Votre ordinateur est plus lent que d’habitude ? Cela signifie peut-être que vous êtes en train de miner de la crypto-monnaie à votre insu, cette technique d’attaque étant très prisée par les cybercriminels actuellement.
Reuters a en effet récemment rapporté que des milliers de sites web administratifs avaient été visés et minaient Monero sans le vouloir.
En outre, une étude publiée récemment par Symantec a révélé qu’avec 5,9 % du volume total des attaques de cryptomining (crypto-minage en français), ou cryptojacking, la France se placerait au 4e rang mondial et au 2e rang européen. L’éditeur a également relevé une augmentation de 8 500 % des détections d’ordinateurs infectés en 2017. Cette technique est là pour durer, et c’est pourquoi il est urgent de comprendre le fonctionnement du cryptojacking pour s’en protéger.
À l’origine, le minage est un processus de calcul intensif appliqué aux ordinateurs membres d’un réseau de cryptomonnaies, afin de permettre à ces derniers de vérifier les transactions, ou Blockchain, et de recevoir en retour leur part de monnaie virtuelle. En d’autres termes, ces "mineurs" résolvent des problèmes mathématiques complexes afin de générer des cryptomonnaies telles que Bitcoin, Ethereum, ou Monero.
Lorsqu’utilisé de manière malveillante, le cryptomining peut se propager de deux façons :
- Soit via un malware, diffusé grâce à une pièce jointe ou un lien de messagerie électronique vérolé. Des chercheurs ont notamment découvert que 23% des entreprises dans le monde ont été touchées par ce type de malware, en particulier par la variante Coinhive, en janvier 2018 ;
- Soit via l’infection de fournisseurs de contenus tiers, utilisés par des sites internet dont les audiences sont élevées. Par exemple, un annonceur pourrait être ciblé, en raison de son accès à des milliers de sites internet, eux-mêmes visités par des millions de personnes.
Cette deuxième méthode est actuellement privilégiée, car elle ne nécessite pas le déploiement d’un malware sur le terminal compromis, et offre un gain plus important au pirate informatique qui s’appuie en effet sur la vitesse de calcul des machines des utilisateurs qui visitent le site ; ainsi, plus ces derniers passent de temps sur une page, plus le hacker peut miner de la monnaie sans être détecté. En d’autres termes, la puissance de calcul de l’appareil lui permet d’intensifier le minage, et le montant miné augmente donc à mesure que le cybercriminel amasse de la puissance et de la vitesse collective.
Cependant, sans des mesures de sécurité adaptées, l’utilisateur devra répondre de cet acte perpétré via sa machine, car il est difficile d’identifier la véritable source du cryptojacking, en raison de l’absence de logiciel malveillant détectable. La seule indication visible est le ralentissement de l’appareil utilisé, et il n’existe actuellement pas d’outil de sécurité dédié pour y remédier. Par conséquent, seule l’observation minutieuse des terminaux des utilisateurs, afin de noter un usage inhabituel du navigateur et du processeur, permet d’identifier un problème potentiel. Malheureusement, cette technique est incertaine, en particulier pour les non-professionnels de l’IT, parce qu’un ralentissement peut avoir de nombreuses autres causes telles qu’un encombrement au niveau de la bande passante, ou encore en raison d’appareils ou logiciels trop anciens. Partant de ce constat, et compte tenu de la recrudescence d’attaques par cryptomining, la responsabilité en cas de campagne avérée devrait incomber aux hébergeurs. Il est en effet essentiel que ces derniers inspectent systématiquement et régulièrement tous leurs fournisseurs tiers pour s’assurer qu’ils n’ont pas été compromis. Par extension, la mise en place d’outils de sécurité adaptés favorisera l’identification de problèmes ou d’activités inhabituelles dans les systèmes. Par exemple, la surveillance des accès administrateurs, des applications et la visibilité sur le réseau sont des mesures qui permettront aux équipes de sécurité d’évaluer plus rapidement l’origine du ralentissement et de stopper l’attaque.
Sachant qu’en ce début d’année, des hackers ont collecté près de 3,4 millions de dollars en monnaie virtuelle, en minant Monero de manière malveillante, via des serveurs Jenkins connectés à internet, le cryptojacking prendra immanquablement plus d’ampleur dans les mois à venir. C’est pourquoi les entreprises et les hébergeurs doivent renforcer leurs méthodes de détection, pour pallier toute possibilité de compromission.