Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le minage de cryptomonnaies concerne désormais plus de 2500 sites
D'après les dernières mesures d'un chercheur

Le , par Stéphane le calme

81PARTAGES

16  0 
Le minage de cryptomonnaies, une menace pour la pub en ligne ?
Le cryptojacking, qui consiste à utiliser secrètement les ressources de votre dispositif pour miner de la cryptomonnaie, commence progressivement à se déployer comme une alternative aux rémunérations issues de la publicité.

En soi, il ne s’agit pas d’une nouveauté étant donné que les mineurs malveillants existaient déjà. Mais le cryptojacking gagne en popularité en partie parce qu’il demande moins d’effort : un acteur malveillant n’aura pas besoin de chercher à pirater votre ordinateur pour pouvoir commencer à extraire de la cryptomonnaie. Au lieu de cela, il passe par un script JavaScript qui va lui permettre de miner de la monnaie dès lors que vous allez visiter un site compromis.

De plus, le visiteur moyen n’a pas de moyen immédiat qui lui permet de conclure que la page contient un mineur de cryptomonnaies caché et pourrait même ne pas remarquer d’impact sur les performances de son dispositif.

L’idée du cryptojacking est née en mi-septembre lorsque CoinHive a proposé un script pour le minage de cryptomonnaies (monero en l'occurrence). Parmi les sites Web qui l’ont adopté, figure The Pirate Bay, le site de partage P2P, qui s’est appuyé sur les ressources de ses utilisateurs comme moyen alternatif de financement. Parmi d’autres mainstreams qui ont fait appel au cryptojacking figurent également la chaîne de télévision Showtime et le site officiel de la star du Real Madrid, Cristiano Ronaldo, qui avaient déployé le script de CoinHive sans en avertir leurs utilisateurs.

Les semaines qui ont suivi ont vu se multiplier sur le Web des imitateurs de CoinHive. Selon une étude d’Adguard sur le sujet, plus de 220 sites parmi ceux qui figurent dans le top 100 000 d’Alexa utilisent déjà ce genre de script. Étant des sites populaires, le nombre des utilisateurs affectés est plutôt impressionnant : le cabinet parle d’un trafic combiné de 500 millions de personnes. En trois semaines, ces sites ont pu générer 43 000 dollars de recette sans pour autant avoir investi le moindre centime : « Combien d'argent font ces sites Web ? Nous estimons leur bénéfice commun à plus de 43 000 $ US. Encore une fois, pour l'instant, ce ne sont pas des millions, mais cet argent a été versé en trois semaines à un coût presque nul. »


Mais tous les cas ne se ressemblent pas. Des chercheurs en sécurité tels que Troy Mursch (alias Bad Packets) estiment qu'il peut être difficile de déterminer si des pirates informatiques tiers ont planté le code sur des sites non sécurisés ou alors si les sites Web ont volontairement déployé ce genre de code comme moyen alternatif de paiement tout en omettant de communiquer cela à leurs utilisateurs. Le pseudo-anonymat offert par les monnaies numériques ajoute à la confusion.

Notons que l'équipe de CoinHive a appelé les opérateurs à informer leurs utilisateurs sur les opérations minières. Cependant, selon Adguard, il n'y a aucune possibilité de bloquer l'utilisation abusive de cette technologie par des acteurs malveillants. Le cabinet a ajouté que trois autres clones de CoinHive sont apparus au cours des trois dernières semaines.

Quoi qu’il en soit, les autres acteurs ne sont pas restés inactifs. En effet, les bloqueurs de publicités et les programmes antivirus ont ajouté des fonctionnalités qui bloquent le minage de la cryptomonnaie dans les navigateurs. AdGuard a mis à jour ses applications pour donner aux utilisateurs le choix de laisser ou non la possibilité pour un site de miner de l’argent en exploitant ses ressources. Il existe également une extension Chrome appelée No Coin, créée par le développeur Rafael Keramidas, qui bloque l'exploitation minière de Coinhive et ajoute une protection contre les autres mineurs.

Le manque de transparence est à l'origine des objections du minage de cryptomonnaies. Mais une fois que les permissions sont accordées, la technologie offre une source de revenus alternative aux éditeurs en dehors des publicités en ligne que beaucoup trouvent parfois intrusives, voire ennuyeuses.

