Bien que le Bitcoin ait été un peu malmené en août 2018, cela n’a guère atténué l’intérêt suscité par le marché, manifestement volatile, de la crypto-monnaie. Elle est clairement là pour rester ! Mais bien que cela puisse attiser l’appétit des investisseurs courageux, elle constitue également un pôle d'attraction pour la criminalité.
La crypto-monnaie a perdu 20 % de sa valeur en seulement deux semaines en août, selon certains rapports, et pourtant un optimisme substantiel dans la devise semble perdurer. Selon un rapport, 96 nouveaux fonds spéculatifs ont été lancés au cours des sept premiers mois de 2018 et lorsque la lire turque a chuté de 20 % en août 2018, le commerce de Bitcoin a fortement augmenté. Sans surprise peut-être, les pirates informatiques ciblent les bourses de crypto-monnaie, mais de nombreuses entreprises et particuliers ne se rendent peut-être pas compte du fait qu’il y a beaucoup d’argent à gagner en réalisant des fonctions d’administration pour les devises elles-mêmes. Appelé cryptomining, cela peut représenter une grosse affaire. Certains rapports suggèrent que les bénéfices du minage ont atteint plus de 4 milliards de dollars entre 2017 et 2018. Il s'agit d'un secteur en soi qui a engendré une gamme d'applications dédiées à ce processus.
Qu'est-ce que le cryptojacking ?
Le cryptojacking est une forme de cyberattaque pendant laquelle un pirate informatique détourne la puissance de traitement d’une cible pour exploiter la crypto-monnaie. Quiconque exploite avec succès reçoit une crypto-monnaie en récompense. La récompense actuelle est de 12,5 bitcoins, d’une valeur approximative de 100 000 USD. Elle peut être utilisée pour acheter des vols et des hôtels via Expedia, des jeux et des applications via Microsoft, télécharger de la musique et même acheter de l’or.
Tous ceux qui essaieront d’exploiter des crypto-monnaies n’obtiendront pas cette récompense, car tout le monde n’est pas en mesure d’exploiter efficacement le bitcoin. L’exploitation consiste essentiellement à vérifier les transactions en bitcoins, telles qu’un commerce de bitcoins ou lorsqu’un utilisateur a utilisé le bitcoin pour acheter un produit ou un service. Chaque transaction doit être vérifiée et écrite dans la blockchain. La façon dont cela est réalisé est complexe, mais en termes simples, on ne peut qu’essayer de la deviner.
Le logiciel de minage « lit » la transaction sur le réseau, puis devine le nombre requis pour l’écrire dans le bloc. Une multitude de cryptomères tentera d'y parvenir en même temps. Plus vous avez de puissance de calcul, de mémoire et de stockage, plus vous avez de chances de réussir. Ce besoin en puissance de calcul peut être coûteux, mais en infectant les sites Web et les ordinateurs populaires, les pirates informatiques peuvent essentiellement contourner ce problème et exploiter la crypto-monnaie gratuitement. Les effets peuvent aller de nuisances mineures, telles qu'une expérience de navigation sur Internet plus lente, au blocage des réseaux, jusqu'à un arrêt complet.
En gros, cela signifie que quasiment tout le monde peut le faire et être récompensé par une crypto-monnaie pour leurs efforts. Pour gagner de l’argent, c’est un jeu volumineux, mais cela demanderait également des ressources considérables. Vous avez besoin de puissance de calcul et cela a un coût, et puis il y a l'électricité. Si vous utilisez des serveurs 24h / 24 et 7j / 7, les factures vont être élevées.
