vendredi 13 décembre 2019    || Inscription
BanniereDossier
 
 
CRYPTO JACKING Des pirates s’enrichissent à vos dépens
Yann Serra / samedi 14 septembre 2019 / Catégories: Dossiers

CRYPTO JACKING Des pirates s’enrichissent à vos dépens

Les entreprises doivent placer sous surveillance leurs ressources Cloud

Succédant aux ransomwares, le cryptojacking se déploie rapidement pour miner de la cryptomonnaie chez des victimes qui ignorent payer de l’électricité et du temps de calcul pour les cybercriminels.

« Le cryptojacking est l’activité malveillante qui est en train d’exploser. Alors qu’elle n’existait quasiment pas il y a deux ans, elle représente aujourd’hui 6% des attaques. La France est le deuxième pays européen le plus touché et le quatrième au niveau mondial », alerte Jean-Christophe Vitu, en charge des ingénieurs Solutions chez CyberArk ! Le cryptojacking est le dernier moyen qu’ont trouvé les cybermalfaiteurs pour s’enrichir aux dépens de leurs victimes. Il consiste à miner de la cryptomonnaie sur les machines des utilisateurs, sans qu’ils s’en rendent compte. « Nous observons une migration des groupes criminels du ransomware au cryptojacking parce que, dans le premier cas, les autorités parviennent de plus en plus souvent à remonter aux malfaiteurs et les victimes paient de moins en moins les rançons demandées. Dans le second cas, en revanche, l’attaque crée de l’argent de manière furtive, si bien que les assaillants peuvent s’enrichir pendant des mois sans être détectés », explique l’expert. Le cryptojacking est la version malfaisante du cryptomining, ou minage de cryptomonnaie. Le minage consiste à mettre à contribution la puissance de calcul dont on dispose pour valider les transactions effectuées dans l’une de ces monnaies virtuelles. Cet effort est rémunéré : on touchera par exemple 12,5 bitcoins (environ 68 000 € lors de l’écriture de cet article) si l’on est le premier à valider toutes les transactions qui ont lieu dans le monde durant dix minutes (un « bloc »). Bien entendu, le calcul étant de plus en plus complexe, plusieurs participants (les « mineurs ») peuvent s’organiser en pool de calcul pour cumuler leur puissance et toucher une fraction de la rémunération.

Problème, avec 2,4 millions de mineurs Bitcoins actuellement dans le monde, la rémunération par individu peut descendre très bas, si bas qu’elle ne suffit même pas à rembourser l’électricité consommée par le calcul. C’est là qu’entrent en scène les cybercriminels : ils infectent un maximum de machines qui ne leur appartiennent pas pour démultiplier les rémunérations sans que cela leur coûte un centime. De son point de vue, la victime ne sait pas que sa machine souffre de cryptojacking ; tout au plus elle souffre de ralentissement et ses ventilateurs se mettent à tourner, comme si Windows effectuait l’une de ses sempiternelles opérations de maintenance.

Selon un rapport de la Cyber Threat Alliance qui regroupe plusieurs fournisseurs de solutions de cybersécurité, les attaques de cryptojacking ont progressé de 459% entre 2017 et 2018 et auraient encore augmenté de 50% lors du premier trimestre de cette année. « Une telle progression s’explique parce qu’il s’agit d’une attaque qui n’effraie pas les utilisateurs. Le ransomware avait mobilisé de gros efforts de contremesure car il bloquait les victimes. Ce n’est pas le cas avec le cryptomining, puisqu’on ne s’aperçoit même pas que l’on est infecté », commente Pierre-Yves Pophin, directeur technique France de NTT Security. Et d’ajouter : « Mon sentiment concernant le marché français, mais également ailleurs en Europe, est que personne ne fera rien contre le cryptojacking tant qu’il n’aura pas eu d’impact important. »

