100 millions d’utilisateurs exposés. Une faille inédite, baptisée FROST, permet d’espionner vos activités en ligne via l’activité de votre SSD. Sans clic, sans permission. Les chercheurs en cybersécurité tirent la sonnette d’alarme : cette technique contourne les protections classiques comme les VPN. Chrome, Edge et Firefox sont concernés. Aucun correctif n’est encore disponible.
FROST : une faille qui exploite une API méconnue des navigateurs
La faille FROST (File Read Origin Spying Technique) cible l’API Origin Private File System (OPFS). Cette fonctionnalité, présente dans les navigateurs modernes, permet aux sites web de stocker des fichiers localement sur votre disque dur.
Problème : FROST mesure les variations d’activité du SSD pour identifier les applications et sites utilisés. Un site malveillant peut ainsi détecter si vous utilisez Google Docs ou un service bancaire, sans interaction de votre part.
Comment FROST fonctionne-t-elle ? Les chiffres clés
FROST repose sur une analyse fine des patterns d’écriture et de lecture sur le SSD. Voici les éléments clés révélés par les chercheurs :
- Aucune permission requise : la faille s’exécute en arrière-plan, sans alerte.
- Précision élevée : distingue des activités spécifiques (ex : édition de document vs navigation).
- Impact massif : concerne Chrome, Edge et Firefox, soit des centaines de millions d’utilisateurs.
- Contournement des protections : VPN et chiffrement ne bloquent pas cette attaque.
- Démonstration réussie : les chercheurs ont identifié des sites comme Google Docs ou des banques en ligne.
Cette technique exploite une faille logique dans l’API OPFS, rendant les correctifs complexes à déployer.
FROST vs autres failles : comparaison des risques
Contrairement aux attaques classiques, FROST ne repose pas sur des vulnérabilités logicielles traditionnelles. Voici une comparaison avec d’autres menaces :
| Type de faille | Méthode d’exploitation | Protection possible | Impact utilisateur |
|---|---|---|---|
| FROST | Analyse de l’activité SSD via OPFS | Bruitage artificiel (en étude) | Espionnage des activités en ligne |
| Phishing | Usurpation d’identité (email/faux site) | Vigilance, authentification forte | Vol de données sensibles |
| Ransomware | Chiffrement des fichiers | Sauvegardes, antivirus | Perte de données, rançon |
| Keylogger | Enregistrement des frappes clavier | Antivirus, détection comportementale | Vol de mots de passe |
Que faire face à cette menace ? Analyse et perspectives
Solutions temporaires en attendant un correctif
Les chercheurs proposent des pistes pour limiter les risques. Le bruitage artificiel des accès SSD pourrait perturber les analyses. Une autre option : désactiver l’API OPFS, mais cela peut casser certaines fonctionnalités des sites.
Responsabilité des éditeurs de navigateurs
Google, Mozilla et Microsoft sont informés. Une mise à jour de l’API OPFS est attendue, mais son déploiement prendra du temps. Les utilisateurs doivent rester vigilants, surtout pour les activités sensibles comme les opérations bancaires.
Ce qu’il faut retenir sur FROST
- FROST exploite l’API OPFS pour espionner l’activité SSD sans permission.
- 100 millions d’utilisateurs potentiellement exposés via Chrome, Edge et Firefox.
- Aucun correctif disponible, mais des solutions temporaires sont à l’étude.
- Cette faille contourne les protections classiques comme les VPN.
- Les éditeurs de navigateurs doivent agir rapidement pour sécuriser l’API.
❓ Questions fréquentes
FROST peut-elle voler mes mots de passe ?
Non. FROST identifie les sites et applications utilisés, mais ne récupère pas directement les données saisies comme les mots de passe.
Comment savoir si je suis victime de FROST ?
Il est impossible de détecter cette attaque, car elle ne laisse aucune trace visible. La prévention repose sur la vigilance et les mises à jour.
Quels navigateurs sont concernés ?
Chrome, Edge et Firefox sont affectés, car ils utilisent tous l’API OPFS. Les autres navigateurs n’ont pas encore été testés.
En résumé
FROST révèle une nouvelle faille dans la protection de la vie privée en ligne. Sans correctif immédiat, les utilisateurs doivent adopter une approche proactive : limiter les activités sensibles sur des navigateurs non mis à jour et suivre les recommandations des éditeurs. Cette découverte souligne l’importance d’une collaboration accrue entre chercheurs et développeurs pour sécuriser les APIs des navigateurs.
📚 À lire aussi
- UE lance un plan souveraineté tech pour contrer les géants US 2026
- Faille 7-Zip critique : 8,8/10, des centaines de millions exposés 2026
- 2026 : Les sites espionnent via l’activité SSD, nouvelle faille majeure
- 2026 : Les sites espionnent via l’activité SSD, faille inédite révélée
📷 Image : Markus Winkler via Pexels