Qu’est-ce que le cryptojacking ?

Les pirates utilisent du code de cryptojacking (un type de logiciel malveillant) pour générer et collecter de la cryptomonnaie sans supporter les coûts associés. En clair, ils trompent leurs victimes, qui dépensent leurs propres ressources sans toucher la moindre récompense. Le cryptojacking est une menace croissante dans le paysage de la cybersécurité. Selon le SonicWall Cyber Threat Report 2024, les incidents de cryptojacking ont augmenté de 659 % en 2023. 

Les ressources nécessaires au minage de cryptomonnaie peuvent être coûteuses. Les attaques réussies de cryptojacking obligent les victimes, à leur insu, à supporter les coûts du processus de minage de la cryptomonnaie, tandis que les pirates en récoltent les bénéfices.

Les attaques de cryptojacking peuvent être menées via le Web, à travers des scripts de cryptojacking basés sur le navigateur (souvent intégrés dans des pages web en JavaScript), ou par des logiciels malveillants de cryptojacking diffusés sous forme d’applications ou de virus de type cheval de Troie via ingénierie sociale ou phishing. Les ordinateurs de bureau, portables, serveurs, smartphones et autres appareils infectés par du code ou des logiciels de cryptojacking subissent souvent une forte dégradation des performances, entraînant des temps d’arrêt opérationnels en plus de factures d’électricité plus élevées.   

Le cryptojacking diffère des autres types de cybercriminalité. Alors que des cybermenaces comme l’exfiltration de données ou les attaques par ransomware cherchent généralement à voler ou prendre des données en otage, le code de cryptojacking vole en réalité la puissance de calcul et l’électricité. Les logiciels malveillants de cryptominage sont conçus pour injecter un code malveillant discret, capable d’échapper à la détection aussi longtemps que possible.   

• En pratique : les attaques de cryptojacking, parfois appelées cryptominage malveillant, cherchent à prendre le contrôle des appareils informatiques ou des machines virtuelles (VM) de leurs victimes. Le procédé consiste à siphonner secrètement la puissance de calcul des victimes à leur insu pour miner des cryptomonnaies. Les cybercriminels récoltent ainsi les bénéfices générés, tandis que les victimes en supportent les coûts.  

• Impact : les victimes de cryptojacking subissent une hausse des factures d’électricité et une baisse de performance des systèmes, ce qui peut endommager le matériel et provoquer une surchauffe. Les attaques réussies peuvent également compromettre la confidentialité des données et ouvrir la porte à d’autres cybermenaces. 

• Vulnérabilités : les vecteurs d’attaque incluent les pages web, les navigateurs Internet, les extensions et plug-ins des navigateurs, les appareils IdO (Internet des objets), les e-mails et d’autres applications de type messagerie. Les logiciels malveillants de minage peuvent infecter la plupart des systèmes d’exploitation populaires. Des cybercriminels ont même ciblé de grands fournisseurs de logiciels et de services comme Microsoft et YouTube.     

• Défense : les méthodes recommandées pour se protéger contre les attaques de cryptojacking combinent la détection et réponse des terminaux (EDR), le désarmement et la reconstruction du contenu (CDR) et les antivirus, la surveillance régulière du gestionnaire des tâches et de l’utilisation du CPU, les audits de la chaîne d’approvisionnement, les bloqueurs de publicité et de scripts, la formation du personnel et la détection des menaces en temps réel.  

La cryptomonnaie est un type d’actif numérique qui n’a pas de représentation physique, mais qui peut être échangé contre des biens et services, à l’instar des devises traditionnelles. Une innovation majeure dans ce domaine réside dans la possibilité d’envoyer des fonds directement entre deux parties sans intermédiaire. Les cryptomonnaies sont créées grâce à la technologie blockchain.

Une blockchain est semblable à un registre virtuel qui enregistre toutes les transactions effectuées dans un système blockchain donné. Les blockchains de cryptomonnaies sont souvent open source, permettant à quiconque le souhaite d’examiner le code sous-jacent.

Outre la cryptomonnaie, les systèmes blockchain sont aussi utiles pour d’autres applications nécessitant de suivre et valider des enregistrements de toutes sortes. Par ailleurs, des blockchains privées peuvent être utilisées dans des systèmes gérant des informations sensibles. 

• Blockchain : un registre numérique partagé et immuable, utilisé pour enregistrer et tracer les transactions au sein d’un réseau, offrant une source unique et vérifiée de vérité. 

• Cryptomonnaie : un actif numérique généré par le déchiffrement de blocs de code chiffrés stockés sur une blockchain. Les unités de cryptomonnaie, souvent appelées coins ou tokens, servent de récompense aux utilisateurs qui mettent à disposition leur puissance de calcul et leurs ressources énergétiques pour valider des transactions blockchain.

