... Cette vulnérabilité autoriserait un site malveillant à "lire" les pixels d'un autre site, lui révélant ainsi le texte, tels que les identifiants et mots de passe par exemple. C'est du moins ce que des chercheur.euse.s en sécurité ont réussi à démontrer.
Cette faille viole l'un des principes de la sécurité du web connu sous le nom de Same Origin Policy (SOP), qui consiste à n'autoriser les interactions qu'entre les pages d'un même domaine, et à interdire toute interaction avec des sites non liés.
C'est cette règle que les GPU (Graphical Processing Units, ou processeurs graphiques) permettent de contourner : le site malveillant contient un lien vers le site visé dans un iframe (un élément qui permet d'intégrer dans la page des ads, des images ou d'autres éléments hébergés sur un autre site). En vertu de la SOP, aucun des deux sites ne devrait pouvoir inspecter le contenu ou le code source de l'autre, mais le GPU, qui ne contient aucune info sur l'origine des données afin d'optimiser leur compression, va agir comme un canal auxiliaire permettant de voler le contenu de la cible pixel par pixel.
La bonne nouvelle, c'est que les navigateurs Firefox et Safari ne permettent pas la réussite de cette attaque. Celle-ci suppose le chargement de la page malveillante depuis Edge ou Chrome. Il faut aussi que le site ciblé autorise l'intégration par d'autres domaines.
Ces limitations permettent à l'auteur d'affirmer que pour l'instant, cette attaque "est plus une curiosité qu'une menace", bien que l'article mentionne d'autres types d'attaques menées par des acteurs malveillants et utilisant la compression des données comme canal auxiliaire.
Un article de Dan Goodin :
https://arstechnica.com/security/2023/09/gpus-from-all-major-suppliers-are-vulnerable-to-new-pixel-stealing-attack/
