Vous vous rappelez de Coinhive ? Créée en 2017, cette technologie permet à l’administrateur d’un site web d’insérer un code Javascript qui va utiliser la puissance de calcul de l’ordinateur de l’internaute pour miner des moneros, une cryptomonnaie alternative au bitcoin. Le site The Pirate Bay a été l’un des premiers à l’utiliser, histoire d’être moins dépendant de la publicité.
Coinhive a fait beaucoup d’émules depuis et le code de minage se retrouve sur un nombre de sites web toujours plus grand. Mais cette ruée vers le monero attise forcément les convoitises, attirant forcément quelques brigands. Il y a deux jours, des pirates ont ainsi réussi à détourner pendant plusieurs heures la puissance de calcul de tous les scripts déployés, et du coup sont parvenus à générer un petit pactole sur le dos des utilisateurs de Coinhive.
Un mot de passe qui n’a pas été changé depuis longtemps
Comment ont-ils fait cela ? Les pirates ont réussi à modifier les serveurs DNS utilisés par Coinhive ce qui leur a permis de rediriger les requêtes des utilisateurs vers un serveur tiers qui hébergeait leur propre script de minage monero. Les serveurs DNS sont, eux, hébergés par CloudFlare, mais le prestataire n’est pas en tort. Les développeurs de Coinhive ont simplement oublié de changer le mot de passe de leur compte d’administration CloudFlare. Or, ils avaient utilisé ce même mot de passe sur Kickstarter qui a été piraté en 2014. Et visiblement, ce mot de passe faisait partie des données qui avaient fuité.
Dans une note de blog, les développeurs de Coinhive présentent leurs excuses, tout en précisant qu’aucune donnée de leurs utilisateurs n’a été subtilisée. « Nos serveurs web et nos bases de données n’ont pas été atteints », soulignent-ils. L’ironie, c’est que beaucoup d’utilisateurs de Coinhive ne préviennent pas les internautes qu’ils ont intégré un script de minage sur leurs sites. Certains, par ailleurs, n’ont pas hésité à hacker des sites web pour y intégrer leur code de minage. C’était notamment le cas pour Politifact, un site américain d’actualité politique (source: Washington Post) . Pour tous ceux-là, c’est un peu l’histoire de l’arroseur arrosé.
A noter, enfin, que les développeurs de Coinhive ont récemment proposé une version alternative de leur script de minage. Baptisé AuthedMine, il nécessite l’accord de l’utilisateur avant de pouvoir s’exécuter. Sur le plan éthique, c’est quand même mieux.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.