• Mineurs : les cryptomineurs sont les utilisateurs qui exécutent les logiciels de cryptominage permettant de générer de nouveaux tokens et de valider les transactions sur la chaîne. 

La force de la blockchain réside dans la décentralisation. Une blockchain publique, comme celle utilisée par Bitcoin, n’est pas stockée dans une source unique. Elle est dupliquée sur un grand nombre de nœuds : des systèmes informatiques distincts, chacun exécutant un logiciel de cryptominage qui surveille et vérifie la validité de la blockchain partagée.

Lorsqu’une transaction est effectuée sur la blockchain, un certain nombre de nœuds doivent la valider avant qu’elle ne soit inscrite dans le registre global. Ce processus garantit la légitimité de chaque transaction et résout les problèmes classiques des devises numériques comme la double dépense ou la fraude. Même si les utilisateurs peuvent rester anonymes, toutes les transactions d’une blockchain publique sont visibles par quiconque y a accès.

Dans le cas de la cryptomonnaie, la blockchain stocke également des tokens (jetons ou coins). Ces tokens sont chiffrés dans des problèmes mathématiques complexes appelés blocs de hachage. Pour générer une nouvelle pièce de cryptomonnaie, les utilisateurs d’un système blockchain doivent consacrer leurs ressources de calcul au déchiffrement de chaque bloc de hachage. Ce processus est appelé cryptominage et exige généralement d’énormes quantités de puissance de traitement. Les utilisateurs qui mettent leurs propres ressources à contribution pour générer de nouvelles pièces et valider les transactions d’autres utilisateurs sont appelés des mineurs.

La résolution des hachages cryptographiques et la validation des transactions peuvent coûter cher, à la fois en matériel et en électricité. Les pièces servent donc de récompense aux mineurs, qui supportent les coûts matériels et énergétiques. Déchiffrer un bloc de hachage complet nécessite beaucoup plus de ressources que la simple validation d’une transaction. Cela signifie que la vérification des transactions est rémunérée à un taux plus faible, calculé comme un pourcentage proportionnel à la valeur de la transaction et aux ressources mobilisées. 

Une opération de minage légitime de cryptomonnaie peut entraîner des coûts opérationnels très élevés sous forme de factures d’électricité et de matériel spécialisé coûteux. Par exemple, des unités de traitement graphique (GPU) conçues pour offrir une puissance et une efficacité de calcul supérieures à celles d’un processeur classique (CPU). Cependant, alors que certaines cryptomonnaies comme le Bitcoin exigent d’énormes quantités d’énergie et de puissance de calcul, d’autres devises, comme Monero, en nécessitent beaucoup moins. 

Un cryptomineur malveillant (cryptojacker) peut détourner les CPU (ou tout type de processeur) de nombreuses victimes. Il peut ainsi voler des cycles CPU inutilisés et les exploiter pour effectuer des calculs de cryptominage, envoyant toutes les pièces générées vers son portefeuille numérique anonyme. Mis bout à bout, un grand nombre de processeurs lents peuvent générer une quantité significative de cryptomonnaie. Un cryptojacker peut parvenir à ses fins directement (en infectant l’ordinateur d’une victime avec un logiciel malveillant) ou indirectement (en siphonnant des cycles processeur pendant qu’un utilisateur visite un site web infecté). 

Il existe trois principaux types de cryptojacking, pouvant être utilisés séparément ou en combinaison. Les types plus avancés de code de cryptojacking peuvent se comporter comme un ver, en infectant les ressources connectées et en modifiant son propre code pour échapper à la détection. Voici les trois types de cryptojacking :

• Cryptojacking basé sur le navigateur : ce type de cryptojacking s’exécute directement dans un navigateur web et ne nécessite aucune installation de logiciel par la victime. En naviguant simplement sur un site contenant du code de cryptojacking malveillant, les ressources de l’ordinateur de la victime peuvent être détournées pour du cryptominage clandestin. 

• Cryptojacking basé sur l’hôte : il s’agit de logiciels malveillants de cryptojacking téléchargés et installés sur l’appareil ou le système cible. Comme ce type de cryptojacking implique l’installation et le stockage d’un logiciel, il est souvent plus facile à détecter. Toutefois, il peut fonctionner en continu, provoquant une consommation d’énergie plus élevée et une ponction plus importante sur les ressources. 

• Cryptojacking basé sur la mémoire : plus rare et difficile à détecter que le cryptojacking basé sur le navigateur ou l’hôte, ce type de cryptojacking utilise des techniques avancées comme l’injection de code et la manipulation de la mémoire pour exploiter la RAM pour du cryptominage en temps réel, sans laisser de traces visibles. 

Selon le type d’attaque, la plupart des incidents de cryptojacking suivent un processus similaire en quatre étapes.

