Le cryp­to­ja­cking : comment le détecter et se protéger contre une infection

Dans le cryp­to­ja­cking, les cy­ber­cri­mi­nels infectent des or­di­na­teurs et des appareils mobiles à l’aide de malwares dans l’optique d’utiliser leur puissance de calcul pour générer des cryp­to­mon­naies. Il est possible de détecter une infection si le pro­ces­seur subit une charge d’une im­por­tance inex­pli­cable. Dif­fé­rentes méthodes aident à détecter, stopper et prévenir le cryp­to­ja­cking.

Le cryp­to­ja­cking, de « cryp­to­mon­naie » et « high­ja­cking » (« dé­tour­ner­ment » en français), est un malware hybride transmis sous la forme de chevaux de Troie et de scripts. Les cryp­to­ja­ckers ont plus ou moins remplacé le ran­som­ware et les virus au rang des pires cy­ber­me­naces à l’échelle globale. Des systèmes infiltrés sont détournés à leur insu par des criminels à des fins de cryp­to­mi­nage de cryp­to­mon­naies. Ceci entraîne une uti­li­sa­tion du pro­ces­seur et une con­som­ma­tion d’énergie ex­trê­me­ment élevées. Par contraste avec d’autres malwares, les cryp­to­ja­ckers visent avant tout à détourner les capacités de calcul ; le fait d’espionner les données sensibles des uti­li­sa­teurs ou les données système ne fait pas vraiment partie de leurs objectifs.

Le cryp­to­ja­cking est lié au processus de cryp­to­mi­nage. Dans le cryp­to­mi­nage, les mineurs mettent à dis­po­si­tion leurs propres capacités de calcul ou combinent ces dernières (lorsqu’ils font partie de pools) en vue de légitimer et vérifier les tran­sac­tions réalisées en cryp­to­mon­naies et de ré­per­to­rier ces dernières dans la blo­ck­chain. Pour garantir la légalité des tran­sac­tions, les tran­sac­tions en Bitcoin, à titre d’exemple, sont en­re­gis­trées pu­bli­que­ment. Néanmoins, les altcoins ano­ny­mi­sés tels que Monero et Ethereum, offrent aux criminels l’anonymat né­ces­saire à leurs tran­sac­tions illégales via des systèmes détournés.

À mesure que le cryp­to­mi­nage devient plus gourmand en res­sources et plus chro­no­phage, un minage rentable dépend de plus en plus de capacités de calcul élevées et d’une con­som­ma­tion d’énergie coûteuse. Le minage illicite sous forme de cryp­to­ja­cking vise à utiliser les res­sources in­for­ma­tiques d’autres personnes pour générer des bénéfices sans avoir à s’acquitter du moindre coût de fonc­tion­ne­ment soi-même. Dans cette optique, les systèmes affectés sont souvent ajoutés à des botnets de minage qui font office de pools de minage illicites et combinent la puissance de calcul de plusieurs or­di­na­teurs.

Se retrouver intégré à un réseau de cryp­to­ja­cking à grand échelle à son insu et contre son gré est plus facile que l’on croit. Vous pouvez être incité par un scareware qui vous amènera à cliquer sur un lien con­dui­sant à un site Web infecté ou à té­lé­char­ger une appli tierce issue d’une source suspecte. La seule chose que vous pourrez observer sera le ra­len­tis­se­ment de votre système, car un cheval de Troie utilisera les capacités de calcul de votre PC ou de votre appareil mobile en arrière-plan.

Les uti­li­sa­teurs à domicile ne cons­ti­tuent pas la seule cible des cryp­to­ja­ckers : des cas célèbres de cryp­to­ja­cking ont impliqué des marques de premier plan telles que, par exemple, Tesla Motors, où des employés ont utilisé des ap­pli­ca­tions non protégées infectées par des scripts de cryp­to­ja­cking. Parmi les autres cas célèbres, on retrouve celui du Wi-Fi fourni par les boutiques Starbucks à Buenos Aires, qui permit le dé­tour­ne­ment des capacités de calcul des PC portables et des appareils mobiles qui s’y étaient connectés. On peut également citer les sites Internet de Cristiano Ronaldo et du Zoo de San Diego, qui uti­li­sè­rent à leur insu le programme de minage Coinhive pour miner les capacités de calcul de certains de leurs visiteurs.

