Devenu en quelque mois l’une des principales sources de malveillance sur la Toile, ce logiciel de minage de moneros se répand de manière fulgurante. Pour le grand bonheur de ses auteurs.
Connaissez-vous Coinhive ? Vous devriez, car ce petit code Javascript qui ne fait qu’une dizaine de lignes est devenu en très peu de temps l’une des principales menaces sur le radar des éditeurs antivirus. Totalement inconnu il y a encore six mois, le service Coinhive permet de miner des moneros, une cryptomonnaie alternative au bitcoin, directement dans un navigateur. Il suffit de l’intégrer dans une page web et hop, dès qu’un internaute s’y connecte, le code puise dans les ressources de sa machine pour exécuter le fameux calcul de preuve cryptographique au sein d’un pool de minage qui regroupe tous les autres utilisateurs du script.
L’équipe de Coinhive, qui récupère 30 % de chaque monero créé, présente son service comme une solution de financement alternative à la publicité. Le premier a l’avoir essayé de cette manière est The Pirate Bay, le célèbre site de piratage. C’était en septembre dernier. Depuis, la croissance est vertigineuse. Selon publicwww.com, le script se trouve sur presque 30.000 sites web actuellement. Rien qu’en décembre dernier, les logiciels de Symantec ont détecté plus de 8 millions de fois l’exécution d’un script de minage chez leurs clients, dont une grande partie était localisée dans les navigateurs. Le minage en ligne représentait ainsi « 24 % des attaques web bloquées », souligne l’éditeur. Pour sa part, Check Point a estimé en novembre que Coinhive occupait d’ores et déjà la sixième place dans la liste des malwares les plus utilisés.
Si les éditeurs d’antivirus comparent Coinhive à un malware, c’est parce que le script est de plus en plus intégré de manière illégale par des hackers. Les exemples de sites piratés sont nombreux. Los Angeles Times, Blackberry, Politifact et Showtime en ont été victimes. En décembre, le hotspot Wi-Fi d’un Starbucks a intégré le script sur toutes les pages sur lesquelles se rendaient les clients. En janvier, Coinhive s’est retrouvé dans des publicités vérolées de YouTube. En février, plus de 4200 sites ont été infectés en quelques heures par Coinhive, au travers d’une librairie d’accessibilité (Browsealoud). Bref, c’est la ruée vers l’or, même si l’on ne sait pas quelle est la part des sites où le script a été intégré façon volontaire ou non.
Ce n’est pas la première fois que les pirates infectent des ordinateurs pour y installer des logiciels de minage. Le bitcoin avait suscité ce type de malveillance, mais seulement pendant ses premières années d’existence. Rapidement, la puissance de calcul nécessaire pour miner est devenue trop importante pour que le piratage d’ordinateurs classiques en vaille la peine. Mais avec monero et Coinhive, le phénomène non seulement réapparait, mais prend aussi une toute autre ampleur. Plusieurs facteurs expliquent cela.
Un algorithme « CPU friendly »
Tout d’abord, Coinhive est facile à déployer : il suffit de l’insérer dans une page web. De plus, pirater un serveur web n’est pas forcément plus difficile que l’ordinateur d’un particulier (que les pirates continuent d’attaquer par ailleurs avec des chevaux de Troie). Il existe de nombreux sites mal configurés et qui représentent donc une cible facile. Certes, ce ne sont généralement pas des sites qui font beaucoup d’audience, mais peu importe : les pirates font feu de tout bois et espèrent les petits ruisseaux feront les grandes rivières.
Autre avantage : le minage de monero est plus accessible sur le plan cryptographique que le bitcoin. CryptoNight, l’algorithme de hachage utilisé pour vérifier les transactions, nécessite plus de mémoire que SHA-256 qui est utilisé pour bitcoin. Ce qui a pour effet d’avantager les CPU et les GPU par rapport aux circuits imprimés dédiés (ASIC). Dans le cas du bitcoin, ces derniers ont fini par monopoliser l’activité du minage qui devient, du coup, une affaire de spécialistes. Résultat : le minage du bitcoin s’appuie désormais sur une poignée de grosses fermes de calcul situées en Chine.
Une croissance tirée aussi par le dark web
Enfin, il ne faut pas oublier l’influence du dark web. Comme l’a relevé Europol dans son dernier rapport annuel, les boutiques underground adoptent de plus en plus monero comme moyen de paiement en raison de sa sécurité. La grande particularité de cette cryptomonnaie est de rendre les transactions anonymes, ce qui n’est pas le cas du bitcoin. Mais cette caractéristique pourrait retomber comme un soufflé. Des chercheurs viennent de trouver une faille dans la technologie qui permettrait de désanonymiser les transactions, au moins en partie. Si cette vulnérabilité se confirme, les caïds du dark web migreront probablement vers une autre monnaie, telle que zCash.
En attendant, les créateurs de Coinhive peuvent continuer à surfer sur la vague et se remplir les poches. Jusqu’à présent, ces mystérieux développeurs sont toujours restés dans l’ombre. Une enquête du journaliste Brian Krebs les a forcés à sortir du bois. L’auteur du script est un développeur allemand, Dominic Szablewski. « Au milieu de l’année dernière, j’ai eu l’idée d’implémenter un logiciel de minage en WebAssembly [un langage de programmation bas niveau pour le web, ndlr]. C’était juste une expérience, pour voir si cela marchait (…) J’ai lancé Coinhive quelques mois plus tard et je me suis rapidement rendu compte que je ne pouvais pas le faire tout seul. J’ai donc cherché quelqu’un qui pouvait reprendre le flambeau. J’ai trouvé une société qui était intéressée par cette nouvelle affaire. Elle a repris Coinhive et prépare maintenant une grande refonte », explique-t-il sur son blog.
Des responsables plutôt discrets
La société en question s’appelle Badges2Go UG. Basée à Kaiserslautern en Allemagne, elle est gérée par Sylvia Klein, une femme d’affaire qui s’intéresse notamment au secteur de la blockchain. Son nom figure désormais sur le site de Coinhive. Avant l’enquête de Brian Krebs, aucun contact n’y était mentionné. Interrogé par le journaliste américain, elle explique que sa société est un incubateur de projets « d’applications web et mobiles ». Elle indique par ailleurs que le service Coinhive allait bientôt « être professionnalisé », sans donner plus d’explications. Nous avons tenté de prendre contact avec Mme Klein, mais n’avons pas obtenu de réponse.
Cette prudence managériale n’est pas très étonnante car d’un point de vue éthique, le fonctionnement de Coinhive n’est quand même pas très clair. Certes, l’équipe de Coinhive n’est pas responsable de tous ces actes de piratage et elle ne peut pas désactiver le script si celui a été installé de manière frauduleuse. Mais force est de constater qu’elle profite quand même largement de ce phénomène illégal, grâce à sa marge de 30 %. Ce qui s’appelle nager en eau trouble. Il sera intéressant de voir si cette « professionnalisation » mettra un terme à ce far west.