Une attaque par canal secondaire potentiellement effrayante, bien que difficile à mettre en œuvre, qui pourrait permettre à des sites Web malveillants de lire et d’extraire des données sensibles, a fait son apparition. La vulnérabilité affecte tous les fabricants de GPU sur des appareils allant des PC aux ordinateurs portables et téléphones.
Selon un article publié par des chercheurs de quatre universités américaines (via Ars Technica), l’attaque dite GPU.zip concerne les données de compression GPU. Ceci est propriétaire et nécessiterait donc qu’un pirate informatique ait une connaissance approfondie des algorithmes de compression GPU, qui sont de nature fermée et nécessiteraient une ingénierie inverse. Ce n’est pas une mince affaire pour commencer.
Un site Web malveillant peut alors utiliser un filtre SVG (graphiques vectoriels évolutifs) multi-origine pour lire les pixels affichés par un autre site Web. Il fonctionne en visitant un site Web avec des éléments HTML iframe intégrés. L’iframe renvoie à la page Web d’origine croisée permettant à un pirate informatique d’extraire les informations telles qu’elles apparaissent à l’écran, un pixel à la fois.
Mais cela dépend également du navigateur Web. Selon les chercheurs, Firefox et Safari ne répondent pas aux exigences nécessaires au fonctionnement de GPU.zip, alors attribuez-leur une note, je suppose.
En ce qui concerne le correctif, on pense que les fabricants de GPU font pression pour une solution logicielle. Dans une déclaration fournie à Bleeping Computer, un porte-parole d’Intel aurait déclaré : « Bien qu’Intel n’ait pas eu accès à l’article complet du chercheur, nous avons évalué les conclusions des chercheurs qui ont été fournies et déterminé que la cause première ne réside pas dans nos GPU mais dans logiciel tiers. »
Il n’y a pas lieu de paniquer. Les pirates informatiques disposent de moyens beaucoup plus simples pour voler vos données, étant donné qu’ils sont des larves paresseuses. La plupart des sites Web hébergeant des informations sensibles n’autorisent pas l’intégration d’origines croisées. Bien que l’attaque de validation de principe ait été réalisée via Wikipédia, il ne s’agit donc pas uniquement de sites super obscurs.
Bien que cette attaque ne vous oblige pas à débrancher immédiatement la prise d’alimentation de votre PC, il s’agit simplement d’un autre rappel de la course aux armements en matière de sécurité en cours. C’est un autre exemple d’optimisation matérielle ouvrant des vulnérabilités aux attaques par canal secondaire.
Les façons nouvelles et originales d’arnaquer les gens ne s’arrêteront jamais. Alors oui, gardez toujours vos logiciels et votre système d’exploitation à jour et évitez les sites Web particulièrement douteux.