Le cryptojacking, la nouvelle arme des hackers

Auteur
Faustine Schmid
Thématique
Cybercriminalité et nouvelle technologie

Alors que les ransomwares, des demandes de rançons en cryptomonnaie contre le contenu bloqué d’un ordinateur, sont de plus en plus plébiscités par les hackers, un autre genre d’acte criminel prend son essor dernièrement : le cryptojacking. En effet, le cryptojacking est passé de 7% des attaques informatiques totales en fin 2017 à 32% pour le premier semestre de 2018 1HUET, Benoît. Le Monde Informatique. Partie 1 : Cybercriminalité : des ransomwares au cryptojacking… [en ligne]. Publié le 3 octobre 2018. Disponible à l’adresse : https://www.lemondeinformatique.fr/les-dossiers/lire-cybercriminalite-des-ransomwares-au-cryptojacking-916.html . Néanmoins, comme l’indique le rapport 2019 sur les menaces de Sophos 2SOPHOS. Rapport sur les menaces 2019 [en ligne]. Publié le 14 novembre 2018. Disponible à l’adresse : https://www.sophos.com/fr-fr/medialibrary/PDFs/technical-papers/sophoslabs-2019-threat-report.pdf , cette tendance s’est inversée pour le second semestre 2018 et tend à se stabiliser :

Le cryptojacking et ses composants

Le cryptojacking, également appelé malware par cryptominage, consiste, pour le hacker, à introduire un malware dans le système de sa victime pour utiliser les ressources de la machine de celle-ci afin de créer de la cryptomonnaie. Cette méthode permet au pirate de s’enrichir à moindre frais, sans efforts et sans devoir entrer en contact avec la victime, contrairement au ransomware.

En outre, les malwares sont des logiciels malveillants pouvant être nuisibles pour les systèmes informatiques. Ils sont hostiles, intrusifs et cherchent à envahir, endommager ou mettre hors service les machines infectées. De tels logiciels ne peuvent pas physiquement endommager les systèmes qu’ils envahissent, néanmoins, ils peuvent voler, crypter, supprimer les données de la victime ou encore espionner les activités de celle-ci sur son ordinateur 3MALWAREBYTES. Tout savoir sur les malwares. [en ligne]. Disponible à l’adresse : https://fr.malwarebytes.com/malware/ .

L’objectif final du cryptojacking est donc de « miner » de la cryptomonnaie sur une machine n’appartenant pas au pirate, sans que le propriétaire de celle-ci ne s’en rende compte. Les cryptomonnaies peuvent être définies comme de l’argent numérique, n’existant que dans le monde virtuel et n’ayant aucune forme physique réelle. La plus célèbre des cryptomonnaies, le Bitcoin, est apparue en 2009 avec pour objectif de devenir une alternative à l’argent traditionnel. Il a d’ailleurs gagné en popularité grâce à son caractère innovant, son potentiel de croissance et l’anonymat qu’il confère, pour atteindre, en décembre 2017, sa plus haute valeur à près de 20’000 dollars le Bitcoin. Néanmoins, ce montant s’est révélé exceptionnel et la valeur du Bitcoin a depuis énormément baissé pour tourner aujourd’hui autour des 8’000 dollars pour un Bitcoin. Cette fluctuation des prix est intrinsèque aux cryptomonnaies qui, de par leur caractère volatile, peuvent subir des différences de cours importantes. En outre, « pour le dire simplement, la cryptomonnaie est de l’électricité convertie en lignes de code qui ont une valeur monétaire réelle 4Ref. 3 ».

Contrairement aux monnaies dites traditionnelles, les cryptomonnaies ne sont ni soutenues par un gouvernement, ni par une banque spécifique. De ce fait, il n’y a aucune autorité de surveillance dans ce domaine. La cryptomonnaie est décentralisée et chaque transaction est inscrite sur un registre numérique composé de millions d’ordinateurs appartenant à autant de personnes différentes : la blockchain. Elle a recours au chiffrement afin de contrôler la création de nouveaux coins (l’unité du Bitcoin) et vérifier le transfert des fonds. Point important, durant toutes ces opérations, la cryptomonnaie et ses propriétaires restent totalement anonymes.

