Sécurité

Quand les sites internet utilisent votre CPU pour miner de la cryptomonnaie : Bitcoin, TrojanMiner et WebMiner

Depuis quelque temps vous trouvez que votre PC rame lorsque vous visitez certains sites ? Votre navigateur internet est lent et il est presque impossible d’ouvrir de nouveaux onglets et de naviguer sur d’autres sites ?

Vous êtes peut-être victime d’un web miner.

Dans la vidéo ci-dessous, je résume cet article et je vous fais une petite démo sur les effets d’un web miner.

C’est bien connu, dès qu’il y a de l’argent à se faire, des pirates ou personnes malintentionnées sont toujours là pour s’engouffrer dans des failles ou détourner les standards.

La Cryptomonnaie

La mode est aux cryptomonnaies, on en entend beaucoup parler, encore plus depuis que le prix du Bitcoin à passer la barre des 10000$ ! Je ne rentrerai pas dans les détails sur le Bitcoins dans cet article, ce serait beaucoup trop long à expliquer, je vais donc résumer très rapidement.

La cryptomonnaie (Bitcoin, Ethereum et compagnie..) on peut l’acheter, ou encore la fabriquer : On appelle ça « Miner« . Pour ça on utilise des machines surpuissantes, et en fonction de la monnaie à miner, on va privilégier les cartes graphiques (GPU) ou encore le ou les processeurs (CPU). Ça, c’est dans la pratique.

Le Trojan Miner

Cependant, des « petits malins » on préférer détourner le truc, et plutôt que d’acheter des machines surpuissantes, ils vont infecter un grand nombre de machines via des trojans par exemple, et miner à l’aide de VOTRE PC. Les ressources de votre PC sont alors grandement touchées et votre ordinateur devient très lent. Il est en train de miner, et le pirate s’enrichit sur votre dos. On appelle ça le Trojan Miner.

Ça, c’était l’introduction, car aujourd’hui, nous n’allons pas parler de Trojan Miner (qui n’en reste pas moins dangereux et intéressant), mais on va parler du Web Miner.

Le Web Miner

Nouvelle technique maintenant, plutôt que d’infecter votre ordinateur, les pirates vont ajouter un petit JavaScript sur des sites piratés, ou des personnes malintentionnées pourrons l’ajouter sur leur propre site (notamment sur les sites de warez/streaming ou encore des sites de niches).

Et alors votre ordinateur minera de la cryptomonnaie lorsque vous serez sur les sites infectés et bien entendu, sans votre consentement. À l’heure ou j’écris cet article, c’est plus de 2500 sites qui ont été recensés et qui contiennent la fameuse ligne de code qui permet à votre navigateur d’utiliser votre CPU pour miner.

Et le problème c’est que cette technique évolue, alors que les premiers webminer utilisaient 99% de votre CPU, maintenant certains webminer sont plus intelligents et évitent d’utiliser plus de 50% du CPU pour éviter d’être détectés trop rapidement. Certains vont jusqu’à pouvoir être utilisés même lorsque vous fermez le site en question. Comment est-ce possible ? Tout simplement car sur certains sites, une popup contenant le webminer est lancée et « affiché » réduite derrière l’horloge de l’ordinateur. Potentiellement invisible, votre ordinateur continue de miner même si vous avez fermé vos fenêtres de navigation.

Et voici une démo :

Autant sur Windows 10 avec la transparence, on voit légèrement la popup cachée, autant sur Windows 7, c’est totalement invisible.

Comment se protéger des WebMiner ?

Nous verrons ici plusieurs solutions qui vous permettront de bloquer les WebMiner, cependant attention, étant donné qu’ils sont en pleine évolution, ce n’est pas impossible que les solutions citées ci-dessous ne soient plus valables après quelques semaines. Vous pouvez compter sur moi pour mettre à jour cet article si nécessaire.

Utilisation d’un bloqueur de publicité : uBlock

Blocage du JavaScript via uBlock, extension qui permet aussi de bloquer les publicités. Vous pouvez télécharger ublock pour votre navigateur depuis le gestionnaire d’extension.

Utilisation d’un antivirus à jour

Certains antivirus bloquent déjà les JavaScript provenant de CoinHive. C’est le cas d’Avast par exemple.

Ou encore de MalwareBytes

Bloquer le JavaScript via votre fichier Host

Vous pouvez également bloquer le site web à l’origine du JavaScript qui mine les bitcoins. Aujourd’hui c’est CoinHive.com, demain ce sera peut-être un autre. C’est pourquoi la technique du blocage via le fichier host est très utile (en plus d’être compatible multi plateforme : Linux, osx, Windows)

Modifier votre fichier Host en ajoutant les lignes suivantes :

# Block Coin Hive Miner
127.0.0.1 coin-hive.com
127.0.0.1 coinhive.com
  • Sur Windows : C:\Windows\System32\Drivers\etc\hosts
  • Sur Linux : /etc/hosts
  • Sur MacOS : /etc/hosts

De nombreux sites utilisent le Javascript CoinHive

Le site whorunscoinhive.com permet de répertorier les sites internet utilisant le JavaScript de CoinHive (à leur insu ou non). Vous seriez surpris de voir le nombre de sites à fort trafic utilisant CoinHive…

Source

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 pour la société zerobug. Je partage mes connaissances, problèmes et solutions à travers articles ou tweets !

Articles similaires

4 commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page