La latence du réseau, cette surprenante méthode d'attaque du malware SnailLoad

Publié le 06 juillet 2024 à 17h35

SnailLoad, ce malware qui prend son temps pour retracer votre activité sur le Web - © Bastian Weltjen /Shutterstock

Des chercheurs de l'Université de technologie de Graz ont découvert SnailLoad, une nouvelle attaque exploitant la latence du réseau pour espionner l'activité en ligne des utilisateurs. Cette technique permet de déduire les sites visités et les vidéos regardées sans accéder directement au trafic, avec une précision allant jusqu'à 98 %.

L'espionnage en ligne prend des formes toujours plus sournoises. La dernière en date, une technique baptisée SnailLoad, qui transforme un élément anodin - la latence du réseau - en une arme redoutable pour les pirates. Fini le temps où il fallait pirater un Wi-Fi ou se glisser entre l'utilisateur et le serveur. Désormais, un simple fichier inoffensif suffit pour révéler vos moindres faits et gestes sur le Web.

Cette découverte, on la doit à une équipe de chercheurs de l'Université de technologie de Graz, en Autriche. Leur trouvaille bouscule les idées reçues sur la sécurité en ligne. Plus besoin de code malveillant ou d'interception de données pour vous espionner. Un contact unique avec un serveur malveillant, et le tour est joué. De quoi donner des sueurs froides aux plus paranos d'entre nous.

SnailLoad : quand la lenteur devient une arme

SnailLoad, c'est le nom de code de cette nouvelle menace. Un nom qui en dit long sur son mode opératoire. Imaginez un escargot numérique, lent, mais terriblement efficace. Son truc ? Exploiter les différences de vitesse entre les connexions pour en tirer des informations précieuses sur nos données personnelles.

Le principe est simple. L'attaquant vous fait télécharger un fichier à la vitesse d'un escargot, d'où le nom. Pendant ce temps, il observe les fluctuations de latence de votre connexion. Ces variations forment une sorte d'empreinte digitale unique pour chaque contenu en ligne. Vidéos YouTube, sites Web populaires... Tout y passe.

A découvrir

Meilleur antivirus, le comparatif en octobre 2024

Le plus inquiétant, c'est que cette attaque ne nécessite ni JavaScript ni code malveillant. Un simple fichier CSS ou une image publicitaire suffisent. Autant dire que les antivirus classiques sont aveugles face à cette menace. SnailLoad se joue des protections habituelles en se faisant passer pour un élément inoffensif du Web. C'est vrai, qui aurait peur d'un escargot ?

La force de SnailLoad réside dans son exploitation des goulots d'étranglement du réseau. Ces points de congestion, présents sur toutes les connexions, deviennent des indicateurs précieux pour l'attaquant. Plus votre connexion est lente, plus vous êtes vulnérable. Une aubaine pour les pirates visant les zones rurales ou les pays en développement.

Plus votre connexion est lente, plus vous êtes vulnérable © shutterstock.com

Des dangers bien réels et difficiles à contrer

Les implications de SnailLoad donnent le vertige. Imaginez qu'un site malveillant puisse savoir quelles vidéos vous regardez ou quels sites vous consultez, sans même avoir accès à votre trafic. Les possibilités de ransomware ou de profilage précis sont énormes.

Les tests menés par l'équipe de Graz sont éloquents. Sur dix connexions domestiques testées, SnailLoad a réussi à identifier les vidéos YouTube visionnées avec une précision allant de 37 % à 98 %. Pour les sites Web, le taux de réussite atteint 62,8 %. Des chiffres qui varient selon le type de connexion, mais qui restent impressionnants.

Et comme si cela ne suffisait pas, l'attaque fonctionne sur tous types de connexions Internet. Fibre optique, ADSL, 4G... Aucune n'est épargnée. Les chercheurs ont même réussi à détecter des appels vidéo, ouvrant la porte à une surveillance encore plus poussée de nos activités en ligne.

Hélas, les solutions semblent limitées. Ralentir artificiellement les connexions de manière aléatoire ? Peu réaliste, tant cela impacterait les applications sensibles au temps comme les jeux en ligne ou les vidéoconférences. Les chercheurs ont publié la preuve de leur démonstration sur GitHub, espérant ainsi alerter la communauté sur ce nouveau danger.

Pour l'heure, SnailLoad reste une menace théorique. Mais son potentiel est tel que les experts en sécurité appellent à la vigilance. À l'heure où tout va très vite, SnailLoad semble détonner dans le décor de la cybercriminalité.

A découvrir

Les meilleurs logiciels antispyware en 2024

Source : The Hacker News, Snailload.com, GitHub

Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Articles de Mélina LOUPIA

Données personnelles

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (6)

Kratof_Muller

A coup sûr cela sera utilisé.

Encore faudrait il être capable de reproduire le phénomène, la reconnaissance de signaux a de forte chance d’utiliser un modèle d’apprentissage capable de distinguer ces variations, ce ne devrait pas être à la portée de tous.

Il y a évidemment des zones d’ombre que l’article ne dévoile pas, ces chercheurs vont être très surveillés et/ou très courtisés.