LA CIBLE IDÉALE :  LES RESSOURCES EN CLOUD PAYÉES PAR LES ENTREPRISES

« Les individus se sentent d’autant moins concernés qu’une attaque de cryptojacking va plutôt chercher à cibler une entreprise, indique Jean-Christophe Vitu. Nous estimons ainsi qu’un quart d’entre elles sont touchées. La raison est qu’une entreprise a beaucoup de ressources de calcul disponibles, sur sa flotte de PC, dans son datacenter ou, mieux, parmi les machines virtuelles qu’elle loue à un prestataire de Cloud. » Il illustre l’efficacité de s’en prendre aux entreprises avec un exemple récent chez Tesla, dans lequel les pirates n’ont eu qu’à piocher dans les codes publiés sur GitHub par le constructeur pour trouver la clé de sa ferme de containers Kubernetes hébergée sur AWS. « Ils ont pu ainsi utiliser une puissance de calcul phénoménale pendant des mois sans que personne ne s’en rende compte. Or, si cela arrive à Tesla, alors cela peut arriver à n’importe qui », assure-t-il. Jean-Christophe Vitu confie qu’il suffit de chercher dans le moteur de recherche de GitHub le motclé « AWS Secret key » – qui sert notamment aux applications mobiles pour dialoguer avec leur serveur en Cloud – pour tomber ici ou là sur le sésame qui ouvre la porte de ressources virtuelles prêtes à avaler du calcul.

Pierre-Yves Pophin estime que le déploiement éphémère des plateformes Kubernetes en Cloud – par exemple juste le temps que les développeurs testent un projet, comme le veut la pratique DevOps – contribue au désintérêt des entreprises pour regarder exactement ce qui s’y passe. Pourtant, ce sont bien ces entreprises qui achètent les heures d’utilisation de ces machines virtuelles, a fortiori même lorsque celles-ci fonctionnent à plein régime alors que les développeurs ne sont pas en train de s’en servir.

Surtout, Pierre-Yves Pophin dénonce un manque de sécurité particulier sur ces plateformes en Cloud. « Les infrastructures en containers ne sont pas protégées comme le sont les PC et les serveurs traditionnels. Elles sont déployées à un instant T pour les tests des développeurs et ne seront jamais mises à jour avec les patchs de sécurité jusqu’à ce qu’elles soient dé-commissionnées, des mois plus tard. Cela les laisse donc à la merci des failles Docker, Kubernetes ou Apache découvertes quotidiennement pendant toute la période. Nous considérons en définitive qu’un environnement DevOps dans le Cloud est exploitable par les cybercriminels dès le premier jour », prévient-il.

Il indique d’ailleurs que les intrusions sur des ressources virtuelles se font, dans quatre cas sur cinq, sans même avoir besoin de connaître leur mot de passe. « Les entreprises partent du principe que tout ce qui est dans le Cloud est naturellement protégé. C’est faux : un hébergeur de Cloud a ses propres protections contre les attaques par déni de services (DDOS), mais il n’ajoute pas d’anti-malware à la place des entreprises », assène Pierre-Yves Pophin.

PEU PROTÉGÉS, LES OBJETS CONNECTÉS RALENTISSENT POUR MINER DU MONERO

Installer des malwares sur des machines virtuelles en Cloud suppose l’effort préalable de préparer une attaque ciblée. Ce n’est pas nécessairement l’ambition de tous les cybercriminels. Surtout depuis l’apparition de la nouvelle cryptomonnaie Monero, dont les algorithmes de validation se contentent de la puissance de calcul des plus petits équipements informatiques. Selon JeanChristophe Vitu, un groupe de hackers serait récemment parvenu à se faire rémunérer l’équivalent de 7 millions de dollars en minant des moneros sur des PC et... des objets connectés !

Pour Jean-Baptiste Souvestre, ingénieur chez Avast, les systèmes de surveillance, les NAS domestiques, tout ce qui fonctionne depuis un Raspberry Pi ou équivalent (domotique...), voire tout simplement les boxes d’accès à Internet, sont des cibles de choix pour miner des moneros, « car ils ont le minimum de puissance nécessaire, sont très nombreux et, surtout, ne sont généralement pas protégés. Qui, en effet pense à changer le mot de passe par défaut », interroge-t-il ?

