Rien à installer, aucun système de sécurité à forcer, et un parc potentiel de victimes énorme : voilà ce qui se présente aujourd'hui aux hackers avec la faille récemment découverte par les chercheurs de l'Université de Columbia.

Intel Haswell processeur  Si vous disposez d'un processeur Intel récent et d'un navigateur Web HTML5, votre système est sans doute vulnérable à ce type d'attaque.

Les chercheurs appellent cet exploit " The Spy in the Sandbox" (L'espion dans le bac à sable), et ce dernier fonctionne avec les PC mais aussi les applications Web ainsi que les machines virtuelles.

Tout ce que le hacker doit faire est d'attirer une victime sur une page web vérolée. C'est là que l'un des composants électroniques intégrés aux processeurs Intel, le High Resolution Timer, entre en jeux et participe malgré lui au piratage.

En étudiant le temps que le PC de la victime met pour accéder à la mémoire, le hacker dispose d'une vue d'ensemble de l'historique du navigateur, des touches tapées, et des mouvements de souris.

L'attaque permet d'espionner un utilisateur, pas forcément de récupérer des données sensibles. La méthode n'est pas nouvelle, elle est utilisée par les hackers depuis plusieurs années. Le fait d'interpréter ce qui se passe dans un ordinateur en mesurant d'autres données de réaction date d'avant les années 1980.

Les chercheurs de l'université de Columbia ont démontré la faisabilité du procédé dans le but d'interpeller les éditeurs de navigateurs Web ainsi que les fondeurs sur les risques encourus par le détournement de l'équipement qui régit le cache mémoire. Ils expliquent que cette faille n'existerait pas si les navigateurs avaient recours à différents Javascripts qui se chargeraient d'analyser les accès mémoire pour tenter de repérer un éventuel espion.

Source : Forbes