Actualités de la sécurité

Deux histoires vraies (et révélatrices) sur le minage de crypto-monnaie

Avast Security News Team, 21 mars 2018

Deux histoires font débat et soulèvent des questions importantes sur le minage de crypto-monnaie.

Chez Avast, il est de notre devoir de maîtriser les risques de sécurité affectant les utilisateurs du monde entier. Les crypto-monnaies sont de plus en plus populaires ainsi que le minage qui en découle. Il s'agit d'un domaine que nous nous engageons à surveiller de près. Voici deux histoires qui ont retenu notre attention.

Des milliers de sites Web touchés par un plugin infecté par un mineur de crypto-monnaie

Si vous avez visité le lundi 12 février l'un des nombreux sites Web officiels gouvernementaux, notamment ceux de l'État d'Indiana, des tribunaux américains, du UK Information Commissioner, du UK National Health Service, des départements du gouvernement australien et de beaucoup d'autres organismes officiels, vous avez très probablement miné involontairement la crypto-monnaie Monero en raison d'un malware.

Ce n'est toutefois pas un site spécifique qui a été compromis mais plutôt un plugin de navigateur nommé Browsealoud qui a été piraté pour permettre au mineur Coinhive de pirater le processeur de l'utilisateur afin de miner la crypto-monnaie sans le consentement de l'utilisateur et sans même qu'il ne s'en rende compte.

Le chercheur en sécurité Scott Helme a découvert le plugin compromis. Comment ce piratage a-t-il pu avoir lieu ? Voici ce que nous savons : le script légitime a été piraté sur le serveur d'Amazon où il se trouve et où il fait partie de la chaîne d'approvisionnement du code et des technologies utilisés conjointement dans votre navigateur pour fournir le contenu et les différentes fonctionnalités. Nous ignorons l'identité du pirate et à quel moment celui-ci a eu accès au code.

Browsealoud a agi rapidement pour retirer le code infecté et le remplacer par une version sécurisée de son plugin. De nombreux sites Web affectés ont dû être placés hors ligne le temps que leurs administrateurs vérifient l'intégrité de leur contenu et de leurs piles technologiques.

Cette vulnérabilité spécifique a été corrigée assez rapidement mais elle a révélé un problème plus important. Ces scripts et plugins disponibles librement, développés par des tiers et hébergés dans des infrastructures cloud publiques comme AWS pourraient être piratés de la même façon à l'avenir pour diffuser des malwares encore plus dangereux.

Dans un article sur son blog au sujet de la vulnérabilité, le chercheur en sécurité Troy Hunt propose deux techniques pour limiter les risques. La première est le SRI ou Sub Resource Integrity grâce auquel les sites peuvent vérifier la sécurité de scripts tiers sur lesquels ils s'appuient en comparant le hachage du script hébergé à celui du code vérifié. Si les hachages ne correspondent pas, le script ne fonctionne pas et l'utilisateur est en sécurité.

La seconde technique est le CSP ou Content Security Policy. Comme Scott Helme le décrit, cette politique définit les ressources que le navigateur peut charger en établissant une liste blanche des contenus fiables et connus. Tout élément non reconnaissable n'est pas chargé.

Génial, n'est-ce pas ? Oui et non : comme le souligne Martin Hron, chercheur au Laboratoire des menaces Avast, « de nombreux auteurs et fournisseurs de contenu ne sont pas habitués à procéder de la sorte et ces options leur sont parfois même inconnues. »

« Je recommande vivement l'utilisation de fonctionnalités comme le CSP ou le SRI », déclare Martin Hron. Il ajoute rapidement qu'il s'agit là d'un « compromis entre confort et facilité de mise en place et de maintenance des sites Web et sécurité », insinuant que les utilisateurs choisissent parfois l'option la plus simple plutôt que la plus sécurisée.

L'utilisation de la technique SRI implique que le nouveau hachage soit transmis aux navigateurs à chaque fois que le propriétaire d'un plugin met à jour son code. Comme le souligne Martin Hron, « À chaque fois que vous utilisez un script provenant d'un tiers, il faut vous demander si vous faites réellement confiance à cette source. »

Alors que les propriétaires des sites Internet se remettent de la vulnérabilité Browsealoud, il est important d'aborder le thème de la confiance et de parler tout particulièrement de la façon dont les morceaux de codes composant la chaîne d'approvisionnement du logiciel sont développés, hébergés et mis en place.

