Le nom dit tout: WannaMine. Panda, une société de cybersécurité basée à Bilbao, en Espagne, a écrit début février "qu'une nouvelle variante de malware a pris le contrôle d'ordinateurs dans le monde entier, les détournant pour exploiter une crypto-monnaie appelée Monero".
Le virus rappelle WannaCry, un ver qui a balayé le monde en mai 2017, cryptant les données des systèmes infectés et exigeant le paiement d'une rançon Bitcoin afin de le décrypter. Mais WannaMine adopte une approche différente pour arracher la crypto-monnaie à ses victimes: il utilise la puissance de traitement de leurs machines pour exécuter un algorithme appelé CryptoNight encore et encore, dans l'espoir de trouver un hachage répondant à certains critères avant tout autre mineur. Lorsque cela se produit, un nouveau bloc est miné, créant un morceau de nouveau monero - d'une valeur d'environ 1500 $ au moment de la rédaction - et déposant la manne dans le portefeuille de l'attaquant.
Les chances qu'un mineur donné trouve d'abord le prochain bloc et reçoive la récompense sont minuscules, mais infectent suffisamment de CPU, et vous pouvez pirater ensemble un flux de revenus décent. Étant donné que la victime paie les factures d'électricité et fournit le matériel, les coûts pour l'attaquant sont négligeables. (Voir aussi, Comment fonctionne le minage Bitcoin? )
"Une preuve de concept"
Le 11 février, une attaque similaire mais plutôt plus spectaculaire a été découverte. Les chercheurs en cybersécurité Scott Helme et Ian Thornton-Trump (phat_hobbit) ont remarqué que des sites du National Health Service du Royaume-Uni aux tribunaux américains détournaient les navigateurs des visiteurs pour exploiter monero.
Ummm, alors oui, c'est * mauvais *. Je viens de faire remarquer à @phat_hobbit que @ICOnews a installé un cryptominer sur son site… pic.twitter.com/xQhspR7A2f
- Scott Helme (@Scott_Helme) 11 février 2018
Le coupable était un plug-in de synthèse vocale populaire auprès des gouvernements anglophones appelé Browsealoud, qui avait été infecté par Coinhive, un monero mineur dans le navigateur qui n'est pas nécessairement un malware en soi: ses fournisseurs le présentent comme un moyen légitime de monétiser le trafic, mais posez à leurs utilisateurs beaucoup trop peu de questions, selon la carte mère.
Jusqu'ici, donc 2018. Mais quelque chose ne va pas. Les attaquants n'ont rien fait: environ 24 $, ce qui n'a même pas été payé, a déclaré Coinhive à Motherboard. Et comme Helme l'a souligné, l'attaque aurait pu être bien pire: "Les attaquants ont injecté des scripts arbitraires sur des milliers de sites, y compris de nombreux sites Web du NHS ici en Angleterre." Ils pourraient avoir volé des cargaisons de données personnelles extrêmement précieuses. Mais ils ne l'ont pas fait.
De plus, compte tenu de la méthode d'attaque choisie, les attaquants auraient dû choisir des cibles à plus fort trafic, moins surveillées et moins sécurisées: les sites pornographiques sont populaires auprès des cryptomineurs car ils répondent à ces critères.
Il semble que le but des pirates de l'air n'était pas de gagner de l'argent. Peut-être, comme le dit Matt Burgess de Wired UK - en paraphrasant Chris Boyd, analyste de Malwarebytes - qu'ils "créaient plutôt une preuve de concept".
Crypto perturbe le modèle d'annonce?
Quel concept cela pourrait être, Boyd n'a pas précisé. "Voyons quel genre de chose folle peut être fait avec ces scripts", a-t-il imaginé en disant les pirates.
Mais Lucas Nuzzi, analyste principal chez Digital Asset Research, a une idée. "Les mineurs basés sur un navigateur comme Coinhive sont la meilleure implémentation de PoW utile qui existe", a-t-il tweeté. "Pour la première fois dans l'histoire d'Internet, les sites Web ont un moyen de monétiser le contenu sans avoir à bombarder les utilisateurs de publicités."
