Une nouvelle faille de sécurité permet d’espionner les internautes visitant des sites Web et regardant des vidéos

Les internautes laissent de nombreuses traces sur les sites Internet et les services en ligne. Des mesures telles que des pare-feu, des connexions VPN et des modes de confidentialité du navigateur sont en place pour garantir un certain niveau de protection des données. Cependant, une faille de sécurité récemment découverte permet de contourner toutes ces mesures de protection.

Les informaticiens de l’Institut des technologies appliquées de traitement de l’information et de communication (IAIK) de l’Université technologique de Graz (TU Graz) ont pu suivre en détail les activités en ligne des utilisateurs simplement en surveillant les fluctuations de la vitesse de leur connexion Internet. Aucun code malveillant n’est requis pour exploiter cette vulnérabilité, connue sous le nom de « SnailLoad », et le trafic de données n’a pas besoin d’être intercepté. Tous les types d’appareils finaux et de connexions Internet sont concernés.

Les chercheurs ont publié leurs travaux dans un article intitulé « SnailLoad : Exploiting Remote Network Latency Measurements without JavaScript ».

Les attaquants suivent les fluctuations de latence de la connexion Internet via le transfert de fichiers

Il suffit aux agresseurs d’avoir eu un seul contact direct avec la victime au préalable. À cette occasion, la victime télécharge un petit fichier fondamentalement inoffensif depuis le serveur de l’attaquant sans s’en rendre compte, par exemple en visitant un site Web ou en regardant une vidéo publicitaire.

Ce fichier ne contenant aucun code malveillant, il ne peut pas être reconnu par les logiciels de sécurité. Le transfert de ce fichier est extrêmement lent, fournissant à l’attaquant une information continue sur la variation de latence de la connexion internet de la victime. Dans des étapes ultérieures, ces informations sont utilisées pour reconstituer l’activité en ligne de la victime.

« SnailLoad » combine les données de latence avec les empreintes digitales du contenu en ligne

“Lorsque la victime accède à un site Web, regarde une vidéo en ligne ou parle à quelqu’un par vidéo, la latence de la connexion Internet fluctue selon un modèle spécifique qui dépend du contenu particulier utilisé”, explique Stefan Gast de l’IAIK. En effet, tout contenu en ligne possède une empreinte unique : pour une transmission efficace, le contenu en ligne est divisé en petits paquets de données qui sont envoyés les uns après les autres du serveur hôte à l’utilisateur. Le modèle du nombre et de la taille de ces paquets de données est unique pour chaque élément de contenu en ligne, comme une empreinte digitale humaine.

Les chercheurs ont collecté à l’avance les empreintes digitales d’un nombre limité de vidéos YouTube et de sites Web populaires à des fins de tests. Lorsque les sujets testés utilisaient ces vidéos et ces sites Web, les chercheurs ont pu le reconnaître grâce aux fluctuations de latence correspondantes.

“Mais l’attaque fonctionnerait également dans l’autre sens”, explique Daniel Gruss de l’IAIK. “Les attaquants mesurent d’abord le modèle de fluctuations de latence lorsqu’une victime est en ligne, puis recherchent du contenu en ligne avec l’empreinte digitale correspondante.”

Les connexions Internet lentes facilitent la tâche des attaquants

En espionnant des sujets de test qui regardaient des vidéos, les chercheurs ont atteint un taux de réussite allant jusqu’à 98 %.

“Plus le volume de données des vidéos est élevé et plus la connexion Internet des victimes est lente, meilleur est le taux de réussite”, explique Gruss. Par conséquent, le taux de réussite de l’espionnage de sites Web de base est tombé à environ 63 %.

“Cependant, si les attaquants alimentent leurs modèles d’apprentissage automatique avec plus de données que nous ne l’avons fait lors de notre test, ces valeurs augmenteront certainement”, explique Gruss.

Une faille pratiquement impossible à combler

“Il est difficile de combler cette lacune en matière de sécurité. La seule option serait pour les fournisseurs de ralentir artificiellement et de manière aléatoire les connexions Internet de leurs clients”, explique Gruss. Toutefois, cela entraînerait des retards notables pour les applications urgentes telles que les vidéoconférences, les diffusions en direct ou les jeux informatiques en ligne.

L’équipe dirigée par Gast et Gruss a mis en place un site Web décrivant SnailLoad en détail. Ils présenteront l’article scientifique sur cette faille lors des conférences Black Hat US 2024 et USENIX Security Symposium.