Blog AVG Signal Sécurité Virus Qu’est-ce qu’un virus de cryptominage et comment l’éliminer ?
Cryptojacking-Hero

Qu’est-ce que le cryptojacking ?

Le cryptojacking désigne le piratage d’un ordinateur pour miner en secret des cryptomonnaies. 

Comme le cryptojacking exige de plus en plus de puissance de calcul pour les cryptomonnaies comme le bitcoin, les cryptomineurs explorent de nouveaux moyens d’utiliser cette puissance de calcul. Un de ces moyens consiste à l’emprunter à des milliers d’internautes à leur insu.

Cet article contient :

    Le bitcoin est devenu très lucratif en 2017 lorsque son cours a atteint des sommets, jusqu’à 20 000 dollars pièce. De fait, cette année-là, les appareils personnels ont effectué plus de minage de cryptomonnaie que tous les autres systèmes. Les monnaies numériques ont déferlé sur Internet et bien entendu, de nombreuses personnes ont cherché à en profiter, souvent de façon illicite. 

    Les virus de cryptominage peuvent se montrer tellement agressifs qu’ils épuisent rapidement votre batterie, rendent votre ordinateur inutilisable sur de longues périodes et finissent par en raccourcir l’espérance de vie.

    Une des conséquences a été la création de malwares de minage de bitcoin. Les pirates ont cherché à exploiter différentes manières de pirater la puissance de calcul des machines des utilisateurs lambda ce qui, multiplié par des milliers d’utilisateurs, augmente de façon drastique leurs chances de réussir. C’est une alternative bien moins coûteuse que les milliers de dollars nécessaires aux systèmes ASIC (les systèmes de minage classique des cryptomonnaies).

    Quel est l’impact du cryptojacking sur vos activités ?

    La personne qui infecte votre ordinateur avec un malware de minage de cryptomonnaie le fait dans le seul but de gagner de l’argent. Le cryptojacking ne vise au départ absolument pas à accéder à vos données ni à les utiliser.

    Mais les pirates (c’est-à-dire les cryptojackers) exploitent bel et bien les ressources de votre système à votre insu. Les virus de cryptominage peuvent se montrer tellement agressifs qu’ils épuisent rapidement votre batterie, rendent votre ordinateur inutilisable sur de longues périodes et finissent par raccourcir l’espérance de vie de votre appareil. En plus, cela fait augmenter votre facture d’électricité et baisser votre productivité. Il s’agit clairement d’un problème de sécurité.

    Il est important de noter que les opérations de cryptojacking ne concernent en général pas le bitcoin. Le minage du bitcoin exigeant une énorme puissance de calcul, il n’est pas réalisable via le cryptojacking. Mais comme il s’agit de la cryptomonnaie la plus connue, le terme « bitcoin » est parfois utilisé pour désigner tous les types de monnaies cryptographiques. De la même façon, le terme « virus de cryptominage de bitcoins » est aussi utilisé de façon générique. 

    Seules les cryptomonnaies de plus petite envergure peuvent exploiter les configurations matérielles normales et peuvent de ce fait être minées via des malwares de cryptojacking. La non-traçabilité des transactions Monero en fait également une cible idéale pour ce type de cybercrime. Mais quel que soit le type d’opération de minage qui a infecté votre système, vous devez la stopper tout de suite à l’aide d’un outil antivirus. 

    AVG Antivirus Gratuit détecte et bloque tous les types d’infections par des malwares, qu’il s’agisse de cryptojacking, de logiciels espions ou de virus plus classiques. Téléchargez-le dès maintenant pour bénéficier d’une protection 24 h/24 et 7 j/7.

    Différents types de virus de minage

    Il existe plusieurs méthodes de cryptojacking et leur traçabilité varie. Voyons tout d’abord deux des méthodes les plus courantes.

    Virus de cryptominage basé sur le navigateur

    Les scripts de site web sont un moyen classique pour les pirates de prendre le contrôle de votre ordinateur à des fins de cryptojacking. Comme il s’agit de fonctions exécutées en arrière-plan et que ces scripts bénéficient d’un certain accès à votre ordinateur, ils représentent une porte d’entrée idéale pour le minage de bitcoins via le navigateur. Les pirates exploitent aussi souvent les portes dérobées qu’ils trouvent dans les bases de données WordPress pour y exécuter du code. 

