Des pirates détournent la plateforme YouTube Ads pour miner du Monero (XMR) sur le dos des utilisateurs

Des uti­li­sa­teurs de You­Tube se sont plaints après avoir décou­vert que leur ordi­na­teur était uti­li­sé pour miner du Mone­ro. Cer­taines publi­ci­tés You­Tube ont ain­si été détour­nées par des indi­vi­dus mal­veillants, qui ont choi­si d’y inté­grer le code du logi­ciel Coinhive.

Alors que les mar­chés sont en berne depuis plu­sieurs jours, le désir de récol­ter des coins grâce au minage ne semble pas avoir fai­bli. Et plu­tôt que de s’of­frir de coû­teuses cartes gra­phiques, cer­tains inter­nautes redoublent d’in­gé­nio­si­té pour pou­voir s’ap­puyer sur la puis­sance de cal­cul four­nie par les machines d’autres uti­li­sa­teurs, à leur insu.

Coin­hive pro­pose ain­si un code infor­ma­tique très simple à mettre en place, qui per­met à cer­tains indi­vi­dus mal­veillants d’ob­te­nir des Mone­ro (XMR) grâce à d’autres internautes.

Après avoir infec­té des sites inter­net et des exten­sions Chrome, il sem­ble­rait que ce soit au tour de You­Tube d’en faire les frais. Cette semaine, c’est You­Tube Ads, la pla­te­forme d’an­nonces publi­ci­taires du site, qui a été ciblée.

Des publicités malveillantes

Tous les inter­nautes qui uti­lisent You­Tube savent que les publi­ci­tés affi­chées sur la pla­te­forme peuvent être aga­çantes. Ils sont tou­te­fois conscients que celles-ci ne demandent géné­ra­le­ment que quelques secondes de patience, et qu’elles per­mettent à Google d’of­frir un ser­vice tota­le­ment gra­tuit.

Mais la donne est dif­fé­rente lors­qu’une publi­ci­té, affi­chée sur la barre laté­rale de You­Tube, se met à miner dis­crè­te­ment des cryp­to-mon­naies à l’in­su de l’u­ti­li­sa­teur :

Hey @avast_antivirus seems that you are blo­cking cryp­to miners (#coin­hive) in @YouTube #ads
Thank you 🙂https://t.co/p2JjwnQyxz

— Die­go Bet­to (@diegobetto) 25 jan­vier 2018

Les publi­ci­tés en ques­tion étaient issues de la pla­te­forme Dou­ble­Click de Google. Celles-ci conte­naient les codes JavaS­cript de Coin­hive, qui per­mettent de miner des cryp­to-mon­naies en « tâche de fond ». Cer­tains uti­li­sa­teurs ont ain­si pu consta­ter que la majeure par­tie des res­sources de leur machine étaient uti­li­sées (jus­qu’à 80%) pour miner du Monero.

Troy Mursch, un cher­cheur en sécu­ri­té infor­ma­tique, a indi­qué ceci au site Ars Tech­ni­ca :

« You­Tube est deve­nue une cible, puisque les uti­li­sa­teurs res­tent géné­ra­le­ment long­temps sur cette pla­te­forme. Il s’a­git d’une cible de choix pour les mal­wares de “cryp­to­ja­cking”, dans la mesure où plus les uti­li­sa­teurs minent des cryp­to-mon­naies pen­dant long­temps, plus il génèrent d’argent. »

La réponse de Google

Dans un com­mu­ni­qué offi­ciel, Google (la socié­té-mère de You­Tube) a indi­qué qu’elle sur­veillait « acti­ve­ment » ce phé­no­mène, et que les codes mal­veillants avaient été reti­rés de sa plateforme :

Le minage de cryp­to-mon­naies à tra­vers des publi­ci­tés consti­tue une forme rela­ti­ve­ment nou­velle d’a­bus, qui enfreint nos règles, et que nous sur­veillons de manière active. Nous fai­sons en sorte que nos règles soient res­pec­tées à tra­vers un sys­tème de détec­tion à plu­sieurs couches déployé sur nos pla­te­formes, que nous met­tons à jour lorsque de nou­velles menaces sur­viennent. Dans ce cas par­ti­cu­lier, les publi­ci­tés ont été blo­quées en moins de deux heures, et les uti­li­sa­teurs mal­veillants ont été rapi­de­ment ban­nis de notre plateforme ».

On peut pen­ser que cette ten­dance, qui a flam­bé l’an­née der­nière, devrait se pour­suivre. D’au­tant que les pirates peuvent pro­fi­ter de l’o­pa­ci­té de la blo­ck­chain de Mone­ro – il est tout sim­ple­ment impos­sible de remon­ter leur trace à par­tir de leur adresse XMR.

Réfé­rences : Ars­Tech­ni­ca, NewsBTC