Le cryptojacking consiste à utiliser sans autorisation l'ordinateur d’un individu pour faire du minage de cryptomonnaie. Pour détourner un ordinateur, les pirates peuvent envoyer un lien malveillant par courriel dans le cadre d’une campagne de phishing : en cliquant sur le lien, la victime va charger un code de chiffrement de monnaie sur l'ordinateur. Ils peuvent aussi infecter un site web ou une publicité en ligne avec un code JavaScript qui s'exécute automatiquement, une fois la page chargée dans le navigateur de la victime. Peu importe la méthode, le code de chiffrement fonctionnera en arrière-plan, car les victimes ne se doutent de rien, puisqu’elles peuvent utiliser leur ordinateur normalement. Le seul symptôme qu’elles pourraient constater, c’est une baisse de performance de leur machine ou des lenteurs dans l'exécution des tâches.
La première partie de cet article a présenté cette activité malveillante en progression, lucrative pour les cybercriminels qui la pratiquent. La deuxième partie, ci-dessous, présente les bonnes pratiques pour s'en prémunir, détecter une attaque et la contrer.
1 - Comment prévenir le cryptojacking
- Formation des utilisateurs. Pour minimiser les risques d’être victime de cryptojacking, les entreprises peuvent mettre en place différentes mesures. Il convient d’abord d’introduire la menace dans les formations de sensibilisation à la sécurité, en mettant l’accent sur les tentatives de type phishing qui déclenchent le chargement de scripts sur les ordinateurs des utilisateurs. « La formation contribuera à vous protéger alors que les solutions techniques peuvent échouer », explique Marc Laliberté, analyste spécialisé dans les menaces chez WatchGuard Technologies. Ce dernier estime que le phishing restera la principale méthode pour la diffusion des malwares de tout type.
- Installation d'ad-blockers ou d'extensions. La formation des employés ne suffira pas si le cryptojacking s’auto-exécute lors de la visite de sites web légitimes. « Il n’est pas évident de dire aux utilisateurs quels sont les sites web sur lesquels ils ne doivent pas aller », note Alex Vaystikh, cofondateur et CTO de SecBI. L’une des premières mesures de prévention du cryptojacking est la mise en place de bloqueurs de publicité ou d’extensions anti-cryptominage sur les navigateurs web. Puisque les scripts de cryptojacking sont souvent délivrés à travers des publicités sur le web, installer un ad-blocker peut être un moyen efficace de les arrêter. Certains de ces outils, comme Ad Blocker Plus, peuvent détecter ces scripts. Marc Laliberte recommande pour sa part des extensions comme No Coin et MinerBlock, qui ont été conçues pour les repérer et les bloquer.
- Logiciel antivirus et filtrage. On peut également recourir à un logiciel de protection du terminal capable de détecter les crypto miners connus. De nombreux éditeurs de logiciels antivirus ont ajouté cette fonction dans leur produit. « L’antivirus peut constituer un bon moyen de protéger les postes du cryptominage », estime Travis Farral, directeur de la stratégie de sécurité chez Anomali. Il faut juste être averti que les auteurs de programmes de cryptominage changent constamment leurs techniques afin, justement, de ne pas être détectés par l’ordinateur.
L’équipe informatique doit par ailleurs vérifier que ses outils de filtrage sont bien mis à jour. Si une page web délivrant des scripts de cryptojacking est repérée, elle doit s’assurer que les utilisateurs ne pourront pas y accéder. Il faut surveiller les extensions des navigateurs. Certains attaquants utilisent des extensions malveillantes ou bien infiltrent les extensions légitimes pour exécuter des scripts de cryptominage.
- S'appuyer sur le MDM. Pour les équipements mobiles, utiliser une solution de MDM (mobile device management) permet de mieux contrôler ce qui se trouve sur les terminaux des utilisateurs. Les politiques BYOD (bring your own device) représente un défi lorsqu’il s’agit de prévenir le cryptominage. « Le MDM peut contribuer grandement à la sécurité du BYOD », confirme Marc Laliberte. Ces solutions aident à gérer les apps et les extensions sur les terminaux des utilisateurs. Elles s’adressent plutôt aux grandes entreprises et les plus petites ne peuvent pas se les offrir. Cela dit, M. Laliberte note que les mobiles ne sont pas aussi vulnérables que les postes de travail et les serveurs parce qu’ils ont moins de puissance de traitement. Ils sont donc moins intéressants pour les hackers.
Aucune des bonnes pratiques énumérées ci-dessus n’est infaillible. Sur ce constat et compte-tenu de l’augmentation du cryptojacking, une société comme Coalition, spécialisée dans la couverture du cyber-risque, a créé un service d’assurance couvrant la fraude. Il propose de rembourser les entreprises des pertes financières directes liées à une utilisation frauduleuses de ses services métiers. Cela inclut le cryptominage.