La première phase d’une attaque de cryptojacking consiste à exposer la cible à un code malveillant. Pour commettre une telle attaque, un cybercriminel doit trouver un moyen d’introduire un script de cryptojacking dans le système de la victime.

Cela peut prendre la forme d’un e-mail de phishing incitant la cible à télécharger un programme de cryptominage, ou d’une simple publicité JavaScript sur un site web réputé. 

La phase de déploiement commence dès que le code malveillant pénètre le système cible. Pendant cette phase, le script de cryptominage s’exécute alors en arrière-plan, en attirant le moins d’attention possible. Plus un script de cryptojacking parvient à échapper à la détection, plus il est rentable.

Les « meilleurs » scripts de cryptominage sont conçus pour détourner un maximum de puissance de calcul sans ralentir visiblement les performances du système de la victime. S’il est dans l’intérêt du cryptomineur de déployer un script qui nécessite relativement peu de puissance de traitement, car cela lui permet d’éviter la détection, les codes de cryptojacking sont par nature très gourmands. Ils accaparent les ressources au détriment des performances générales du système et de la consommation énergétique. 

Une fois le déploiement réussi, la phase de minage commence. Le code de cryptojacking utilise alors les ressources informatiques de la victime pour miner de la cryptomonnaie, soit en résolvant des hachages cryptographiques complexes pour générer de nouvelles pièces, soit en vérifiant des transactions blockchain afin de recevoir des récompenses en cryptomonnaie. 

Toutes ces récompenses sont transférées vers un portefeuille numérique contrôlé par le cryptojacker. Les victimes de cryptojacking n’ont aucun moyen de réclamer la cryptomonnaie générée avec des ressources qu’elles financent elles-mêmes.

La cryptomonnaie est plus difficile à tracer que les actifs traditionnels. Alors que certaines devises numériques offrent plus d’anonymat que d’autres, il peut être impossible de récupérer la monnaie minée via le cryptojacking. Même si les transactions réalisées sur les blockchains publiques sont consultables par tous, relier des crypto-actifs obtenus illicitement à des cybercriminels identifiables reste très complexe. Les outils de la finance décentralisée (DeFi) compliquent encore davantage ce suivi. Ces outils permettent aux détenteurs de cryptomonnaies de regrouper leurs ressources dans des pools financiers qui fonctionnent comme des opportunités d’investissement traditionnelles, versant des dividendes sans nécessiter de retrait du capital initial. Bien que ces mécanismes soient conçus pour des usages légitimes et largement utilisés par des investisseurs honnêtes, des acteurs malveillants profitent de la nature décentralisée du système pour brouiller les pistes. 

L’infiltration est toujours la première étape d’une attaque de cryptojacking. Cette forme de cybercriminalité est particulièrement dangereuse, car les hackers disposent de nombreux moyens pour livrer du code de cryptojacking. Voici quelques méthodes utilisées par les pirates pour infiltrer le système d’une victime cible :

• Phishing : un e-mail de phishing peut contenir un lien déclenchant le téléchargement d’un logiciel malveillant. Par exemple, une victime clique sur un lien censé le diriger vers un bon cadeau numérique, mais qui contient en réalité un logiciel de cryptominage malveillant, qu’elle installe sans se rendre compte de la supercherie. 

• Systèmes mal configurés : des machines virtuelles (VM), serveurs ou conteneurs mal configurés et exposés publiquement représentent une porte d’entrée idéale pour des hackers cherchant à obtenir un accès à distance sans authentification. Une fois à l’intérieur, installer un logiciel de cryptojacking est un jeu d’enfant pour des cybercriminels expérimentés. 

• Applications web compromises : accéder à une application web comportant des ports non sécurisés, même provenant d’un fournisseur fiable ou bien intentionné, peut exposer le système d’une victime à du code de cryptojacking.

• Extensions de navigateur infectées : également appelés modules complémentaires ou plug-ins, ces petits programmes logiciels améliorent et personnalisent l’expérience de navigation des utilisateurs. Des extensions comme les bloqueurs de publicités ou les gestionnaires de mots de passe sont disponibles sur la plupart, voire la totalité des navigateurs Internet populaires (tels que Google Chrome, Microsoft Edge, Mozilla Firefox et Apple Safari). Bien que la plupart soient sûrs, même des extensions réputées et largement utilisées peuvent être compromises si des hackers y injectent du code de cryptojacking. Même si les développeurs d’extensions réputés sont plus susceptibles de suivre les bonnes pratiques en matière de cybersécurité, dans un paysage de cybermenaces en constante évolution, les pirates ciblent constamment et infiltrent parfois même les extensions des développeurs les plus fiables. En utilisant des techniques telles que les exploits zero-day, les hackers peuvent injecter un logiciel de cryptojacking dans les logiciels des développeurs les plus dignes de confiance. Plus simple encore, certains pirates créent de fausses extensions imitant des outils populaires afin de piéger les utilisateurs et de les inciter à télécharger un logiciel malveillant au lieu d’une extension utile et vérifiée. 