    Il suffit pour cela que vous consultiez un site web infecté et non protégé (ou avec des logiciels obsolètes) et un script invisible ordonnera à votre ordinateur de commencer les opérations de minage. C’est particulièrement vrai dans le cas des sites web qui ont été piratés, il est par conséquent important de vous assurer que les sites web que vous consultez sont sûrs. Mais même certains sites réputés ont parfois fait l’objet d’attaques, comme nous allons le voir. Dans le meilleur des cas, le minage s’arrête dès que vous quittez le site ou que vous fermez le navigateur. 

    Les victimes de cryptojacking peuvent voir les ressources de leur processeur poussées à leurs limites.

    Parmi les autres moyens dont disposent les pirates pour pousser votre ordinateur à exécuter du code malveillant, on retrouve les pièces jointes des e-mails et les liens douteux. Vérifiez bien les e-mails et les liens avant de cliquer sur quoi que ce soit. Faites attention si Facebook ou toute autre plateforme vous demande votre mot de passe sans raison apparente. Et ne croyez pas non plus tous les boutons qui vous disent de mettre à jour Firefox ou Chrome. S’il ne vient pas du site web officiel du navigateur, ce bouton pourrait servir à installer un logiciel de minage dans votre navigateur. Et il ne disparaîtra probablement pas lorsque vous le fermerez. 

    Les victimes de cryptojacking peuvent voir les ressources de leur processeur poussées à leurs limites. Il est même possible que la capacité de calcul des processeurs graphiques des cartes vidéo les plus puissantes soit exploitée. Ceci se traduit par une dégradation des performances de l’ordinateur et une augmentation de votre facture d’électricité. Peut-être que cela ne vous semble pas très grave, comparé à une usurpation d’identité, mais ça reste pourtant un problème de sécurité important dont vous devez vous protéger.

    Minage de bitcoins par adware

    Le minage de bitcoins par adware est un autre type de malware de cryptojacking. Une fois qu’il a infecté votre machine, le cryptomineur par adware (ou logiciel publicitaire) s’installe sur votre ordinateur parmi les programmes ou sous forme de lignes de code intégrées à la RAM, ce qui en fait une variante de cryptojacking particulièrement dangereuse.

    Une fois caché dans vos fichiers système, ce type d’adware peut désactiver votre antivirus. Il peut s’assurer qu’une copie de lui-même est toujours installée sur l’ordinateur. Il peut même détecter si le Gestionnaire des tâches est ouvert et suspendre son activité si c’est le cas. Vous ne voyez par conséquent pas de pics d’utilisation du CPU et vous ne voyez jamais non plus le nom du programme qui accapare toutes vos ressources. 

    Parfois, le virus de cryptominage se présente sous la forme d’un malware sans fichiers : les commandes sont exécutées depuis la mémoire de l’ordinateur ou via les opérations essentielles du système d’exploitation. Cela le rend très difficile à détecter.

    Le fait d’exploiter la puissance de calcul d’un ordinateur sans l’accord de son propriétaire et de réduire la productivité et l’espérance de vie du matériel n’est certainement pas une bonne chose. Mais il est pire, et encore plus invasif, de pénétrer au cœur d’une machine, d’en handicaper le fonctionnement et de camoufler toute trace de présence du malware.

    Si vous avez récemment téléchargé un programme qui vous paraissait légitime, mais qui en réalité ne l’était pas, vous avez peut-être installé un malware de cryptomonnaie. Auto Refresh Plus, qui se fait passer pour une mise à jour obligatoire de Mozilla Firefox, en est un bon exemple. Une fois qu’il est installé, il commence le minage de cryptomonnaie en arrière-plan tout en vous bombardant de publicités. Vous aurez besoin d’un programme anti-malwares pour le supprimer de votre système.

    Cryptojackers les plus connus

    Il y a quelques noms à connaître si vous voulez rester au fait du phénomène du cryptojacking. Coinhive était un service qui visait à miner des cryptomonnaies dans un but louable, mais qui a fini par être détourné. RoughTed, phénomène totalement distinct, est le terme générique donné à une campagne de cybercrime impliquant diverses activités illicites. Voyons cela de plus près.

    Qu’est-ce que Coinhive ?

    Coinhive a commencé comme source légitime de publicité. Elle consistait à générer des revenus avec les ressources du processeur de votre PC lorsque vous consultiez une page web. L’idée était excellente : un script sur le site demandait à votre ordinateur d’effectuer des opérations de minage de cryptomonnaie Monero. En contrepartie, le site ne présentait pas de publicités ! 

