Des chercheurs de la Graz University of Technology ont mis au point une technique de pistage web capable d'identifier les sites visités et les applications actives sur une machine, sans aucune interaction de l'utilisateur. L'attaque, qu'ils ont baptisée FROST (Fingerprinting Remotely using OPFS-based SSD Timing), exploite une API de stockage local présente dans tous les navigateurs modernes : l'Origin Private File System (OPFS).
Le principe est simple en apparence. Un site malveillant utilise OPFS pour déclencher des opérations d'accès au SSD, puis mesure les variations de latence qui en résultent. Ces micro-variations reflètent la contention d'accès au stockage : quand d'autres processus système ou d'autres onglets sollicitent le disque simultanément, les temps de réponse fluctuent de façon caractéristique. En analysant ces fluctuations, le site peut inférer ce que l'utilisateur fait par ailleurs, quels services web il consulte, quelles applications tournent en arrière-plan.
Les résultats ont été présentés à la conférence DIMVA en juillet 2026. Les taux de précision mesurés lors des tests, conduits sur macOS, atteignent 89 % pour l'identification des sites visités et 96 % pour celle des applications en cours d'exécution. La technique fonctionne sur Chrome, Firefox et Safari.
La divulgation responsable effectuée auprès de Google, Mozilla et Apple n'a, à ce stade, débouché sur aucun correctif déployé. Chromium ne considère pas le fingerprinting comme une faille de sécurité à part entière. Apple a indiqué que le problème était hors de son périmètre immédiat, tout en évoquant des atténuations possibles à l'avenir. Mozilla a pris note des travaux sans publier de patch. Aucun CVE n'a été assigné, et aucune exploitation dans la nature n'est confirmée à ce jour.
Ce qui distingue FROST des techniques de fingerprinting habituelles, c'est qu'elle ne s'appuie sur aucun vecteur d'exploitation classique. Pas de fuite mémoire, pas de vulnérabilité logicielle à corriger par un patch. L'attaque utilise une fonctionnalité légitime, conçue et exposée délibérément par les navigateurs pour permettre aux applications web de stocker des données localement dans un environnement sandboxé.
Pour les équipes sécurité, cela crée un angle mort difficile à adresser par les moyens conventionnels. Les outils de détection orientés réseau ou endpoint ne verront rien d'anormal : le code JavaScript en cause s'exécute passivement, sans requérir la moindre permission utilisateur, sans déclencher d'alerte de navigateur. La surface d'attaque se trouve ici dans la couche navigateur elle-même, là où les contrôles de sécurité traditionnels ont le moins de prise.
La valeur de ce type de technique pour un attaquant est réelle. Identifier les applications métier actives sur le poste d'un décideur, cartographier les habitudes de navigation d'un employé cible, corréler des comportements à des contextes précis, tout cela nourrit des attaques d'ingénierie sociale ou des campagnes de compromission ciblées beaucoup plus efficacement que des données de fingerprinting génériques.
L'API OPFS est accessible depuis n'importe quelle page web via JavaScript, sans déclaration préalable ni consentement explicite de l'utilisateur. Elle donne aux applications web un accès à un espace de fichiers local, isolé par origine, présenté comme sécurisé par conception.
FROST détourne cet accès en chronométrant les opérations d'écriture et de lecture sur cet espace. Lorsqu'un autre processus sollicite le même contrôleur SSD — une autre application, un autre onglet, un service système — la latence mesurée augmente de façon détectable. En répétant ces mesures et en analysant les patterns de variation, l'attaquant construit une empreinte temporelle caractéristique de l'activité en cours sur la machine.
Le modèle de classification entraîné par les chercheurs atteint 96 % de précision sur l'identification des applications actives. Ces chiffres ont été obtenus sur macOS, mais la technique repose sur des mécanismes présents sur tous les systèmes d'exploitation utilisant des SSD, ce qui en étend théoriquement le périmètre.
Tout environnement où des utilisateurs naviguent sur le web depuis des postes équipés de SSD est potentiellement exposé. En pratique, cela couvre la quasi-totalité des parcs informatiques d'entreprise, des administrations et des établissements financiers aujourd'hui.
Les profils les plus à risque sont ceux dont la navigation web est associée à des activités sensibles : accès à des plateformes métier critiques, connexion à des environnements de gestion de trésorerie ou de risque, consultation de documents confidentiels en ligne. Un attaquant qui réussit à placer du JavaScript de fingerprinting sur un site visité régulièrement par ce type de profil peut cartographier leur environnement applicatif de façon très précise.
Les organisations ayant adopté des stratégies BYOD ou autorisant l'accès aux applications internes depuis des navigateurs non maîtrisés augmentent leur exposition. De même, les environnements où le contrôle des extensions navigateur et des sites autorisés est limité.
Cartographier l'usage de l'OPFS dans votre parc. Identifier quelles applications web internes ou tierces utilisent cette API. Cela permet de distinguer les usages légitimes d'un éventuel trafic suspect et de poser une base pour une politique de restriction ciblée.
Renforcer l'isolation des onglets navigateur. Activer et vérifier les configurations de Site Isolation sur les navigateurs Chromium déployés en entreprise. Cette mesure ne bloque pas FROST directement, mais réduit la surface d'interférence entre origines et complique la collecte de signal.
Restreindre l'accès JavaScript sur les sites non approuvés. Déployer ou durcir les politiques de Content Security Policy (CSP) et envisager des solutions de filtrage DNS et proxy qui limitent l'exécution de scripts sur des domaines non référencés. Les utilisateurs à profil sensible devraient naviguer dans des environnements cloisonnés.
Intégrer ce vecteur dans vos scénarios de threat modeling. Les indicateurs de compromission classiques ne permettront pas de détecter cette technique. Le travail de détection passe par l'analyse comportementale et la surveillance des accès inhabituels aux API navigateur, à intégrer dans vos revues de risque périodiques.
Suivre les mises à jour des éditeurs de navigateurs. Aucun correctif n'est disponible au moment de la publication. Mettre en place une veille active sur les bulletins de sécurité de Google Chrome, Mozilla Firefox et Apple Safari concernant spécifiquement l'OPFS et les API de stockage web.
Non, dans l'état actuel des choses. L'attaque s'exécute entièrement dans le navigateur via JavaScript standard, sans comportement malveillant au niveau système détectable par un EDR. Elle ne génère pas d'alerte réseau particulière non plus. La détection nécessite une analyse spécifique des comportements au niveau des API navigateur.
C'est une option à envisager pour les postes à haute sensibilité, mais elle peut casser des applications web légitimes qui dépendent de cette API. Il vaut mieux commencer par cartographier les usages avant de désactiver quoi que ce soit. Une désactivation ciblée par profil utilisateur est plus réaliste qu'un blocage global.
Aucune exploitation dans la nature n'est confirmée à ce jour. Les travaux sont issus d'un contexte académique et les chercheurs ont suivi une procédure de divulgation responsable. Cela ne signifie pas que la technique est ignorée des acteurs malveillants, mais aucun incident documenté n'existe pour l'instant.
Les tests publiés ont été conduits sur macOS, mais la technique repose sur des mécanismes présents sur tout système équipé d'un SSD et utilisant un navigateur moderne. Il n'existe pas de raison technique qui limiterait FROST à un seul système d'exploitation.
