Ivan Rogissart, Directeur Avant-Vente Europe du Sud chez Zscaler, met en garde les entreprises contre le minage des Bitcoins et consort via le web : elles paieront une baisse de productivité si elles le subissent et s’exposeront à des risques judiciaires si elles le pratiquent.
71 275 euros toutes les dix minutes, telle est la somme qu’une personne ou qu’une organisation peut actuellement gagner si son réseau d’ordinateurs est le premier au monde à valider les dernières transactions en Bitcoin. Cette opération, le minage, demande une puissance de traitement phénoménale, car elle consiste à calculer une clé de chiffrement unique d’après toutes les clés émises depuis la création du Bitcoin. A défaut de gagner la course, il est possible de rejoindre une ferme de mineurs et de partager les gains à hauteur de la contribution.
Précisons que le même principe de minage existe pour toutes les cryptomonnaies. Les moins célèbres rémunéreront moins l’effort de calcul, mais le gain sera à partager avec moins de participants.
Le phénomène du minage a pris une telle ampleur que les participants n’ont plus assez de leurs propres machines pour espérer empocher une fraction intéressante de la récompense. Une technique s’est donc développée pour aller voler de la puissance aux internautes : faire exécuter à leur PC un JavaScript de minage qui se lance automatiquement lorsqu’ils visitent certains sites. Pour donner une idée de l’ampleur de cette fraude, Zscaler a à lui seul bloqué au cours des six derniers mois plus de 2,5 milliards de tentatives de minage via le web.
Les entreprises au premier rang des victimes
Selon les études menées parle lab de Zscaler, ThreatlabZ, les catégories de contenu les plus concernées par le déclenchement d’un JavaScript de minage sont bien entendu la pornographie et la diffusion en ligne de médias, mais aussi – et c’est plus inattendu - les sites de services professionnels et de marketing.
Il faut comprendre que les mineurs ont tout intérêt à privilégier les contenus sur lesquels les internautes vont passer du temps. En ce sens, les plateformes avec lesquelles travaillent des salariés sont toutes aussi intéressantes que des vidéos visionnées pendant plus d’une heure. Mais surtout, cela signifie que les entreprises figurent aux premiers rangs des victimes du minage par le web.
Le minage frauduleux impacte l’informatique des entreprises de plusieurs manières. Il cause des problèmes de performances, sur le poste, sur l’accès à Internet, qui sont susceptibles de faire chuter la productivité des salariés. Il use prématurément les matériels, car leurs composants sont utilisés au maximum de leurs capacités pendant toute la durée du minage au profit des calculs. Il consomme aussi plus d’énergie et augmente la facture que l’entreprise doit payer.
Enfin, les entreprises qui hébergent à leur insu des activités de minage sur leurs équipements s’exposent à des risques de violation de conformité.
Tous les types de sites sont susceptibles de déclencher du minage furtif
Toutes les autres catégories de contenus sont concernées par le minage furtif, dans une moindre mesure. Sur un échantillon de 500 sites déclenchant une opération de minage parmi les 100.000 domaines les plus visités, ThreatlabZ a trouvé autant de portails de téléchargement de sharewares que de webmail, autant de moteurs de recherche de peer-2-peer que de sites d’information ou encore autant de blogs que de sites de recherche d’emploi.
Les sites qui minent de la cryptomonnaie sur les PC des internautes le font volontairement ou non ; plusieurs cas sont avérés de mineurs pirates ayant réussi à accrocher leur JavaScript à des pages web sans que la marque propriétaire en ait connaissance. Dans d’autres cas, l’éditeur du site annonce lui-même plus ou moins clairement remplacer ses panneaux publicitaires par des codes de minage au prétexte qu’ils dérangent moins leurs visiteurs. Il faut en effet préciser que les javascripts de cryptage sont invisibles. Seul le sifflement du ventilateur du PC pour refroidir son processeur en surchauffe peut laisser suspecter que quelque chose d’inopportun est en cours.
Dans certains cas, enfin, le code de minage est intégré aux panneaux de publicité, ce qui pénalise l’internaute sur tous les points.
Héberger du minage expose à des risques juridiques et de sécurité
Pour les entreprises dont le site web déclenche – volontairement ou non - un minage sur les postes de ses visiteurs, des questions d’éthiques entrent en jeu. A minima, elles peuvent être accusées de ne pas avoir informé leurs utilisateurs sur la manière dont leurs systèmes seront affectés. Le minage étant un phénomène nouveau, la juridiction est floue. Cependant, citons l’exemple de la ville américaine de Plattsburgh, dans l’État de New York, qui a interdit le minage sur une période de 18 mois afin de stopper la recrudescence de consommation d’énergie et qui a de fait exposé tout contrevenant à des poursuites.
Par ailleurs, l’hébergement d’un JavaScript de minage multiplie le risque de s’exposer aux logiciels malveillants. Le code JavaScript est en effet facilement manipulable par les cybercriminels à d’autres fins, comme par exemple la préparation de cyberattaques à l’encontre des salariés et des clients.
Un marché des outils de minage web en pleine croissance
Selon Zscaler ThreatlabZ, l’outil de minage le plus actif en termes de tentatives de minage est CoinHive. Cela n’est guère étonnant puisqu’il a été le premier, en septembre 2017, à disposer d’un service commercial pour miner de la cryptomonnaie depuis un navigateur. Dans les études que nous avons menées, nous avons remarqué que l’intégration de CoinHive dans des sites web a évolué au court du temps. Désormais, son code est dissimulé dans des lignes à la syntaxe complexe qui le font passer au premier coup d’œil pour du simple code Javascript.
Crypto-Loot est un autre de ces outils. Du fait de son tarif – 12% sont prélevés sur les bénéfices réalisés, contre 30% pour CoinHive – nous nous attendons à une augmentation significative de son utilisation.
Citons également JSE-Coin, dont le JavaScript est situé sur un serveur externe au site web qu’il infecte, à la manière de Google AdSense. DeepMiner est quant à lui un JavaScript gratuit et Open source, dédié au minage des cryptomonnaies Monero et Electroneum. Minr, enfin, est le moins utilisé des cinq outils de minage rencontrés, ce qui peut paradoxalement inciter à l’employer au prétexte qu’il générera plus de gains.
L’histoire n’est pas près de s’arrêter. Zscaler ThreatlabZ a en effet déjà identifié le développement de nouveaux outils, appelés Project-Poi, Coin-blind, Coin-nebula, Coin-Have ou encore Coin-Imp.
Pour se protéger de la menace des minages furtifs, des précautions s’imposent. Il faut d’abord désactiver JavaScript des navigateurs et ne l’activer que lorsque l’on visite des sites de confiance. Il convient également de bloquer les domaines connus de minage de cryptomonnaie. Enfin, il est nécessaire de pouvoir surveiller les pics soudains d’utilisation de la mémoire.