    Les applications possibles étaient nombreuses. La branche australienne de l’UNICEF collectait des dons avec le message « Votre visite suffit pour offrir un peu d’espoir » sur une page qui exécutait Coinhive. Tant que cette page était ouverte dans un navigateur, l’ordinateur de l’utilisateur minait pour accumuler des unités Monero, ce qui générait des dons. 

    À l’origine, l’intention de Coinhive était d’exploiter une fraction de la puissance de calcul de l’ordinateur, or des cryptojackers ont abusé de cette possibilité, ce qui ralentissait l’ordinateur au point de le rendre inutilisable.

    Que s’est-il passé ? Quelques personnes malintentionnées ont détourné cette technologie à leur profit. Coinhive s’est alors répandu sur tous les sites web piratés. Bien que l’intention à l’origine de Coinhive était d’exploiter une fraction de la puissance de calcul de l’ordinateur, des cryptojackers ont abusé de cette possibilité, ce qui ralentissait l’ordinateur au point de le rendre inutilisable. 

    Pour le National Health Service au Royaume-Uni, le pire s’est produit lorsque les employés se sont rendu compte que leur logiciel d’accessibilité BrowseAloud, qui utilise la synthèse vocale pour lire le contenu des sites pour les personnes malvoyantes, avait été piraté avec Coinhive pour miner des unités Monero. Au-delà de l’augmentation de l’utilisation du CPU, le problème de sécurité était ce qu’il y avait de plus inquiétant. Le volume d’informations personnelles qui aurait pu fuiter est énorme.

    Les bloqueurs de publicités et les logiciels antivirus ont dû s’adapter pour pouvoir bloquer ces scripts, et le cryptojacking est devenu un véritable problème de sécurité. Peu importe le mode d’utilisation, il était tout simplement trop facile pour les sites web de miner sans autorisation.

    En plus, les services qui cherchaient à miner des cryptomonnaies ne demandaient aucune autorisation, décourageant tous ceux qui auraient pu être en faveur de ce procédé. C’est ce qui s’est produit avec le site de partage de fichiers en peer-to-peer The Pirate Bay, qui a remplacé ses bannières publicitaires par Coinhive sans rien dire à personne. En plus, The Pirate Bay n’avait pas correctement configuré Coinhive, ce qui a provoqué d’énormes pics d’utilisation du processeur sur l’ordinateur des visiteurs du site. 

    The Pirate Bay a été largement critiqué suite à ce choix. Comme cette technologie avait été largement détournée, le cryptominage en tant qu’alternative aux publicités a été tué dans l’œuf. Coinhive a cessé son activité en 2019.

    Qu’est-ce que RoughTed ?

    RoughTed est une campagne de cybercrime organisé qui a bouleversé le monde de la cybersécurité. Imaginez un malware capable d’exploiter les publicités que nous voyons tous les jours sur Internet. Si les pirates pouvaient exploiter les réseaux de distribution des publicités sur Internet, le travail serait déjà à moitié fait. Ils bénéficieraient alors de vecteurs d’attaque multiples et tellement répandus qu’ils affecteraient un grand nombre d’utilisateurs et échapperaient à toute forme de détection simple.

    Malheureusement, tout effort d’imagination est inutile, car cette situation existe déjà. Il s’agit du malvertising, qui consiste à utiliser des publicités malveillantes. Sur certains sites web, des publicités ordonnent aux ordinateurs de miner des cryptomonnaies. 

    Comment convaincre un réseau publicitaire de diffuser vos publicités malveillantes ?

    • En les camouflant. Le code est en apparence tout à fait innocent. Les langages de programmation ne sont au final que de simples langages. Les campagnes de publicités malveillantes peuvent passer au travers des mailles du filet en réécrivant leur code.

    • En exploitant des réseaux illicites. Il existe différents types de réseaux, par exemple ceux qui présentent des publicités pour le New York Times, et ceux qui présentent des publicités pour les sites de jeu ou les sites pornographiques. Selon vous, quels sites se préoccupent le plus de la façon dont leur espace publicitaire affecte les utilisateurs ? Le New York Times ne peut pas risquer sa réputation, mais si un site de jeu d’argent peut gagner un peu plus, pourquoi se soucier de la qualité des publicités présentées ?

