C'est quoi le Cryptojacking ?

Définition du Cryptojacking

Quand on lit Cryptojacking, on fait facilement le rapprochement avec le “Carjacking”. Il s’agit d’une méthode de vol qui consiste à dérober des objets de valeurs dans une voiture, en agressant le conducteur ou les passagers. 

Il existe bien un lien avec le Cryptojacking. En effet, il s’agit d’une technique malveillante qui consiste à voler de la puissance de calcul du matériel informatique d’utilisateurs, dans le but de générer des rendements. 

Pour ce faire, les pirates utilisent des logiciels, comme un malware classique, qui va exploiter un ordinateur et même des téléphones portables. Il existe même de nouvelles méthodes pour faire du Cryptojacking, tant les pirates redoublent d’ingéniosité. Cependant, avant d’aller plus loin, regardons plus en détail comment fonctionne le Cryptojacking. 

Le fonctionnement du cryptojacking

Nous avons rapidement abordé le fonctionnement du cryptojacking dans la partie précédente, mais regardons cela de plus près. Reprenons ce système, en étudiant par ordre chronologique les différentes étapes.

Il existe deux principales manières pour un hacker de procéder à du Cryptojacking : 

• Grâce à un malware : le pirate vous fait télécharger un logiciel malveillant via un e-mail frauduleux par exemple

• Via du code Javascript : certains pirates introduisent du code javascript malveillant sur des sites internet. Cette fois-ci, ils ne vous font rien télécharger et vont procéder au cryptojacking dès que vous consultez le site internet en question

Une fois que vous avez téléchargé le logiciel malveillant, ou que vous avez consulté le site internet infecté, le cryptojacking peut commencer. Le pirate va exploiter la puissance de calcul de votre appareil (PC, téléphones portables, serveurs informatiques, etc.) pour miner des cryptomonnaies.

Le plus vicieux dans cette méthode, c’est que vous n’en savez rien. En effet, le pirate va exploiter votre puissance de calcul en toute discrétion. Vous pouvez suspecter que cela vous arrive, si vous constatez une perte de performance de votre appareil par exemple. Cependant, aucun indicateur visible ne vous indiquera l’activité malveillante. 

Exemples de cryptojacking

Malheureusement, les exemples de CryptoJacking ne manquent pas. Pour y voir plus clair dans cette technique malveillante, nous allons parler de 4 cas de Cryptojacking célèbres : le botnet de Smominru, le ver de Graboid, le malware PowerGhost et le logiciel Minergate. 

Le botnet de cryptomining Smominru

Le botnet Smominru est un cas célèbre de Cryptojacking survenu en 2018. Les chercheurs estiment que ce logiciel malveillant s’est propagé sur près de 500 000 appareils, et qu’il a généré plus de 3,6 millions de dollars.

Pour se propager, ce logiciel exploitait une vulnérabilité du système d’exploitation Windows. Certains utilisateurs, et notamment les appareils des entreprises, n’étaient pas à jour, et la vulnérabilité était toujours présente.

Une fois la vulnérabilité exploitée, le logiciel prenait le contrôle de la machine. Il créait alors un compte administrateur sur le Windows des appareils infectés. Sur cette session, le logiciel installait tout un tas d’autres applications qui permettaient de récolter les données des utilisateurs, mais aussi de miner des cryptos. Dans ce cas précis, il s’agissait de Monero. 

Le ver de cryptomining Graboid

Le ver Graboid affectait de son côté ce qu’on appelle les “conteneurs Docker”. Il s’agit de conteneurs exécutables autonomes, qui possèdent tout le nécessaire à l’exécution d’une application. Il s’agit à la fois des bibliothèques, des outils systèmes, du code et du runtime. 

Vous avez forcément utilisé ce type de solution sans vous en rendre compte. Par exemple, lorsque vous utilisez une version “Portable” d’un logiciel, il s’agit d’un docker. Il rend l’application exécutable sans installation, sur tout type d’appareils. 

D’après les chercheurs, le ver Graboid aurait réussi à infecter plus de 2 000 conteneurs Docker. Une fois infecté, le logiciel utilisait les ressources du Docker pour miner des cryptomonnaies, sans nécessité d'autorisation ou d’authentification, en parfaite autonomie. 

Le malware PowerGhost

Le malware PowerGhost est assez similaire au botnet Smonminru car il utilisait la même vulnérabilité Windows pour se propager entre plusieurs machines. Cependant, avec ce malware, tout commence par le vol d’informations d’identification Windows. Une fois obtenu, il s’installe discrètement sur la machine, et se propage aux ordinateurs sur le même réseau. 

Le malware PowerGhost allait plus loin encore, en désactivant les logiciels antivirus et tous les logiciels de cryptomining concurrents. Une manière de s’assurer que son activité ne serait pas détectée ni perturbé par tout autre logiciel présent sur la machine. Là aussi, plusieurs centaines de milliers de dollars ont été générés avec ce malware. 

Le logiciel Minergate

Les logiciels de Cryptojacking sont devenus de plus en plus sophistiqués. Ils se sont rendus compte qu’en nuisant aux performances de l’ordinateur, ils prenaient le risque d’être plus facilement détectés par les utilisateurs. 

