Attention, votre carte graphique peut vous trahir et divulguer vos données

Il y a quelques jours nous vous avions présenté la journée européenne de la protection des données, qui s'est tenue fin janvier de cette année et qui avait pour objectif de sensibiliser le public aux grandes menaces qu'il peut rencontrer sur internet. Et dernièrement, une nouvelle étude réalisée a mis en lumière un nouveau risque, qui pourrait être signe d'un mauvais présage pour le futur.

un suivi de votre activité en ligne...

Comme le rapporte le site BleedingComputer, une équipe de chercheurs provenant d'universités françaises, australiennes et israéliennes a étudié la possibilité d'utiliser les processeurs graphiques, ou GPU, des internautes afin de créer une sorte d'empreinte digitale unique permettant ainsi de d'assurer un suivi de leurs activités sur internet.

L'expérience a été réalisée sur plus de 2 500 appareils, avec environ 1 600 configurations de CPU (Central Processing Unit) distinctes. Baptisée DrawnApart, cette nouvelle technique semble très efficace, avec une augmentation de la durée médiane de suivi de 67% par rapport aux meilleurs algorithmes actuels.

Il s'agit là d'un véritable problème pour la vie privée des utilisateurs, actuellement protégée par des réglementations de l'Union Européenne en matière de vie privée, avec notamment le consentement des cookies sur les sites web. Mais ces dites lois ont déjà conduit des sites internet peu scrupuleux à collecter des informations telles que la configuration matérielle, le système d'exploitation, les fuseaux horaires, la résolution de l'écran, la langue, etc.

Cette approche contraire à l'éthique reste pour l'instant limitée car ces éléments changent fréquemment, et même lorsqu'ils sont stables, cela ne permet que de classer les utilisateurs dans une catégorie approximative plutôt que de créer une empreinte digitale unique. Enfin jusqu'à présent.

...grâce à votre carte graphique !

Les chercheurs ont donc envisagé la possiblité de créer des empreintes digitales distinctives en se basant sur le GPU des appareils suivis grâce à WebGL (Web Graphics Library). Ce dernier est un API (i.e : une interface de programmation d'applications) permettant d'afficher des éléments 3D présentes sur tous les navigateurs web modernes.

Grâce à cet API, le système de suivi DrawnApart peut compter le nombre et la vitesse des unités d'exécution dans le GPU, mesurer le temps nécessaire pour effectuer une tâche, etc. Pour la partie un peu technique, DrawnApart utilise de courts programmes GLSL exécutés par le GPU ciblé dans le cadre du "vertex shader" afin de surmonter le défi que représente la gestion des calculs par des unités d'exécutions aléatoires. Ainsi, l'allocation de la charge de travail est prévisible et standardisée.

Source : Arxiv.org

Ce processus permet alors de générer des traces composées de 176 mesures prises en 16 points, utilisées ainsi pour créer une sorte d'empreinte digitale. Même en évaluant visuellement les traces brutes individuelles, on peut remarquer des différences et des variations temporelles distinctes entre les appareils.

Lorsque DrawnApart est utilisé avec des algorithmes de suivi dernier cri, la durée médiane de suivi d'un utilisateur ciblé augmente de 67%, passant ainsi d'une durée moyenne de suivi de 17,5 jours à 28 jours avec l'aide de l'empreinte GPU. Le document de recherche conclut alors l'étude ainsi :

Nous pensons qu'une méthode similaire peut également être trouvée pour l'API WebGPU lorsqu'elle deviendra disponible. Les effets des API de calcul accéléré sur la vie privée des utilisateurs devraient être examinés avant qu'elles ne soient activées à l'échelle mondiale.

Source : Arxiv.org

Le développeur de l'API WebGL, le groupe Khronos, a reçu les résultats des chercheurs sur ce sujet et a formé un groupe d'étude technique afin de discuter des solutions potentielles avec les vendeurs de navigateurs et les autres parties prenantes.