Presque toutes les units de traitement graphique (GPU) modernes sont vulnrables un nouveau type d’attaque par canal auxiliaire qui pourrait tre utilis pour obtenir des informations sensibles, selon une quipe de chercheurs de diverses universits des tats-Unis.
La nouvelle mthode d’attaque, appele GPU.zip, a t dcouverte et dcrite en dtail par des reprsentants de l’universit du Texas Austin, de l’universit Carnegie Mellon, de l’universit de Washington et de l’universit de l’Illinois Urbana-Champaign.
L’attaque GPU.zip exploite la compression matrielle des donnes graphiques, une optimisation des GPU modernes conue pour amliorer les performances.
« GPU.zip exploite les utilisations transparentes de la compression au niveau logiciel. Cela contraste avec les canaux auxiliaires de compression antrieurs, qui fuient en raison d’utilisations visibles de la compression dans le logiciel et qui peuvent tre attnus en dsactivant la compression dans le logiciel« , expliquent les chercheurs.
Contrairement de nombreuses autres attaques par canal auxiliaire rcemment divulgues, qui ncessitent une forme d’accs l’appareil cibl, GPU.zip peut tre exploit en attirant l’utilisateur cibl sur un site web malveillant. Grce cette attaque, le site de l’attaquant peut voler des donnes partir d’autres sites web visits en mme temps par la victime.
Plus prcisment, la mthode peut tre utilise par le site web malveillant pour voler des pixels individuels d’un autre site ouvert au mme moment. Cela permet de voler des informations visibles l’cran, comme les noms d’utilisateur, qui peuvent tre utiliss pour dsanonymiser un utilisateur.
Bien que les sites web contenant des informations sensibles soient gnralement configurs pour empcher ce type de fuite, certains sites populaires restent vulnrables.
Les chercheurs ont dmontr l’attaque sur Wikipdia, en volant le nom d’utilisateur de la personne cible, qui est affich dans le coin suprieur. Toutefois, il convient de noter qu’il faut beaucoup de temps au site malveillant pour obtenir les informations par le biais d’une attaque GPU.zip.
Lors de deux expriences menes par les chercheurs, il a fallu 30 minutes et 215 minutes pour obtenir le nom d’utilisateur de Wikipdia.
Nanmoins, les dveloppeurs devraient s’assurer que leurs sites web ne sont pas vulnrables, en les configurant de manire ce qu’ils refusent d’tre intgrs par des sites d’origine croise.
Des informations sur les rsultats et le code de validation du concept ont t fournies AMD, Apple, Arm, Intel, Nvidia et Qualcomm en mars 2023, mais aucun d’entre eux ne s’est engag publier des correctifs la date de septembre 2023.
Il a t dmontr que l’attaque fonctionne sur le navigateur web Chrome. D’autres navigateurs largement utiliss, tels que Safari et Firefox, ne sont pas concerns. Google a galement t inform en mars 2023 du risque potentiel, mais le gant de l’internet est toujours en train de dcider s’il doit corriger le problme et de quelle manire, ont indiqu les chercheurs.
Source : Article de recherche
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi