Le minage de cryptomonnaies concerne désormais plus de 2500 sites
D'après les dernières mesures d'un chercheur

Le , par Stéphane le calme, Chroniqueur Actualités
Le minage de cryptomonnaies, une menace pour la pub en ligne ?
Le cryptojacking, qui consiste à utiliser secrètement les ressources de votre dispositif pour miner de la cryptomonnaie, commence progressivement à se déployer comme une alternative aux rémunérations issues de la publicité.

En soi, il ne s’agit pas d’une nouveauté étant donné que les mineurs malveillants existaient déjà. Mais le cryptojacking gagne en popularité en partie parce qu’il demande moins d’effort : un acteur malveillant n’aura pas besoin de chercher à pirater votre ordinateur pour pouvoir commencer à extraire de la cryptomonnaie. Au lieu de cela, il passe par un script JavaScript qui va lui permettre de miner de la monnaie dès lors que vous allez visiter un site compromis.

De plus, le visiteur moyen n’a pas de moyen immédiat qui lui permet de conclure que la page contient un mineur de cryptomonnaies caché et pourrait même ne pas remarquer d’impact sur les performances de son dispositif.

L’idée du cryptojacking est née en mi-septembre lorsque CoinHive a proposé un script pour le minage de cryptomonnaies (monero en l'occurrence). Parmi les sites Web qui l’ont adopté, figure The Pirate Bay, le site de partage P2P, qui s’est appuyé sur les ressources de ses utilisateurs comme moyen alternatif de financement. Parmi d’autres mainstreams qui ont fait appel au cryptojacking figurent également la chaîne de télévision Showtime et le site officiel de la star du Real Madrid, Cristiano Ronaldo, qui avaient déployé le script de CoinHive sans en avertir leurs utilisateurs.

Les semaines qui ont suivi ont vu se multiplier sur le Web des imitateurs de CoinHive. Selon une étude d’Adguard sur le sujet, plus de 220 sites parmi ceux qui figurent dans le top 100 000 d’Alexa utilisent déjà ce genre de script. Étant des sites populaires, le nombre des utilisateurs affectés est plutôt impressionnant : le cabinet parle d’un trafic combiné de 500 millions de personnes. En trois semaines, ces sites ont pu générer 43 000 dollars de recette sans pour autant avoir investi le moindre centime : « Combien d'argent font ces sites Web ? Nous estimons leur bénéfice commun à plus de 43 000 $ US. Encore une fois, pour l'instant, ce ne sont pas des millions, mais cet argent a été versé en trois semaines à un coût presque nul. »


Mais tous les cas ne se ressemblent pas. Des chercheurs en sécurité tels que Troy Mursch (alias Bad Packets) estiment qu'il peut être difficile de déterminer si des pirates informatiques tiers ont planté le code sur des sites non sécurisés ou alors si les sites Web ont volontairement déployé ce genre de code comme moyen alternatif de paiement tout en omettant de communiquer cela à leurs utilisateurs. Le pseudo-anonymat offert par les monnaies numériques ajoute à la confusion.

Notons que l'équipe de CoinHive a appelé les opérateurs à informer leurs utilisateurs sur les opérations minières. Cependant, selon Adguard, il n'y a aucune possibilité de bloquer l'utilisation abusive de cette technologie par des acteurs malveillants. Le cabinet a ajouté que trois autres clones de CoinHive sont apparus au cours des trois dernières semaines.

Quoi qu’il en soit, les autres acteurs ne sont pas restés inactifs. En effet, les bloqueurs de publicités et les programmes antivirus ont ajouté des fonctionnalités qui bloquent le minage de la cryptomonnaie dans les navigateurs. AdGuard a mis à jour ses applications pour donner aux utilisateurs le choix de laisser ou non la possibilité pour un site de miner de l’argent en exploitant ses ressources. Il existe également une extension Chrome appelée No Coin, créée par le développeur Rafael Keramidas, qui bloque l'exploitation minière de Coinhive et ajoute une protection contre les autres mineurs.

Le manque de transparence est à l'origine des objections du minage de cryptomonnaies. Mais une fois que les permissions sont accordées, la technologie offre une source de revenus alternative aux éditeurs en dehors des publicités en ligne que beaucoup trouvent parfois intrusives, voire ennuyeuses.

