Frédéric Julhes, directeur Airbus CyberSecurity France, fait le point pour les lecteurs de Solutions Numériques sur le cryptojacking, sur la manière de se protéger et sur ses développements..
La pratique du cryptojacking est apparue avec l’envolée du bitcoin et des nouvelles monnaies numériques utilisant la blockchain. Après la publicité ou encore les cookies pour surveiller le trafic, le numérique a trouvé un nouveau moyen de fabriquer de la valeur. Quand c’est gratuit l’utilisateur devient le produit… Avec la technique du cryptojacking, c’est bien l’utilisateur et plus particulièrement ses ressources informatiques qui deviennent la source de profit d’acteurs malveillants. A l’insu ou non de l’utilisateur, le cryptojacking utilise le processeur graphique (GPU) d’une ressource informatique, telle qu’un ordinateur, un smartphone, un serveur, etc., pour fabriquer ou « miner » de la monnaie virtuelle, grâce à un script invisible.
Cryptojacking : quésaquo ?
La blockchain publique repose sur un certain nombre d’entités différentes, qui préservent l’état de la chaîne par la confiance qu’elle génère. Ces dernières sont en concurrence pour créer de nouveaux blocs dans la chaîne, en contrepartie d’une récompense. Cela implique une immense puissance de calcul pour remporter la mise. La crypto-monnaie est générée par ce système de blockchain et afin de disposer d’une puissance suffisante pour miner efficacement de la crypto-monnaie, certains acteurs (globalement des entreprises ou acteurs malveillants) utilisent les ressources de tiers afin de générer de cette crypto-monnaie pour eux-mêmes.
Cette activité peut être réalisée de manière légale ou illégale, et cela repose simplement sur le fait que l’utilisateur tiers soit informé de cette activité ou non, et évidemment qu’il en donne l’autorisation. Il a été en effet proposé d’en faire une activité légitime pour fournir aux sites Web une autre source de revenus que la publicité, et des logiciels ont été développés dans cette optique. Cette pratique est de plus en plus répandue notamment avec les toutes dernières monnaies numériques telles que Monero. Malheureusement, ce logiciel continue d’être utilisé de façon illicite, à l’insu des utilisateurs qui se rendent sur certains sites Web.
L’impact du cryptojacking
Les attaques basées sur des scripts, dès lors que les utilisateurs ciblés ne sont pas informés, sont malveillantes. Mais elles le sont de manière très subtile puisque concrètement elles ne tentent pas de dérober des informations ni de provoquer un déni manifeste de service, et s’arrêtent dès la fermeture du navigateur ou de l’onglet. Cependant, elles sont susceptibles de ralentir les performances et d’augmenter fortement la consommation d’énergie du PC de l’utilisateur qui en est victime, ainsi que de décharger les batteries des appareils mobiles.
La manière la plus simple de se prémunir des attaques basées sur des scripts consiste à désactiver JavaScript. Pourtant, cette stratégie n’est pas toujours souhaitable.
Il est également possible de se protéger du cryptojacking en ajoutant des extensions permettant de définir une liste noire à certains navigateurs Web, par exemple à Firefox ou Chrome. D’autres navigateurs intègrent leur propre fonctionnalité contre le cryptojacking.
Il existe également un certain nombre de programmes de blocage de publicité capables de bloquer les crypto-monnaies. Cependant, les types de sites Web hébergeant ce logiciel sont généralement bloqués comme indésirables par des solutions de filtrage DNS ou Web standard.
Les dérives possibles du cryptojacking
Des incidents de cryptojacking plus graves ont consisté en des tentatives d’installation de malwares sur des postes de travail d’utilisateurs et sur des serveurs. Contrairement aux attaques par phishing classique, ce type d’attaque cible les postes de travail et les serveurs les plus performants afin d’installer des malwares. Ici encore, l’objectif n’est ni de dérober des données ni de provoquer un déni manifeste de service (DDoS). Néanmoins, dans ce cas, l’intensification continue de l’utilisation des processeurs augmente la consommation d’énergie des serveurs et celle de l’air conditionné dans les locaux abritant ces serveurs. Pour prévenir ces attaques, les mesures requises sont les mêmes que celles utilisées pour d’autres malwares, telles que la création de listes blanches d’applications pour les serveurs, la surveillance du réseau et les solutions antivirus.
Cependant, la menace la plus sérieuse, en lien avec le cryptojacking, réside dans la possibilité d’attaques menées de l’intérieur. En témoigne l’augmentation du nombre d’affaires dans lesquelles des utilisateurs internes se sont servis d’ordinateurs de leur entreprise pour fabriquer de la monnaie numérique. Ces attaques sont généralement le fait de salariés disposant de hauts niveaux de privilèges, qui ont donc la possibilité d’introduire des logiciels de minage et des itinéraires vers l’extérieur (par exemple vers leur ordinateur personnel), puis d’utiliser ou de vendre cette ressource pour miner de la crypto-monnaie. Au-delà du risque inhérent à l’utilisation non autorisée de l’équipement, cette situation provoque une insécurité engendrée par l’ouverture de connexions à Internet et l’introduction de logiciels potentiellement malveillants ou mal codés sur le réseau.
Les attaques perpétrées par des utilisateurs internes privilégiés sont plus difficiles à prévenir et à détecter, car il n’est pas rare que ce type d’utilisateurs ait la possibilité de mettre des logiciels sur liste blanche et de passer outre les alertes antivirus. Ces attaques ralentissent les systèmes, provoquent une utilisation excessive des processeurs (notamment en dehors des heures de bureau) et entraînent probablement le réchauffement de la salle des serveurs. Ces effets ne sont normalement pas consignés, mais il est possible de les détecter grâce à la surveillance réseau qui détecte les connexions illicites, en particulier lorsqu’il existe des systèmes de détection d’anomalies basés sur le réseau.
En bref, le cryptojacking engendre de nombreux risques. Le cryptojacking ne semble pas dangereux de prime abord, mais cette activité ne doit pas être prise à la légère car elle s’accompagne d’effets secondaires qui impactent les performances et créent des vulnérabilités. Dans l’ensemble, les mineurs sont faciles à gérer à l’aide d’outils de sécurité standard. Si la vague de cryptojacking en vient à remplacer la publicité comme source de revenus pour certains sites Web, il est envisageable de compter sur une augmentation croissante du nombre d’extensions de navigateurs et de suites logicielles de terminaux bloquant cette activité à l’avenir.