Le minage de cryptomonnaies, opération réalisée par des « mineurs », se fait par la validation d’une transaction réalisée en cryptomonnaie, en cryptant les données de la transaction avant de l’enregistrer dans la blockchain. Les personnes ou les entreprises réalisant du minage utilisent la puissance de calcul de leurs machines pour valider une transaction. En pratique, les mineurs utilisent un logiciel pour résoudre un problème mathématique, résolution qui se traduit par la validation d’une transaction5 Journal du Net. Miner : définition du minage en cryptomonnaie. [en ligne]. Publié le 6 mars 2019. Disponible à l’adresse : https://www.journaldunet.fr/patrimoine/guide-des-finances-personnelles/1207718-miner/ .

Procédé du cryptojacking

Les pirates, appelés cryptohackers, ont plusieurs méthodes à leur disposition pour infecter la machine de leur victime, machine qui peut d’ailleurs prendre tant la forme d’un ordinateur personnel que d’un smartphone. La question de l’utilisation d’un smartphone, qui a une puissance de processeur relativement réduite, pour ce genre d’opération peut se poser. Mais ce qui intéresse également les pirates, peut-être même plus que la puissance de la machine, c’est la quantité de téléphones qui peuvent être infectés et qui vont s’ajouter à la masse minant déjà de la cryptomonnaie.

Ainsi, la première méthode reprend le fonctionnement d’un malware classique, c’est-à-dire que le propriétaire de la machine clique sur un lien malveillant reçu par e-mail, ce qui charge un code de minage de cryptomonnaie directement sur sa machine. Dès que l’ordinateur ou le smartphone est infecté, le cryptohacker va travailler sans arrêt afin de miner de la cryptomonnaie, tout en restant caché en arrière-plan du fonctionnement normal de la machine pour ne pas être découvert.

Une seconde approche du cryptojacking peut être considérée comme du minage de cryptomonnaie intempestif. Le procédé repose sur l’ajout d’un morceau de code JavaScript 6JavaScript est un langage de programmation qui permet au client du site Internet d’exécuter des commandes sur celui-ci, il rend donc le site Internet interactif (https://www.commentcamarche.net/contents/577-javascript-introduction-au-langage-javascript) dans une page Web qui va effectuer du minage de cryptomonnaie sur les machines consultant cette page. C’est-à-dire que le code même de la page Web va être modifié pour qu’en arrière-plan, le site utilise la puissance de calcul du processeur de la machine qui le visite.

Conséquences du cryptojacking

Le cryptojacking est un phénomène de plus en plus répandu, pour preuve les 500 millions d’utilisateurs7 EDARD, Jean-Michel. Journal du Net. Le Cryptojacking, virus créateur de cryptomonnaie ! [en ligne]. Publié le 27 mars 2018. Disponible à l’adresse : https://www.journaldunet.com/solutions/expert/68748/le-cryptojacking–virus-createur-de-cryptomonnaie.shtml victimes de minage de cryptomonnaie intempestif en début 2018. Pour les particuliers, une infection de leur machine par du cryptojacking aboutit principalement à une perte de puissance, ce qui rend les autres opérations plus lentes, et une détérioration plus rapide de la batterie.

Les processeurs des machines infectées peuvent voir leur capacité diminuer drastiquement. En effet, les utilisateurs du site Internet « Pirate Bay » ont vu leurs processeurs utiliser 85% de leurs capacités, contre moins de 10% habituellement 8BUCHANAN OBE, Bill. La Tribune. Cryptojacking : quand votre ordinateur fabrique des bitcoins à votre insu. [en ligne]. Publié le 24 janvier 2018. Disponible à l’adresse : https://www.latribune.fr/opinions/tribunes/cryptojacking-quand-votre-ordinateur-fabrique-des-bitcoins-a-votre-insu-765772.html . Depuis, « Pirate Bay » a déclaré qu’il s’agissait d’une erreur et que le calcul devait normalement utiliser entre 20% et 30% de la puissance de traitement 9MCCARTHY, Kieren. The Register. Pirate Bay digs itself a new hole: Mining alt-coin in slurper browsers. [en ligne]. Publié le 19 septembre 2017. Disponible à l’adresse : https://www.theregister.co.uk/2017/09/19/pirate_bay_bitcoin_mining_script . Néanmoins, avec l’avènement des extensions dans les navigateurs Web permettant de bloquer les publicités, comme « Adblock », de plus en plus de sites Internet vont avoir recours au minage de cryptomonnaies par l’intermédiaire de leurs visiteurs. En effet, la publicité étant l’une des principales sources de revenus des sites Internet, si celle-ci est bloquée, ils devront alors se tourner vers une autre méthode de financement. Actuellement et selon certaines estimations 10MESHKOV, Andrey. AdGuard Research. Cryptocurrency mining affects over 500 million people. And they have no idea it is happening. [en ligne]. Publié le 12 octobre 2017. Disponible à l’adresse : https://adguard.com/en/blog/crypto-mining-fever.html , 220 des 1’000 sites Internet les plus visités au monde ont recours au cryptojacking. Certains le font en toute transparence alors que d’autres œuvreront dans l’ombre, sans en informer leurs utilisateurs qui se verront amputer d’une partie de leur puissance de calcul, sans le savoir.

