Une faille de sécurité inédite, baptisée Frost, permet à des sites web d’analyser l’activité d’un utilisateur en exploitant le temps d’accès à son disque SSD. Selon Futura Sciences, cette attaque, développée par des chercheurs autrichiens, contourne les protections classiques des navigateurs en s’appuyant sur une fonctionnalité JavaScript appelée OPFS (Origin Private File System). Elle ne nécessite ni logiciel malveillant ni accès au système, et fonctionne sur Windows, macOS et Linux.
Ce qu'il faut retenir
- Une faille nommée Frost permet d’espionner l’activité d’un utilisateur via son SSD depuis un navigateur web.
- L’attaque exploite l’OPFS, un système de stockage temporaire des navigateurs, pour mesurer les latences d’accès au disque.
- Elle atteint un taux de réussite de 88,95 % pour identifier les sites visités et 95,83 % pour les applications ouvertes.
- Cette faille ne permet pas de voler des fichiers ou mots de passe, mais pourrait être exploitée par des annonceurs ou des cybercriminels.
- Les développeurs de navigateurs travaillent déjà à des contre-mesures, comme la réduction de la précision des minuteurs JavaScript.
Une attaque par canal auxiliaire exploitant les SSD
Les chercheurs autrichiens ont présenté une méthode permettant de déduire les activités d’un utilisateur en analysant les variations de temps d’accès à un SSD. D’après Futura Sciences, cette technique, appelée Frost (pour Fingerprinting Remotely Using OPFS-based SSD Timing), s’appuie sur une simple page web et ne requiert aucune interaction de l’utilisateur au-delà de l’accès au site malveillant.
Le principe repose sur la création d’un fichier volumineux dans l’OPFS, une fonctionnalité des navigateurs modernes conçue pour stocker des données temporaires. En forçant le système à vider régulièrement sa mémoire cache, le fichier permet de détecter les ralentissements provoqués par l’accès à d’autres fichiers. Ces latences, mesurées à l’aide de JavaScript, forment des signatures exploitables par un réseau neuronal convolutif pour identifier les sites ou applications en cours d’utilisation.
Des résultats inquiétants, mais des limites techniques
Les tests menés par les chercheurs ont révélé une efficacité redoutable : 88,95 % de réussite pour distinguer les sites web et 95,83 % pour les applications. Autant dire que les possibilités de surveillance à distance deviennent concrètes, même si l’attaque ne permet pas de récupérer des fichiers ou des mots de passe. « Cette faille ne vole pas vos données, mais elle révèle vos habitudes numériques », explique l’un des auteurs de l’étude.
Cependant, cette technique présente des contraintes majeures. Elle ne fonctionne que si les données surveillées sont stockées sur le même SSD que le fichier OPFS. De plus, la taille importante du fichier créé peut trahir l’attaque, et les navigateurs limitent désormais la précision des minuteurs JavaScript pour contrer ce type de menace.
Un risque réel pour les utilisateurs et les annonceurs
Bien qu’aucun site connu n’exploite actuellement cette faille, Futura Sciences souligne que des acteurs malveillants ou des entreprises avides de données pourraient s’en emparer. « Les géants du web comme Google ou Meta ont tout intérêt à collecter des informations sur les habitudes de navigation des utilisateurs pour affiner leurs ciblages publicitaires », précise le média. À court terme, la parade la plus simple reste de fermer les onglets inutilisés.
Les développeurs de navigateurs, alertés par cette découverte, devraient intégrer des contre-mesures dans les prochaines mises à jour. Parmi les pistes envisagées : la réduction de la précision des minuteurs JavaScript ou l’adoption de mécanismes de protection renforcés pour l’OPFS. Les chercheurs présenteront leurs travaux lors de la conférence DIMVA, dédiée à la cybersécurité, prévue en juillet 2026.
Contexte et enjeux de la cybersécurité moderne
Cette faille s’inscrit dans un paysage où les attaques par canaux auxiliaires gagnent en popularité. Contrairement aux cyberattaques classiques, qui ciblent directement les failles logicielles, ces méthodes exploitent les caractéristiques physiques des systèmes pour extraire des informations. « Ces attaques sont d’autant plus redoutables qu’elles ne laissent pas de traces classiques dans les logs », souligne un expert en sécurité interrogé par Futura Sciences.
Les SSD, de plus en plus répandus, représentent une cible privilégiée en raison de leurs performances variables selon les opérations réalisées. Les chercheurs autrichiens avaient déjà mis en lumière des failles similaires par le passé, mais Frost marque une avancée majeure en éliminant le besoin d’accès au système. Une évolution qui rappelle l’importance de repenser les protections des navigateurs dans un écosystème où les frontières entre applications web et systèmes locaux s’estompent.
Pour l’heure, les utilisateurs sont invités à adopter des réflexes simples : fermer les onglets inutilisés, maintenir leurs navigateurs à jour et surveiller les performances anormales de leur machine. Si cette faille ne représente pas une menace immédiate pour la majorité des internautes, elle illustre les défis croissants de la protection des données à l’ère du tout-numérique.
Pour l’instant, aucune exploitation active n’a été détectée. La faille repose sur l’utilisation de JavaScript dans un navigateur, donc toute machine visitant un site malveillant pourrait être concernée. La meilleure protection consiste à fermer les onglets inutilisés et à mettre à jour son navigateur.
Non. Selon les chercheurs, Frost se limite à identifier les sites visités ou les applications ouvertes. Elle ne donne pas accès à des données sensibles comme des fichiers ou des identifiants.