Source : Adguard

Mise à jour du 09/11/2017 : Le minage de cryptomonnaies concerne désormais plus de 2500 sites

Coinhive offre une interface de programmation facile à utiliser dont tout site Web peut se servir pour transformer les ordinateurs des visiteurs en extracteur de monnaie électronique (dans le cas d’espèce il s’agit de Monero). Bien sûr, Coinhive empoche au passage une large commission. De plus, Coinhive n'exige pas que les sites fournissent des notifications aux utilisateurs.

Selon le chercheur en sécurité Willem de Groot, au moins 2496 sites se servent désormais du script de Coinhive, contre 220 lorsque Adguard a effectué ses tests en mi-octobre. Il a assuré que 85 % de ces sites génèrent de la monnaie électronique seulement pour deux comptes Coinhive. Selon le nombre total de visiteurs, la durée de leur visite sur un site affecté et la puissance de leur ordinateur, les revenus générés par ces comptes pourraient être considérables (tout comme le montant total des frais supplémentaires provoqués par la procédure – factures d'électricité).

Les 15 % restants sont répartis sur d’autres comptes Coinhive, mais Willem pense détenir des éléments de preuves qui suggèrent que ces comptes sont contrôlés par un seul individu ou groupe : « Comme CoinHive nécessite un identifiant unique, nous pouvons analyser la distribution du cryptojacking. Sur 2496 sites infectés, 85 % sont liés à seulement deux comptes CoinHive, tandis que les 15 % restants sont répartis sur des comptes CoinHive uniques. Parce que l'étiquette ajoutée à ce segment de 15 % est toujours le nom du site, je pense que cette augmentation de cryptojacking sur les sites en ligne peut être attribuée à seulement trois individus ou groupes. »

Si certains de ces sites incluent le fichier officiel coinhive.js, d'autres sont plus furtifs et incluent un iframe qui pointe vers siteverification.online. Ce site affiche une page d'installation Debian par défaut, mais inclut néanmoins un cryptominer. D'autres encore se déguisent en pare-feu Sucuri.

Source : billet Willem

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de djuju
Membre éprouvé https://www.developpez.com
Le 13/12/2017 à 19:27
Citation Envoyé par Angelsafrania Voir le message
La pub est donc pour moi plus problématique qu'un script qui bouffe 100% du CPU (consommation / vie privé -> j'ai choisi mon combat :p )
Ouais, c'est une position. Une autre serait de dire que miner de la cryptomonaie avec du JScript est fortement inefficace. Ca va te coûter en électricité plusieurs fois ce que ça rapporte au site. Tant que c'est quelques sites qui le font, ça va encore, mais si ça se généralise tu vas te payer de belles factures en plus d'entendre ton ventilateur 24/24.
3  0 
Avatar de Franck Z
Membre régulier https://www.developpez.com
Le 16/11/2017 à 21:58
En effet, la rémunération de l'activité de minage est liée à la puissance de calcul utilisée (notamment l'énergie électrique). Ce coût va donc se retrouver sur la facture d'électricité des personnes qui visitent le site : on n'est plus dans un modèle gratuit comme avec les publicités, dont le coût se trouve reporté lors de l'achat du produit vanté par la publicité (coût qui est par ailleurs estimé rentable par l'entreprise qui choisit de faire de la publicité pour augmenter ses ventes, même si elle y est certes parfois obligée pour ne pas disparaître).

En tant qu'alternative à des sites payants, peut-être... mais à des sites gratuits, je n'y crois pas (mais le monde est fou... )
2  0 
Avatar de Franck Z
Membre régulier https://www.developpez.com
Le 19/11/2017 à 21:38
Je ne connais pas non-plus le coût réel de l'activité de minage par rapport à sa rémunération. Il doit y avoir une corrélation, même si je ne suis pas capable de la calculer. Néanmoins, je crois savoir que, par exemple pour BitCoin :
  • La complexité de la recherche est modulée par l'entreprise BitCoin de façon à ce que les nonces (c-à-d ce que cherchent les mineurs pour valider un bloc de transactions) soient trouvés à des intervalles à peu près constants, de l'ordre de 10 min/15 min.
  • La capacité à se fournir en électricité bon marché est déjà primordiale pour qu'un mineur soit rentable. De fait, le minage n'est déjà plus conseillé à des mineurs isolés.
  • Les mineurs sont en concurrence et effectuent probablement des calculs redondants entre eux.