Source : Adguard

Mise à jour du 09/11/2017 : Le minage de cryptomonnaies concerne désormais plus de 2500 sites

Coinhive offre une interface de programmation facile à utiliser dont tout site Web peut se servir pour transformer les ordinateurs des visiteurs en extracteur de monnaie électronique (dans le cas d’espèce il s’agit de Monero). Bien sûr, Coinhive empoche au passage une large commission. De plus, Coinhive n'exige pas que les sites fournissent des notifications aux utilisateurs.

Selon le chercheur en sécurité Willem de Groot, au moins 2496 sites se servent désormais du script de Coinhive, contre 220 lorsque Adguard a effectué ses tests en mi-octobre. Il a assuré que 85 % de ces sites génèrent de la monnaie électronique seulement pour deux comptes Coinhive. Selon le nombre total de visiteurs, la durée de leur visite sur un site affecté et la puissance de leur ordinateur, les revenus générés par ces comptes pourraient être considérables (tout comme le montant total des frais supplémentaires provoqués par la procédure – factures d'électricité).

Les 15 % restants sont répartis sur d’autres comptes Coinhive, mais Willem pense détenir des éléments de preuves qui suggèrent que ces comptes sont contrôlés par un seul individu ou groupe : « Comme CoinHive nécessite un identifiant unique, nous pouvons analyser la distribution du cryptojacking. Sur 2496 sites infectés, 85 % sont liés à seulement deux comptes CoinHive, tandis que les 15 % restants sont répartis sur des comptes CoinHive uniques. Parce que l'étiquette ajoutée à ce segment de 15 % est toujours le nom du site, je pense que cette augmentation de cryptojacking sur les sites en ligne peut être attribuée à seulement trois individus ou groupes. »

Si certains de ces sites incluent le fichier officiel coinhive.js, d'autres sont plus furtifs et incluent un iframe qui pointe vers siteverification.online. Ce site affiche une page d'installation Debian par défaut, mais inclut néanmoins un cryptominer. D'autres encore se déguisent en pare-feu Sucuri.

Source : billet Willem


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Omote Omote - Membre averti https://www.developpez.com
le 23/10/2017 à 17:58
Tout est dit dans l'article. Le fond du problème c'est d'informer l'utilisateur. Personnellement je préfère avoir une page avec zéro pub et le proc qui travaille (si c'est bien géré et que cela ne devient pas de la folie non plus). En plus cela a un effet "Utilisateur/Payeur". Plus longtemps je reste sur un site et plus il est rémunéré. Après il faut voir le coup énergétique...
Avatar de codec_abc codec_abc - Membre actif https://www.developpez.com
le 23/10/2017 à 17:59
43 000 $ cumulés sur 220 sites ça fait une moyenne de ~200$/site. Ceux qui hébergent un script de crypto-monnaie sont quand même loin de faire fortune avec ça. Pour un peu qu'ils doivent acheter le script ils est possible qu'ils perdent de l'argent. Pareil s'ils le développent. Le temps passé pourrait être mis à meilleur profit. Pour peu que la qualité éditoriale soit correcte, il faut mieux se tourner vers de la publicité non intrusive ou du financement participatif/communautaire.
Avatar de piGrimm piGrimm - Nouveau Candidat au Club https://www.developpez.com
le 23/10/2017 à 19:11
methode simplette =
Je laisse tourner un logciel de jauges systemes. quand je vois les courbes grimper, les aiguilles s'affoler (voire se tordre en buttée du 100%), je déguerpis du site illico a vitesse grand V et je purge mes caches!
Sans compter l'incontournable ZHPCleaner sur le pc de ma femme qui est windaube . La 1ère fois que je l'ai utilisé, il y avait 380 reniflards dans son explorateur MDR
https://www.nicolascoolman.com/fr/download/zhpcleaner/
Avatar de Franck Z Franck Z - Membre régulier https://www.developpez.com
le 16/11/2017 à 21:58
En effet, la rémunération de l'activité de minage est liée à la puissance de calcul utilisée (notamment l'énergie électrique). Ce coût va donc se retrouver sur la facture d'électricité des personnes qui visitent le site : on n'est plus dans un modèle gratuit comme avec les publicités, dont le coût se trouve reporté lors de l'achat du produit vanté par la publicité (coût qui est par ailleurs estimé rentable par l'entreprise qui choisit de faire de la publicité pour augmenter ses ventes, même si elle y est certes parfois obligée pour ne pas disparaître).

