Une équipe internationale de chercheurs de France, d’Israël et d’Australie a développé une nouvelle technique qui peut identifier les utilisateurs individuels en fonction de leur signature de carte graphique spécifique et unique. Nommée DrawnApart, la recherche, qui sert de preuve de concept, sert d’avertissement à des mesures d’identification plus invasives que les sites Web ou les acteurs mal intentionnés pourraient prendre afin de collecter des données sur les activités en ligne des utilisateurs individuels en temps réel.
La technique est basée sur les variations inhérentes du matériel en raison de la variabilité des processus de fabrication et des composants individuels. Tout comme aucune empreinte digitale humaine n’est identique à une autre, aucun CPU, GPU ou tout autre article de consommation n’est identique à un autre. C’est en partie la raison pour laquelle l’overclocking du CPU et du GPU varie même au sein d’un même modèle de produit des fabricants, et a donné lieu à l’émergence de ce matériel dit « doré ». Ceci, à son tour, signifie qu’il existe de minuscules variations individuelles sur les performances, la puissance et les capacités de traitement de chaque carte graphique, ce qui rend possible ce type d’identification.
Le modèle créé par les chercheurs utilise des charges de travail fixes basées sur WebGL (web Graphics Library), l’API multiplateforme qui permet aux cartes graphiques de restituer les graphiques tels qu’ils sont présentés dans le navigateur. Grâce à lui, DrawnApart prend en charge 176 mesures sur 16 points de collecte de données en exécutant des opérations de sommet liées au GLSL court (OpenGL Shading Language), ce qui empêche la répartition des charges de travail sur des unités de travail aléatoires, ce qui rend les résultats reproductibles et, en tant que tels, individuels pour chaque GPU. DrawnApart peut ensuite mesurer le temps nécessaire pour effectuer les rendus de sommets, gérer les fonctions de décrochage et d’autres charges de travail spécifiques aux graphiques.
Selon l’équipe de recherche, il s’agit de la première étude qui explore les variations de fabrication de semi-conducteurs dans un contexte de confidentialité, affirmant que « sur le plan pratique, elle démontre une technique robuste pour distinguer les machines avec des configurations matérielles et logicielles identiques », et a ajouté qu’elle peut augmenter « la durée de suivi médiane à 67 % par rapport à l’état de l’art actuel [online fingerprinting] méthodes. »
Le document précise en outre que l’implémentation actuelle peut réussir à empreintes digitales un GPU en seulement huit secondes, mais avertit que les API de nouvelle génération en cours de développement pour la prochaine étape du World Wide Web pourraient permettre une empreinte digitale encore plus rapide et plus précise. WebGPU, par exemple, prendra en charge les opérations de shader de calcul à exécuter via le navigateur. Les chercheurs ont testé une approche de shader de calcul pour leur processus d’identification DrawnApart et ont constaté que non seulement la précision était considérablement augmentée à 98 %, mais qu’elle réduisait le temps d’identification de 8 secondes à travers les shaders de vertex à seulement 150 millisecondes avec la solution de calcul. Potentiellement, cela pourrait signifier qu’un simple clic erroné sur un site Web pourrait suffire à identifier individuellement les GPU des consommateurs, avec tous les risques que cela implique pour la vie privée et la cybersécurité. De plus, la législation et les protections sur les pratiques de suivi en ligne sont pour la plupart incompétentes pour protéger les utilisateurs de cette technique particulière.
Khronos, l’organisation à but non lucratif responsable du développement de la bibliothèque WebGL, a déjà formé un groupe technique qui explore actuellement des solutions pour atténuer la technique. L’équipe de recherche dans son article a déjà décrit certaines solutions potentielles au problèmea (y compris la prévention de l’exécution parallèle, les changements de valeur d’attribut, le blocage de script, le blocage d’API et la prévention de la mesure du temps) qui seront probablement explorées par l’organisation alors qu’elle tente de freiner cet assaut potentiel. sur la vie privée des utilisateurs en ligne.