    • En faisant en sorte que les publicités semblent légitimes. On pourrait croire qu’il y a un lien entre l’apparence d’une publicité et ce qu’elle fait en coulisses. Mais il n’y en a aucun. La publicité peut être pour n’importe quel produit, bien présenter et être bien conçue, mais quand même contenir du code malveillant.

    • En détournant un réseau publicitaire déjà en place. Les sites légitimes comme celui du New York Times ne sont pas entièrement à l’abri. D’ailleurs, en 2016, le New York Times a commencé à afficher à son insu des publicités malveillantes provenant d’un réseau publicitaire piraté. RoughTed n’a toujours pas été arrêté et continue à exploiter le réseau CDN d’Amazon à ses fins.

    • En redirigeant. La redirection est la façon dont une personne entre en contact avec le malware. La publicité exécute un script qui renvoie l’utilisateur vers un site malveillant, mais seulement si cet utilisateur utilise des logiciels obsolètes. Pour la plupart des utilisateurs, cette publicité malveillante ne présente pas de danger, ce qui la rend d’autant plus difficile à détecter.

    • En ajoutant une autre redirection. Pour les victimes comme pour les hôtes, l’ajout de multiples redirections (ou de redirections qui semblent toutes légitimes) permet de masquer les activités suspectes.

    C’est de cette façon que le cryptojacking s’est répandu sur Internet. Malheureusement, il s’agit là d’un des délits les moins graves de RoughTed. Il est désormais avéré que cette campagne visait aussi les informations personnelles et infectait les appareils par des malwares ralentissant fortement les machines. C’est pourquoi il est si important de savoir comment détecter et bloquer le cryptojacking et autres malwares.

    Comment savoir si vous êtes infecté ?

    Pour savoir si vous avez été infecté, la première chose à faire est de vérifier la température du processeur. Une utilisation élevée du processeur révèle en général que quelque chose ne va pas. Lors d’une infection de cryptojacking, votre ordinateur fonctionne bien plus lentement que d’habitude et le ventilateur fait autant de bruit que les réacteurs d’un avion au décollage. Ceci est dû au fait que le logiciel de cryptojacking utilise toutes les ressources de votre ordinateur pour miner des cryptomonnaies. Pour en être tout à fait certain, ouvrez le Gestionnaire des tâches et examinez les informations de l’onglet Performances, en particulier celles concernant le processeur. S’il en est à 80 ou 90 % sans qu’aucun programme ne soit ouvert, il se passe quelque chose d’anormal.

    The "Performance" tab showing CPU performance in Windows Task Manager.

    Vous devriez apprendre à repérer les virus de cryptominage. La surexploitation de votre processeur et de votre processeur graphique ralentit le fonctionnement général du système, et peut aller jusqu’à provoquer une surchauffe. La détection de malwares de minage de cryptomonnaies ne se limite pas à l’élimination du problème, il s’agit aussi de préserver l’espérance de vie de votre appareil. Le malware de minage Loapi Monero sur Android a endommagé certains appareils en raison de la surchauffe qu’il provoquait.

    Les outils cachés de minage de cryptomonnaie peuvent aussi se présenter comme des adwares, ou logiciels publicitaires. Restez attentif au moindre signe de présence d’adwares sur votre appareil. Il peut s’agir, comme le nom l’indique, de publicités qui s’affichent de façon inopinée, d’un comportement inhabituel du navigateur, avec de nouvelles barres d’outils ou des sites web étranges.

    Comment supprimer un virus de cryptominage

    Le processus d’élimination des virus de cryptominage est largement similaire à l’élimination d’autres types de logiciels malveillants

    La première étape consiste à lancer un antivirus fiable. AVG Antivirus Gratuit est un outil de cybersécurité de grande qualité, qui peut vous aider à éliminer les malwares et à éviter toute infection à l’avenir. Nous allons vous présenter la meilleure manière de débarrasser votre ordinateur des virus de cryptominage qui s’y trouvent. Pour commencer, téléchargez et installez AVG Antivirus Gratuit.

    1. Ouvrez AVG Antivirus Gratuit. Vous pouvez cliquer sur Lancer le Smart Scan, mais vous pouvez aussi essayer un autre type d’analyse dans la mesure où les virus de cryptominage ont tendance à bien se cacher. Pour exécuter une autre analyse, cliquez sur les trois points à côté de Lancer le Smart Scan.

