Le Cryptojacking

Partager
Copied to clipboard!
Le Cryptojacking
Ecoutez cet article
00:00 / 00:00

Qu’est-ce que le Cryptojacking ?

Le cryptojacking est une pratique malveillante dans laquelle un système infecté est utilisé pour miner de la crypto-monnaie de manière dissimulée. Pour procéder, les malfaiteurs s’approprient une partie de la puissance de calcul et de la bande passante de la victime (dans la plupart des cas cela se fait sans son consentement et à son insu). En général, le malware (le logiciel malveillant) utilisé pour miner de la crypto-monnaie est conçu pour utiliser assez peu de ressources afin de passer inaperçu le plus longtemps possible. Etant donné que le minage de crypto-monnaie nécessite beaucoup de puissance de calcul, les malfaiteurs tentent de s’infiltrer dans un grand nombre d’appareils. De cette manière, ils réussissent à cumuler assez de ressources de calcul pour s’adonner à une activité de minage peu coûteuse et à faible risque.

Les versions antérieures de malware mineurs de crypto-monnaie exigeaient que les victimes cliquent sur des liens malveillants ou des pièces jointes, infectant malencontreusement leurs systèmes avec un logiciel de minage de crypto-monnaie dissimulé. Cependant, des versions plus sophistiquées de ces malwares se sont développées ces dernières années, faisant évoluer l’approche du cryptojacking à un tout autre niveau. A présent, la majorité du malware de minage s’exécute à travers des scripts implémentés directement dans des sites Web. Cette approche est qualifiée de “web-based cryptojacking” en anglais.


Le Cryptojacking sur le web

Le web-based cryptojacking est la forme la plus courante de malware mineur de crypto-monnaies. En règle générale, la fraude est réalisée via des scripts s'exécutant dans le code d’un site internet, utilisant le navigateur internet de la victime pour miner automatiquement de la crypto-monnaie pendant la durée de la visite. Ces mineurs sur le Web sont implémentés secrètement sur une grande variété de sites internet, quelles que soient leur popularité ou leur catégories. Dans la majorité des cas, le Monero se trouve être la crypto-monnaie de choix sachant que son processus d’extraction ne nécessite que peu de ressources, à l’instar du Bitcoin. En outre, le Monero offre des niveaux de confidentialité et d’anonymat accrus, rendant les transactions bien plus difficile à retracer.

Contrairement aux logiciels de rançons, les malwares de minage altèrent rarement l’ordinateur et les données qu’ils contient. La conséquence la plus saillante du cryptojacking est une réduction des performances du CPU (généralement accompagné d’une augmentation du bruit créé par les ventilateurs qui le refroidissent). A grande échelle ces performances CPU réduites peuvent entraver le travail d’entreprises et de structures plus vastes. Il peut alors potentiellement en résulter des pertes considérables, ainsi que des occasions manquées.


CoinHive

Les premières apparitions du “web-based cryptojacking” remontent à Septembre 2017, lorsqu’un logiciel de minage appelé CoinHive fut lancé publiquement. CoinHive est un crypto-mineur JavaScript qui fut pourtant prétendument créé pour une noble cause: permettre au propriétaire d’un site internet de monétiser son contenu pour qu’il soit rendu accessible gratuitement sans s’appuyer sur des intrusions publicitaires.

CoinHive est compatible avec tous les principaux navigateurs internet et se trouve être relativement facile à implémenter. Ses concepteurs conservent 30% de toute la crypto-monnaie minée grâce à leur code. Le logiciel utilise ensuite des clés cryptographiques pour identifier quel utilisateur doit recevoir les 70% restants.

Bien que présenté comme un outil intéressant de prime abord, CoinHive a subi beaucoup de critiques quand à son utilisation par des cybercriminels qui injectent le mineur dans des sites piratés (sans que leurs propriétaires le sachent ou donnent leur permission)

Dans les quelques cas où CoinHive est intentionnellement implémenté de manière bienfaisante, le code JavaScript de cryptojacking est paramètré dans une version “Opt-in” — de consentement — appelée AuthedMine. Cette version modifiée de CoinHive ne commence à miner qu’après avoir reçu l’aval de l’internaute.