2 - Comment détecter le cryptominage
Tout comme les ransomwares, le cryptojacking peut affecter une entreprise en dépit de tous les efforts déployés pour s’en prémunir. Il peut être difficile de détecter que l’on en est victime, en particulier s’il n’y a que quelques systèmes qui ont été compromis. Il ne faut pas compter sur ses outils de protection des terminaux pour mettre fin au crypominage. « Le code peut se dissimuler des outils de détection qui s’appuient sur les signatures », prévient M. Laliberte. « Les outils antivirus pour desktop ne les voient pas ».
- Former le helpdesk. Pour détecter une activité suspecte de cette nature, il faut au préalable former ses équipes de helpdesk à repérer les signe de cryptominage. Quelquefois, la première indication est une hausse des plaintes sur la lenteur des performances des ordinateurs, pointe M. Vaystikh, de SecBI. Cela doit constituer un indice pour enquêter plus avant. L’équipe de helpdesk doit également vérifier s’il n’y a pas une surchauffe des systèmes qui pourrait causer de pannes sur les CPU ou sur les ventilateurs, ajoute M. Laliberte. « La chaleur [provenant d’une utilisation excessive des CPU] pourrait endommager et réduire la durée de vie des équipements », indique-t-il. C’est particulièrement vrai en ce qui concerne les terminaux mobiles tels que les tablettes et les smartphones.
- Surveiller le trafic réseau. On peut aussi passer par une solution de monitoring du réseau. M. Vaystikh explique que le cryptojacking est plus facile à repérer dans un réseau d’entreprise que chez les particuliers car les solutions grand public de protection ne le détecte généralement pas. C’est facile en revanche pour les applications de surveillance du réseau dont sont équipées la plupart des grandes organisations. Cela dit, toutes ne disposent pas d’outils capables d’analyser l’information permettant une détection précise. SecBI a notamment développer une solution basée sur l’intelligence artificielle pour analyse les données du réseau afin de détecter le cryptominage et d’autres menaces spécifiques. Marc Laliberte, de WatchGuard Technology, estime que la surveillance du réseau est le meilleur moyen de repérer ce type d’activité souterraine : « En passant en revue l’ensemble du trafic we, on a plus de chance de détecter des cryptominers ». De nombreuses solutions de monitoring mènent des inspections qui descendent jusqu’à l’activité de chaque utilisateur afin de pouvoir identifier quels sont les terminaux affectés. « Si vous avez un bon filtre sur un serveur sur lequel vous surveillez la mise en oeuvre de connexions externes, cela peut constituer un bon moyen de détecter les malwares de cryptomining », estime M. Farral. Il avertit cependant que les auteurs de cryptominers peuvent aussi concevoir leurs malwares pour esquiver cette méthode de détection.
- Inspecter ses sites web. Il faut aussi surveiller ses propres sites web pour y rechercher d’éventuels codes de cryptominage. M. Farral explique que les cryptojackers trouvent des moyens de glisser des bits de code Javascript sur les serveurs web. « Le serveur lui-même n’est pas la cible, mais quiconque visite le site web risque d’être infecté », rappelle-t-il. Il recommande donc de vérifier régulièrement s’il n’y a pas eu de changements dans les fichiers sur le serveur web ou de modifictions sur les pages web elles-mêmes.
- S'informer en permanence. Il convient enfin de se tenir au courant des tendances de cryptojacking. Les méthodes de diffusion et les code de cryptominage eux-mêmes évoluent constamment. La compréhension du logiciel et des comportements peut aider à détecter ces activités, souligne encore Travis Farral. « Une organisation avisée doit se maintenir informée sur ce qui se passe ». Dès lors que l’on comprend par quels mécanismes ce type d’activité se diffuse, on saura identifier que tel kit d’exploitation va être utilisé pour diffuser des programmes de cryptojacking. Les protections contre ces kits d’exploitation permettront de se prémunir d’une infection par cryptominer, explique le directeur de la stratégie sécurité chez Anomali.
3 - Comment répondre à une attaque de cryptojacking
- « Tuer » les scripts. Lorsqu’il s’agit d’attaques Javascript passant par le navigateur web, la solution est simple une fois que le cryptominage est détecté. On supprime l’onglet du navigateur qui exécute le script. L’équipe informatique devrait à ce moment-là noter l’URL du site web d’où vient le script afin de mettre à jour les filtres web de l’entreprise pour la bloquer. Il faut alors envisager de déployer des outils anti-cryptominage pour aider à prévenir de futures attaques.
- Mettre à jour les extensions. « Si une extension infecte le navigateur, cela ne servira à rien de fermer l’onglet », précise Marc Laliberte, de WatchGuard. « Il faut mettre à jour toutes les extensions et supprimer celles dont on n’a pas besoin ou qui sont infectées ».
- Apprendre et s'adapter. L’expérience doit permettre de mieux comprendre l’attaquant a pu compromettre les systèmes. Il faut actualiser les formations des utilisateurs, de l’équipe de helpdesk et de l’équipe IT pour qu’ils soient mieux armés pour identifier les tentatives de cryptojacking afin de pouvoir réagir en conséquence.
Commentaire