Au final, les particuliers ne vont être victimes « que » d’une perte de puissance, mais pour les grandes entreprises, qui peuvent subir plusieurs attaques de cryptojacking, les coûts sont bien réels. En effet, l’augmentation des coûts d’électricité, des coûts du personnel informatique, et les opportunités manquées peuvent grandement désavantager et perturber une entreprise.

Les conséquences peuvent également être bien plus problématiques dans le cas d’une attaque dirigée contre un service public. Ainsi, des pirates ont cryptojacké le réseau technologique opérationnel du système de contrôle d’une station d’épuration européenne, ce qui a altéré sa capacité de surveillance et de contrôle. Un autre exemple a été l’attaque du plugin Web Browsealoud qui a permis le vol de l’énergie minière des utilisateurs de milliers de sites Internet grand public, y compris ceux du système judiciaire fédéral des États-Unis et du National Health Service du Royaume-Uni. Enfin, un groupe de scientifiques russes auraient utilisé le superordinateur de leur installation de recherche et de fabrication d’ogives nucléaires pour miner du Bitcoin 11HAY NEWMAN, Lily. Wired. Now cryptojacking threatens critical infrastructure, too. [en ligne]. Publié le 2 décembre 2018. Disponible à l’adresse : https://www.wired.com/story/cryptojacking-critical-infrastructure/ . En définitive, les cryptohackers améliorent toujours plus leurs méthodes et envahissent du matériel de plus en plus puissant, causant, de ce fait, d’importants dégâts.

Se prémunir du cryptojacking

Peu importe la méthode utilisée par le cryptohacker, il sera difficile pour la victime de détecter manuellement une intrusion. Même si le propriétaire d’une machine remarque que le processeur de celle-ci est plus utilisé qu’habituellement, les malwares peuvent se cacher ou sembler être légitimes afin d’empêcher l’arrêt de l’attaque. Certains malwares ont même été conçus pour détecter voire désactiver les outils de défense qui pourraient les signaler. Au final, il est préférable, comme souvent dans le cas de malwares, d’installer une solution de sécurité avant de devenir victime d’une attaque.

Concernant le minage de cryptomonnaie intempestif, il est possible de bloquer le code JavaScript 12Aujourd’hui, presque toutes les pages Web contiennent du code JavaScript, un langage de programmation de scripts exécuté par le navigateur Web du visiteur. Il apporte aux pages Web des fonctionnalités correspondant à des besoins spécifiques, et s’il est désactivé, le contenu ou l’utilisation de la page Web peuvent s’en trouver restreints ou indisponibles (https://www.enable-javascript.com/fr/) dans le navigateur utilisé. Néanmoins, bien que cela interrompe le cryptojacking intempestif, certaines fonctions des sites Internet visités pourront également être bloquées. Des extensions existent également dans les navigateurs populaires qui permettent de bloquer le minage de cryptomonnaie intempestif.

En outre, pour les entreprises, la meilleure solution est l’installation d’un programme dédié de cybersécurité complet et veiller à la sécurisation du réseau informatique et des systèmes virtuels. Il leur est désormais nécessaire de disposer de plusieurs couches de sécurité : contrôle des applications, accès Internet, messagerie, périphériques externes, mais également des solutions d’analyse comportementale qui permettent de mieux connaître le type d’attaque 13HUET, Benoît. Le Monde Informatique. Partie 2 : Une réponse globale chez les éditeurs cybersécurité. [en ligne]. Publié le 3 octobre 2018. Disponible à l’adresse : https://www.lemondeinformatique.fr/les-dossiers/lire-une-reponse-globale-chez-les-editeurs-cybersecurite-917.html .

En conclusion, les pirates informatiques développent chaque jour de nouvelles méthodes pour réaliser des profits. En effet, il ne faut pas oublier que la cybercriminalité reste un business model, peu importe ses finalités, et tant qu’il sera rentable, il sera utilisé.