Selon la manière dont les or­di­na­teurs ou les appareils mobiles étrangers sont utilisés pour le cryp­to­ja­cking, on distingue les ca­té­go­ries suivantes de malwares dangereux :

• Le cryp­to­ja­cking via des chevaux de Troie/adwares : les systèmes qui se re­trou­vent infectés par le biais d’un cheval de Troie de cryp­to­ja­cking via des sites, des fichiers, des té­lé­char­ge­ments infectés, ou d’autres moyens sont utilisés pour rendre leurs pro­ces­seurs central et graphique dis­po­nibles pour miner. Comme ils ou­tre­pas­sent les pro­grammes antivirus et le ges­tion­naire de tâches, ils passent en général inaperçu pendant longtemps.
• Le cryp­to­ja­cking via Ja­vaS­cript/ les na­vi­ga­teurs : ici, le code de minage est dissimulé dans des scripts, par ex. sous la forme d’extraits de code du programme Coinhive, au sein de sites Web et exécuté par le na­vi­ga­teur. Les visiteurs du site Internet mettent à leur insu leur puissance de calcul à dis­po­si­tion pour miner, pro­ba­ble­ment même après avoir poursuivi leur na­vi­ga­tion en-dehors du site, ce qui est possible via des pop-ups cachés et des onglets. Étant donné que les portails de streaming con­ser­vent leurs uti­li­sa­teurs sur la même page pendant un long moment, ils sont aussi affectés par des codes de minage nichés dans les lecteurs vidéo ou par des pubs de cryp­to­ja­cking déguisées.

Cela peut sembler ironique de la part du créateur du code Ja­vaS­cript Coinhive, largement utilisé pour le cryp­to­ja­cking, de soutenir que Coinhive est une al­ter­na­tive aux bannières pu­bli­ci­taires clas­siques. Mais l’idée sous-jacente à un code tel que Coinhive n’est pas illégale. Du moins, à condition qu’il ne soit pas utilisé à mauvais escient. En principe, un code intégré à des sites Internet, via lequel les visiteurs acceptent cons­ciem­ment de miner, peut cons­ti­tuer une al­ter­na­tive sûre aux pu­bli­ci­tés qui mènent à des arnaques mal­veil­lantes, des sites de phishing ou au vol de données uti­li­sa­teurs sensibles.

Le prérequis pour cela est le fait que les visiteurs de la page acceptent de concéder une partie de leur puissance de calcul pour visiter le site Web, comme c’est le cas avec les demandes d’accepter les cookies. Ainsi, les opé­ra­teurs des sites Internet se financent même si leur site ne déborde pas de pu­bli­ci­tés in­con­trô­lées. Néanmoins, ceci ne pourrait être mis en place que sur la base de normes in­dé­pen­dantes et d’une trans­pa­rence des codes de cryp­to­mi­nage dans les projets Web. Un exemple réussi d’uti­li­sa­tion légale de Coinhive fut une ini­tia­tive de dons menée par UNICEF Australie, où les dons étaient générés par les visites du site.

Si vous vous demandez si votre appareil est affecté par un malware de cryp­to­mi­ning, vous devriez être attentif au signe le plus courant pour détecter un malware : une charge d’une ampleur inex­pli­cable subie par le pro­ces­seur central ou graphique. Étant donné que les cryp­to­ja­ckers sont d’abord in­té­res­sés par la puissance de calcul, il est difficile de dis­si­mu­ler l’impact du malware. En vue de générer des profits élevés à l’aide du cryp­to­ja­cking, la charge de travail doit être d’une im­por­tance équi­va­lente. Cette dernière peut parfois s’élever jusqu’à 90 ou 100%.

Si la ven­ti­la­tion du PC tourne de manière assez bruyante pour qu’on l’entende ou que l’appareil est en sur­chauffe, cela indique la présence de processus en cours d’exécution en arrière-plan. Or, à moins que vous n’exécutiez des tâches né­ces­si­tant de fortes capacités de calcul, votre appareil ne devrait pas sur­chauf­fer. S’il le fait, cela peut indiquer une possible infection par un malware. Dans le pire des cas, un cryp­to­ja­cking non détecté peut rac­cour­cir la durée de vie de votre appareil du fait d’une charge per­ma­nente, et peut également augmenter vos factures d’élec­tri­cité.