En tant qu'alternative à des sites payants, peut-être... mais à des sites gratuits, je n'y crois pas (mais le monde est fou... )
Avatar de deathman8683 deathman8683 - Membre actif https://www.developpez.com
le 19/11/2017 à 14:01
Je serai curieux de connaître le surplus de consommation électrique par mois de l'internaute si ce système se démocratisait à grande échelle (remplacement de la pub sur tout les sites) et je me demande s'il ne serai pas plus rentable de financer directement le service au lieu de le faire par la facture d'électricité ; j'imagine qu'en plus ce genre de script demandera de plus en plus de puissance aux machines clientes à cause de l'appât du gain. Quoi qu'il en soit ce système n'enrichit que très peu de personne, j'espère que des alternatives moins gourmandes en bénéfice vont venir faire concurrence car actuellement ce n'est pas le plus économique des systèmes (si ce n'est pour CoinHive et les fournisseurs d'électricité).

Actuellement de très petites sommes sont en jeu (en regard de ce que ça pourrait rapidement devenir), peu de monde se plaindront si leur facture augmente à peine, ils ne s'en rendront peut-être même pas compte, c'est là tout l'intérêt du truc : imposer des micro-paiements cachés ("cachés" car même si le site informe de l'utilisation d'un script de minage, l'internaute lambda ne va pas imaginer dépenser plus d'électricité ou "très peu"). Le consommateur sera plus enclin à dépenser s'il pense ne pas le faire. Alors qu'il serai plus économique pour lui et le service web de payer (une somme très faible) pour utiliser le site, plus économique aussi pour l'environnement.

Je pense aussi aux pays qui payent plus chère le kWh que d'autres, c'est de l'injustice, les pays bien fournis en électricité aurai plus de droit d'accès à l'information que les autres (même si à petit échelle, de toute façon ça pourrait ne plus être à petite échelle si la conso induite par le script augmente) ?

Après il est évident que c'est un bon moyen pour renforcer la résilience des crypto-monnaies en incitant les gens à miner sachant que si un état, ou autre entité avec les moyens, détient une grosse partie de la puissance de minage il est en mesure de les contrôler mais est-ce une bonne chose de promouvoir la spéculation ? Car ce n'est pas une vraie monnaie d'échange en l'état.

Cependant faire disparaître la pub serai pour moi une bonne chose, l'information personnelle perdrai en valeur nous laissant un peu tranquille (sans compter l'espionnage de l'état mais du coup il ne pourra s'appuyer que sur lui-même).
Avatar de Franck Z Franck Z - Membre régulier https://www.developpez.com
le 19/11/2017 à 21:38
Je ne connais pas non-plus le coût réel de l'activité de minage par rapport à sa rémunération. Il doit y avoir une corrélation, même si je ne suis pas capable de la calculer. Néanmoins, je crois savoir que, par exemple pour BitCoin :
  • La complexité de la recherche est modulée par l'entreprise BitCoin de façon à ce que les nonces (c-à-d ce que cherchent les mineurs pour valider un bloc de transactions) soient trouvés à des intervalles à peu près constants, de l'ordre de 10 min/15 min.
  • La capacité à se fournir en électricité bon marché est déjà primordiale pour qu'un mineur soit rentable. De fait, le minage n'est déjà plus conseillé à des mineurs isolés.
  • Les mineurs sont en concurrence et effectuent probablement des calculs redondants entre eux.


Compte-tenu du fait qu'un internaute n'a pas a priori accès à une électricité bon marché et que l'attribution des plages de recherche au script exécuté chez l'internaute sera moins efficace que chez une entité spécialisée dans le minage, je suis tenté de croire qu'il paiera plus cher en électricité que le site internet ne sera rémunéré...

Si on rajoute l'utilisation de portables et donc de batteries...
Autre cas amusant : la facture d'électricité des universités qui permettent à leurs étudiants l'accès à Internet. $$$

Source : https://bitcoin.fr/minage/
Avatar de deathman8683 deathman8683 - Membre actif https://www.developpez.com
le 20/11/2017 à 0:53
Voila ce qu'on peut lire en suivant le lien : "De façon générale, même pratiqué sérieusement, le « cloud mining » est rarement rentable."

