Votre navigateur cloisonne soigneusement ses onglets les uns des autres. Votre SSD, lui, n'a pas reçu le mémo. Une équipe de la TU Graz vient de le démontrer, et c'est plutôt embarrassant.
Pour ceux qui n'auraient pas suivi l'épisode Spectre/Meltdown de 2018, une des méthodes d'attaque pour le pistage en ligne repose non pas sur un accès obscur au navigateur et les traces qu'ils laissent sur le web mais quelque chose de bien plus tangible : les manifestations physiques d'un système (temps de réponse, consommation électrique, bruit électromagnétique). Depuis 2018, les chercheurs n'ont cessé de trouver de nouveaux points d'entrée en s'appuyant sur le matériel. La dernière en date s'appelle FROST (pour « Fingerprinting Remotely using OPFS-based SSD Timing »), et elle est signée par quatre chercheurs de l'université technique de Graz : Hannes Weissteiner, Jonas Juffinger, Thomas Steinbauer et Daniel Gruss. Leurs résultats seront présentés début juillet à la conférence DIMVA, mais la méthode déroulée fait déjà froid dans le dos.
Le couloir de la bibliothèque (ou comment un onglet espionne les autres)
Pour vous pister FROST analyse les temps de lecture de votre SSD. Voici comment : le vecteur d'attaque est l'Origin Private File System (OPFS), une interface de programmation du navigateur qui permet à un site de stocker des fichiers localement sans demander la moindre autorisation à l'utilisateur (oui, vous avez bien lu). Le script crée un gros fichier dans cet espace, puis lance en continu des lectures aléatoires. Chaque fois qu'une application ou qu'un autre onglet sollicite le SSD (chargement d'une page, écriture d'un fichier temporaire, mise à jour d'un cache), les lectures de l'attaquant ralentissent de quelques microsecondes. Imperceptible pour vous, parfaitement mesurable pour un algorithme.
Ces variations de latence forment une empreinte que les chercheurs passent dans un réseau de neurones convolutif (un modèle d'apprentissage profond entraîné à reconnaître des motifs dans des séries de données). Le modèle identifie les sites ouverts dans d'autres onglets, y compris sur un autre navigateur, et les applications actives sur la machine. L'attaque a été validée sur un Mac équipé d'une puce M2, et la primitive de mesure fonctionne aussi sous Linux. Évidemment, c'est vers Windows et ses parts de marché massives qu'on a envie de se tourner avec ce type d'annonces. L'OS de Microsoft n'a pas encore été testé, mais quand ses deux concurrents réputés plus sécurisés tombent, on ne donne pas cher de sa peau.
FROST ne demande aucune installation, ne déclenche aucune alerte et ne stocke rien sur votre machine. Un simple script JavaScript hébergé sur n'importe quel site suffit. Contrairement aux techniques de fingerprinting classique que Google a remises au goût du jour début 2025 (et qui se contentent d'identifier un appareil), FROST observe ce que vous faites dessus, en temps réel. Autant dire que le cloisonnement entre onglets, censé protéger votre vie privée, devient ici une illusion assez confortable.
Du labo autrichien au RGPD : et maintenant ?
FROST est loin d'être un coup d'éclat isolé et suit une série démarrée il y a plus d'un an par l'équipe de Graz. En 2025, Juffinger et Gruss avaient déjà exploité la contention NVMe pour déduire le comportement utilisateur via le noyau Linux, puis les tampons mémoire intégrés aux SSD (présenté à DIMVA 2025). FROST pousse le curseur un cran plus loin en montrant que l'attaque est réalisable depuis un simple navigateur, sans privilège système. Le navigateur, décidément maillon faible de la chaîne de sécurité, vient de s'offrir une nouvelle surface d'exposition.
Côté protections, les options restent limitées (et aucune n'est idéale). Brave avait pris les devants dès 2020 en générant une empreinte unique par session, mais cette parade cible le fingerprinting logiciel, pas matériel. Fermer les onglets inutilisés réduit la surface d'observation. Désactiver l'OPFS via les paramètres avancés du navigateur bloque le vecteur d'attaque, au prix de la compatibilité avec certaines applications web (pas négligeable). Tor Browser, qui limite drastiquement les interfaces de programmation accessibles aux sites, offre une protection plus robuste, mais avec un confort de navigation que l'on qualifiera poliment de « spartiate ».
Sur le plan juridique, la collecte de données par canal auxiliaire SSD tombe sous le coup du RGPD (article 5 sur la loyauté du traitement) et de la directive ePrivacy (article 5.3 sur l'accès aux informations stockées dans l'équipement terminal). La CNIL avait déjà qualifié le fingerprinting classique de technique de traçage soumise au consentement. FROST pose la question en des termes autrement plus crus : quand un site peut observer votre activité locale sans rien installer, sans rien stocker, sans rien demander, où s'arrête exactement la notion de consentement ?