Le potentiel n'est pas limité aux modèles basés sur la publicité:
2 \ Ces mineurs peuvent être implémentés avec moins de 20 lignes de code. Wikipedia n'aurait pas besoin de demander des dons s'il implémentait un mineur basé sur un navigateur.
- Lucas Nuzzi (@LucasNuzzi) 15 février 2018
L'exploration par navigateur a le potentiel de perturber les modèles de monétisation actuels pour les fournisseurs de contenu Web. Les publicités Internet - qui sont ennuyeuses, contiennent souvent du code malveillant et soutiennent une industrie du courtage de données qui compromet la confidentialité et la sécurité des utilisateurs - pourraient être reléguées à un rôle de soutien. Les dons - qui, à en juger par la teneur des plaidoyers de Wikipédia, ne le coupent pas - pourraient également perdre de leur importance. (Voir aussi, Blockchain pourrait vous faire - pas Equifax - le propriétaire de vos données. )
Malheureusement, Nuzzi continue, les pirates ont battu des sites de bonne réputation, ce qui relie l'exploration de navigateur à des logiciels malveillants dans l'imagination publique et "écrase l'espoir d'être adopté par des sites Web réputés comme Wikipedia".
Salon fait le grand saut
Peut-être, mais au moins un site réputé, en cas de difficulté, a franchi le pas. Salon a établi un partenariat avec Coinhive, et le 11 février - le jour de la débâcle de Browsealoud - il a commencé à demander aux visiteurs utilisant des bloqueurs de publicités s'ils souhaitaient "bloquer les publicités en permettant à Salon d'utiliser votre puissance de calcul inutilisée". La page FAQ explique que cela signifie exploiter monero, bien qu'il ne mentionne pas son partenaire désormais infâme par son nom. (Voir aussi, Salon souhaite utiliser votre ordinateur pour l'extraction de cypto-monnaie. )
Pour évaluer l'expérience utilisateur, j'ai activé deux bloqueurs de publicités, visité le salon et accepté de "supprimer les publicités". Ça n'a pas marché. La page d'accueil est devenue semi-opaque et impossible à cliquer, comme cela arrive parfois lorsqu'une fenêtre contextuelle obligatoire est masquée par un bloqueur de publicité (avoir un bloqueur de publicité étant une condition préalable nécessaire pour opter pour le cryptominer). Après quelques tripotages - du genre qui m'auraient amené à parcourir ailleurs dans des circonstances normales - je minais monero en échange de commentaires coupants sur les libéraux.
Je n'ai vu aucune annonce, mais bien sûr, j'utilisais des bloqueurs de publicité. La page rechargeait constamment certains éléments, faisant sauter le texte toutes les quelques secondes. C'était difficile à lire. Un peu méfiant, les compteurs de mes bloqueurs de publicités ont coché jusqu'à 11 et 29, indiquant les demandes bloquées, à chaque rechargement.
J'exploitais sans aucun doute. Avant de visiter la page, le moniteur d'activité de mon Macbook n'a montré aucune application utilisant plus de 10% du processeur. Au cours de ma visite, Chrome Helper variait de 50% environ à - à un moment donné - 320%. L'impact énergétique de Chrome a également grimpé à trois chiffres; la moyenne sur 12 heures est de 46.
Un e-mail adressé à la firme de relations publiques de Salon pour lui faire part de son expérience avec l'exploration de navigateur n'a pas reçu de réponse immédiate. Cet article sera mis à jour pour refléter les réponses du Salon.
L'exploration par navigateur peut-elle fonctionner?
Ma brève rencontre avec l'exploration de navigateur a révélé le type de hoquet typique des versions bêta. Mais la consommation d'énergie est un obstacle que les améliorations mineures ne résoudront pas. Les mineurs de Bitcoin affluent au Québec parce que l'électricité est bon marché. Les pirates de l'air exploitent à l'aide des navigateurs des visiteurs pour la même raison. Bien qu'il soit difficile d'estimer l'impact monétaire de l'exploitation minière pour le compte de Salon, l'augmentation de la consommation d'électricité était évidente. Si une grande partie du Web a adopté l'exploitation des navigateurs, l'utilisation d'Internet pourrait coûter cher.
