Presque toutes les unités de traitement graphique (GPU) modernes sont vulnérables à un nouveau type d'attaque par canal auxiliaire qui pourrait être utilisé pour obtenir des informations sensibles, selon une équipe de chercheurs de diverses universités des États-Unis.La nouvelle méthode d'attaque, appelée GPU.zip, a été découverte et décrite en détail par des représentants de l'université du Texas à Austin, de l'université Carnegie Mellon, de l'université de Washington et de l'université de l'Illinois Urbana-Champaign.
L'attaque GPU.zip exploite la compression matérielle des données graphiques, une optimisation des GPU modernes conçue pour améliorer les performances.
"GPU.zip exploite les utilisations transparentes de la compression au niveau logiciel. Cela contraste avec les canaux auxiliaires de compression antérieurs, qui fuient en raison d'utilisations visibles de la compression dans le logiciel et qui peuvent être atténués en désactivant la compression dans le logiciel", expliquent les chercheurs.
Contrairement à de nombreuses autres attaques par canal auxiliaire récemment divulguées, qui nécessitent une forme d'accès à l'appareil ciblé, GPU.zip peut être exploité en attirant l'utilisateur ciblé sur un site web malveillant. Grâce à cette attaque, le site de l'attaquant peut voler des données à partir d'autres sites web visités en même temps par la victime.
Plus précisément, la méthode peut être utilisée par le site web malveillant pour voler des pixels individuels d'un autre site ouvert au même moment. Cela permet de voler des informations visibles à l'écran, comme les noms d'utilisateur, qui peuvent être utilisés pour désanonymiser un utilisateur.
Bien que les sites web contenant des informations sensibles soient généralement configurés pour empêcher ce type de fuite, certains sites populaires restent vulnérables.
Les chercheurs ont démontré l'attaque sur Wikipédia, en volant le nom d'utilisateur de la personne ciblée, qui est affiché dans le coin supérieur. Toutefois, il convient de noter qu'il faut beaucoup de temps au site malveillant pour obtenir les informations par le biais d'une attaque GPU.zip.
Lors de deux expériences menées par les chercheurs, il a fallu 30 minutes et 215 minutes pour obtenir le nom d'utilisateur de Wikipédia.
Néanmoins, les développeurs devraient s'assurer que leurs sites web ne sont pas vulnérables, en les configurant de manière à ce qu'ils refusent d'être intégrés par des sites d'origine croisée.
Des informations sur les résultats et le code de validation du concept ont été fournies à AMD, Apple, Arm, Intel, Nvidia et Qualcomm en mars 2023, mais aucun d'entre eux ne s'est engagé à publier des correctifs à la date de septembre 2023.
Il a été démontré que l'attaque fonctionne sur le navigateur web Chrome. D'autres navigateurs largement utilisés, tels que Safari et Firefox, ne sont pas concernés. Google a également été informé en mars 2023 du risque potentiel, mais le géant de l'internet est toujours en train de décider s'il doit corriger le problème et de quelle manière, ont indiqué les chercheurs.
Source : Article de recherche
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi
Une nouvelle attaque peut révéler l'identité des utilisateurs anonymes sur tous les principaux navigateurs, sans que l'utilisateur ne détecte le piratage 55 % des professionnels de la sécurité informatique citent le vol de données comme leur principale préoccupation, suivi du phishing et des ransomwares, d'après une étude d'Integrity360 Des cybercriminels utilisent un certificat Nvidia pour les faire apparaître comme des applications Nvidia sur Windows, des identifiants de plus de 70 000 employés de Nvidia ont fuité