Minergate de son côté avait développé une fonctionnalité intéressante. En effet, lorsque l’utilisateur était actif sur le PC, le logiciel se mettait en retrait et cessait de consommer de la puissance de calcul. De cette manière, l’utilisateur n’avait aucun moyen de se rendre compte que quelque chose ne tournait pas rond avec sa machine.

Lorsque l’utilisateur avait terminé, et laissé l’ordinateur en veille, Minergate reprenait son activité de minage de cryptomonnaies. En clair, il faisait en sorte de passer sous les radars, pour permettre la longévité de l’exploitation frauduleuse. 

Signes de Cryptojacking

Heureusement, bien que les logiciels de Cryptojacking soient très discrets par nature, il y a des signes qui peuvent vous alerter sur leur possible présence sur votre machine. En effet, ils sont certes invisibles, mais les effets provoqués sur l’appareil par le minage de cryptomonnaies sont bien visibles. Voici quelques-uns des signes qui doivent vous faire suspecter un problème. 

Ralentissement des performances

Tout d’abord, le ralentissement des performances est l’un des signes les plus marquants du Cryptojacking. En effet, les logiciels malveillants vont utiliser les ressources de votre appareil pour miner des cryptomonnaies. Cette activité consomme énormément de puissance de calcul.

Ainsi, lorsque vous allez utiliser votre PC, vous allez vite vous rendre compte qu’il est plus lent que d’habitude. Vous rencontrerez plus régulièrement des chargements longs, voire des fermetures d’applications inopinées. Si c’est le cas, alors il faut que vous meniez une enquête approfondie pour en définir les causes. Il ne faut pas exclure la possibilité d’un Cryptojacking. 

Augmentation de l'utilisation du processeur

Comme nous vous l’avons expliqué précédemment, le Cryptojacking consiste à détourner la puissance de calcul de votre appareil pour miner des cryptomonnaies. En se faisant, il va donc faire appel aux composants de votre machine.

Le processeur est le composant qui va souvent être le plus représentatif de cette activité discrète. En effet, que vous soyez sur un PC ou un téléphone, les processeurs vont afficher une augmentation de leur utilisation s’ils sont sollicités. 

Si vous avez des doutes, consultez l’utilisation de vos périphériques dans votre gestionnaire de tâches. Si votre processeur montre une utilisation anormalement élevée, alors que vous ne faites rien de particulier, c’est qu’il est sollicité sans que vous ne le sachiez. Il est temps de mener vos investigations pour en connaître la source.

Bruit du ventilateur constant

Les ventilateurs de vos composants sont comme les symptômes d’une maladie. S’ils tournent constamment à pleine puissance, avec un bruit plus fort que d’habitude, alors cela signifie qu’ils répondent à un besoin des composants. 

Cela ne veut pas forcément dire que la cause est un Cryptojacking. Cela signifie cependant, qu’un ou plusieurs de vos composants sont anormalement sollicités, par un problème de driver ou un malware par exemple. Cela fait partie des signes qui doivent vous alerter. 

Batterie qui se décharge rapidement

L’une des conséquences directes de l’utilisation abusive de vos ressources, si vous êtes sur mobile ou ordinateur portable, c’est la décharge de la batterie. En effet, étant donné que vos composants sont utilisés à leur maximum, ils consomment plus d’énergie. La batterie est donc sollicitée en permanence et va se décharger plus rapidement qu’à l’accoutumé. 

Encore une fois, ce signal n’est pas forcément spécifique d’un Cryptojacking. Une anomalie de votre batterie peut tout aussi bien en être la cause. Cependant, il doit être étudié en association avec d’autres signes évocateurs, comme ceux de la liste. Dans tous les cas, si votre batterie se décharge trop rapidement, cela vaut le coup de comprendre pourquoi.

Surchauffe de l'appareil

Lorsqu’un composant comme le processeur ou la carte graphique travaille tout le temps au maximum de sa capacité, il produit de la chaleur. C’est d’ailleurs pour cette raison que les ventilateurs fonctionnent également à pleine puissance, et que cela produit un bruit fort constant, comme nous l’avons dit plus haut. 

Si cette chaleur est trop importante, les appareils ont pour habitude d’activer un mode critique, qui va interrompre toute activité sur la machine et vous prévenir. Cela permet de protéger les composants afin d’éviter qu’ils atteignent un niveau de chaleur délétère pour ces derniers. Si les surchauffes surviennent trop régulièrement, cela peut être évocateur d’un Cryptojacking. 

Utilisation anormale de la bande passante

Une fois le logiciel malveillant installé sur votre ordinateur, il a besoin d’un accès à Internet pour miner des cryptomonnaies. Parfois, les interactions régulières avec le réseau vont se manifester par une augmentation de l’utilisation de la bande passante.

Un bon moyen de constater si l’utilisation de la bande passante est anormale est de l’observer lorsque vous n’avez rien d’ouvert. Fermez toutes les applications possibles, et veillez à ne pas avoir de navigateur ouvert. Si la bande passante est fortement utilisée dans ces conditions, c’est qu’une application à laquelle vous n’avez pas accès utilise internet. 

