dans

Coinhive : Qui, comment, pourquoi ?

Plusieurs entreprises de sécurité ont récemment identifié Coinhive, le service d’extraction de crypto-monnaies, comme principale menace malveillante pour les internautes, en raison de la tendance à utiliser le code informatique de Coinhive sur des sites Web piratés pour voler la puissance de traitement des appareils de ses visiteurs.

Cet article examine comment Coinhive s’est hissé au sommet de la liste des menaces moins d’un an après ses débuts, et explore des indices sur les identités possibles des personnes derrière le service.

Coinhive est un service d’extraction de crypto-monnaie qui repose sur un petit bloc de code informatique conçu pour être installé sur des sites Web.

Le code utilise tout ou partie de la puissance de calcul de tout navigateur visitant le site en question, en inscrivant la machine dans une offre visant à exploiter des éléments de la crypto-monnaie Monero.

Monero se distingue de Bitcoin par le fait que ses transactions sont pratiquement intraçables, et il est impossible pour un tiers de suivre les transactions Monero entre deux parties.

Naturellement, cette qualité fait de Monero un choix particulièrement attrayant pour les cybercriminels.

Coinhive a publié son code JS l’été dernier, le présentant comme un moyen pour les propriétaires de sites Web de gagner de l’argent sans faire de publicités intrusives ou gênantes.

Mais depuis lors, le code de Coinhive est devenu la principale menace détectée par plusieurs entreprises de sécurité.

En effet, la plupart du temps, le code est installé sur des sites Web piratés, à l’insu du propriétaire et sans son autorisation.

Tout comme les programmes malveillants d’un bot ou d’un cheval de Troie malveillant, le code de Coinhive verrouille fréquemment le navigateur d’un utilisateur et draine la batterie de l’appareil alors qu’il continue à exploiter Monero aussi longtemps qu’un visiteur navigue sur le site.

Selon publicwww.com , un service qui indexe le code source des sites Web, près de 32 000 sites Web utilisent actuellement le code mineur JavaScript de Coinhive.

Il est impossible de dire combien de ces sites ont installé le code intentionnellement, mais au cours des derniers mois, des pirates l’ont secrètement cousu sur des sites Web extrêmement prestigieux, notamment des sites pour des entreprises telles que The Los Angeles Times, Blackberry, Politifact et Showtime.

Et cela se manifeste dans des endroits inattendus : en décembre, du code Coinhive a été trouvé dans toutes les pages Web desservies par un point d’accès WiFi dans un Starbucks de Buenos Aires.

Pendant environ une semaine en janvier, Coinhive a été retrouvé dans des publicités YouTube (via la plate-forme DoubleClick de Google) dans certains pays, notamment au Japon, en France, à Taiwan, en Italie et en Espagne.

En février, Coinhive a été trouvé sur «Browsealoud», un service fourni par Texthelp qui lit les pages Web à haute voix pour les malvoyants.

Le service est largement utilisé sur de nombreux sites Web du gouvernement du Royaume-Uni, en plus de quelques sites des gouvernements des États-Unis et du Canada.

Qu’est-ce que Coinhive tire de tout ça ?

Coinhive conserve 30% de la quantité de crypto-monnaie Monero extraite à l’aide de son code, qu’un site Web ait donné son accord ou non pour l’exécuter.

Le code est lié à une clé cryptographique spéciale qui identifie quel compte d’utilisateur doit recevoir les 70% restants.

Coinhive accepte les plaintes pour abus, mais refuse généralement de répondre à toute plainte qui ne provient pas du propriétaire d’un site Web piraté (elle ignore principalement les plaintes pour abus déposées par des tiers).

De plus, lorsque Coinhive répond aux plaintes pour abus, il le fait en invalidant la clé liée à l’abus.

Mais selon Troy Mursch, un expert en sécurité qui passe une grande partie de son temps à suivre Coinhive et d’autres cas de «cryptojacking», tuer la clé ne fait rien pour empêcher le code de Coinhive de continuer à exploiter Monero sur un site piraté.

Une fois qu’une clé est invalidée, Coinhive conserve 100% de la crypto-monnaie extraite par les sites liés à ce compte à partir de ce moment-là.

AUTHEDMINE

Malwarebytes. Les statistiques ci-dessus font référence au nombre de fois par jour, entre le 10 janvier et le 7 février, que Malwarebytes a bloqué les connexions à AuthedMine et à Coinhive, respectivement.

Coinhive a réagi à ces critiques en publiant une version de son code appelée «AuthedMine», conçue pour demander l’autorisation du visiteur du site Web avant d’exécuter les scripts d’extraction minière de Monero.

Coinhive affirme qu’environ 35% de l’activité d’extraction de cryptomonnaie Monero utilisant sa plate-forme provient de sites utilisant AuthedMine.

Mais selon un rapport publié par la société de sécurité Malwarebytes, le code AuthedMine est «à peine utilisé» par rapport à l’utilisation du code minier de Coinhive qui ne demande pas l’autorisation des visiteurs du site Web.

Les données de télémétrie de Malwarebytes (tirées d’alertes antivirus lorsque les utilisateurs accèdent à un site exécutant le code de Coinhive) ont permis de déterminer qu’AuthedMine était utilisé dans un peu plus d’un pour cent de tous les cas impliquant le code d’exploration de Coinhive.

Qui est derrière Coinhive ?

Comme bon nombre des liens dirigent vers des sites qui exploitent activement Coinhive ou dont le contenu est résolument dangereux, on a inclus des captures d’écran au lieu de liens.

Pour ces raisons, On vous déconseille fortement de visiter le site Web de pr0gramm.

Selon une déclaration supprimée depuis la version originale du site Web de Coinhive, Coinhive est née d’une expérience sur l’hébergement d’images en allemand et le forum de discussion pr0gramm [point] com.

En effet, plusieurs discussions sur pr0gramm montrent que le code de Coinhive a été publié pour la première fois à la troisième semaine de juillet 2017.

À cette époque, l’expérience était appelée « pr0miner » et ces discussions indiquaient que le principal programmeur responsable de la programmation avait utilisé le surnom “ int13h ” sur le programme.

Dans un message adressé à cet auteur, Coinhive a confirmé que « l’essentiel du travail à l’époque était effectué par int13h, qui fait toujours partie de notre équipe« .

 

Sur le même thème : 

Quelle est l’histoire de Coinhive ?

Qui est pr0gramm ?

 

Sources :
https://krebsonsecurity.com/2018/03/who-and-what-is-coinhive/
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coinhive-miner-the-6th-most-common-malware
https://news.ycombinator.com/item?id=16680967
https://fr.wikipedia.org/wiki/Coinhive

Écrit par Jeff

Wordpress Junkie - Security Enthusiast - Digital Strategy Consultant - Pizzas Lover.

Une agence web pour la création d’un site internet

Protégez-vous contre la cybercriminalité avec des techniques avancées

Protégez-vous contre la cybercriminalité avec des techniques avancées