• JavaScript compromis : le code écrit en JavaScript peut faire l’objet d’un cryptojacking. Les pirates peuvent charger ou infecter une bibliothèque JavaScript apparemment sûre, et s’infiltrer lorsqu’une victime télécharge du code compromis à son insu.    

• Menaces internes : les menaces internes, comme des employés mécontents, n’ayant pas reçu la formation adéquate, ou encore des acteurs de la menace ayant volé des identifiants peuvent également être à l’origine d’attaques de cryptojacking.

• Attaques basées sur le cloud : les systèmes de cloud computing en réseau augmentent considérablement les vecteurs d’attaque pour les cybercriminels, et le cryptojacking ne fait pas exception. La montée en puissance récente et continue des applications d’intelligence artificielle (IA) dans le cloud, comme les grands modèles de langage (LLM), crée de nouvelles opportunités pour les cryptojackers, capables d’infiltrer un seul nœud avant de se propager à tout le réseau.

Pour les particuliers, exécuter un logiciel de cryptominage en arrière-plan sur un ordinateur utilisé pour d’autres tâches n’est pas rentable. Mais à grande échelle, ces petits gains s’additionnent. Le cryptojacking devient profitable lorsque des hackers réussissent à infecter un grand nombre de systèmes individuels, d’autant plus qu’ils n’assument aucun coût matériel ou énergétique. 

En règle générale, comme le cryptominage est une opération extrêmement gourmande en ressources, les mineurs légitimes utilisent presque toujours du matériel dédié haut de gamme pour leurs opérations. Certains matériels grand public ou professionnels peuvent techniquement être utilisés pour le cryptominage, mais les bonnes pratiques recommandent de consacrer au moins 90 % des ressources de calcul à l’opération pour espérer des résultats. 

Si les coûts liés à la construction et à l’exploitation d’une plateforme de cryptominage dédiée ont poussé certains amateurs à miner directement sur leur matériel principal, cette pratique génère rarement de gros rendements. Les bénéfices potentiels sont souvent annulés non seulement par les coûts énergétiques élevés associés aux calculs intensifs nécessaires au minage, mais aussi par l’usure prématurée du matériel coûteux utilisé. 

Pour les entreprises et les grandes organisations, les coûts du cryptojacking sont encore plus lourds : ralentissements opérationnels et risques de violations- de la confidentialité des données. Les principaux impacts du cryptojacking sur les entreprises sont notamment :

Les attaques de cryptojacking sont conçues pour fonctionner en arrière-plan, discrètement, et le plus longtemps possible. De ce fait, les codes de cryptojacking peuvent être difficiles à détecter. Cependant, certains signaux peuvent indiquer une infection par un logiciel de cryptominage malveillant :

• Hausse inexpliquée de la consommation énergétique : les logiciels de cryptominage consommant énormément d’énergie, une augmentation soudaine et inexpliquée de la facture peut être un signe de cryptominage non autorisé. 

• Surchauffe des appareils : le cryptominage fait chauffer le matériel. Lorsque le matériel système est en surchauffe, ou que les ventilateurs ou systèmes de refroidissement sont sollicités de manière excessive, cela peut être un symptôme d’attaque de cryptojacking. 

• Ralentissements inexpliqués : le cryptojacking épuise les ressources de calcul, entraînant des opérations globalement plus lentes. La difficulté des systèmes à effectuer des tâches informatiques normales est un signe courant de cryptojacking.

• Utilisation du CPU élevée : un indicateur fréquent lors d’une investigation sur une attaque de cryptojacking potentielle est un taux d’utilisation du CPU élevé, même pendant l’exécution de tâches peu exigeantes. 

Se défendre contre le cryptojacking nécessite une approche globale, qui rejoint heureusement les mêmes stratégies de cybersécurité que l’hygiène de sécurité générale de l’environnement. Parmi les mesures de défense courantes les plus efficaces :

• Formation rigoureuse du personnel : comme pour toute cybermenace, l’erreur humaine reste le vecteur d’attaque le plus persistant et potentiellement le plus dangereux. La formation et la sensibilisation aux attaques de phishing, à la navigation sécurisée et aux pratiques de partage de fichiers constituent la première ligne de défense contre le cryptojacking. 

• Solutions EDR et CDR : puisque le cryptojacking nécessite que le système infecté communique avec les attaquants, les outils antivirus capables de scanner les logiciels à la recherche de signes connus de cybercriminalité peuvent être efficaces contre le cryptojacking.

• Désactivation de JavaScript : JavaScript étant un vecteur d’attaque particulièrement exploité, la désactivation de son exécution peut constituer une défense efficace contre le cryptojacking.