Selon lui, 46% des routeurs actuellement en service auraient des failles que les cybercriminels n’ont qu’à exploiter pour déposer sur le réseau d’une petite entreprise, ou celui d’un foyer, un programme qui mine des moneros. Quant à savoir lesquels, rien de plus simple : il suffit de demander au moteur de recherche https://www.shodan.io quels sont les objets connectés que l’on peut infecter avec telle ou telle technique de minage. Shodan.io renvoie même les adresses des équipements connectés qui pilotent les chaînes de montage chez les industriels : « il faut prendre la mesure des coûts indirects que représente une attaque de cryptojacking ; dans l’industrie, ce sont des chaînes de production qui fonctionneront moins vite et qui engendreront donc des pertes d’exploitation », dit Pierre-Yves Pophin.

Hélas, Damase Tricart, expert cybersécurité chez Bitdefender, prévient que les campagnes de cryptojacking de monero ne sont pas près de se terminer : « nous avons calculé qu’en moyenne, une machine infectée pour miner du monero rapporte 25 centimes par jour. Cela signifie qu’il suffit d’infecter 2000 machines pour toucher 182 500 € par an. Ces attaques sont si rentables que nous nous attendons à voir leur nombre multiplié par 100 en 2019 », dit-il.

LE CRYPTOJACKING EN DIRECT DU WEB

Les PC, tablettes et smartphones offrent bien évidement plus de potentiel que le reste des objets connectés pour miner un maximum de moneros. La mauvaise nouvelle est que les pirates ont trouvé le moyen de contourner les firewalls et autres antivirus qui les protègent habituellement, grâce à Coinhive. Ce programme de minage est un javascript qui se déclenche automatiquement sur la machine d’un utilisateur lorsqu’il visite certains sites web. Sans exécutable installé sur le disque dur, ni pièce attachée dans un e-mail, Coinhive est indétectable par les protections classiques.

Pour détecter Coinhive sur un PC, il faut passer par de nouveaux outils de sécurité basés sur le Machine Learning, comme en proposent FireEye ou Cylance. Ceux-ci analysent la mémoire et savent reconnaître dans l’enchaînement des processus comme des scripts la photographie du fonctionnement de Coinhive. NTT, de son côté, utilise un principe similaire pour reconnaître ce cryptojacking d’après son trafic réseau. « Le problème quand on détecte une machine qui exécute Coinhive est qu’il est impossible de savoir s’il s’agit d’un utilisateur infecté par du cryptojacking ou d’un internaute qui mine volontairement de la cryptomonnaie », fait néanmoins remarquer Pierre-Yves Pophin. En effet, sans même chercher à toucher une rémunération, un utilisateur peut choisir volontairement de laisser son PC miner des moneros pour le compte du site web qu’il visite, à partir du moment où celui-ci promet qu’en échange d’un peu temps de calcul pour son javascript, il n’affichera plus aucune publicité intempestive. Si la plupart des sites qui déclenchent Coinhive sont aujourd’hui des portails de téléchargement illégal, les experts préviennent néanmoins que des marques légitimes pourraient à l’avenir proposer cette option aux internautes pour accéder à un contenu d’ordinaire payant.

En définitive, la seule protection efficace contre le cryptojacking serait la sensibilisation des utilisateurs, une théorie que défend Pascal Ledigol, en charge de Watchguard en France. « Les internautes et les entreprises doivent comprendre que le cryptojacking, même s’il est discret, représente un danger. Être infecté par un tel malware signifie que quelqu’un vous fait payer son électricité, qu’en le laissant faire vous agissez contre l’écologie de la planète et, enfin, que votre machine ne vous appartient plus. Car dès lors qu’un cybercriminel utilise aujourd’hui votre PC pour miner de la cryptomonnaie, cela signifie qu’il a le pouvoir de lui faire faire aussi tout à fait autre chose. Les machines infectées par du cryptojacking ne sont rien d’autre que des botnets qui, demain, feront sans doute bien plus que du minage de monero », conclut-il.