Les personnes infectées par des chevaux de Troie de cryp­to­ja­cking doivent procéder de la même manière qu’elles le feraient face à toute autre in­fes­ta­tion par un malware :

Scannez votre appareil à l’aide d’un logiciel anti-malware fiable afin de vérifier si le programme mal­veil­lant est dé­tec­table ; éliminez le malware. Étant donné que les chevaux de Troie de cryp­to­ja­cking peuvent dé­sac­ti­ver les logiciels antivirus ainsi que le ges­tion­naire de tâches ou se cacher dans les fichiers systèmes de registre, cette méthode ne donne pas toujours sa­tis­fac­tion.

Si les pro­grammes anti-malwares ne détectent rien, contactez un pro­fes­sion­nel de la sécurité in­for­ma­tique. Vous pouvez jouer la carte de la prudence en réi­ni­tia­li­sant com­plè­te­ment votre appareil, par ex. en utilisant Windows Recovery.

Vous pouvez prévenir les attaques de chevaux de Troie de cryp­to­ja­cking en main­te­nant votre système à jour, en ins­tal­lant des mises à jour, en ayant recours à un logiciel antivirus fiable et mis à jour ré­gu­liè­re­ment, et restant attentif aux com­por­te­ments suspects du système, par exemple, un appareil en sur­chauffe, un ven­ti­la­teur bruyant, et un pro­ces­seur qui tourne au ralenti.

Dans la mesure où le cryp­to­ja­cking n’infecte pas toujours votre système, mais détourne également vos capacités de calcul via des scripts Java, des pu­bli­ci­tés ou des contenus en streaming, le minage illégal peut être évité en bloquant les scripts Java ou les listes qui filtrent les outils de minage. Les scripts Java pourront dès lors être dé­sac­ti­vés au sein de n’importe quel na­vi­ga­teur. Néanmoins, ceci peut se traduire par le fait que certaines fonc­tion­na­li­tés de sites ne soient plus exé­cu­tables. Les ex­ten­sions de na­vi­ga­teur telles que « No Coin » ou « Mi­ner­Block » tentent également de prévenir les activités de minage au sein du na­vi­ga­teur.

Il est plus sûr d’utiliser des solutions de sécurité ho­lis­tiques telles que My­De­fen­der de IONOS ou Mal­wa­re­bytes, lequel détecte à la fois les malwares « clas­siques », les malwares de minage et les combats.

Étant donné que le cryp­to­ja­cking peut en­dom­ma­ger le matériel et conduire à des pertes de données, vous devriez ré­gu­liè­re­ment sau­ve­gar­der vos données à l’aide de médias externes. My­De­fen­der de IONOS constitue une option adaptée qui offre des sau­ve­gardes au­to­ma­tiques dans des data centers ISO-certifiés pour la double pro­tec­tion et des sau­ve­gardes multiples. Vous pouvez sau­ve­gar­der des données sé­lec­tion­nées ou des systèmes entiers.

Il est possible de répartir les malwares en plus ou moins trois ca­té­go­ries :

• Les virus : des codes de logiciels mal­veil­lants qui se mul­ti­plient, ma­ni­pu­lent et en­dom­ma­gent les systèmes.
• Les vers : une sous-catégorie de virus qui ma­ni­pu­lent les systèmes, les en­dom­ma­gent, créent des brèches pour d’autres malwares, sur­char­gent les capacités des or­di­na­teurs et, à la dif­fé­rence des virus, se répandent sans in­ter­ven­tion de l’uti­li­sa­teur (par ex. au trav ers d’emails et de spams dans les réseaux) ; un exemple bien connu est Emotet.
• Les chevaux de Troie : des codes de logiciels mal­veil­lants qui ne se re­pro­dui­sent pas mais ma­ni­pu­lent les fonc­tion­na­li­tés du système.

Comme le montre le cryp­to­ja­cking, les fron­tières entre les pro­grammes mal­veil­lants sont floues. À titre d’exemple, les vers in­for­ma­tiques ont souvent pour fonction de permettre à des chevaux de Troie et des rootkits mal­veil­lants d’entrer. Parmi les fonctions les plus répandues des malwares, on retrouve :

• L’es­pion­nage et l’ha­me­çon­nage de données uti­li­sa­teurs sensibles et de données d’accès.
• La diffusion et le té­lé­char­ge­ment de malwares sup­plé­men­taires, par ex. au sein de botnets
• Les in­fil­tra­tions visant à mener à bien des cy­be­rat­taques
• Le « dé­tour­ne­ment » de systèmes pour réaliser des tâches ciblées
• La surcharge d’or­di­na­teurs et de systèmes due à des attaques DDoS et DoS
• Le chif­fre­ment de données en vue d’extorquer de l’argent, comme c’est le cas avec le ran­som­ware