Google et les fournisseurs de GPU ne voient pas la nécessité de répondre
Qu’est-ce qui vient de se passer? Les développeurs de sites Web ont une nouvelle raison de construire des défenses contre l’intégration d’origines croisées, car un exploit de compression GPU récemment publié peut potentiellement utiliser des iframes intersites pour voler des informations sensibles. Les utilisateurs doivent soigneusement réfléchir aux sites qu’ils visitent lorsqu’ils sont connectés aux services essentiels.
Des chercheurs ont récemment découvert que les puces graphiques de tous les principaux fournisseurs partagent une vulnérabilité qui pourrait permettre aux attaquants de voler les noms d’utilisateur ou les mots de passe affichés sur les sites Web. Les fabricants de cartes graphiques et les éditeurs de logiciels sont conscients du problème depuis des mois, mais n’ont pas encore décidé d’y répondre.
L’exploit affecte les navigateurs Web Chrome et Edge, mais pas Firefox ou Safari. Le matériel graphique intégré et dédié d’AMD, Intel, Nvidia, Apple, Arm et Qualcomm est sensible.
Les chercheurs ont conçu une attaque de validation de principe, baptisée GPU.zip, dans laquelle un site Web malveillant contient des iframes intégrées renvoyant à d’autres sites auxquels un utilisateur peut s’être connecté. Si cette dernière page permet de charger des iframes d’origine croisée avec des cookies et restitue des filtres SVG sur les iframes à l’aide du GPU, le site malveillant peut voler et décoder les pixels qu’il affiche. Si un utilisateur est connecté à une page non sécurisée affichant son nom d’utilisateur, son mot de passe ou d’autres informations critiques, cela devient visible pour les attaquants.
Heureusement, la plupart des sites Web qui traitent des données sensibles interdisent l’intégration d’origines croisées et ne sont donc pas affectés. Wikipédia est une exception significative, les éditeurs doivent donc prendre des précautions supplémentaires lorsqu’ils parcourent d’autres sites tout en étant connectés. Pour vérifier la sécurité d’origine croisée d’une page Web, ouvrez la console du développeur, rechargez la page, lisez la demande de document principale sous l’onglet Réseau et vérifiez pour des termes tels que « X-Frame-Options » ou « Content-Security-Policy ».
Le problème provient de la compression GPU, qui améliore les performances mais peut entraîner des fuites de données. Les développeurs de sécurité ont généralement peu de problèmes avec ce problème, car la compression est traditionnellement visible par les logiciels et utilise des algorithmes accessibles au public.
Cependant, la nouvelle recherche démontre l’existence de schémas de compression invisibles par logiciel et propriétaires de chaque fournisseur. Étant donné que les fabricants de puces graphiques retiennent les informations sur cette compression, les groupes de sécurité ont plus de difficultés à la contourner.
Google estime que les précautions prises par les développeurs Web sont suffisantes pour lutter contre le problème et n’a pas indiqué son intention de le résoudre à l’échelle du système. Intel et Qualcomm ont confirmé qu’ils n’agiraient pas, affirmant que le problème était dû aux logiciels tiers. Nvidia, AMD, Apple et Arm n’ont pas publiquement réagi à la nouvelle. Personne n’a confirmé une exploitation active dans la nature, la vulnérabilité n’est donc qu’une faible priorité pour l’instant.