Autre hypothèse le phénomène est utilisé et connu depuis plus longtemps de certains services de renseignements et cette réputée découverte est un coming-out.

Je crois même me souvenir d’un article, ici peut être ou sur futura qui parlait d’un dispositif assez simple qui captait les variations électromagnétiques de l’électronique de la carte mere, ram, IO Reseau en particulier, pouvant même enregistrer ces variations sous forme binaire et injecter des variations sur le principe inverse qu un récepteur peut émettre.
Travaux d’une université israélienne, je crois.

Ou encore un procédé identique qui pouvait comprendre le" grésillement sifflement" d un CRT, méthode adaptée par la suite à l’électronique des LCD .

Werehog

Tout ça me paraît extrêmement théorique, avec des conditions optimales sur un jeu de données extrêmement restreint, pour des résultats pas fous. Même les techniques citées en commentaire par les chercheurs israéliens étaient dans des conditions impossibles à obtenir dans la vraie vie, tout était hyper contrôlé, le moindre parasitage était évité.
Certains universitaires sont prêts à tout pour faire croire que leurs travaux valent la peine d’être financés pour l’année suivante, il y a des (milliards ?) de vidéos sur YouTube et rien pour identifier un ensemble très restreint on était très loin d’un taux de reconnaissance satisfaisant… autant dire totalement inutile pour une vraie utilisation, par qui que ce soit, peu importe les moyens. Enfin c’est que mon avis.

Aegis

Tout à fait d’accord avec toi, c’est de la recherche fondamentale sans application pratique pour le moment.

Un attaquant est drivé par l’économie : coût de son attaque par rapport à la valeur du butin. Ici le coût est élevé, cela demande à analyser toutes les vidéos et pages web existantes pour créer leur signature, et le butin est maigre : savoir quel site en libre accès une personne ciblée consulte.

Snailload fonctionne comme Shazam : il reconnaît le bruit réseau d’une vidéo ou d’une page web. Mais c’est un Shazam avec un taux d’erreur jusqu’à 50% suivant le contenu, et la base de signatures pour le faire fonctionner n’existe pas à ce jour.

Qui va investir les millions nécessaires pour voler une information qui est bien plus facile d’obtenir autrement ? Il est plus simple d’analyser le dns, les cookies ou de suivre la signature du device: https://www.amiunique.org/

En résumé : une démonstration intéressante comme il y en a des milliers, pas une menace pour le moment. Inutile de s’inquiéter.

Aegis

La même news présentée de façon différente:

Des chercheurs réussissent à déterminer en laboratoire lequel des 100 sites les plus connus ou 10 vidéos YouTube d’un échantillon une personne accède. Le taux de réussite varie entre 37 et 98% suivant le type de connection utilisée par la personne attaquée.

L’attaque nécessite que :
1/ la personne accède à un contenu déjà connu,
2/ l’attaquant réussisse à diriger la personne vers un site sous son contrôle
3/ la personne télécharge un contenu très lent depuis le site de l’attaquant pendant tout le temps de l’attaque. Il n’est pas possible de savoir ce qui est accédé avant ou après l’attaque.
4/ la connection locale de la personne attaquée soit lente par rapport au reste du réseau.
5/ la personne attaquée ne fasse rien d’autre qu’accéder au site ciblé et au site de l’attaquant. Si une autre vidéo ou un autre site est consulté en même temps, les résultats de l’étude ne sont pas valides.

L’attaque nécessite l’entraînement d’un réseau neuronal. L’entraînement et l’attaque on été faits en laboratoire sur le même local network. En conditions réelles, l’utilisation d’un network différent pour l’entraînement et l’attaque ne permettent pas d’obtenir les mêmes résultats.

sebstein

Quasiment aucune explication sur le fonctionnement de cette attaque…
Par ex., en quoi le fait de télécharger un fichier random lentement, donnant l’ « emprunte digitale » de la connections de la victime indique son historique de connexion ?

Feunoir

Cela ne donne pas son historique, uniquement ce qu’il fait en // sur un autre onglet/application. S’il lit une video cela fera du coup un peu du fichier lent et une portion de video en rythme (streaming) donc facile de savoir qu’il y a un flux video a coté. En poussant cela au bout, ce rythme peut permettre de savoir quelle vidéo est regardée.
Le titre parle d’un attaque mais c’est, au mieux, une tentative d’espionnage.

Cela se rapproche du Linky qui pour ses opposants du départ peut voir la chaine regardée par comparaison du rythme de la consommation de l’intensité de l’image, image blanche puis noire = telle chaine uniquement. Genre l’info comme quoi ils regardent secret story et Hanouna chaque jour ou du cnews toute la journée. C’est peut être faisable mais autant faire un sondage a mon avis.

Je mets quand même cela au dessus de l’espionnage par micro qui écoute le bruit électrique du cpu car cela ne nécessite pas d’être en local au moins mais c’est quand même aussi capillotracté l’un que l’autre. Mais je frémis chaque fois que je tape mon mot de passe à mon boulot, y a t’il un micro qui enregistre ma frappe sur ce clavier de pc de marque trop commun?