« La puissance de calcul coûte cher et utilise également beaucoup d’électricité, ce qui finit par coûter une partie de ses profits à un mineur. Alors, comment un attaquant peut-il gagner de l’argent sans payer de frais ? », a demandé Alex Archondakis, membre du Groupe de spécialistes Internet BCS. « La solution est le cryptojacking, qui consiste à intégrer des logiciels malveillants dans des sites populaires recevant des milliers de visiteurs par jour. Les ordinateurs infectés de ceux qui naviguent sur les sites extraient en silence les crypto-monnaies à l’insu de l’utilisateur et déposent les gains dans un portefeuille anonyme contrôlé par l’attaquant. Aucun coût pour le matériel, aucun coût pour l'électricité et les logiciels malveillants peuvent souvent passer inaperçus pendant de longues périodes. »
En avril 2018, le National Cyber Security Center du Royaume-Uni a signalé que le cryptojacking était l'une des plus grandes menaces cybernétiques auxquelles sont confrontées les entreprises. Quelques semaines auparavant, le Bureau des commissaires à l'information (ICO) du Royaume-Uni, le conseil municipal de Manchester, le site Web des tribunaux du gouvernement américain et certains sites du NHS au Royaume-Uni avaient tous été victimes d'une version compromise du plugin Texthelp Browsealoud. Des rapports ont révélé que le plug-in injectait en fait le « cryptomineur » de Coinhive sur les sites, utilisant du code JavaScript pour détourner la puissance de calcul nécessaire à la création de la crypto-monnaie Monero.
C’est loin d’être un incident isolé. En mai 2018, une étude réalisée par The Conversation aux États-Unis a révélé que 212 sites Web étaient impliqués dans le cryptojacking. Les annonces semblent être le point d'entrée le plus courant. La société Trend Micro a constaté une augmentation de 108 % du nombre de détections uniques de webmineurs du 24 au 25 mars (2018) – « un bond en avant qui montre l'efficacité de la plate-forme publicitaire compromise », a-t-il déclaré.
Et le boom ne montre aucun signe de ralentissement. McAfee a constaté que les malwares de cryptominage ont augmenté de 4000 % en 2018, alors que Symantec aurait bloqué près de 5 millions d'événements d'extraction de pièces rien qu'en juillet 2018.
Ce ne sont pas seulement les sites Web qui sont piratés. On assiste à des cas de minage plus intrusifs. « Le cryptojacking représente une menace croissante pour la sécurité personnelle et pour le cyberespace », a déclaré Mike Fey, président et directeur de l'exploitation de Symantec, dans un communiqué publié en mars 2018.
Fey faisait allusion à la tendance croissante à détourner des réseaux basés sur le cloud en particulier et il a raison. En février 2018, les pirates informatiques ont utilisé le réseau de cloud public de Tesla pour exploiter les cryptomonnaies. En mars 2018, GitHub a été utilisé pour héberger des programmes malveillants de minage de crypto-devises. En fait, 25 % des entreprises ont connu une activité de crypto-piratage dans leur environnement cloud en 2018, selon un récent rapport RedLock.
Quel est le risque pour les entreprises ?
Le cryptojacking comporte des risques fondamentaux. Ils sont similaires à ceux que posent par exemple les botnets. Pour commencer, ils forcent les victimes à opérer un gaspillage énergétique. Digiconomist signale que l'électricité consommée pour une transaction bitcoin unique pourrait alimenter 15 ménages américains pendant une journée. Si vous multipliez cette quantité par le nombre de machines d'une entreprise ou d'un centre de données, vous pouvez commencer à avoir une idée de la quantité d'énergie utilisée et combien cela pourrait coûter à une entreprise en électricité seulement. En fait, selon les recherches effectuées par PwC, les mineurs de bitcoins consommaient autant d'énergie en 2018 que la Hongrie.
Il y a aussi le problème supplémentaire de la dégradation de la performance du réseau. Le cryptojacking consiste essentiellement à voler votre puissance de traitement, ce qui entraîne des pics de charge. Inévitablement, cela signifie que tout le reste du réseau fonctionnera lentement ou pas du tout. Pour la plupart des entreprises, il s’agit d’un scénario désastreux. Comme Mursch l’a souligné dans son blog, « les cybercriminels cherchent à asservir autant d’appareils que possible pour maximiser leurs profits. C'est pourquoi vous avez besoin d'une prise de conscience opérationnelle sur la manière dont vos ressources sont consommées. »
Selon Fabian Libeau, vice-président de la région EMEA chez RiskIQ, « c’est le soubassement souple, les actifs oubliés recherchés par les attaquants », a-t-il déclaré dans un rapport publié en juillet 2018. « Nous avons trouvé une banque mondiale avec deux ou trois serveurs obscurs aux Pays-Bas que personne n'a vraiment examinés, mais ils exploitaient des mines en arrière-plan. »
Cela indique que le cryptojacking met en évidence les vulnérabilités de sites et de réseaux face à d'autres attaques. Libeau a poursuivi en affirmant qu’il s’agissait d’une question de confidentialité mais aussi d’un manque de visibilité des réseaux et des ressources de l’entreprise. « Il y a toute une série de choses que les internautes ne voient jamais parce qu'elles ne sont pas affichées sur le site, elles sont appelées dynamiquement à partir de serveurs tiers », a-t-il déclaré. « Le monde ressemble à un endroit différent quand nous prenons le point de vue de l'attaquant et regardons de l'extérieur. »
Que peuvent faire les entreprises à ce sujet ?
