Un groupe de chercheurs de l’Université Technologique de Graz a mis au point une nouvelle méthode d’espionnage en ligne nommée SnailLoad, capable de déterminer avec 98 % de précision la vidéo qu’un utilisateur regarde et avec 63 % les sites web qu’il visite.
Intitulé « SnailLoad : Exploiting Remote Network Latency Measurements without JavaScript », l’article est signé par Stefan Gast, Roland Czerny, Jonas Juffinger, Fabian Rauscher, Simone Franza et Daniel Gruss. Ils expliquent comment cette technique n’exige ni l’installation de malware ni l’observation du trafic réseau par une attaque de type « man-in-the-middle ». Il n’est même pas nécessaire que l’attaquant soit physiquement proche pour surveiller les paquets Wi-Fi.
SnailLoad exploite les « subtiles variations des temps de trajet aller-retour des paquets réseau », qui contiennent une empreinte influencée par l’activité de la victime. En faisant télécharger un petit fichier à l’utilisateur, l’attaquant peut mesurer la latence et les changements de vitesse de connexion pour déduire l’activité de l’utilisateur. Ce nom provient de la lenteur du téléchargement, comparée à celle d’un escargot. « Outre sa lenteur, SnailLoad, comme un escargot, laisse des traces et est un peu effrayant », expliquent les chercheurs.
L’attaque est totalement passive et se fait à distance et peut déterminer avec précision ce que l’utilisateur visionne ou fait sur le web. La seule manière de la contrecarrer est de dégrader la connexion internet, ce que la plupart des utilisateurs ne feraient pas. Les chercheurs avertissent que « l’origine du problème ne peut être éliminée et qu’il est nécessaire de poursuivre les recherches pour trouver des solutions satisfaisantes ».
Bien que cette menace soit basée sur des recherches en laboratoire et soit peu probable qu’elle soit exploitée dans le monde réel pour le moment, cette nouvelle méthode « démontre la large gamme de vecteurs d’attaque possibles » qui pourraient « stresser significativement le personnel de sécurité », selon Boris Cipot, ingénieur en sécurité au Groupe d’Intégrité de Logiciel de Synopsys, qui ajoute « qu’il est possible que des vecteurs d’attaque similaires soient déjà utilisés sans que nous le sachions ».