Il en va de même pour l'utilisation du matériel. WannaMine a présenté un tel problème parce que, comme l'a dit Panda, "la façon dont il essaie d'utiliser au maximum le processeur et la RAM met l'ordinateur sous une grande pression". À moins que les sites ne limitent les demandes qu'ils imposent aux ordinateurs des visiteurs, les processus ralentiront et le matériel s'usera beaucoup plus rapidement.
Nuzzi n'écarte pas ces problèmes. "Si l'exploration par navigateur devient une chose, il y aura certainement des abus en ce qui concerne le nombre de threads d'exploration que le site Web consomme", a-t-il déclaré par e-mail. D'un autre côté, "comme les publicités, il y aura des moyens de bloquer ce cryptage, les sites Web doivent donc trouver le juste équilibre, sinon les utilisateurs cesseront de visiter le site Web ou bloqueront le mineur".
En ce qui concerne la consommation d'électricité, la fonction de hachage de Monero, CryptoNight, a une touche plus légère que, disons, le SHA-256 de Bitcoin. L'exploitation minière Monero "n'est pas un gros problème pour les utilisateurs d'ordinateurs portables", explique Nuzzi, mais "elle limite très certainement certains des cas d'utilisation des smartphones" avec leur capacité de batterie plus limitée.
Ensuite, il y a le risque que la course aux armements du taux de hachage, qui a rendu minière le processeur et même le GPU du bitcoin et du litecoin, retarde la poussée de l'exploration du navigateur. La raison pour laquelle Coinhive et WannaMine utilisent monero est qu'il s'agit de l'une des seules crypto-monnaies pouvant être exploitée de manière rentable à l'aide d'un processeur. Étant donné les bonnes incitations économiques, monero ne pourrait-il pas également être victime des ASIC, du matériel spécialisé conçu uniquement pour exécuter les fonctions de hachage aussi rapidement que possible?
Nuzzi ne le pense pas. Il appelle CryptoNight "brillamment conçu", ajoutant qu'il "permet à Monero d'être exploité en utilisant une variété d'appareils, y compris les smartphones, car la majorité d'entre eux ont au moins 2 Go de RAM, tandis que seulement 2 Mo sont nécessaires pour lancer une instance CryptoNight. à Scrypt (algorithme de consensus de Litecoin), CryptoNight est beaucoup plus résilient à l'intégration de circuits, ce qui permet de construire des ASIC."
Les développeurs de Monero ont également promis de changer l'algorithme si un ASIC est développé. "Les fabricants comme Bitmain n'alloueraient jamais le budget de R&D pour développer un ASIC Monero compte tenu de ce risque", explique Nuzzi. (Voir aussi, Bitcoin vs Litecoin: quelle est la différence? )
Attendu depuis longtemps
Si le cryptomining déplace les annonces comme principal moyen de monétiser le contenu en ligne, ce serait l'accomplissement de l'une des premières promesses de la crypto-monnaie.
L'argument selon lequel les micropaiements bitcoin vers des sites pourraient perturber le modèle actuel a été victime de la hausse des frais de transaction, mais d'autres tentatives ont été faites en utilisant d'autres jetons, tels que le jeton d'attention de base du navigateur Brave de blocage des publicités. Mais tant que le financement d'un portefeuille et l'indemnisation des sites dont vous bloquez les publicités restent facultatifs - comme c'est le cas dans Brave - le modèle semble peu susceptible de fournir aux sites les revenus dont ils ont besoin. (Brave, il faut le dire, envisage une place pour les annonceurs sur sa plateforme.)
Il n'y a aucune garantie que l'exploration de navigateur se poursuivra ou que l'effet sur l'équipement des utilisateurs et les factures d'électricité ne sera pas un facteur décisif. Il y a une chance, cependant, que des publicités ennuyeuses, intrusives et parfois nuisibles - ou les programmes que vous utilisez pour les bloquer - soient sur le point de disparaître.