La prise de conscience de la question est essentielle. Comme pour la plupart des menaces de sécurité, une compréhension de son fonctionnement aidera à déterminer les prochaines étapes. Nous avons présenté ici sept actions clés visant à empêcher le cryptojacker de prendre le contrôle de votre réseau.
- Mettez en œuvre les principes de base
Maintenez le logiciel à jour avec les derniers correctifs du système d'exploitation et du matériel. Maintenez les applications de sécurité à jour et mesurez l'utilisation dans l'ensemble de l'entreprise. Il s’agit de prévention autant que de détection.
- Faites de la formation une priorité
Ajoutez le cryptojacking à la formation et aux règles de sensibilisation à la sécurité - ceci devrait permettre de s’assurer que les règles BYOD ne conduisent pas à une « contamination » intentionnelle ou non intentionnelle des ressources réseau de la société. Il faut sensibiliser les consciences.
- Utilisez un adblocker
Le NCSC recommande d'utiliser un adblocker ou un programme antivirus capable de bloquer l'extraction de navigateurs22. Les adblockers offrent aux entreprises les solutions les plus accessibles et les plus rentables. Les utilisateurs de bloqueurs de publicité peuvent également utiliser des fonctionnalités pour bloquer les scripts de cryptographie qui résident sur certains sites Web (et ne sont pas intégrés dans les annonces).
- Bloquez les domaines destructeurs
Les menaces internes constituent un problème potentiel, en particulier compte tenu de la capacité de gagner de l'argent. Troy Mursch, chercheur en sécurité, recommande de « bloquer les domaines et les adresses IP connus liés au cryptage illicite ». Une liste fréquemment mise à jour de ces domaines est disponible via le logiciel open source CoinBlockerLists.
- Gérez vos appareils
Assurez-vous que votre entreprise dispose des derniers appareils avec un logiciel à jour et une protection de pointe. Cela peut inclure des lecteurs d'empreintes digitales à réparation automatique, à authentification matérielle, qui permettent uniquement au lecteur de lire l'écran et une navigation entièrement conteneurisée. La gestion des actifs est essentielle pour suivre l’inventaire complet du matériel.
- Évaluez le code tiers
« Prenez une décision basée sur les risques en ce qui concerne l’inclusion de JavaScript par des tiers dans votre site », déclare le NCSC. Cela varie en fonction de la taille du site Web que vous gérez et du fournisseur du code. Déterminez si le code que vous incluez peut compromettre vos utilisateurs et mettez ceci en balance avec le risque que cela se produise pour votre site.
- Hébergez le code JavaScript localement
Le NCSC indique également que s’il est pratique de le faire, envisagez d’héberger le code JavaScript localement sur votre propre serveur plutôt que de vous connecter au code hébergé ailleurs. Cela signifie que les modifications apportées aux bibliothèques nécessitent un accès à votre serveur. Toutefois, vous devrez également installer vous-même les correctifs de sécurité.
Pour la plupart des gens, quitter les sites Web infectés peut suffire à mettre un terme au processus de cryptojacking, mais les responsables informatiques doivent être conscients de toutes les possibilités. Nous en sommes encore au début de la courbe et, comme le suggèrent tous les rapports, le cryptojacking est un problème croissant.
Garder une longueur d’avance sera toujours une meilleure politique que de réagir à une infection. Des mesures proactives contre toutes les menaces à la sécurité sont de plus en plus essentielles et le cryptojacking n’est pas différent. Cela ne va pas disparaître non plus. Tant que l'extraction de la crypto-monnaie sera très rentable, les pirates informatiques trouveront des moyens astucieux de contourner les mesures de sécurité. Si les responsables informatiques et les utilisateurs reconnaissent les témoins, au moins, le problème risque moins de passer inaperçu.