Donc en clair, même Coinhive qui entubent les utilisateurs du script touchent peu, ça en dit long.

Il me semble de plus en plus que ce système est un gros gâchis d'énergie, ce qui semble parfaitement incompatible avec nos prises de conscience actuelles sur l'environnement.

Ton lien parle aussi de https://guiminer.org/fr/ une solution open source pour faire soit-même du cloud mining, il existe peut-être des groupes qui le déploie par simple soutien pour la crypto-monnaie et redistribue tout les bénéfices, à voir. Ça ne serai pas idiot sachant que le coût du déploiement doit être quasi nul tout comme la maintenance. On aurai toujours le soucis de dépenser de l'électricité pour produire un moyen de dépenser plus d'électricité mais ça serai déjà moins pire.

Sinon je n'arrive toujours pas à bien comprendre : C'est donc uniquement la machine (ou le groupe de machines) la plus puissante qui rafle tout (je parle du bitcoin) ?
Avatar de Franck Z Franck Z - Membre régulier https://www.developpez.com
le 20/11/2017 à 21:49
Citation Envoyé par deathman8683 Voir le message
Voila ce qu'on peut lire en suivant le lien : "De façon générale, même pratiqué sérieusement, le « cloud mining » est rarement rentable."

Donc en clair, même Coinhive qui entubent les utilisateurs du script touchent peu, ça en dit long.
Je pense qu'il faut comprendre "rentable" par rapport aux coûts, et comme là les coûts sont déplacés au niveau de l'internaute final, pour Coinhive ou le site qui veut se rémunérer via cette méthode, l'argument ne les concerne plus, sauf si l'internaute final se rebelle devant sa facture d'électricité.

Par contre, en alternative pour un site payant, le site fait l'économie de la gestion d'une clientèle (sécurité des données personnelles, litiges de non-paiement, difficulté à amener un internaute à laisser son n° de CB).

Citation Envoyé par deathman8683 Voir le message
Sinon je n'arrive toujours pas à bien comprendre : C'est donc uniquement la machine (ou le groupe de machines) la plus puissante qui rafle tout (je parle du bitcoin) ?
Ce que j'ai compris, c'est que c'est le premier qui trouve un nonce compatible qui remporte la récompense. Je suis tenté de croire que les algorithmes de minage permettent au mieux que la probabilité pour un acteur de trouver un nonce corresponde à la fraction que sa puissance de calcul représente par rapport à celle cumulée de tous les mineurs actifs sur un même bloc. Après, les gros acteurs sont aujourd'hui avantagés car ils génèrent leur propre électricité ou la négocient avec un fournisseur d'électricité avec un meilleur rapport de force. Idem pour l'efficacité des machines utilisées. Cela peut être remis en cause si le succès de CoinHive est suffisant pour que la rémunération du minage baisse au point que les gros mineurs actuels ne soient plus rentables.

En tout cas, du point de vue écologique, c'est une idée effrayante. Peut-être sera-t-elle un jour présentée dans les manuels d'histoire comme l'une des idées les plus malfaisantes jamais eues par l'Humanité ?

Quelqu'un connaît Nicolas Hulot pour le prévenir ?
Avatar de Franck Z Franck Z - Membre régulier https://www.developpez.com
le 20/11/2017 à 22:50
A propos du coût en électricité, j'ai retrouvé un vieux message (2011) sur la mailing list des développeurs de GCC.

On y trouve les témoignages d'un prévisionniste météo et d'un hébergeur de capacité de calcul (ici, qui permet p. ex. aux développeurs de compiler GCC plus rapidement qu'avec leur machine).

Certes la capacité de calcul utilisée par CoinHive par internaute sera moindre que la leur (+ les disques durs sont utilisés par une compilation), mais on peut aussi lire quelle capacité de calcul correspondrait à un site qui gagnerait 1000 euros via CoinHive !

https://gcc.gnu.org/ml/gcc/2011-07/msg00159.html

Un sacré gâchis !
Contacter le responsable de la rubrique Accueil