      The main window for AVG Free Antivirus, with "Run Smart Scan" and the three dots next to it circled.

    2. Choisissez Scan au démarrage. Cette analyse approfondie recherche d’autres menaces, celles qui sont mieux cachées.

      The three dots next to Run Smart Scan have been clicked, and different scan options are shown.

    3. Passez en revue les options. Faites défiler la liste et confirmez.

      The options for a Boot-time scan are shown.

    4. Cliquez sur Exécuter au prochain redémarrage du PC pour planifier une analyse au démarrage.

      The final confirmation screen for Boot-time scan is shown; a big green button that says "Run on Next PC Reboot."

    5. Redémarrez votre PC pour lancer l’analyse au démarrage. Si un virus de cryptominage ou toute autre menace sont découverts, vous pourrez les éliminer tout de suite.

    6. AVG Antivirus Gratuit analyse régulièrement votre machine pour vous protéger d’autres infections.

    Et pendant que nous en sommes à parler de bonnes pratiques en matière de sécurité, prenez un peu de temps pour effacer votre historique de navigation et de recherche. Votre ordinateur enregistre certains fichiers et les affiche lorsque vous consultez un site, pour ne pas avoir à les télécharger de nouveau. Et pendant que vous y êtes, supprimez aussi les cookies de votre navigateur. Les cookies du navigateur pistent vos informations et il est préférable d’éviter que de mauvais cookies n’envahissent votre disque dur.

    Comment se défendre face à Coinhive et autres virus de cryptominage

    La meilleure défense face aux malwares reste la prévention. Voici quelques mesures simples.

    • Évitez les liens douteux. Ne cliquez pas sur les URL suspectes ou contenant des fautes d’orthographe. En cas de doute, vous pouvez faire une recherche sur cette URL dans Google et contrôler sa description sur la page des résultats pour voir si le site semble légitime. Évitez de cliquer sur des URL raccourcies dans des endroits comme les commentaires sur YouTube.

    • Vérifiez scrupuleusement les e-mails avant de télécharger les pièces jointes ou de cliquer sur les liens. Vérifiez l’adresse e-mail pour voir si elle est fausse ou non. L’adresse « account-security@facebok.com » est probablement fausse, puisque le nom de Facebook est mal orthographié. Les fautes et les orthographes fantaisistes sont des signes que l’adresse e-mail peut avoir été usurpée. Méfiez-vous toujours des messages de phishing qui vous demandent votre mot de passe ou d’autres informations personnelles.

    • Utilisez une extension de navigateur anti-cryptomineurs. Certaines extensions comme minerBlock peuvent empêcher les sites web de forcer votre ordinateur à rechercher des cryptomonnaies. Renseignez-vous bien sur chaque extension avant de l’installer et assurez-vous de disposer d’un antivirus efficace pour vous protéger au cas où une extension ou une application se montrerait malveillante.

    • Consultez régulièrement le Gestionnaire des tâches. Dans l’onglet Processus, vous pouvez voir quels processus consomment le plus de ressources. Les navigateurs Internet sont souvent gourmands en mémoire, surtout si beaucoup d’onglets sont ouverts. Mais si vous constatez une activité inexpliquée ou si votre processeur affiche un taux d’utilisation de 90 % même avec quelques onglets ouverts et tous les autres programmes fermés, vous devriez mener l’enquête.img_06

    Protégez-vous avec un logiciel antivirus éprouvé

    AVG Antivirus Gratuit est un logiciel de sécurité extrêmement robuste. Il assure la protection de votre ordinateur avec des mises à jour de sécurité en temps réel et analyse votre ordinateur pour détecter les programmes malveillants et les problèmes de performances, en interceptant les téléchargements malveillants avant qu’ils ne puissent s’introduire dans le système.

    Avec son nouveau design simplifié et intuitif, AVG Antivirus Gratuit assure votre sécurité sans vous ralentir dans vos activités. Téléchargez-le et installez-le dès aujourd’hui pour bloquer tous les types de programmes malveillants mentionnés ici, y compris les malwares qui n’utilisent pas de fichiers. Bénéficiez d’une protection 24 h/24 et 7 j/7, entièrement gratuite.

    Protégez votre iPhone contre les menaces avec AVG Mobile Security

    Installation gratuite

    Protégez votre appareil Android contre les menaces avec AVG Antivirus

    Installation gratuite