Compte-tenu du fait qu'un internaute n'a pas a priori accès à une électricité bon marché et que l'attribution des plages de recherche au script exécuté chez l'internaute sera moins efficace que chez une entité spécialisée dans le minage, je suis tenté de croire qu'il paiera plus cher en électricité que le site internet ne sera rémunéré...

Si on rajoute l'utilisation de portables et donc de batteries...
Autre cas amusant : la facture d'électricité des universités qui permettent à leurs étudiants l'accès à Internet. $$$

Source : https://bitcoin.fr/minage/
2  0 
Avatar de Franck Z
Membre régulier https://www.developpez.com
Le 20/11/2017 à 21:49
Citation Envoyé par deathman8683 Voir le message
Voila ce qu'on peut lire en suivant le lien : "De façon générale, même pratiqué sérieusement, le « cloud mining » est rarement rentable."

Donc en clair, même Coinhive qui entubent les utilisateurs du script touchent peu, ça en dit long.
Je pense qu'il faut comprendre "rentable" par rapport aux coûts, et comme là les coûts sont déplacés au niveau de l'internaute final, pour Coinhive ou le site qui veut se rémunérer via cette méthode, l'argument ne les concerne plus, sauf si l'internaute final se rebelle devant sa facture d'électricité.

Par contre, en alternative pour un site payant, le site fait l'économie de la gestion d'une clientèle (sécurité des données personnelles, litiges de non-paiement, difficulté à amener un internaute à laisser son n° de CB).

Citation Envoyé par deathman8683 Voir le message

Sinon je n'arrive toujours pas à bien comprendre : C'est donc uniquement la machine (ou le groupe de machines) la plus puissante qui rafle tout (je parle du bitcoin) ?
Ce que j'ai compris, c'est que c'est le premier qui trouve un nonce compatible qui remporte la récompense. Je suis tenté de croire que les algorithmes de minage permettent au mieux que la probabilité pour un acteur de trouver un nonce corresponde à la fraction que sa puissance de calcul représente par rapport à celle cumulée de tous les mineurs actifs sur un même bloc. Après, les gros acteurs sont aujourd'hui avantagés car ils génèrent leur propre électricité ou la négocient avec un fournisseur d'électricité avec un meilleur rapport de force. Idem pour l'efficacité des machines utilisées. Cela peut être remis en cause si le succès de CoinHive est suffisant pour que la rémunération du minage baisse au point que les gros mineurs actuels ne soient plus rentables.

En tout cas, du point de vue écologique, c'est une idée effrayante. Peut-être sera-t-elle un jour présentée dans les manuels d'histoire comme l'une des idées les plus malfaisantes jamais eues par l'Humanité ?

Quelqu'un connaît Nicolas Hulot pour le prévenir ?
2  0 
Avatar de Angelsafrania
Membre confirmé https://www.developpez.com
Le 13/12/2017 à 17:42
C'est du cryptojacking si on parle de adsjacking aussi.
Pour moi la publicité est du même acabit avec en plus le coté espion en plus.
La pub est donc pour moi plus problématique qu'un script qui bouffe 100% du CPU (consommation / vie privé -> j'ai choisi mon combat :p )
2  0 
Avatar de Omote
Membre averti https://www.developpez.com
Le 23/10/2017 à 17:58
Tout est dit dans l'article. Le fond du problème c'est d'informer l'utilisateur. Personnellement je préfère avoir une page avec zéro pub et le proc qui travaille (si c'est bien géré et que cela ne devient pas de la folie non plus). En plus cela a un effet "Utilisateur/Payeur". Plus longtemps je reste sur un site et plus il est rémunéré. Après il faut voir le coup énergétique...
1  0 
Avatar de deathman8683
Membre averti https://www.developpez.com
Le 19/11/2017 à 14:01
Je serai curieux de connaître le surplus de consommation électrique par mois de l'internaute si ce système se démocratisait à grande échelle (remplacement de la pub sur tout les sites) et je me demande s'il ne serai pas plus rentable de financer directement le service au lieu de le faire par la facture d'électricité ; j'imagine qu'en plus ce genre de script demandera de plus en plus de puissance aux machines clientes à cause de l'appât du gain. Quoi qu'il en soit ce système n'enrichit que très peu de personne, j'espère que des alternatives moins gourmandes en bénéfice vont venir faire concurrence car actuellement ce n'est pas le plus économique des systèmes (si ce n'est pour CoinHive et les fournisseurs d'électricité).

