Voila du nouveau pour votre merveilleuse liste des dangers potentiels et invisible d’internet. Cette menace appelée « cryptojacking » consiste à utiliser votre ordinateur ou téléphone portable afin de miner des cryptomonnaies lors de votre visite sur un site malveillant.
Les mineurs peu scrupuleux ne sont en soit pas nouveau, mais le cryptojacking a explosé ces dernières semaines. Ces personnes malintentionnées n’ont plus besoin d’infecter votre ordinateur via un .exe ou autre. Il suffit simplement d’exécuter un script JavaScript, qui se charge de miner lors de la visite d’une page possédant ce script, soit une nouvelle manière de nuire bien plus accessible. Le seul moyen de vous en rendre compte est de regarder votre CPU, en effet lorsque ce script est lancé il monte à 100% de sa capacité, votre système se ralenti et votre système de ventilation s’affole.
Cryptojacking : Un détournement du service Coinhive
Le principe du cryptojacking a débuté à la mi-septembre 2017, quand un service du nom de Coinhive a créé un script permettant de miner la cryptomonnaie Monero lors de la visite d’une page. The Pirate Bay fût dans les premier à l’utiliser afin de générer de l’argent pendant environ 24h, suffisamment longtemps pour se mettre à dos une partie de sa communauté. En l’espace de quelques semaines, beaucoup de Coinhive like se sont développés. Des hackers ont même trouvé le moyen d’injecter ce script dans des sites connu comme Showtime, sans que le propriétaire en soit au courant.
Jusqu’à présent ces attaques ont été découvertes dans des sites hackés grâce au code source des pages. Certains visiteurs ont en effet remarqué les hausse d’utilisation du CPU lors du lancement des ces pages. Il existe désormais des extension ayant le même principe qu’Adblock, pour bloquer le minage. L’une des extension les plus connue à ce jour se nomme « No Coin » avec déjà plus de 100 000 utilisateurs.
« Nous avons vu des sites frauduleux utilisant des scripts pour exécuter des virus, forcer des pubs, rediriger vers d’autres sites, nous avons aussi vu des malwares qui cherchent à voler des porte-feuille de cryptomonnaies ou à miner en tâche de fond. Vous combinez les deux ensemble et vous obtenez un cocktail diabolique »
Karl Sigler, manager cher SpiderLabs.
Les Scripts Monero un système légal et une nouvelle source de revenu
Ce qui complique cette vague de cryptojacking, c’est que les sites pourraient tout à fait avoir le droit de faire cela. Coinhive se dit être une nouvelle source de revenu. Certains sites comme donateyourtab.to utilisent déjà une approche similaire afin de récolter des fonds pour des oeuvre de charité, catastrophes naturelles, et voient les visiteurs comme une source supplémentaire de revenu en alternative à la publicité.
Les early adopters tel que The Pirate Bay ont exprimés clairement leur position, disant que cette technologie en vaut la peine. « Voulez-vous des pubs ou bien donner un peu de votre CPU lors de vos visites sur le site ? » C’est la question qui a été posée à la mi-Septembre par TPB. La majorité des votants ont en effet choisit de miner quitte à avoir moins de publicités. Il faut tout de même garder à l’esprit que si plusieurs sites s’y mettent, il ne sera bientôt plus possible d’avoir des dizaines d’onglets ouverts.
Les préoccupations sont bien plus grandes pour les audiences qui elles ne sont pas au courant de ce qui se passe, incapable de réagir. Heureusement certains antivirus ont déjà commencés à bloquer ces programmes, intrusifs et opaques.
« Tout est un peu fou en ce moment car cela viens tout juste de sortir » Nous dis Adam Kujawa, le directeur de Malwarebytes Labs, qui nous confie que sont logiciel phare Malwarebytes a commencé à bloquer Coinhive et les autres modèles de cryptojacking. « Mais je pense que le concept en soit est une bonne idée, cela peut être un moyen viable de remplacer des revenus publicitaire, mais cependant nous le bloquons pour le moment car il n’y a aucun moyen de refuser de miner. Nous avons observé une réelle demande sur les ressources, les scripts pourraient dégrader le hardware »
AuthedMine le nouveau service de Coinhive plus transparent
Suite à cela, Coinhive a présenté la nouvelle version de son produit, appelé AuthedMine, qui demande à l’utilisateur une permission afin de transformer son navigateur en générateur de Monero. AuthedMine propose en effet un opt-in afin de lancer le minage. Coinhive disait il y a de cela quelques jours :
« Nous nous sommes beaucoup démené afin d’être sûr que l’opt-in soit respecté, et nous voulons que cela le reste. Ce système de minage ne se lancera jamais sans le consentement de l’utilisateur. »
A noter que le service à changé de nom, afin de laisser derrière lui, l’image ternie de Coinhive, avec ce nouveau nom AuthedMine espère convaincre les adblockers et éditeurs d’anti-virus de la légitimité de ce dernier.
Même si cette correction est un pas positif de nombreux scripts de cryptojacking sont toujours sur le marché, incluant le script originel de Coinhive, disponible et à la portée de nombreux hackeurs. D’autres voient des potentiels problèmes techniques, même si le processus de minage est totalement transparent cela ne résout pas les problèmes d’instabilité.
