Les résultats de recherche peuvent parois être très étonnantes. La dernière étude menée par des chercheurs travaillant pour l'université de Lille, le CNRS et l'Inria ainsi que des universités de Negev en Israël, d'Adelaide en Australie en fait partie. Ces derniers sont ainsi parvenus à utiliser les GPU des PC utilisés par des internautes afin de déterminer leur navigation web. Cette technique porte un nom : Drawnapart. Entrant dans la catégorie des « empreintes numériques », elle peut selon les chercheurs identifier un terminal à partir de les propriétés uniques de sa puce GPU. « Nous montrons que les variations de vitesse entre les multiples unités de traitement qui comprennent un GPU peuvent servir de signature fiable et robuste d'un appareil qui peut être collectée à l'aide d'un JavaScript ne nécessitant pas de privilège », peut-on lire dans la recherche.
Pour ce faire, des données issues de plus de 2 500 terminaux ont été analysées embarquant différents systèmes graphiques (Intel HD Graphics 2500, Nvidia GTX1650, Apple M1, Mali-G71...), permettant de constater une augmentation pouvant atteindre 67% de la durée de tracking par rapport à d'autres méthodes traditionnelles de suivi. Cette recherche soulève bien entendu des questions liées à la protection de la vie privée et des données personnelles, l'utilisateur n'ayant aucune possibilité de contrôler le traçage de leur navigation web comme cela serait possible en refusant les cookies. « Il s'agit du premier travail qui explore les différences de fabrication entre GPU identiques et le premier à exploiter ces distinctions dans un contexte de confidentialité. Sur le plan pratique, il fait preuve d'une robustesse technique de distinction entre machines de même configurations matérielles et logicielles, une technique qui offre des gains de précision pratiques dans un cadre réaliste », soulignent les experts. Le scénario d'étude retenu consiste à considérer que l'identification d'un navigateur permet de tracer un utilisateur.
Des gains de précision de tracking significatifs
Cette technique de suivi de navigation web grâce à la technique d'empreinte GPU se base sur l'analyse des variations infimes de vitesse des unités de traitement. « Nous étudions les performances de notre technique d'empreintes numériques avec plusieurs ensembles de terminaux identiques, démontrant qu'elle peut distinguer les appareils dotés d'un matériel identique et configurations logicielles », indique la recherche. « Nous intégrons Drawnapart dans l'algorithme d'empreintes digitales d'Antoine Vastel [déjà impliqué dans d'autres études similaires] et montrons, grâce à une expérience participative à grande échelle avec plus de 2 500 appareils uniques et près de 371 000 empreintes digitales que Drawnapart livre des gains considérables à la précision de suivi ».
Gains de précision de tracking de la navigation web selon différents systèmes graphiques obtenus en conditions de laboratoire. (crédit : DR)
Les chercheurs ont envisagé la possibilité de créer des empreintes numériques distinctives basées sur le GPU (unité de traitement graphique) des systèmes suivis à l'aide de l'API multi-plateformes WebGL (Web Graphics Library) que l'on retrouve dans Safari, Chrome, Edge et Firefox. À l'aide de cette bibliothèque, le système de suivi DrawnApart peut compter le nombre et la vitesse des unités de traitement dans le GPU, mesurer le temps nécessaire pour effectuer les rendus de vertex, gérer les fonctions handle stall, etc. « Notre technique fonctionne aussi bien sur PC que sur les terminaux mobiles », ont prévenu les chercheurs. Lorsqu'ils ont par ailleurs effectué des tests avec WebGL 2.0 et ont constaté que DrawnApart apportait une précision de classification de 98% en seulement 150 millisecondes. Soit bien plus rapidement que les 8 secondes utilisées pour collecter les données d'empreintes digitales via WebGL.
Des résultats partagés avec ARM, Google et Mozilla
« Nous pensons qu'une méthode similaire peut également être trouvée pour l'API WebGPU une fois qu'elle sera généralement disponible. Les effets des API de calcul accéléré sur la confidentialité des utilisateurs doivent être pris en compte avant leur activation globale », pointent les chercheurs. Certaines variables liées aux changements de valeur d'attribut, blocage de script ou d'API peuvent toutefois avoir des conséquences sur la fiabilité des résultats ont-ils toutefois prévenu. « Nous avons partagé un avant-projet de notre papier avec Intel, ARM, Google, Mozilla et Brave pendant juin-juillet 2020 et continué à partager nos progrès avec eux tout au long de 2020 et 2021. En réponse à la divulgation, le groupe Khronos responsable de la spécification WebGL a créé un groupe d'étude technique pour discuter de cette recherche et ses incidences avec les fournisseurs de navigateurs et d'autres parties prenantes ».
Commentaire