Une attaque GPU à distance entraîne le risque que les navigateurs donnent aux sites Web l'accès aux cartes graphiques pour d'éventuels exploits de crypto-minage
Des chercheurs de l'Université de technologie de Graz en Autriche et de l'Université de Rennes en France ont révélé une vulnérabilité préoccupante concernant les unités de traitement graphique (GPU), qui pourrait potentiellement être exploitée pour l'extraction de crypto-monnaie et d'autres activités malveillantes. Cette menace récemment découverte cible les navigateurs et les cartes graphiques populaires.
La vulnérabilité se concentre autour de WebGPU, une API permettant aux développeurs Web d'exploiter le GPU d'un ordinateur pour des tâches hautes performances directement dans un navigateur Web. Grâce à une manipulation intelligente de cette API à l'aide de JavaScript, les chercheurs ont démontré un vecteur d'attaque à distance qui fonctionne entièrement au sein du navigateur, éliminant ainsi le besoin d'un accès direct aux API GPU natives.
Cette méthode d’attaque représente l’une des premières instances d’attaque par canal secondaire du cache GPU provenant d’un navigateur Web. En incitant les utilisateurs à visiter un site Web malveillant hébergeant le code d'exploitation, les attaquants peuvent exécuter l'exploit à distance, sans aucune interaction de l'utilisateur au-delà du simple fait de rester sur le site pendant quelques minutes.
Les implications de cette vulnérabilité sont importantes. L'attaque peut être exploitée pour des attaques de timing entre frappes, révélant potentiellement des informations sensibles telles que des mots de passe basées sur le timing de frappe. De plus, il permet l’extraction de clés de chiffrement AES basées sur GPU et établit des canaux d’exfiltration de données secrets avec des taux de transmission modérés.
Les chercheurs soulignent la nécessité pour les fournisseurs de navigateurs de traiter l'accès au GPU avec la même prudence que les autres ressources sensibles en matière de sécurité. Lukas Giner, l'un des chercheurs, souligne les risques posés par les navigateurs accordant aux sites Web un accès illimité au GPU du système hôte, citant le potentiel d'attaques furtives ou même d'opérations secrètes d'extraction de crypto-monnaie à l'insu de l'utilisateur.
La recherche a ciblé une gamme de cartes graphiques de bureau d'AMD et de NVIDIA, affectant les navigateurs prenant en charge WebGPU, notamment Chrome, Chromium, Edge et Firefox Nightly. Malgré les notifications adressées aux développeurs de Mozilla, AMD, NVIDIA et Chromium, seul AMD a répondu, déclarant qu'il ne croyait pas que les chercheurs avaient démontré un exploit contre leurs produits.
Les chercheurs ont suggéré de mettre en œuvre une fenêtre contextuelle d’autorisation semblable à celle permettant d’accéder au microphone ou à la caméra afin d’atténuer le risque. Cependant, l'équipe Chromium a exprimé des réserves, citant le potentiel d'ajouter des frictions aux utilisateurs sans avantages de sécurité correspondants.
Cette révélation souligne la nécessité cruciale de mesures proactives pour sécuriser l'accès au GPU dans les navigateurs, car le fait de ne pas remédier à cette vulnérabilité pourrait exposer les utilisateurs à toute une gamme d'activités malveillantes, allant du vol de données à l'extraction secrète de cryptomonnaies.