Au fur et à mesure que de plus en plus de réseaux commerciaux se tournent vers le cloud, le cryptojacking pourrait devenir une menace encore plus grande pour la stabilité du réseau et des périphériques. Il est essentiel que les responsables informatiques agissent maintenant pour mettre en place des mesures visant à sécuriser les périphériques et informer les organisations de la menace croissante.
Comme l'a souligné Stan Gibson, rédacteur technique de la société de sécurité Symantec dans un blog, le cryptojacking est là pour rester. « Désagrément ou crime ? C’est un peu les deux, mais ne vous attendez pas à ce que le phénomène disparaisse de lui-même. »
La gestion de vos appareils peut aider à dissuader les cryptojackers
Le périphérique en tant que service (DaaS) HP fournit un modèle de service moderne qui simplifie la manière dont les organisations créent, prennent en charge et gèrent l'informatique avec des analyses et des rapports perspicaces à partir de HP TechPulse. Avec DaaS, HP collabore avec ses clients pour accroître la productivité des utilisateurs, leur efficacité opérationnelle et la prévisibilité des coûts. Le modèle est par nature transformateur, permettant une sécurité accrue et centralisée beaucoup plus facile à maintenir à jour. À mesure que les réglementations changent ou que les menaces augmentent, les périphériques peuvent facilement être tenus à jour grâce à la gestion des correctifs, afin de répondre aux exigences.
Tout en aidant à gérer la volatilité et l'évolution rapide des besoins de l'entreprise, HP Proactive Security Service améliore les capacités de gestion sécurisées avec une protection en temps réel contre les programmes malveillants grâce à la technologie d'isolation, à l'analyse de la sécurité et des menaces et à une expertise spécialisée. Avec le soutien de Service Experts, les postes de sécurité sont renforcés et des attaques sont anticipées - évitant ainsi un impact négatif sur les entreprises. * **
De plus, les experts du service HP peuvent appliquer des stratégies de sécurité pour vos appareils Windows, Android ou Apple. Avec HP TechPulse, les experts du service peuvent mettre en œuvre ces stratégies et aider à protéger les données en cas de perte ou de vol de périphériques, ainsi qu’à obtenir une vue globale de l’état de la protection des périphériques et des résultats détaillés sur les attaques tentées et bloquées. Pour une protection accrue des périphériques, pensez aux produits HP Elite, les PC les plus sûrs et les plus faciles à gérer au monde. *
Il s’agit d’être proactif pour identifier et atténuer les problèmes, optimiser et sécuriser vos appareils multi-OS avant qu’ils ne soient soumis à des menaces.
* La configuration système requise pour HP DaaS Proactive Security est la suivante : périphériques clients multi-constructeurs exécutant Windows 10 1703 ou version ultérieure avec au moins 8 Go de mémoire et 6 Go d'espace disque disponible pour installer le logiciel client. HP DaaS Proactive Security nécessite HP TechPulse, qui est inclus dans tout plan HP DaaS ou HP DaaS Proactive Management. Le plan HP DaaS Proactive Security Enhanced exige que les clients soient inscrits dans un plan Enhanced ou Premium HP DaaS ou HP DaaS Proactive Management.
** La technologie HP Sure Click Advanced est incluse dans HP DaaS Proactive Security et nécessite Windows 10. Microsoft Internet Explorer, Google ChromeTM et ChromiumTM sont pris en charge. Les pièces jointes prises en charge incluent Microsoft Office (Word, Excel, PowerPoint) et les fichiers PDF, lorsque Microsoft Office ou Adobe® Acrobat sont installés.
*** Basée sur les fonctionnalités de sécurité complètes et uniques de HP, sans frais supplémentaires, et sur la gestion de chaque aspect d'un PC, y compris la gestion du matériel, du BIOS et des logiciels à l'aide de Microsoft System Center Configuration Manager, parmi les fournisseurs ayant un chiffre d'affaires supérieur à 1 M Novembre 2016 sur les ordinateurs HP Elite dotés de processeurs Intel® Core® de 7e génération et supérieurs, de cartes graphiques intégrées Intel® et d'Intel® WLAN, ainsi que sur les stations de travail HP dotées de processeurs Intel® CoreTM de 7e génération et supérieures à compter de janvier 2017.