Messages d'avertissement de sécurité

Évidemment, il y a un signe à ne pas sous-estimer et qui est pour le coup très explicite : un message d’avertissement lié à la sécurité. Ce message peut à la fois venir de votre antivirus, mais aussi de Windows par exemple.

Lorsque cela survient, cela doit vous alerter. Commencez par mettre l’application suspectée en quarantaine. Si l’application en question vous est inconnue, supprimez-la totalement de votre PC et faites une analyse approfondie de votre machine avec un antivirus. 

Parfois, il est possible que le logiciel passe tout de même à la trappe des antivirus les plus sophistiqués. Dans ces cas-là, soyez attentif aux autres signaux de la liste, et faites le lien rapidement avec cette alerte. Le dernier recours restera de faire une réinitialisation totale comme “sortie d’usine” de votre machine. 

Changements inexpliqués dans les performances des jeux ou des applications

Un dernier signal doit permettre de vous faire suspecter un problème. Il est possible que votre PC rencontre des problèmes qu’il ne rencontrait pas avant, quand vous jouez aux jeux vidéo ou que vous utilisez une application gourmande par exemple. 

Cela s’explique simplement par le fait que vous lancez une activité qui va être demandante en ressource pour votre appareil. Le problème est que ce dernier était déjà sollicité pour le minage de cryptomonnaies dans le cas d’un Cryptojacking. La machine ne pourra pas suivre la demande et vous aurez des changements inhabituels dans les performances. 

En cas de signes inquiétants comment vérifier ?

Si vous constatez des signes inquiétants, comme ceux de la liste, il convient de procéder par élimination. Commencez par les causes les plus probables, comme un dysfonctionnement matériel ou un problème de driver.

Si vous éliminez ces causes et que les signes persistent, alors il convient de suspecter un problème de sécurité. Dans ces cas-là, faites une analyse approfondie avec un antivirus réputé. La majorité du temps, si un malware est présent, il devrait être détecté par le logiciel. 

Si ce n’est pas le cas, alors continuez vos recherches en faisant des analyses plus poussées sur votre matériel par exemple. Une dernière étape consiste à réinitialiser votre PC au format d’usine. 

Si le problème persiste encore, alors il est possible que vous ayez à faire à un virus très résilient ou à un dysfonctionnement plus complexe. Il convient alors, avant d’abandonner, de faire appel à un professionnel. 

Se protéger contre le cryptojacking

Il y a plusieurs conseils que nous pouvons vous transmettre pour vous protéger du Cryptojacking : 

• Installer un antivirus : la première barrière et la plus efficace est l’antivirus. N’hésitez pas à installer un antivirus réputé sur votre PC. Il existe également de très bons antivirus gratuits. Ne sous-estimez pas leur rôle dans la protection de vos données et de vos actifs

• Évitez les sites web douteux : lorsque vous consultez un site internet, assurez-vous que l’adresse est la bonne. Parfois, les pirates utilisent une adresse très proche de celle du site officiel, pour faire des attaques “phishing”

• Ne téléchargez pas d’applications officielles : évitez à tout prix de télécharger des applications inconnues, sur lesquelles vous n’avez aucune garantie ou retour. Contentez-vous des applications connues et si vous devez en télécharger des moins sûres, faites d’abord des recherches

Les extensions de navigateur pour se défendre du cryptojacking

Certaines extensions peuvent vous permettre de vous protéger du cryptojacking. Elles vont agir pendant votre navigation, en analysant les codes des sites web et en bloquant toutes activités suspectes. Vous trouverez deux extensions que vous pouvez télécharger ci-dessous.

No Coin

No Coin est une extension de navigateur qui va bloquer les mineurs de cryptomonnaies. En clair, l’extension va analyser le code du site web que vous parcourez, à la recherche d’un script suspect. Si elle en détecte, elle va automatiquement bloquer l’activité et ainsi éviter que votre PC se retrouve ralenti. Un excellent moyen de se prémunir face au cryptojacking. 

MinerBlock

De la même manière que No Coin, MinerBlock va bloquer les mineurs de cryptomonnaies présents sur le web. Pour cela, l’extension se base sur deux éléments : elle bloque toutes les requêtes et les scripts issus de site web présents sur leur “blacklist” et la seconde est la détection automatique de script dans les codes et leur blocage systématique. 

Conclusion

Le Cryptojacking est une technique assez méconnue des investisseurs et des usagers de la blockchain et qui est pourtant très répandue. La particularité de cette dernière est qu’elle cible tout le monde, même les utilisateurs qui n’ont pas de cryptomonnaies. 

En réalité, ce qui intéresse ces arnaqueurs n’est pas vos actifs numériques ni votre argent. Ils peuvent parfois cibler vos données, mais ce qu’ils veulent avant tout, c’est la puissance de calcul de votre appareil. 

Dans le cas où cela vous arrive, ne paniquez pas et procéder calmement et par logique. Tentez d’abord de le supprimer et faites tout le ménage et toutes les analyses nécessaires. En dernier recours, il vous reste l’option d’aller voir un professionnel afin de vous aider au mieux dans votre démarche.