Un groupe de chercheurs de France, d'Israël et d'Australie a trouvé un nouveau moyen d'identifier assez précisément chaque utilisateur individuel sur Internet - cela peut être fait discrètement à l'aide de GPU. La nouvelle méthode s'appelle DrawnApart.
Ces dernières années, les gens sont devenus de plus en plus préoccupés par les problèmes de confidentialité sur Internet - beaucoup n'aiment pas catégoriquement le fait que leurs actions soient surveillées. Cela a conduit, par exemple, à des lois obligeant les sites à demander aux utilisateurs l'autorisation de collecter des cookies ou d'autres informations. Dans ce contexte, des sites peu scrupuleux ont commencé à collecter d'autres données d'identification, telles que la configuration de l'appareil et du système d'exploitation, l'heure, la résolution de l'écran, la langue, etc. Mais cela ne permet pas d'identifier précisément chaque utilisateur, sauf peut-être à le diffuser à tel ou tel groupe.
Les chercheurs ont décidé d'examiner la possibilité d'obtenir des identifiants précis basés sur GPU suivis à l'aide de WebGL, une API multiplateforme pour le rendu de graphiques 3D sur le Web qui fait partie de pratiquement tous les navigateurs modernes.
À l'aide de cette bibliothèque, le système de suivi DrawnApart peut compter le nombre et la vitesse des unités d'exécution dans le GPU, mesurer le temps nécessaire pour effectuer le rendu des sommets, le traitement des fonctions et de nombreuses autres tâches. L'outil utilise des programmes GLSL courts sur des shaders de vertex, dont le temps de traitement détermine la configuration du GPU. Les développeurs ont créé à la fois une méthode à l'écran avec un petit nombre d'opérations intensives en calcul et une méthode hors écran qui soumet le GPU à un test plus long et moins intensif.
Le processus génère des "empreintes", constituées de 176 mesures effectuées en 16 points, sur la base desquelles un identifiant unique est obtenu. Fait intéressant, cela dépend uniquement du GPU - le remplacement du CPU ou d'autres composants du PC n'a pas changé les «traces». Et surtout, même deux GPU identiques du même fabricant laissent des "empreintes" légèrement différentes, car pendant le processus de fabrication, ils obtiennent encore de petites différences au niveau des transistors. Ces différences ne sont pas visibles dans les opérations quotidiennes normales, mais elles peuvent être utiles dans le contexte d'un système de suivi sophistiqué comme DrawnApart qui vise à détecter ces différences. Les chercheurs ont testé leurs systèmes sur 2 550 appareils avec 1 605 processeurs différents.
Bien que DrawnApart ne soit pas précis à 100 %, en combinaison avec des algorithmes de suivi modernes, il est capable d'augmenter la durée moyenne de suivi d'un utilisateur cible d'environ 67 %, de 17,5 à 28 jours. De plus, DrawnApart n'est pas affecté par la charge de travail du système et du GPU lui-même, les redémarrages du système et d'autres modifications de celui-ci pendant le fonctionnement.
De plus, les API GPU de nouvelle génération actuellement en cours de développement, principalement WebGPU, incluent des shaders de calcul qui viendront compléter le pipeline graphique existant. Cela pourrait fournir encore plus de moyens d'identifier et de suivre les utilisateurs d'Internet.
Le développeur de l'API WebGL, le groupe Khronos, a reçu le rapport des chercheurs sur la méthode DrawnApart et a déjà formé un groupe pour discuter des solutions possibles au problème avec les développeurs de navigateurs et d'autres parties intéressées.
2022-01-31 12:01:16
Auteur: Vitalii Babkin