès aux capacités du système, de nouvelles opportunités de pistage émergent.
Les développeurs de navigateurs devront soigneusement équilibrer les besoins en fonctionnalités avec les protections de la confidentialité à mesure qu’ils travaillent pour combler cette vulnérabilité et d’autres similaires à l’avenir.