L’attaque des 51% : quand  les cybercriminels piratent  la cryptomonnaie elle-même

Les pirates ont trouvé le moyen d’utiliser deux fois la même somme en cryptomonnaie : ils valident en même temps deux opérations concurrentes. Cette tactique, dite de la majorité absolue (ou des 51% en anglais) a permis en mai dernier à un groupe de hackers de détourner 16 millions d’euros en Bitcoin Gold (BTG). Elle s’appuie sur une faille des algorithmes de Blockchain : pour arbitrer entre tous les blocs de validation que les mineurs calculent à un instant T, le système choisit de n’ajouter à la chaîne que le plus grand nombre de blocs calculé le plus rapidement. Ainsi, si à un moment donné le calcul le plus rapide est constitué d’un groupe de trois blocs, dont deux ont pourtant déjà été validés, alors la Blockchain élimine les deux blocs précédemment acceptés et les remplace par la nouvelle proposition. Pour le malfaiteur, il s’agit en l’occurrence de détenir la majorité absolue des ressources de minage, d’effectuer une transaction en cryptomonnaie (par exemple la conversion d’une somme en euros), de laisser la minorité des mineurs calculer les blocs qui valident cette transaction, puis d’ordonner à la majorité des ressources afin de valider très rapidement des blocs dans lesquels la transaction initiale a été remplacée par une autre (par exemple un achat). Lorsque le système se trouvera dans la position d’accepter le nouveau bloc émis par les mineurs du pirate, il ne pourra pas le raccrocher à la Blockchain car il découle de précédents blocs différents. Mais comme ces blocs différents ont été calculés par la majorité des mineurs, alors il est décidé qu’ils sont préférables à ceux calculés par la minorité, lesquels sont retirés. Cette attaque ne fonctionne que si le pirate parvient à prendre possession de la majorité absolue des mineurs, ce qui fut possible avec le Bitcoin Gold qui, au moment de l’attaque, était une cryptomonnaie tout juste naissante avec encore peu de mineurs. Pour parvenir à renouveler de telles attaques sur des cryptomonnaies plus installées, le pirate doit à présent mener des campagnes de cryptojacking de grande envergure.

Print
2563

x

Le vol de données en entreprise est un risque toujours présent sur le système d’information, comme en attestent les différents évènements qui sont sortis dans la presse ces dernières années. Nous allons nous concentrer sur les fuites de données personnelles, étant entendu que les données commerciales et plus confidentielles sont concernées par les mêmes types de menaces.

[Lire le dossier...]




La recherche des failles de sécurité a toujours représenté l’alpha et l’omega des chercheurs en sécurité. Ces failles – une fois trouvées – se vendent, et fort cher, jusqu’à un million de dollars. Un nouveau métier apparaît : celui du broker de failles de sécurité.  Le phénomène « Bug Bounty » créé en 1995 prend  une autre envergure.

[Lire le dossier...]




Alors que les guerres se font de plus en plus violentes, le chiffrement devient une arme à part entière, les armées comptent des cryptographes, des mathématiciens, des agents du renseignement dont la spécialité consiste à chiffrer les messages et à casser les codes ennemis. Autant dire que les 150 dernières années ont été une période faste pour la cryptographie.

[Lire le dossier...]




Comme ne l’a pas dit Ernst Stavro Blofeld dans le dernier James Bond, « l’information, c’est le pouvoir ». L’être humain l’a bien compris et, depuis quelques millénaires, tente de priver son ennemi de cette fameuse information. C’est ainsi que savants, militaires et diplomates rivalisent d’ingéniosité pour chiffrer leurs messages.

[Lire le dossier...]




Le shadow IT, bien que décrié par les directions informatiques, est un phénomène fort répandu, qui fait s’arracher les cheveux les RSSI. Lutter contre cette pratique est compliqué. Faut-il le combattre, au risque de se mettre à dos les directions métiers… ou l’accompagner ? Des solutions existent.

[Lire le dossier...]




Suite aux événements dramatiques de janvier qui ont endeuillé la France et à la vague de défigurations sans précédent qui ont affecté plus de 20 000 sites, il nous a paru difficile de ne pas essayer de comprendre quelle était la réalité de la menace, et sa perception par les RSSI. Enquête.

[Lire le dossier...]




Le RSSI doit dialoguer avec les directions métiers pour travailler de manière efficace, et ne plus être isolé dans sa tour d’ivoire. Il doit, pour cela, bien identifier des « risk owners ».

[Lire le dossier...]




Face la multiplicité des attaques, les entreprises doivent désormais s’outiller pour parer à la menace. Sans craindre d’utiliser les armes, techniques et outils du renseignement.

[Lire le dossier...]



Page 1 sur 5Première   Précédente   [1]  2  3  4  5  Suivante   Dernière