Quand les sites internet utilisent votre CPU pour miner de la cryptomonnaie : Bitcoin, TrojanMiner et WebMiner
Depuis quelque temps vous trouvez que votre PC rame lorsque vous visitez certains sites ? Votre navigateur internet est lent et il est presque impossible d’ouvrir de nouveaux onglets et de naviguer sur d’autres sites ?
Vous êtes peut-être victime d’un web miner.
Dans la vidéo ci-dessous, je résume cet article et je vous fais une petite démo sur les effets d’un web miner.
C’est bien connu, dès qu’il y a de l’argent à se faire, des pirates ou personnes malintentionnées sont toujours là pour s’engouffrer dans des failles ou détourner les standards.
La Cryptomonnaie
La mode est aux cryptomonnaies, on en entend beaucoup parler, encore plus depuis que le prix du Bitcoin à passer la barre des 10000$ ! Je ne rentrerai pas dans les détails sur le Bitcoins dans cet article, ce serait beaucoup trop long à expliquer, je vais donc résumer très rapidement.
La cryptomonnaie (Bitcoin, Ethereum et compagnie..) on peut l’acheter, ou encore la fabriquer : On appelle ça « Miner« . Pour ça on utilise des machines surpuissantes, et en fonction de la monnaie à miner, on va privilégier les cartes graphiques (GPU) ou encore le ou les processeurs (CPU). Ça, c’est dans la pratique.
Le Trojan Miner
Cependant, des « petits malins » on préférer détourner le truc, et plutôt que d’acheter des machines surpuissantes, ils vont infecter un grand nombre de machines via des trojans par exemple, et miner à l’aide de VOTRE PC. Les ressources de votre PC sont alors grandement touchées et votre ordinateur devient très lent. Il est en train de miner, et le pirate s’enrichit sur votre dos. On appelle ça le Trojan Miner.
Ça, c’était l’introduction, car aujourd’hui, nous n’allons pas parler de Trojan Miner (qui n’en reste pas moins dangereux et intéressant), mais on va parler du Web Miner.
Le Web Miner
Nouvelle technique maintenant, plutôt que d’infecter votre ordinateur, les pirates vont ajouter un petit JavaScript sur des sites piratés, ou des personnes malintentionnées pourrons l’ajouter sur leur propre site (notamment sur les sites de warez/streaming ou encore des sites de niches).
Et alors votre ordinateur minera de la cryptomonnaie lorsque vous serez sur les sites infectés et bien entendu, sans votre consentement. À l’heure ou j’écris cet article, c’est plus de 2500 sites qui ont été recensés et qui contiennent la fameuse ligne de code qui permet à votre navigateur d’utiliser votre CPU pour miner.
Et le problème c’est que cette technique évolue, alors que les premiers webminer utilisaient 99% de votre CPU, maintenant certains webminer sont plus intelligents et évitent d’utiliser plus de 50% du CPU pour éviter d’être détectés trop rapidement. Certains vont jusqu’à pouvoir être utilisés même lorsque vous fermez le site en question. Comment est-ce possible ? Tout simplement car sur certains sites, une popup contenant le webminer est lancée et « affiché » réduite derrière l’horloge de l’ordinateur. Potentiellement invisible, votre ordinateur continue de miner même si vous avez fermé vos fenêtres de navigation.
Et voici une démo :
Autant sur Windows 10 avec la transparence, on voit légèrement la popup cachée, autant sur Windows 7, c’est totalement invisible.
Comment se protéger des WebMiner ?
Nous verrons ici plusieurs solutions qui vous permettront de bloquer les WebMiner, cependant attention, étant donné qu’ils sont en pleine évolution, ce n’est pas impossible que les solutions citées ci-dessous ne soient plus valables après quelques semaines. Vous pouvez compter sur moi pour mettre à jour cet article si nécessaire.
Utilisation d’un bloqueur de publicité : uBlock
Blocage du JavaScript via uBlock, extension qui permet aussi de bloquer les publicités. Vous pouvez télécharger ublock pour votre navigateur depuis le gestionnaire d’extension.
Utilisation d’un antivirus à jour
Certains antivirus bloquent déjà les JavaScript provenant de CoinHive. C’est le cas d’Avast par exemple.
Ou encore de MalwareBytes
Bloquer le JavaScript via votre fichier Host
Vous pouvez également bloquer le site web à l’origine du JavaScript qui mine les bitcoins. Aujourd’hui c’est CoinHive.com, demain ce sera peut-être un autre. C’est pourquoi la technique du blocage via le fichier host est très utile (en plus d’être compatible multi plateforme : Linux, osx, Windows)
Modifier votre fichier Host en ajoutant les lignes suivantes :
# Block Coin Hive Miner 127.0.0.1 coin-hive.com 127.0.0.1 coinhive.com
- Sur Windows : C:\Windows\System32\Drivers\etc\hosts
- Sur Linux : /etc/hosts
- Sur MacOS : /etc/hosts
De nombreux sites utilisent le Javascript CoinHive
Le site whorunscoinhive.com permet de répertorier les sites internet utilisant le JavaScript de CoinHive (à leur insu ou non). Vous seriez surpris de voir le nombre de sites à fort trafic utilisant CoinHive…
Merci pour cet article très intéressant !
Merci encore pour ce super article
Super ta vidéo !
Merci pour cette video