Actuellement de très petites sommes sont en jeu (en regard de ce que ça pourrait rapidement devenir), peu de monde se plaindront si leur facture augmente à peine, ils ne s'en rendront peut-être même pas compte, c'est là tout l'intérêt du truc : imposer des micro-paiements cachés ("cachés" car même si le site informe de l'utilisation d'un script de minage, l'internaute lambda ne va pas imaginer dépenser plus d'électricité ou "très peu". Le consommateur sera plus enclin à dépenser s'il pense ne pas le faire. Alors qu'il serai plus économique pour lui et le service web de payer (une somme très faible) pour utiliser le site, plus économique aussi pour l'environnement.

Je pense aussi aux pays qui payent plus chère le kWh que d'autres, c'est de l'injustice, les pays bien fournis en électricité aurai plus de droit d'accès à l'information que les autres (même si à petit échelle, de toute façon ça pourrait ne plus être à petite échelle si la conso induite par le script augmente) ?

Après il est évident que c'est un bon moyen pour renforcer la résilience des crypto-monnaies en incitant les gens à miner sachant que si un état, ou autre entité avec les moyens, détient une grosse partie de la puissance de minage il est en mesure de les contrôler mais est-ce une bonne chose de promouvoir la spéculation ? Car ce n'est pas une vraie monnaie d'échange en l'état.

Cependant faire disparaître la pub serai pour moi une bonne chose, l'information personnelle perdrai en valeur nous laissant un peu tranquille (sans compter l'espionnage de l'état mais du coup il ne pourra s'appuyer que sur lui-même).
1  0 
Avatar de djuju
Membre éprouvé https://www.developpez.com
Le 13/12/2017 à 19:30
Citation Envoyé par Ryu2000 Voir le message
Si vous voulez éviter que vos ressources soient secrètement utilisé pour miner de la cryptomonnaie, ne visitez plus ces sites.
Passez vous de The Pirate Bay et des sites de streaming.
Abonnez nous à un service de vidéo comme Amazon Prime Vidéo ou Netflix / Achetez des DVD / Allez au cinéma.
Pour Showtime et le Real Madrid on fait quoi?
1  0 
Avatar de Bubu017
Membre éprouvé https://www.developpez.com
Le 13/08/2018 à 9:39
Citation Envoyé par romaricx Voir le message
Une particularité de Coinimp est que c’est indétectable par Adblock et les antivirus. De plus, grâce à ton lien d’affiliation, tu gagnes des commissions en invitant d’autres personnes à utiliser cette solution. C’est vraiment magnifique. Merci Coinimp.
Donc tu peux consommer du CPU de tes visiteurs sans qu'il ne le sache c'est bien ça ? Magnifique en effet. Pour moi, si un site opte pour cette possibilité il doit prévenir ses utilisateurs.
1  0 
Avatar de mm_71
Membre chevronné https://www.developpez.com
Le 13/08/2018 à 13:17
Une particularité de Coinimp est que c’est indétectable par Adblock et les antivirus.

Ben voyons...
"Use our Monero JavaScript web"
Donc noscript en viendra à bout sans problème et de toute manière il y-aura forcément une connexion sortante vers coinhip qui sera détectable.
Si quelqu'un trouve un lien vers un site qui utilise ce truc je serai ravi de faire un test.
En tout cas l'affirmation est contredite ici:
https://cryptogratuit.blogspot.com/2...-coinhive.html
"et vos visiteurs (qui n'ont pas de bloqueur de publicités) vont miner du Monero avec leur CPU."
Et confirme celle-ci:
"il n'offre pas encore la simplicité et la transparence avec un système d'autorisation de minage pour ne pas forcer ses visiteurs."
Merci Coinimp.

Merci pour le spam.
1  0