Le truc, c'est que ça peut tourner en arrière-plan pendant que l'utilisateur regarde une vidéo en plein écran, ou tout simplement qu'il n'est pas devant sa machine mais que son navigateur est resté ouvert.

Et surtout, ce n'est qu'une démo d'un nouveau vecteur d'attaque ; rien ne dit qu'en creusant davantage, il n'est pas possible d'arriver à quelque chose de beaucoup plus dangereux en pratique (exemples : RowHammer ou Spectre. Si tu lis la description théorique, ça a l'air tellement tordu que c'était facile de croire que "y'a aucun risque réel". Et pourtant...)

L'autre problème à ne pas chercher les failles, c'est que quand un white hat en trouve une, il est tout-à-fait possible qu'un black hat l'ait trouvée avant et s'en serve sans que tu le saches. Ça s'est déjà vu avec des failles de navigateurs utilisées pour tracker les gens (par des boîtes de pub, par des gouvernements pas très démocratiques, et par des malfaiteurs pour faire des attaques ciblées).