Cryptojack­ing : la nou­velle me­nace qui pèse sur les en­tre­prises

En seu­le­ment quelques mois, le cryptojack­ing est de­ve­nu le nou­vel el­do­ra­do des cy­ber­cri­mi­nels du monde en­tier. Les cryp­to­mi­neurs dé­barquent.

L'Informaticien - - SOMMAIRE - Jé­RôME CARTEGINI

L’ob­jec­tif est simple, pro­fi­ter au­tant que faire se peut de cette nou­velle manne fi­nan­cière pour en­gran­ger le plus d’argent pos­sible en mi­nant de la cryp­to­mon­naie à l’in­su des en­tre­prises. Cette nou­velle me­nace est ap­pa­rue en 2017 peu après le lan­ce­ment de CoinHive, un script per­met­tant aux édi­teurs de sites web de mi­ner de la cryp­to­mon­naie Mo­ne­ro di­rec­te­ment d’un na­vi­ga­teur web en ex­ploi­tant les res­sources de l’or­di­na­teur des vi­si­teurs. Pré­sen­té comme une al­ter­na­tive à la pu­bli­ci­té pour mo­né­ti­ser les sites in­ter­net, le concept fait mouche et CoinHive se re­trouve très vite sur des di­zaines de mil­liers de sites web. Uti­li­sé à l’in­su des uti­li­sa­teurs par cer­tains édi­teurs peu scru­pu­leux, et de plus en plus in­té­gré de ma­nière illé­gale par des ha­ckers, ce type de scripts a fait aug­men­ter le cryptojack­ing de fa­çon spec­ta­cu­laire. The Pirate Bay, Los An­geles Times, Bla­ckBer­ry, Po­li­ti­fact, Sa­lon. com ou en­core Show­time, voi­ci quelques exemples de sites cé­lèbres ayant été vic­times ( consen­tantes ou non) de cryp­to­mi­neurs ces der­niers mois. Se­lon le spé­cia­liste de sé­cu­ri­té Sy­man­tec, les dé­tec­tions de ser­vices de mi­nage a aug­men­té de 34 000 % entre les mois de sep­tembre et dé­cembre 2017 ! Une ten­dance qui s’am­pli­fie à me­sure que la va­leur des cryp­to­mon­naies aug­mente. Avec pas moins de 1 564 cryp­to­mon­naies dis­po­nibles sur plus de 10 000 mar­ket places, re­pré­sen­tant une ca­pi­ta­li­sa­tion d’en­vi­ron 300 mil­liards de dol­lars, le po­ten­tiel est tel­le­ment énorme que le cryp­to­mi­ning est de­ve­nu en seu­le­ment quelques mois la prin­ci­pale forme de cy­ber­cri­mi­na­li­té à tra­vers le monde. Con­trai­re­ment au bu­si­ness lé­gal de l’ex­trac­tion de cryp­to- de­vises ( cryp­to­cur­ren­cy mi­ning) qui consiste à va­li­der des tran­sac­tions en Bit­coin ou autres mon­naies vir­tuelles prin­ci­pa­le­ment par le biais de fermes de ser­veurs, les ha­ckers font ap­pel à des bot­nets pour ex­ploi­ter le maxi­mum de puis­sance de cal­cul aux dé­pens des uti­li­sa­teurs. Ils ne font pas dans le dé­tail et cherchent à ex­ploi­ter toutes les res­sources dis­po­nibles qu’elles pro­viennent de PC, de Mac, de ta­blettes, de smart­phones, de ser­veurs, et de toutes sortes d’ob­jets connec­tés. Les tech­niques pour dif­fu­ser illé­ga­le­ment des cryp­to­mi­neurs ne cessent d’évo­luer au point de de­ve­nir par­fois to­ta­le­ment in­vi­sibles. Alors que les dé­tec­tions d’at­taques contre les par­ti­cu­liers ont chu­té de 35 %

au pre­mier tri­mestre 2018 par rap­port au tri­mestre pré­cé­dent, celles contre les en­tre­prises ont grim­pé de 27 % sur la même pé­riode. Pour Mal­wa­re­bytes, les en­tre­prises se re­trouvent dé­sor­mais en pre­mière ligne.

