AccueilSécuritéBrowser-Fingerprinting : PC, smartphones & Co. peuvent être suivis via le GPU

Browser-Fingerprinting : PC, smartphones & Co. peuvent être suivis via le GPU

Les ordinateurs de bureau, les ordinateurs portables, les smartphones et autres appareils peuvent être identifiés par empreinte digitale lors de la navigation sur des sites web, même sans cookies de suivi sur une longue période. Un groupe de recherche composé d’universités australiennes, françaises et israéliennes prouve aujourd’hui que l’unité graphique d’un appareil peut être utilisée de manière déterminante pour le traçage.

La technique appelée DrawnApart (Paper) permet d’effectuer de brefs calculs graphiques via l’API graphique WebGL, couramment utilisée dans les navigateurs, et de consigner certains paramètres via un simple JavaScript, notamment le nombre de cœurs de shaders, les fréquences d’horloge appliquées et le temps nécessaire au rendu. Les calculs graphiques peuvent être effectués au choix pendant quelques secondes au premier plan ou pendant une période plus longue en arrière-plan.

Étant donné que chaque composant semi-conducteur est unique après le processus d’exposition lors de la fabrication de la puce, il est possible de distinguer des matériels en fait identiques. Chaque GPU, par exemple, a sa propre courbe de tension et de fréquence. Une GeForce RTX 3080 ne se comporte pas comme une autre GeForce RTX 3080, un GPU Adreno 660 intégré dans un smartphone ne se comporte pas comme un autre Adreno 660.

Sommaire

L’équipe de recherche derrière DrawnApart a utilisé ces caractéristiques de performance pour étendre les techniques d’empreintes digitales des navigateurs existants. Ces dernières permettent de lire les configurations matérielles, les versions et les paramètres du navigateur. Les données de DrawnApart permettent de mieux identifier les appareils après des mises à jour logicielles et des changements de matériel, tant que le même GPU est utilisé.

Une technique utilisée jusqu’à présent pour générer des empreintes digitales s’appelle FP Stalker. Dans le document, elle a été testée individuellement et en combinaison avec DrawnApart pendant des mois sur plus de 2500 appareils. Résultat : la durée moyenne de suivi est passée de 16 à 30 jours (+ 66,7%) lorsqu’un site web préparé a été visité tous les six jours. Avec un intervalle de sept jours, la durée moyenne de suivi est passée de 17,5 à 28 jours (+ 60 %). Après ces périodes, seule moins de la moitié des instances de navigateur ont pu être identifiées de manière fiable.

Comparaison de la durée moyenne de suivi entre FP Stalker et FP Stalker + DrawnApart pour des intervalles de visites de 7 jours.

(Image : Document DrawnApart)

Des acteurs majeurs du secteur tels qu’Apple, Mozilla, Microsoft et Google développent actuellement le successeur potentiel de WebGL, WebGPU, qui peut exécuter non seulement des shaders graphiques mais aussi des shaders de calcul complexes. L’équipe de recherche a testé l’exécution de fonctions Mutex sur tous les groupes de shaders d’un GPU et a enregistré quel groupe de shaders exécutait la tâche et à quelle vitesse. Le temps nécessaire à l’identification est ainsi passé de 8 secondes en moyenne à seulement 150 millisecondes, avec une précision de classification de 98 %.

Lire aussi

L’équipe de recherche plaide donc pour que la question de la vie privée soit également prise en compte lors du développement de nouvelles API de navigateur. Le consortium d’entreprises Khronos Group, à l’origine de l’API WebGL, étudie avec les développeurs de navigateurs les possibilités de rendre le suivi par GPU plus difficile.

Plus d'articles