Le cryptojacking consiste à utiliser la puissance de votre processeur pour lui faire “miner” de la cryptomonnaie, à votre insu. C’est un lointain cousin de Seti@home qui avait popularisé le calcul distribué auprès du grand public au début des années 2000… le consentement et l’altruisme en moins. Et pour la première fois, un grand nombre de sites institutionnels ont été infectés par un tel logiciel, détournant la puissance de calcul de leurs visiteurs.

Dans un premier temps le cryptojacking était un type de détournement nécessitant l’installation d’un logiciel sur votre machine. Mais l’apparition d’un programme nommé Coinhive a changé la donne. Né dans la foulée de l’emballement autour des cryptomonnaies en 2017, ce miner peut être déployé sur n’importe quel site et s’exécuter sur votre machine via du code javascript, sans aucune intervention de votre part. Dès l’instant où vous consultez une page web infectée, et pour toute la durée de votre visite, votre ordinateur et votre électricité sont mis à contribution.

En général, le cryptojacking est volontairement implémenté par le gestionnaire du site hôte. En septembre et octobre 2017, par exemple, The Pirate Bay avait provoqué de vives réactions de la part de ses utilisateurs en intégrant cette technologie. Les administrateurs de la plateforme d’échange de fichiers Torrent s’étaient alors justifiés en expliquant qu’ils testaient cette méthode comme source de revenus alternative aux publicités.

De l’ombre à la lumière

Mais ce week-end a vu la premier déploiement de Coinhive à grand échelle sur des sites “honnêtes”, à l’insu de ceux-ci, suite à une infection. Plus de 4000 sites anglo-saxons, souvent institutionnels, ont fourni les scripts de minage à leurs visiteurs pendant plusieurs heures. Parmi ceux-ci, on comptait le service national de santé britannique (NHS) ou certains tribunaux américains. L’attaque était assez astucieuse : plutôt que de compromettre des milliers de sites pour y placer manuellement le code malveillant, les hackers se sont contentés d’infecter “BrowseAloud”, un plugin tiers hébergé par la société Texthelp. Cet assistant qui offre des options de lecture aux personnes illettrées ou souffrant de dyslexie est automatiquement chargé lors de la visite sur de nombreux sites, particulièrement ceux des services publics.

L’attaque de ce dimanche n’a duré que quelques heures. Certaines solutions de sécurité détectent en effet Coinhive et signalent sa présence à leurs utilisateurs. Les experts se sont donc rapidement inquiétés de la présence du miner sur des sites légitimes et ont remonté la piste. Informée, la société Texthelp a réagi en mettant son service hors ligne et en publiant une version patchée.

Quels risques et quelles solutions ?

A priori, le détournement de la puissance de calcul n’apparaît pas comme un problème grave pour un utilisateur isolé. Ses conséquences directes sont une augmentation de la consommation électrique et un risque de surchauffe en cas d’usage prolongé. Rien de dramatique donc. De plus, à l’instant où l’utilisateur cesse de visiter le site, les choses rentrent dans l’ordre. Néanmoins, plusieurs aspects viennent tempérer l’aspect bénin de la menace pour les entreprises. D’une part, le nombre de machines concerné peut rapidement faire grimper la facture énergétique. La consommation d’un processeur moderne avoisine 10 à 20 watts en usage léger, mais elle peut parfois être décuplée lorsqu’il est sollicité à 100% . D’autre part, une surchauffe prolongée est néfaste pour les composants et amène des risque d’instabilité du système.

La méthode la plus radicale pour se protéger de Coinhive est bien entendu d’interdire l’execution de javascript, mais c’est une solution souvent impraticable. Pour l’utilisateur final, l’alternative consiste à installer une extension pour navigateur comme No Coin, sur Chrome ou Firefox par exemple. Fonctionnant sur le même principe qu’un bloqueur de publicités, l’extension détecte les scripts de minage et les bloque. Au niveau des entreprises, il convient de vérifier que votre solution de sécurité vous protège contre ce type de menace.

[toggle title =”Un phénomène pas si nouveau“]L’idée d’un miner en javascript ne date pas de l’engouement récent pour les cryptomonnaies. En 2011 déjà, une société dénommée BitCoinPlus.com avait développé une technologie remarquablement similaire à Coinhive. Mais avec un Bitcoin plafonnant à 30$ à l’époque, les gains espérés étaient si faibles pour les webmasters que l’initiative était tombée dans l’oubli.[/toggle]