Que désirez-vous prendre avec votre lait chaud ? Du cacao ? Un peu de cannelle ? Ou bien alors un petit minage de crypto-monnaie, via le Wi-Fi Starbucks gratuit peut-être ? Dans la série “cybercriminalité quotidienne accessible à tous”.
Les récents visiteurs d’un Starbucks à Buenos Aires n’ont pas eu vraiment le choix : en effet, un délai de 10 secondes leur était imposé lorsqu’ils se sont connectés au Wi-Fi Starbucks “gratuit”, car la puissance de leurs ordinateurs portables allait contribuer secrètement au minage de crypto-monnaie (les clients Starbucks ayant reçu une maigre rétribution bien sûr, plutôt de l’ordre du centime).
Ce minage a été remarqué par le PDG de Stensul, Noah Dinkin, qui s’est rendu sur Twitter le 2 décembre pour demander à Starbucks s’il était au courant de cet incident. Il a inclus une capture d’écran du code.
Dinkin a dit dans son tweet que le code minait des bitcoins, mais il s’agissait en fait du code CoinHive, qui proposait un mineur JavaScript pour générer une crypto-monnaie appelée Monero, une alternative au Bitcoin.
Hi @Starbucks @StarbucksAr did you know that your in-store wifi provider in Buenos Aires forces a 10 second delay when you first connect to the wifi so it can mine bitcoin using a customer’s laptop? Feels a little off-brand.. cc @GMFlickinger pic.twitter.com/VkVVdSfUtT
— Noah Dinkin (@imnoah) 2 décembre 2017
Le minage de crypto-monnaie, non autorisé, existe depuis des années, et se manifeste généralement dans des malwares. D’ailleurs, ce n’est pas la première fois que nous voyons des cryptomineurs, indésirables, qui génèrent spécifiquement Monero, qui est similaire au Bitcoin mais conçu pour une plus grande confidentialité. Cette confidentialité accrue l’a rendue populaire sur le DarkNet, et c’est pourquoi les créateurs de WannaCry l’ont préférée aux bitcoins.
Un autre cas récent : un ou plusieurs créateurs de malwares ont gagné environ $63000 (53200€) en cinq mois, en pénétrant au sein de serveurs IIS 6.0 non patchés, afin d’installer leurs mineurs. Pour installer le mineur, ils ont d’abord piraté les serveurs en exploitant la vulnérabilité CVE-2017-7269 : encore un bon exemple pour vous montrer l’importance de rester à jour avec les correctifs.
C’est un moyen de gagner de l’argent. En fait, le site torrent “The Pirate Bay “, à la manière de véritables pirates, a récemment injecté du code JavaScript CoinHive sur les navigateurs des visiteurs, minant des pages de recherche afin de générer Monero, sans demander la permission ou sans en informer quiconque.
Lorsque les visiteurs ont senti la présence du cryptomining RAT, un administrateur est alors apparu. Pour quelle raison ? : très simple, c’est le minage ou les pubs, on doit quand même gagner de l’argent pour faire tourner la boutique !
Nous voulons vraiment nous débarrasser de toutes ces publicités. Mais nous avons également besoin d’assez d’argent pour que le site fonctionne. Ainsi, voulez-vous des annonces ou bien offrir une partie de la puissance de votre processeur chaque fois que vous visitez le site ?
Quoi qu’il en soit, Starbucks a confirmé le mining lundi, déclarant qu’il traitait le problème avec son fournisseur d’accès Internet, afin de s’assurer que la puissance de traitement de ses clients ne soit plus siphonnée :
As soon as we were alerted of the situation in this specific store last week, we took swift action to ensure our internet provider resolved the issue and made the changes needed in order to ensure our customers could use Wi-Fi in our store safely.
— Starbucks Coffee (@Starbucks) 11 décembre 2017
A en juger par la déclaration “ce n’est pas notre Wi-Fi”, faite par un porte-parole de Starbucks à Motherboard, il semble que Starbucks n’était pas vraiment au courant de cet incident au niveau de l’utilisation abusive des CPUs :
La semaine dernière, nous avons été alertés du problème, et nous avons contacté notre fournisseur d’accès internet, car le Wi-Fi Starbucks n’étant pas géré par nos soins, il ne nous appartient pas et nous n’avons aucun contrôle sur ce dernier. Nous voulons nous assurer que nos clients puissent effectuer des recherches sécurisées sur internet via le Wi-Fi Starbucks, ainsi nous travaillerons toujours en étroite collaboration avec notre fournisseur de services lorsque de telles situations se présenteront.
Quoi faire ?
- Vérifiez votre CPU. Contrôlez le moniteur d’activité sur un Mac ou le gestionnaire de tâches sous Windows. Si votre ordinateur portable a des ventilateurs, vous pourriez les entendre redoubler d’activité pour faire face à la chaleur supplémentaire générée par un CPU fortement surchargé.
- Pensez à un plugin pour contrôler JavaScript. Les commentateurs soucieux de la sécurité chez Sophos, mentionnent régulièrement NoScript, un outil gratuit populaire qui vous permet de garder le contrôle sur d’éventuelle intrusion par JavaScript, Flash et Java, au sein de votre navigateur.
- Vérifiez que votre antivirus détecte les outils de minage de crypto-monnaie. Par exemple, les produits Sophos classent les mineurs de crypto-monnaies liés au navigateur comme des PUAs (applications potentiellement indésirables). Les PUAs ne sont pas des malwares, elles peuvent être bloquées ou autorisées à votre guise.
- Installez les correctifs rapidement. Les cybercriminels qui peuvent pénétrer au sein de vos serveurs, peuvent ajouter un code cryptomining pour récupérer de “l’argent gratuit” auprès de tous les visiteurs de votre site web, vous laissant ainsi porter le chapeau !
Billet inspiré de Starbucks Wi-Fi hijacked customers’ laptops to mine cryptocoins, sur Sophos nakedsecurity.