Si le coût de l'énergie est aujourd'hui la critique numéro un contre les mineurs de cryptomonnaies, un autre problème a vu le jour sur les plateformes de cloud computing, au cours des derniers mois. Des groupes de mineurs abusent des niveaux gratuits des plateformes de services cloud pour miner des cryptomonnaies. Cités auparavant dans l'attaque et le détournement de serveurs non patchés, plusieurs services d'intégration continue (CI) se plaignent maintenant de ces gangs, qui enregistrent des comptent gratuits sur leur plateforme avant de passer à de nouveaux comptes gratuits dans la limite des périodes d'essai.Bien que les cryptomonnaies n'existent que dans le monde numérique, une gigantesque opération physique appelée "minage" se déroule dans les coulisses. Les mineurs recherchent un numéro chanceux et, lorsqu'ils le trouvent, sont récompensés par des pièces numériques fraîchement frappées pour leur travail. L'opération de minage implique un réseau d'ordinateurs qui travaillent ensemble non seulement pour trouver ces numéros chanceux, mais aussi pour sécuriser le réseau. Maintenant, certains cryptomineurs sont passés à l'utilisation abusive des niveaux gratuits des plateformes de cloud computing.
Les gangs opèrent en enregistrant des comptes sur certaines plateformes, en s'inscrivant à un niveau gratuit et en exécutant une application de minage de cryptomonnaies sur l'infrastructure du niveau gratuit du fournisseur. Après que les périodes d'essai ou les crédits gratuits ont atteint leurs limites, les groupes enregistrent un nouveau compte et recommencent la première étape, en maintenant les serveurs du fournisseur à leur limite d'utilisation supérieure et ralentissant leurs opérations normales.
La liste des services qui ont fait l'objet d'abus de cette manière comprend des services tels que GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut et Okteto. Depuis quelques mois, des développeurs ont partagé leurs propres histoires sur des abus similaires qu'ils ont constatés sur d'autres plateformes, et certaines de ces entreprises se sont manifestées pour partager des expériences similaires d'abus. The Record de la société de cybersécurité Recorded Future a suivi le développement de ce phénomène et a publié un rapport.
La plupart de cette utilisation abusive concerne les entreprises qui fournissent des services d'intégration continue (CI). L'intégration continue est la pratique consistant à automatiser l'intégration des modifications du code provenant de plusieurs contributeurs dans un seul projet logiciel. Il s'agit d'une des principales pratiques DevOps, qui permet aux développeurs de fusionner fréquemment les modifications de code dans un dépôt central où les constructions et les tests sont ensuite exécutés.
Des outils automatisés sont utilisés pour vérifier l'exactitude du nouveau code avant son intégration. Un système de contrôle de la version du code source constitue l'élément central du processus de CI. Le système de contrôle de version est également complété par d'autres contrôles tels que des tests automatisés de qualité du code, des outils de révision du style syntaxique, etc. En pratique, la CI hébergée dans le cloud s'effectue en créant une nouvelle machine virtuelle qui exécute le processus de construction, de conditionnement et de test, puis transmet le résultat à l'administrateur d'un projet.
Les gangs de mineurs de cryptomonnaies ont compris qu'ils pouvaient abuser de ce processus pour ajouter leur propre code et faire en sorte que cette machine virtuelle CI effectue des opérations de minage de cryptomonnaies afin de générer de petits profits pour l'attaquant avant que la durée de vie limitée de la VM n'expire et que la machine virtuelle ne soit arrêtée par le fournisseur de Cloud.
C'est ainsi que les gangs de mineurs de cryptomonnaies ont abusé de la fonction Actions de GitHub, qui offre une fonction d'infrastructure virtuelle aux utilisateurs de GitHub, pour exploiter le site et miner des cryptomonnaies avec les propres serveurs de GitHub.
« En plus des augmentations de coûts, l'abus crée des problèmes de performances intermittents pour les utilisateurs de GitLab.com et oblige nos équipes à travailler 24/7 pour maintenir des services optimaux pour nos clients et utilisateurs », a déclaré GitLab la semaine dernière. Fatigué de lutter contre ce phénomène, GitLab a choisi d'exiger un numéro de carte de crédit ou de débit qu'il vérifiera à l'aide d'une transaction d'autorisation d'un dollar (et n'effectuera pas de débit). « Nous ne résoudrons jamais complètement les abus sur les plateformes », a déclaré l'entreprise, « mais plus nous mettons de barrières, plus il devient difficile et coûteux de se livrer à des abus ».
La réaction d’autres plateformes de services d'intégration continue
GitHub et GitLab ne sont pas les seuls fournisseurs de CI à avoir été confronté à cet abus. Microsoft Azure, LayerCI, Sourcehut, CodeShip et bien d’autres plateformes ont lutté avec cette activité, selon le rapport.
« Notre équipe a été submergée par le traitement de ce genre de choses », a déclaré un ingénieur de CodeShip. « Et il ne s'agit pas seulement des comptes gratuits. Parfois, ils paient les petits frais pour nos comptes, qui sont bien moins chers que la location sur AWS directement, et minent des cryptomonnaies à la capacité maximale ».
Sourcehut, qui malgré le fait d'être un fournisseur de CI plutôt petit et de niche, a également signalé des abus similaires de son volet gratuit. « Des utilisateurs malveillants ont délibérément soumis un nombre énorme de travaux sous des dizaines de comptes fréquemment enregistrés et ont délibérément contourné notre détection des abus pour utiliser autant de nos ressources que possible pour miner des cryptomonnaies », a déclaré Sourcehut dans un billet de blog. « Cela épuise nos ressources et entraîne de longues files d'attente de build pour les utilisateurs normaux ».
Microsoft, qui fournit également des services de CI via sa fonctionnalité Azure Pipelines, a aussi été confronté à des abus similaires l'année dernière. Cependant, l'entreprise ne voulait pas faire face à tous ces maux de tête, dont la plupart provenaient des concessions gratuites qu'elle accordait à la communauté open source. Au lieu de cela, à partir de février, la société a retiré la possibilité pour les projets open source de recevoir des subventions gratuites pour exécuter des pipelines CI et a demandé aux utilisateurs gratuits d'utiliser GitHub Actions à la place, où le personnel de GitHub investit davantage dans la détection des abus.
Une société comme GitLab, en raison de sa taille plus importante, peut encore se permettre de maintenir son offre de CI gratuite pour ses utilisateurs en trouvant d’autres moyens d’empêcher l’utilisation abusive par les cryptomineurs. Mais, d'autres petits fournisseurs de CI ne le peuvent pas. Mardi dernier, dans leurs décisions pour protéger leurs clients payants qui voyaient une dégradation du service, Sourcehut et TravisCI ont tous deux déclaré qu'ils prévoyaient de cesser d'offrir leurs niveaux de CI gratuits en raison des abus constants.
Autres entreprises, non-fournisseurs des services CI, victimes d'abus...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.