Des tech­niques d’at­taques di­ver­si­fiées

Les cryp­to­mi­neurs peuvent prendre dif­fé­rentes formes pour se ré­pandre et celles- ci sont de plus en plus éla­bo­rées. La mé­thode la plus ré­pan­due consiste à dé­tour­ner et in­té­grer dans des ap­pli­ca­tions mal­veillantes des mo­dules de cryp­to­mi­nage Ja­vaS­cript dé­ve­lop­pés par CoinHive et des ser­vices concur­rents créés dans son sillage tels que Coin- Have, AFMine, ou Cryp­toLoot. Les sites web in­fec­tés exé­cutent alors un code Ja­vaS­cript qui fait tour­ner un cryp­to­mi­neur en ex­ploi­tant le CPU de toutes les ma­chines qui les vi­sitent. Peu à peu, les cy­ber­cri­mi­nels se sont mis éga­le­ment à adap­ter les mêmes mé­thodes de dif­fu­sion des ran­som­wares au cryp­to­mi­ning. Par­mi les at­taques dé­tec­tées par les édi­teurs de sé­cu­ri­té, plu­sieurs ten­taient d’ex­ploi­ter la vul­né­ra­bi­li­té Eter­nalB­lue qui avait per­mis la dif­fu­sion mas­sive en 2017 des fa­meux ran­som­wares Wan­naC­ry et Not- Pe­tya.

Tro­jans, plug- in, kits d’ex­ploi­ta­tion, té­lé­char­ge­ment drive- by…

Des ap­pli­ca­tions mo­biles mal­veillantes dis­si­mu­lant des tro­jans as­so­ciés à un pro­gramme

Le cryp­to­mi­ning peut po­ten­tiel­le­ment se ré­pandre sur des di­zaines de mil­liers d’or­di­na­teurs, des mil­lions de ses­sions de na­vi­ga­teurs, voire des cen­taines de mil­lions d’ob­jets connec­tés Laurent Hes­lault, di­rec­teur des stra­té­gies sé­cu­ri­té chez Sy­man­tec France

de cryp­to­mi­ning pul­lulent sur la plate- forme An­droid. L’édi­teur de sé­cu­ri­té russe Kas­pers­ky a dé­cou­vert un tro­jan mo­bile mul­ti­fonc­tion par­ti­cu­liè­re­ment re­tord bap­ti­sé Loa­pi. Do­té d’une ar­chi­tec­ture mo­du­laire com­plexe, ce mal­ware se pro­page via des cam­pagnes pu­bli­ci­taires en se fai­sant pas­ser pour une so­lu­tion antivirus ou une ap­pli­ca­tion pour adulte. Le tro­jan, qui in­clut plu­sieurs mo­dules, dont un de mi­nage de Mo­ne­ros, est si puis­sant qu’il peut ex­ploi­ter les res­sources des smart­phones in­fec­tés jus­qu’à dé­for­mer leur bat­te­rie et les dé­truire, du ja­mais vu ! Des plug- ins web peuvent éga­le­ment être dé­tour­nés pour me­ner des cam­pagnes de mi­nage. Des cen­taines de sites ins­ti­tu­tion­nels bri­tan­niques, amé­ri­cains ou en­core fran­çais ont ré­cem­ment été af­fec­tés par un code mal­veillant in­sé­ré dans un plug- in de la so­cié­té Tex­thelp pour mi­ner illé­ga­le­ment de la cryp­to­mon­naie Mo­ne­ro sur le dos des ins­ti­tu­tions. Sans ou­blier les kits d’ex­ploi­ta­tion RIG qui ont éga­le­ment dif­fu­sé des cryp­to­mi­neurs par le biais d’un mal­ware dé­nom­mé Smo­keLoa­der. Ces der­niers consti­tuent ac­tuel­le­ment l’une des charges utiles les plus uti­li­sées par les ha­ckers pour me­ner des at­taques de té­lé­char­ge­ment drive- by. Les cy­ber­cri­mi­nels ex­pé­ri­mentent toutes sortes de mé­thodes pour trou­ver de nou­veaux stra­ta­gèmes et maxi­mi­ser leurs pro­fits. Sur son blog, Kas­pers­ky es­time qu’un mal­ware de mi­nage comme Wan­naMine a gé­né­ré des re­ve­nus d’en­vi­ron 2 mil­lions de dol­lars. Tou­jours se­lon l’édi­teur, des bot­nets par­ti­cu­liè­re­ment éla­bo­rés au­raient même rap­por­té plus de 7 mil­lions de dol­lars à leurs au­teurs.

