Les chercheurs disent que votre GPU pourrait exposer des informations privées en ligne

Hibou Gourou

À une époque de sensibilisation accrue à la confidentialité en ligne, beaucoup d'entre nous sont conscients de nos empreintes digitales numériques et préfèrent ne pas être suivis. Cependant, ce n'est peut-être pas aussi simple qu'il y paraissait auparavant.

Une équipe internationale de chercheurs a découvert que les utilisateurs peuvent être suivis par leurs cartes graphiques. Cela se fait grâce à une nouvelle technique appelée "empreintes digitales GPU".

Un exemple de la technique d'empreinte GPU.
Un exemple de la technique d'empreinte digitale GPU mettant en vedette deux GPU identiques qui produisent toujours des résultats différents.

Cette nouvelle technologie, nommée DrawnApart par les chercheurs et signalée pour la première fois par Bleeping Computer, s'appuie sur les minuscules différences entre chaque élément matériel afin de faire une distinction qui le lie à un certain utilisateur. Grâce à une série d'identifiants, les chercheurs découvrent qu'ils sont capables de suivre les utilisateurs individuels, ainsi que leur activité en ligne, simplement en mettant en œuvre cette nouvelle technique.

L'équipe couvre plusieurs pays et universités, y compris des chercheurs d'Israël, de France et d'Australie, qui ont publié leurs découvertes en ligne dans un article sur Arxiv.org. Ils ont présenté des exemples de la technique d'empreinte digitale GPU, qui repose sur le fait qu'aucun composant n'est exactement le même, même s'ils font tous partie du même modèle et ont été fabriqués par le même fabricant.

Il existe de minuscules différences dans les performances, la consommation d'énergie et les capacités de traitement de chaque carte graphique . DrawnApart en profite en utilisant des charges de travail fixes basées sur la bibliothèque graphique Web (WebGL). Il s'agit d'une interface de programmation d'application (API) multiplateforme basée sur JavaScript, responsable du rendu des graphiques dans n'importe quel navigateur Web compatible.

À l'aide de WebGL, DrawnApart cible les shaders du GPU avec une séquence spéciale d'opérations graphiques spécialement conçues pour cette tâche. Les opérations de dessin sont ultra précises et permettent aux chercheurs de différencier plus facilement les cartes graphiques, y compris les cartes de même marque et de même modèle.

Une fois la tâche terminée, la technique produit une trace précise avec des mesures de synchronisation qui incluent le temps nécessaire à la carte pour gérer les fonctions de décrochage, les rendus de vertex complets, etc. Comme le timing est individuel à chaque GPU, cela rend l'unité traçable.

Diagramme de durée de suivi de DrawnApart.
DrawnApart : Graphique du temps de suivi moyen par période de collecte.

L'équipe de recherche constate que cette technique offre un haut degré de précision et constitue une amélioration par rapport aux méthodes de suivi existantes. L'algorithme a été testé sur un large échantillon de plus de 2 500 appareils uniques et 371 000 empreintes digitales, et les chercheurs ont noté une amélioration de 67 % par rapport à l'utilisation des seules méthodes d'empreintes digitales actuelles sans DrawnApart. Dans son état actuel, DrawnApart peut prendre l'empreinte d'une carte graphique en seulement huit secondes.

Huit secondes, c'est ultrarapide, mais il existe un potentiel pour un suivi encore plus précis et plus rapide grâce à l'utilisation d'API plus récentes et plus rapides. L'équipe a testé à la place des opérations de shader de calcul et a constaté que les résultats étaient désormais précis jusqu'à 98 % et ne prenaient que 150 millisecondes pour être obtenus.

Bien que les résultats soient impressionnants, il est impossible de nier qu'ils sont aussi terrifiants. Nous nous sommes tous habitués à refuser les cookies sur divers sites Web, mais DrawnApart prouve que cela pourrait bientôt ne pas suffire. L'équipe de recherche est également parfaitement consciente du potentiel d'utilisation abusive que représente l'empreinte digitale du GPU.

"Il s'agit d'une amélioration substantielle du suivi sans état, obtenue grâce à l'utilisation de notre nouvelle méthode d'empreintes digitales. […] Nous pensons que cela soulève des inquiétudes pratiques quant à la vie privée des utilisateurs soumis à la prise d'empreintes digitales », ont déclaré les chercheurs dans leur article.

Comme la technique d'empreinte digitale du GPU peut ne pas nécessiter d'autorisations supplémentaires, les utilisateurs pourraient y être soumis en naviguant simplement sur Internet. Khronos, l'organisation en charge de la bibliothèque WebGL, explore déjà les moyens d'empêcher l'utilisation malveillante de la technique.