Sans surprises, AuthedMine est loin du niveau de déploiement de CoinHive. Une recherche rapide sur PublicWWW nous montre qu’au moins 14 900 sites internets exécutent le code Coinhive (dont 5700 sont des sites WordPress). De son côté, AuthedMine n’est seulement implémenté que par environ 1250 pages.

Pendant le premier semestre de 2018, CoinHive s’est hissé à la première place des menaces malwares détectées par les logiciels antivirus et les entreprises de cybersécurité.  Toutefois, les rapports récents indiquent que le cryptojacking n’est plus que troisième sur le podium des menaces les plus fréquentes, la première et la seconde place sont maintenant occupées par les chevaux de Troie bancaires et les attaques via logiciel à rançons.

La chute soudaine qui a suivi la tout aussi rapide montée en puissance du cryptojacking est certainement à attribuer au travail des entreprises de cybersécurité. Aujourd’hui la plupart des codes de cryptojacking sont sur liste noire et facilement détectable par la majorité des antivirus. De plus, des analyses récentes suggèrent que le cryptojacking sur internet n’est pas aussi profitable qu’il n’y parait.


Exemples de cryptojacking.

En Décembre 2017, le code CoinHive fut implémenté sur le réseau WiFi de plusieurs enseignes Starbucks à Buenos Aires, comme l’a reporté un client. Le script était utilisé pour miner du Monero via la puissance de calcul de n’importe quel terminal s’y connectant.

Au début de l’année 2018, le mineur CoinHive fut repéré sur des publicités Youtube Ads intégré par le biais de la plateforme DoubleClick de Google

Au cours des mois de Juillet et d'Août 2018, une attaque de cryptojacking a infecté plus de 200 000 routeurs MikroTik au Brésil, injectant le code CoinHive au sein d’un volume de trafic internet très important.


Comment détecter et se prémunir contre les attaques de cryptojacking 

Si vous suspectez que la puissance de calcul de votre CPU est plus mobilisée qu'à l'accoutumée et que ses ventilateurs de refroidissement font du bruit pour aucune raison apparente, il y a des chances pour que votre appareil soit utilisé à votre insu pour du minage de crypto-monnaie. Il est important de déterminer si votre ordinateur est infecté ou si le cryptojacking se déroule par le biais de votre navigateur internet. Si le cryptojacking sur internet est plutôt facile à détecter et à entraver, les logiciels mineur malveillants qui ciblent vos systèmes et réseaux informatiques ne sont pas toujours simples à localiser, puisqu’ils sont habituellement conçus pour se camoufler ou se masquer en une entité légitime.


Il existe des extensions de navigateurs internet qui sont aptes à déjouer efficacement la plupart des attaques de crpyotjacking sur internet. Néanmoins, ces extensions se limitent aux mineurs opérant sur les sites internet et sont basées sur des listes noires statiques, qui peuvent très vite devenir obsolètes face au renouvellement des techniques de cryptojacking et de leur déploiement. Par conséquent, il est également recommandé de veiller à mettre son système à jour régulièrement et de le sécuriser avec un logiciel antivirus à jour lui aussi.

Pour ce qui est des entreprises et des plus grosses structures, il est important de tenir les employés informés et instruits concernant le cryptojacking et les techniques d'hameçonnage (phishing en anglais), comme les courriels frauduleux  et les sites internet malhonnêtes. 


En résumé :

  • Prêtez attention aux performances de votre appareil et à l’activité de votre CPU;

  • Installez des extensions de navigateurs comme MinerBlock, NoCoin et Adblocker;

  • Soyez prudent avec les liens et les pièces jointes dans les e-mails;

  • Installez un antivirus fiable et tenez à jour vos applications ainsi que votre logiciel d’exploitation;

  • Pour les entreprises: informez vos employés à propos des techniques de cryptojacking et d’hameçonnage. 

Loading