Un im­pact qui fait dé­bat

Tous les édi­teurs de sé­cu­ri­té s’ac­cordent à dire que le cryptojack­ing a dé­sor­mais dé­trô­né les ran­som­wares, et qu’il va s’ins­tal­ler du­ra­ble­ment dans le pay­sage des cy­ber­me­naces. Com­pa­ra­ti­ve­ment à des ran­som­wares, qui prennent en otage les don­nées des uti­li­sa­teurs pour exi­ger une ran­çon contre leur res­ti­tu­tion, ou des mal­wares qui sub­ti­lisent des don­nées sen­sibles, les cryp­to­mi­neurs font à prio­ri moins de dé­gâts et se ré­vèlent de ce fait par­fois dif­fi­ciles à dé­tec­ter. Laurent Hes­lault, di­rec­teur des stra­té­gies sé­cu­ri­té chez Sy­man­tec France, ex­plique comment les édi­teurs de sé­cu­ri­té doivent s’adap­ter : « Les cryp­to­mi­neurs ne sont pas réel­le­ment “mal­veillants ”, c’est pour ce­la que chez Sy­man­tec, on les ap­pelle des PUA, pour Po­ten­tial­ly Un­wan­ted Ap­pli­ca­tions, ou Pro­grammes po­ten­tiel­le­ment indésirabl­es. Comme ils ne font rien de “mal ”, tous les lo­gi­ciels de sé­cu­ri­té n’ont pas for­cé­ment la ca­pa­ci­té de les dé­tec­ter. Sy­man­tec a dû adap­ter la dé­tec­tion à cette nou­velle forme de me­nace. Les mi­neurs consti­tuent des pro­grammes non dé­si­rés qu’il faut certes blo­quer, mais la prin­ci­pale dif­fi­cul­té ré­side dans le fait qu’ils ne volent rien, ne font pas de phi­shing, ne pro­voquent pas de pannes comme peuvent le faire les pro­grammes mal­veillants tra­di­tion­nels. » En fonc­tion des at­taques, de leurs am­pleurs et de leurs per­sis­tances, les consé­quences pour les en­tre­prises pour­raient être très im­por­tantes. « Avec les cryp­to­mi­neurs, les fac­tures d’élec­tri­ci­té des en­tre­prises peuvent ra­pi­de­ment aug­men­ter. Si vous avez plu­sieurs mil­liers de postes qui consomment d’un coup ne se­rait- ce que 20 % de plus, ce­la peut com­men­cer à faire mal. Les tests que nous avons me­nés chez Sy­man­tec montrent que ce­la peut éga­le­ment ra­len­tir de ma­nière re­la­ti­ve­ment consi­dé­rable la pro­duc­ti­vi­té des em­ployés. Il n’y a pas de règles, mais avec cer­tains cryp­to­mi­neurs, nous avons pu consta­ter que Ex­cel pou­vait être 5 à 10 fois plus lent à lan­cer. C’est une perte de pro­duc­ti­vi­té di­recte non né­gli­geable, sans ou­blier que vous avez quand même un lo­gi­ciel

qui ne vous ap­par­tient pas sur votre in­fra­struc­ture. Rien ne dit que de­main à l’oc­ca­sion d’une mise à jour, un cryp­to­mi­neur ne se dé­cide à faire du ran­som­ware… C’est comme une tête de pont qui peut tout à fait ser­vir à autre chose » , ajoute Laurent Hes­lault.

Des me­sures in­dis­pen­sables

Les im­por­tantes res­sources ma­té­rielles des en­tre­prises et des ins­ti­tu­tions pu­bliques en font dé­sor­mais une cible de choix pour les cy­ber­cri­mi­nels. Outre les postes Win­dows, les ter­mi­naux An­droid sont par­ti­cu­liè­re­ment tou­chés. Au pre­mier tri­mestre 2018, les mi­neurs vi­sant l’OS mo­bile de Google ont aug­men­té de 4 000 % par rap­port au tri­mestre pré­cé­dent. Con­trai­re­ment aux idées re­çues, les Mac ne sont pas épargnés. Mal­wa­re­bytes a dé­tec­té plus de 1 000 mi­neurs mal­veillants sous la forme d’ex­ten­sions de na­vi­ga­teurs et d’ap­pli­ca­tions de cryp­to­mi­ning entre les mois de jan­vier et mars 2018. Pour se pré­mu­nir du cryptojack­ing comme des autres me­naces, les en­tre­prises doivent mettre en place une so­lu­tion de sé­cu­ri­té glo­bale mul­ti­ni­veau. La sur­veillance de l’uti­li­sa­tion de leurs res­sources et le blo­cage de l’exé­cu­tion au­to­ma­tique du Ja­vaS­cript doivent dé­sor­mais fi­gu­rer aux pre­mières places des me­sures de sé­cu­ri­té à prendre pour lut­ter en par­ti­cu­lier contre le cryptojack­ing. Une me­nace qui n’est vrai­sem­bla­ble­ment pas près de fai­blir dans les mois, voire les an­nées à ve­nir… ❍

Pour chaque nou­velle me­nace, les in­gé­nieurs de Sy­man­tec doivent trou­ver de nou­velles pa­rades et adap­ter leurs ou­tils de dé­tec­tion à leurs spé­ci­fi­ci­tés.

Des mil­lions de nou­veaux fi­chiers mal­veillants sont re­pé­rés chaque jour dans les centres de cy­ber­sur­veillance de Sy­man­tec.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.