Avec Salon, vous avez le choix : vous pouvez afficher les publicités ou exécuter un mineur de crypto-monnaie

Les mineurs de crypto-monnaie ne sont pas nécessairement des malwares, comme l'ont découvert les visiteurs de Salon.com cette semaine. Parfois, leur présence sur les sites Web est délibérée.

Alors que dans l'histoire précédente, Coinhive était injecté secrètement et à des fins malveillantes dans le plugin Browsealoud, il est dans ce cas vendu aux sites Internet comme un outil permettant de monétiser les visiteurs qui bloquent les publicités.

Bien sûr, il existe de nombreux motifs de blocage des publicités : atténuer le risque d'injection de malwares via des réseaux adtech compromis, réduire l'encombrement visuel, source de distraction sur un site Internet, éviter les ralentissements dus au contenu publicitaire et au chargement de scripts tiers et réduire le nombre de scripts surveillant l'activité des utilisateurs et portant atteinte à la vie privée.

Toutefois, les publicités sont d'une importance financière capitale pour les éditeurs. Alors que les utilisateurs se procurent des bloqueurs de publicités de plus en plus efficaces qui désactivent les fenêtres contextuelles, alertes et sons incessants qui les empêchent de lire le contenu du site Internet qu'ils visitent, il n'est pas surprenant que les éditeurs cherchent de nouvelles techniques pour monétiser leurs sites. L'une de ces techniques consiste à donner le choix aux lecteurs : voir les publicités ou les bloquer et exécuter Coinhive pendant leur visite sur le site.

Salon s'est attiré les foudres des utilisateurs pour cette proposition tout sauf transparente. Les visiteurs ayant activé un bloqueur de publicités voyaient s'afficher la proposition suivante dans une fenêtre contextuelle : « Bloquez l'affichage des publicités en autorisant Salon à exploiter votre puissance de calcul inutilisée. »

Les critiques se sont empressées de faire remarquer qu'il ne s'agissait pas uniquement d'une « exploitation de la puissance de calcul inutilisée. » David Gerard, auteur d'un livre sur la technologie blockchain, a tweeté que Salon mentait sciemment sur le fonctionnement des ordinateurs.

La décision qu'a pris Salon de faire cette proposition à ses visiteurs est compréhensible : le blocage des publicités représente un gros problème pour les éditeurs à la recherche de publicités et de revenus et qui tentent de trouver des moyens de monétiser leur contenu. Après tout, générer du contenu coûte cher.

La question à se poser est la suivante : pensez-vous qu'il est pertinent de laisser Salon, ou tout autre site Internet, exécuter un mineur de crypto-monnaie lorsque vous parcourez son contenu, en échange du blocage de publicités ? Selon Martin Hron du Laboratoire de menaces d'Avast, il s'agit du revers de la médaille du monde de la publicité/monétisation.

« Si le site vous demande de manière transparente votre autorisation pour un minage de crypto-monnaie ou un affichage de publicités en échange d'un accès gratuit à son contenu et que la validité de cette autorisation est limitée dans le temps, je pense que c'est sans danger et que le site est en droit de procéder ainsi. »

En définitive, c'est vous qui décidez. Mais voilà ce que vous devriez savoir : exécuter un mineur de crypto-monnaie, même sciemment, endommagera votre processeur et ralentira votre ordinateur portable. Salon ne le reconnaît qu'à demi-mot et déclare que « votre ventilateur peut s'activer pour la même raison que les ventilateurs de votre ordinateur s'activent lorsque vous effectuez une tâche importante comme jouer à un jeu ou regarder une vidéo en plein écran. »

Salon est peut-être le premier site Internet à suivre cette voie pour la monétisation de son contenu mais il ne sera pas le dernier et d'autres éditeurs suivront de près l'évolution de cette expérience.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille.Pour toutes les dernières actualités, pensez à nous suivre sur FacebookTwitter et Google+.