Cryptomineurs dans le navigateur : piratage ou expérimentation ?

La charge de votre processeur explose dés que vous ouvrez votre site de partage torrent préféré ? Ça n’est pas forcement la faute d’un virus. Cela peut tout simplement vouloir dire que votre site expérimente avec de nouvelles sources de revenus. Depuis la sortie de CoinHive en effet, nombreux sont les sites qui souhaitent miner des cryptomonnaies sur le dos de leurs utilisateurs afin de pouvoir miner quelques unités de monero à bas prix.

Le module CoinHive a notamment fait parler de lui suite à son utilisation par les administrateurs du site Piratebay. Ces derniers avaient ainsi activé sans prévenir le module JavaScript de minage sur leur site, exploitant la puissance de calcul de leurs visiteurs afin de miner une cryptomonnaie appelée Monero. Comme le constate Jérôme Segura, chercheur chez Malwarebytes et auteur d’un rapport sur les modules de ce type, Monero est le choix le plus logique, car le minage de cette cryptomonnaie relativement jeune est à la portée d’ordinateurs « classiques. »

Selon le chercheur, ces modules de minage intégrés au sein du navigateur sont une évolution naturelle des « drive by download » utilisés par le passé pour diffuser des logiciels malveillants aux utilisateurs de pages web infectées. « D’une façon similaire aux infections par téléchargement « drive by », les mineurs de cryptomonnaies dans le navigateur sont arrivés soudainement et les utilisateurs ne sont pas souvent avertis de leur présence », écrit ainsi le chercheur. Les chercheurs de Malwarebytes désignent le phénomène sous le terme de cryptojacking, un terme adapté de « hijacking » (détournement), qui porte ici spécifiquement sur la puissance de calcul de la machine visée.

À mi chemin entre piratage et expérimentation

Comme l’explique le rapport de Malwarebytes, « les premiers sites à utiliser ce type de technologie ont été les sites de streaming et de téléchargement torrent qui ont habituellement recours à la publicité pour monétiser leur audience. » On pense évidemment à Piratebay dont l’expérimentation avec le module de Coinhive a fait les gros titres après sa découverte par les internautes. Mais d’autres cas ont depuis été identifiés : le site Showtime de CBS avait ainsi été repéré en train de miner de la cryptomonnaie sur le dos de ses visiteurs, apparemment sans que la direction de l’entreprise n’ait été tenue au courant. Plus problématique encore : les différentes campagnes de cyberattaques visant WordPress identifiées par la société de sécurité Sucuri. Celle-ci a ainsi détaillé sur son blog les méthodes d’un groupe de cybercriminels ayant développé un script afin de faire fonctionner le module de Coinhive sur des sites WordPress piratés. Depuis, la technique a fait des émules : Malwarebytes indique ainsi que son outil de blocage du module empêche en moyenne 8 millions de tentatives de cryptojacking par jour. Un nombre impressionnant qui donne la mesure du succès de cette méthode.

Les administrateurs de Piratebay présentent la méthode comme une « source de revenus additionnels » envisagés par la société, qui peine aujourd’hui à se financer en s’appuyant sur le simple affichage de publicité. Une évaluation menée par TorrentFreak était parvenue à la conclusion que Piratebay, avec son audience, pouvait espérer réunir environ 12 000 dollars par mois grâce à ce module.

La technique interroge néanmoins : ainsi, CoinHive a prévu une fonctionnalité afin d’éviter que celui-ci ne détourne la totalité de la puissance de calcul du processeur. Mais celui-ci peut être désactivé par les administrateurs du site ou les cybercriminels qui sont parvenus à l’injecter, et causer une perte de performance sensible pour l’utilisateur. « Le minage de cryptomonnaie pour des périodes prolongées et exploitant toute la puissance de calcul peut causer des dommages aux machines et aux téléphones, tout particulièrement si ceux-ci ne disposent pas d’une ventilation suffisante » explique ainsi Malwarebytes dans son rapport. Les adblockers et sociétés de cybersécurité ont déjà commencé à offrir des protections contre ce type de modules, mais les cybercriminels se sont déjà adaptés et ont également développé des outils afin de contourner ces éventuels blocages. Le classique jeu du chat et de la souris qui s’engage.

Afin de remédier au problème, CoinHive a mis en ligne une nouvelle API qui propose un formulaire demandant le consentement de l’utilisateur avant de miner grâce au module. Une initiative louable, mais comme le remarquent les chercheurs de MalwareBytes, l’ancienne API dépourvue d’avertissements reste en ligne et fonctionnelle, ce qui permet donc de continuer à abuser des visiteurs sans que ceux-ci soient avertis.

ZDNet