Des chercheurs de quatre universités américaines ont découvert une sérieuse faille de sécurité au sein de la plupart des cartes graphiques du marché. La brèche, intitulée GPU.zip, affecte les GPU d’AMD, Apple, Arm, Intel et de Qualcomm.
D’après les experts, il est donc probable que la carte au sein de votre appareil soit bel et bien concernée. La grande majorité des ordinateurs portables, smartphones, tablettes et ordinateurs de bureau sont vraisemblablement affectés.
À lire aussi : Intel et « la chute » – des milliards de processeurs ont une grave faille de sécurité
Du vol de données à travers les GPU
En exploitant cette vulnérabilité, un attaquant peut dérober des informations privées et sensibles, comme des noms d’utilisateur et des mots de passe, à l’insu des usagers. Ces données peuvent ensuite être exploitées pour se connecter à un compte ou un service en ligne en usurpant l’identité de l’utilisateur.
Concrètement, la brèche autorise un accès « aux données visuelles traitées par la carte graphique ». Des sites web malveillants peuvent alors piocher dans ces données, et reconstruire tous les pixels collectés, pour s’emparer d’informations sensibles concernant un autre site. En l’occurrence, il s’agit des données d’identification.
Pour démontrer leurs conclusions, les chercheurs universitaires ont mené une attaque par le biais du navigateur web Google Chrome. En exploitant GPU.zip, ils ont pu dérober des données, sous la forme de pixels, appartenant à des sites web. Les données sont alors reconstruites un pixel à la fois. En se servant de la faille, l’attaquant contourne en fait un grand principe de la sécurité informatique, qui veut que ces données soient isolées, à l’abri d’un éventuel pirate.
Le problème de la compression des données
Selon le rapport des chercheurs, la brèche concerne un mécanisme très répandu sur les cartes graphiques actuelles, « la compression graphique des données ». Ce système consiste à compresser des données liées aux graphiques ou à l’imagerie à l’aide de la puissance de calcul du GPU. Les données graphiques, telles que des images ou des vidéos, sont alors plus petites et plus faciles à gérer.
Ce système permet d’améliorer les performances… tout en ouvrant une porte d’accès aux pirates. En effet, cette optimisation « crée un canal latéral qui peut être exploité par un attaquant ». Par le biais d’un navigateur, les données qui ont été compressées par le GPU peuvent être exfiltrées. Les chercheurs à l’origine de la découverte expliquent :
« Si un utilisateur connecté à Wikipédia visite une page Web malveillante, cette page Web peut exploiter GPU.zip pour découvrir le nom de l’utilisateur sur Wikipédia ».
Un correctif qui se laisse désirer
Les experts américains indiquent avoir prévenu AMD, Apple, Arm, Intel, Nvidia, Qualcomm et Google en mars 2023. Plusieurs mois plus tard, il s’avère qu’aucune entreprise n’a pris la peine de déployer un correctif. Surtout, aucun fabricant ne s’est engagé à se pencher sur le problème, en dépit de la mise en garde. Seul Google semble hésiter et serait « toujours en train de décider » si GPU.zip vaut un correctif.
« Les fournisseurs de GPU ont largement refusé d’agir ; l’un a déclaré que le canal latéral n’était pas de sa responsabilité », regrettent les experts sur le site dédié à GPU.zip.
Fort heureusement, les chercheurs précisent que la menace réelle est relativement minime. En effet, la plupart des sites web ne sont pas sensibles à une attaque de cet acabit. Néanmoins, « certains sites web restent vulnérables », met en garde le rapport. De plus, des navigateurs très populaires, comme Edge et Chrome, sont aussi concernés. C’est pourquoi ils encouragent chaudement les constructeurs à déployer malgré tout un correctif dans les plus brefs délais.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : GPU.zip
Ça suffit avec votre faille de sécurité sur ma carte graphique !!!
N