Piratage – Deux sites des gouvernements australien et britannique utilisés pour miner des cryptomonnaies

Le processus oblige l’ordinateur des internautes à extraire de la monnaie cryptographique qui dans ce cas était du Monero, une cryptomonnaie anonyme et intraçable.

Une série de sites Web du gouvernement britannique et australien, dont celui du Parlement du Victoria, ont été compromis par des pirates qui y ont intégré des programmes qui obligent les ordinateurs des visiteurs à extraire en cachette des devises cryptographiques.

Un seul greffon piraté, des milliers de sites compromis

Le processus, connu sous le nom de « crypto-jacking », force l’ordinateur d’un utilisateur à extraire de la cryptomonnaie sans sa permission, générant des profits pour le pirate.

Les sites Web gouvernementaux ont été infectés par ce maliciel dimanche après qu’un greffon tiers présent sur les pages internet ait été compromis. Des milliers de sites, y compris le National Health Service du Royaume-Uni et l’organisme de surveillance de la protection des données du Royaume-Uni, ont été touchés. Le greffon en question était Browsealoud, un programme qui convertit le texte des sites internet au format audio pour les utilisateurs malvoyants.

En Australie, l’attaque a atteint des sites Web officiels comme celui du  tribunal civil et administratif du Queensland, la page d’accueil du Queensland Community Legal Centre ou encore le site Web de la Commission de législation du Queensland, qui énumère tous les actes et projets de loi de l’État.

16 sites auraient été impactés par ce piratage en France selon le rapport. Le seul ayant été rendu public est celui de la ville d’Asnières-Sur-Seine.

Un seul et même coupable: Coinhive

Les créateurs de Browsealoud, Texthelp, ont confirmé que des pirates ont inséré un script appelé Coinhive dans leur logiciel. Coinhive capte la puissance de traitement de l’ordinateur d’un utilisateur pour extraire la monnaie cryptographique Monero. Bien que pas forcément malveillant, ce script est particulièrement utilisé par des pirates, ou sans en avertir les visiteurs, à l’image de la plateforme de streaming Openload.

Lundi matin, Texthelp a désactivé le plug-in Browsealoud, ce qui signifie que les nouveaux visiteurs des sites concernés ne chargeront plus le script polémique.

Au moment où nous publions cet article, le site Web de la législation du Queensland avait entrepris de supprimer complètement Browsealoud, mais il restait sur les sites du Parlement du Victoria, de l’AQTA et de l’ombudsman du Queensland.

Scott Helme, chercheur en sécurité basé au Royaume-Uni qui a découvert l’intrusion, a déclaré :

« Nous ne savons pas encore comment Texthelp a été compromis, donc il est difficile de dire s’ils ont vraiment été malchanceux ou s’il y avait un problème inhérent à ce qu’ils faisaient. Mais il y avait des moyens pour que les sites du gouvernement se protègent. Cela  peut-être difficile pour un petit site Web, mais j’aurais pensé que sur un site Web du gouvernement, nous aurions dû nous attendre à ce que ces mécanismes de défense soient mis en place. »

La société lésée a quant à elle affirmé avoir mis fin à l’intrusion, et se veut rassurante:

« L’entreprise a examiné le dossier en profondeur et peut confirmer qu’elle n’a pas redirigé de données, elle a simplement utilisé les CPU des ordinateurs pour tenter de générer de la cryptomonnaie. Cette opération a duré quatre heures ce dimanche. Le service Browsealoud a été temporairement déconnecté et la brèche de sécurité a déjà été corrigée, mais Browsealoud restera déconnecté jusqu’ à mardi 12h00 GMT », a-t-il déclaré.

Le crypto-jacking, une toute nouvelle tendance

Le crypto-jacking – terme inventé récemment – est une nouvelle mode qui semble particulièrement lucrative pour les pirates, qui peuvent gagner facilement de l’argent grâce à leurs piratages.

Cette technique, initialement conçue pour les webmasters cherchant une alternative aux publicités, avait attiré l’œil du grand public après avoir été intégrée sans avertissement au site ThePirateBay. Face au début de polémique, le site avait posté un article sur son blog déclarant que l’intégration de ce script n’était qu’un test temporaire.

Depuis, la plupart des bloqueurs de publicités désactivent ces programmes.

D’après the guardian