Et si votre précieux SSD se retournerait contre vous ? Une nouvelle attaque le transforme en véritable mouchard. Elle s’appelle FROST et permet à un simple site d’espionner ce que vous consultez ou encore les applications lancées. Et ce sans votre permission, évidemment.
- FROST transforme le SSD en mouchard et permet à un simple site de déduire les sites consultés ou les applications lancées.
- L’attaque fonctionne depuis le navigateur via l’Origin Private File System, sans extension, sans installation et sans clic de la victime.
- Les chercheurs annoncent 89 % de précision pour les sites visités et 96 % pour les applications, mais aucun correctif n’est encore déployé.
L’attaque s’appelle FROST pour Fingerprinting Remotely using OPFS-based SSD Timing. Cette attaque ne vole pas directement vos données, mais déduit votre activité selon le temps de réponse du SSD. C’est la même équipe qui a dévoilé les failles Spectre et Meltdown qui nous apprend l’existence de FROST. Pour rappel, en 2018, ces deux failles ont touché presque tous les processeurs de la planète.
Une attaque très sournoise qui utilise votre SSD
L’attaque utilise le Origin Private File System (OPFS), une fonctionnalité récente des navigateurs. Cette technologie permet à un site de créer des fichiers sur votre disque sans aucune autorisation. La fonctionnalité est là pour les applications légitimes comme les éditeurs de code ou de vidéos qui tournent dans le navigateur.
Sauf que voilà, les chercheurs ont détourné cet accès au stockage pour en faire l’outil d’espionnage ultime. Un navigateur reste une cible de choix, la preuve avec les 16 extensions Chrome qui avaient déjà volé les données de 600 000 utilisateurs. Sur Chrome comme sur Safari, un site demande parfois jusqu’à 60 % de l’espace libre du disque. Sur un SSD de 256 Go, c’est plus de 150 Go squattés pour un seul onglet.
Mais alors comment fonctionne précisément l’attaque ? Le site piégé crée un fichier énorme dans le OPFS, plus gros que la mémoire vive de l’appareil. Forcément, chaque lecture passe par le SSD au lieu du cache du système.
Le site lance ensuite des lectures aléatoires de 4 Ko en continu et mesure le temps de réponse du disque. Chaque fois que vous ouvrez un onglet ou lancez une application, l’activité du disque crée des pics de latence détectables. Les chercheurs ont entraîné un réseau de neurones convolutif pour reconnaître ces signatures. Résultat, le système identifie les sites visités avec 89 % de précision et les applications avec 96 %.
FORST n’a pas besoin d’installer ou de clic pour s’exécuter
Tout se joue se joue au niveau du SSD, en dessous des protections des navigateurs. FROST est donc l’espion parfait. Un onglet Chrome piégé peut donc surveiller ce qui se passe dans Safari sur le même appareil.
Là où FROST ne rigole pas c’est que d’habitude, les attaques de ce type ont besoin de code natif et d’interfaces système privilégiées comme io_uring sur Linux. FROST se passe de tout ça et fonctionne entièrement depuis le navigateur, sans installation ou clic de la victime. Les chercheurs ont validé l’attaque complète sur un Mac mini M2 sous macOS Sonoma, avec Chrome en version 144.
Hannes Weissteiner, chercheur principal, alerte sur la dangerosité de FROST. Selon lui, l’attaque marche sur tout système dont l’activité génère des accès au SSD. Le chercheur précise qu’un modèle pourrait être entraîné sur n’importe quel type d’activité.
Bref, FROST ne se limite pas à la reconnaissance des sites web et peut reconstituer l’activité d’un internaute. Pour rappel, Chrome et Edge avaient espionné 4,3 millions d’utilisateurs via des extensions infectées pendant sept ans. Sauf que FROST n’a besoin d’aucune extension pour espionner sa cible.
Apple, Google et Mozilla prennent note sans réagir
Sauf que voilà, les éditeurs de navigateurs restent silencieux quant à la possibilité d’une protection. Google estime que ce type d’identification n’est pas une faille de sécurité. Apple juge l’attaque « actuellement hors périmètre », sans fermer la porte à un correctif. Mozilla a pris acte des résultats sans rien déployer. Les chercheurs proposent pourtant des pistes comme une limite sur la taille des fichiers OPFS ou l’ajout de bruit dans les temps de réponse. FROST n’a pas encore été utilisé ou testé sur Windows.
En attendant un correctif, un réflexe simple coupe l’attaque. La fermeture de l’onglet piégé stoppe net l’espionnage puisque FROST a besoin d’un onglet actif. Mais encore faut-il savoir que FROST nous cible. Pour les sessions sensibles, le mode navigation privée de Chrome limite les traces en local. Un nettoyage régulier reste aussi utile, et l’effacement de l’historique de navigation fait partie des bons réflexes. En juillet 2026, les chercheurs présenteront FROST en détail à la conférence DIMVA.
Réagissez à cet article !