Des chercheurs en sécurité de l'Université de Technologie de Graz ont dévoilé une nouvelle technique d'attaque par canal parallèle baptisée SnailLoad. Cette technique permet à un pirate d'interférer à distance l'activité web d'un utilisateur.
Un virus caché sous forme d'escargot
« SnailLoad exploite un goulet d'étranglement présent sur toutes les connexions internet », expliquent les chercheurs dans une étude publiée tout récemment. « Ce goulet d'étranglement influence la latence des paquets réseau, permettant à un attaquant de déduire l'activité réseau en cours sur la connexion internet de quelqu'un d'autre. Un attaquant peut utiliser ces informations pour deviner les sites web visités par un utilisateur ou les vidéos qu'il regarde. »
L'attaque ne nécessite pas d'interception du trafic Wi-Fi contrairement aux techniques traditionnelles. Plus précisément, celle-ci consiste à piéger la cible en lui faisant charger un élément inoffensif (par exemple, un fichier, une image ou une publicité) depuis un serveur contrôlé par l'attaquant. Ce dernier exploite ensuite la latence du réseau de la victime comme un canal parallèle pour déterminer ses activités en ligne. Pour effectuer cette attaque par empreinte digitale et glaner quel site web ou quelle vidéo un utilisateur pourrait être en train de regarder ou de visiter, l'attaquant effectue une série de mesures de latence de la connexion réseau de la victime pendant que le contenu est téléchargé depuis le serveur.
Une attaque lente, mais bien dangereuse
Vient ensuite une phase de post-traitement qui utilise un réseau neuronal convolutif (CNN) entraîné avec des traces provenant d'une configuration réseau identique pour réaliser l'inférence avec une précision pouvant atteindre 98% pour les vidéos et 63% pour les sites web. En d'autres termes, grâce au goulet d'étranglement du réseau côté victime, l'attaquant peut déduire la quantité de données transmises en mesurant le temps aller-retour des paquets (RTT). Les traces RTT étant uniques par vidéo, elles peuvent être utilisées pour classifier la vidéo regardée par la victime.
Crédit photo : Freepik
L'attaque est ainsi nommée, car le serveur attaquant transmet le fichier à une vitesse très lente (comme un escargot) afin de surveiller la latence de la connexion sur une période prolongée. « SnailLoad ne nécessite pas de JavaScript, aucune forme d'exécution de code sur le système de la victime, et aucune interaction de l'utilisateur, mais seulement un échange constant de paquets réseau », expliquent les chercheurs, ajoutant qu'elle « mesure la latence vers le système de la victime et déduit l'activité du réseau sur le système de la victime à partir des variations de latence. »