Cryptojacking : comment savoir si vous êtes concerné ?

0
103

Le cryptojacking désigne l’utilisation malveillante de l’ordinateur d’une victime dans le but de « miner » des cryptomonnaies. Ce problème concerne de plus en plus d’utilisateurs individuels et d’entreprises. Vous n’en avez jamais entendu parler jusqu’ici ? Cela tient probablement au fait que le cryptojacking constituait, jusqu’à maintenant, une activité de piratage très spécifique. Le phénomène s’est cependant développé ces dernières années.

Avis d’expert GlobalSign – Si le fonctionnement du cryptojacking est assez simple, cela ne signifie pas qu’il soit facile à détecter ou à combattre. Dans ce type d’attaques, la victime est souvent amenée à cliquer sur un lien malveillant contenu dans un e-mail. Le code de « cryptomining » se charge ensuite sur son ordinateur. Dans d’autres cas, les pirates choisiront d’infecter une publicité en ligne en y insérant un code JavaScript qui s’exécute via un navigateur.

Quelle que soit la méthode utilisée, le code de cryptomining s’exécute ensuite en arrière-plan sur l’ordinateur de la victime et génère de la cryptomonnaie au profit du pirate informatique. Pour la plupart des utilisateurs, seul un léger ralentissement des performances de leur machine peut leur mettre la puce à l’oreille — d’où les difficultés pour détecter les activités de cryptojacking.

Cryptojacking, les coûts s’envolent

L’ampleur du cryptojacking est difficile à évaluer, notamment parce que les scripts de piratage utilisés sont basés sur des logiciels de cryptomining parfaitement légitimes. On sait cependant que cette pratique est répandue. Son essor s’explique en partie par l’utilisation de techniques développées pour des formes d’attaques beaucoup plus anciennes comme les botnets. Certains mécanismes de cryptojacking utilisent très clairement des botnets.

La facilité de mise en œuvre du cryptojacking joue beaucoup dans son ascension. Les pirates s’appuient sur des vecteurs d’attaque utilisés depuis longtemps pour lancer des attaques par rançongiciels ou mettre en place des réseaux de botnets. L’avantage du cryptojacking ? L’infection d’une machine est une garantie de source de revenus pour les pirates. Avec les rançongiciels, les cybercriminels dépendent du paiement d’une rançon par les utilisateurs. Avec les logiciels de cryptojacking qui s’exécutent silencieusement en arrière-plan, les pirates empochent des revenus générés lentement… mais sûrement.

Mode opératoire

Une attaque par cryptojacking repose, essentiellement, sur deux modes opératoires très semblables à d’autres formes d’attaque.

La première méthode consiste à amener un utilisateur à installer un logiciel de cryptomining sur son ordinateur, comme dans le cas de BadShell — une attaque récente basée sur un malware « sans fichier » qui ne nécessite aucun téléchargement. Les techniques employées ressemblent à celles utilisées pour le hameçonnage. Bien souvent les utilisateurs ciblés reçoivent un message d’apparence légitime qui les invite à cliquer sur un lien. S’ils cliquent, un script de cryptomining se charge sur leur ordinateur et s’exécute discrètement en arrière-plan lorsque la machine est allumée.

La seconde méthode utilise des scripts intégrés à certains sites Web pour exécuter un logiciel de cryptomining dans le navigateur des cibles. L’utilisation de publicités JavaScript est très courante : l’insertion d’un code malveillant dans le script JS d’un spot publicitaire permet d’indiquer au navigateur de générer des cryptomonnaies à l’insu de l’internaute.

Malgré les apparences, les conséquences d’une telle infection sont loin d’être bénignes. Certes, le vol d’informations et les dommages informatiques ne constituent pas le but « affiché » du cryptojacking, mais la technique peut être employée pour injecter un code malveillant doté de ce pouvoir de nuisance. Même si le ralentissement des machines utilisateurs constitue la seule manifestation de ce type d’infection, l’impact sur les entreprises peut être beaucoup plus lourd. Le suivi des problèmes de performance ou le remplacement des composants détruits par les exigences élevées des opérations de cryptomining peuvent engendrer un important manque à gagner.

Comment le détecter ?

Le cryptojacking peut être assez difficile à repérer, mais certains signes ne trompent pas et permettent de conclure à une infection de votre machine, ou de celles de vos employés.

Tout d’abord, ne vous fiez pas aux antivirus ou logiciels d’analyse standard. De nombreux scripts utilisés dans ces attaques sont des scripts légitimes de cryptomining. Ils ne seront donc pas identifiés comme étant des logiciels malveillants par les outils de sécurité basés sur les signatures — ce qui rend le cryptojacking d’autant plus difficile à détecter.

Recherchez plutôt les signes révélateurs d’un fonctionnement anormalement intensif de vos systèmes. Le « minage » de cryptomonnaies est en effet conçu pour consommer des ressources importantes, notamment en termes de puissance de calcul. Une surchauffe de votre ordinateur est donc une manifestation d’infection assez claire. En entreprise, cela peut se traduire par une brusque augmentation des plaintes de collaborateurs mécontents des performances de leurs machines, ou par des signes de surchauffe révélateurs d’une perte notable de la puissance des processeurs.

Bien sûr, une activité machine anormalement élevée peut être le symptôme de nombreux types d’attaques, mais toute chute de performance brutale est un signe à prendre au sérieux.

Comment se protéger ?

Du fait de la proximité entre les techniques employées dans le cryptojacking et les autres formes de cyberattaques plus « classiques », les méthodes pour s’en protéger sont censées être connues.

Avant toute chose, soyez conscient des dangers de l’hameçonnage (phishing) sous ses diverses formes. Pensez à intégrer un volet de sensibilisation aux manifestations concrètes de ces attaques dans votre formation à la sécuritéen mettant l’accent sur les signes évocateurs de toute tentative de chargement de code malveillant par un cyberpirate.

Les navigateurs Web constituent le vecteur d’infection privilégié des pirates pour de nombreuses attaques de cryptojacking ; leur sécurité doit également être renforcée. Comment ? Privilégiez un navigateur Web qui prend la sécurité au sérieux et utilisez un bon bloqueur de publicités pour désactiver les scripts potentiellement malveillants. Vous pouvez aussi utiliser un VPN de qualité pour renforcer la sécurité de votre navigateur Web. Enfin, sachez que plusieurs modules complémentaires très accessibles sont spécifiquement conçus pour détecter et bloquer les scripts de cryptomining.

Au-delà de ça, l’efficacité des défenses contre le cryptojacking repose sur des techniques de protection couramment employées pour lutter contre d’autres formes d’attaques. L’utilisation d’équipements informatiques personnels sur le lieu de travail représente une source d’infection potentielle dès lors que ces appareils utilisent les mêmes réseaux ou sont connectés aux systèmes internes. Pensez alors à utiliser un logiciel de gestion des terminaux mobiles et effectuez systématiquement les mises à jour de votre logiciel, y compris les extensions de navigateur et les applications des terminaux mobiles.

Le mot de la fin…

Même si une attaque de cryptojacking stricto sensu se traduit tout au plus par une dégradation des performances, ces conséquences apparemment bénignes ne doivent pas être sous-estimées. Les victimes de ce type d’attaque doivent plutôt interpréter cela comme un signal d’alarme. En effet, si un pirate informatique réussit à installer un code malveillant sur vos machines (ou celles de vos employés), votre sécurité n’est peut-être pas aussi sûre qu’elle le devrait.