Présent et avenir des cryptomenaces

Malgré la volatilité qui caractérise les cryptomonnaies, le minage demeure une activité lucrative pour les cybercriminels.

Dans un précédent billet, j’ai exposé les raisons pour lesquelles le cryptominage pirate, ou cryptojacking a ravi au rançongiciel, ou ransomware, la première place au classement des menaces prépondérantes :

·  il garantit une rémunération immédiate ;

·  le minage de cybermonnaie peut s’opérer sur pratiquement tout type d’équipement ;

Les auteurs des attaques peuvent mobiliser plusieurs mécanismes d’infection.

Une récente étude universitaire établit que le mineur de cybermonnaie embarqué CoinHive génère à lui seul 250 000 dollars de Monero chaque mois, que se partagent à 80 % une dizaine de personnes seulement.

Pour autant, les botnets de minage et les cryptomineurs pirates ne sont pas les seuls vecteurs d’attaques que peuvent exploiter des scélérats pour monétiser les ressources processeur de leurs victimes. Le présent billet s’intéresse à deux autres menaces de plus en plus fréquentes : le piratage du Presse-papiers et le phishing (ou hameçonnage) de cryptomonnaies.

La montée en puissance des programmes malveillants de piratage du Presse-papiers

Découvert fin 2017, le phénomène de piratage du Presse-papiers prouve que les auteurs d’attaques ont très vite appris à tirer avantage du mécanisme utilisé pour transférer des monnaies virtuelles entre différents utilisateurs. Celui-ci exige toujours d’effectuer les versements à des adresses longues et complexes à mémoriser (identifiant de porte-monnaie composé de 26 à 35 caractères alphanumériques) et, du fait de cette complexité, les utilisateurs vont au plus simple, en copiant l’adresse en question depuis une application ou un emplacement donné pour la coller dans l’application employée pour la transaction. Et ce copier-coller passe par le Presse-papiers de Windows.

Or, celui-ci est surveillé par des programmes malveillants, des "pirates" ou "voleurs de Presse-papiers" qui, dès l’instant où ils détectent une adresse de porte-monnaie liée à une cybermonnaie (Bitcoin, Ethereum, Monero ou autre), la remplacent par une autre, suivant les directives des auteurs de l’attaque. Et il va de soi que le transfert de monnaie virtuelle atterrit directement dans les poches virtuelles, elles aussi, de ces derniers.

Et les pirates font bien les choses : un récent échantillon mis au jour se révèle capable de surveiller 2,3 millions d’adresses bitcoin. Et, alors que la liste des victimes ne cesse de s’allonger, force est de constater que les usagers demeurent le maillon faible de la chaîne de sécurité.

Concrètement, le transfert de monnaie virtuelle sur Internet équivaut à une transaction bancaire dans la réalité. À ceci près que, dans le premier cas de figure, le processus a lieu sur un système ouvert, et le succès de ces attaques prouve que les utilisateurs n’en sont pas totalement conscients. Il leur suffirait de vérifier à deux fois l’adresse de destination pour déjouer une attaque de ce type.

Des campagnes de phishing ciblées

Selon un récent rapport, au deuxième trimestre 2018, les cybercriminels sont parvenus à dérober plus de 2,3 millions de dollars via des escroqueries de type phishing de cryptomonnaies (ou crypto-phishing) lors d’offres initiales de jetons (ICO, Initial Coin Offerings), sur la plate-forme Ethereum essentiellement. Il est vrai que la fenêtre d’opportunité est extrêmement intéressante pour les pirates puisque, au moment où j’écris cet article, pas moins de 725 levées de fonds en cryptomonnaies auraient déjà été effectuées en 2018, d’après CoinSchedule, soit un montant total de 18 milliards de dollars collectés.

Et si l’utilisateur n’est pas victime d’une ICO frauduleuse (sachant que 80 % de celles organisées en 2017 l’ont été, si l’on en croit cette étude), il demeure exposé à des pertes financières au travers de mécanismes plus classiques. Le mode opératoire d’une escroquerie de type phishing dans le cadre d’une ICO est relativement simple. Il suffit que la base de données des investisseurs tombe entre de mauvaises mains, avant la levée effective des fonds en cryptomonnaies : les pirates adressent alors de faux e-mails aux participants à l’ICO, en se faisant passer pour l’émetteur des jetons et en intégrant dans leurs courriers des liens vers des portefeuilles électroniques sous leur contrôle — sur lesquels les victimes finiront inévitablement par transférer des fonds, en monnaie réelle ou virtuelle. Bee Token (victime d’un détournement de fonds en Ethers équivalent à 1 million de dollars) et Experty (auquel ont été dérobés 150 000 dollars en Ethers) sont deux exemples de campagnes de crypto-phishing menées à bien via ce mode opératoire.

Encore que les campagnes de crypto-phishing peuvent également cibler d’autres services, comme les portefeuilles en ligne. En avril dernier, MyEtherWallet, service open source de portefeuille Ethereum, a été victime d’un détournement par manipulation de requêtes DNS à destination de serveurs Amazon. Les utilisateurs ayant accédé à ce service durant l’épisode en question ont été redirigés vers une réplique malveillante du site web sur lequel leurs clés privées ont été « hameçonnées ». (Inutile de préciser que les comptes des victimes ont été vidés, les pirates ayant réussi à les délester de l’équivalent de 160 000 dollars en Ethers). À noter, et c’est important, que c’est ici l’absence de protection adéquate d’un service cloud qui a permis la menée à bien de cette campagne d’attaques, ce qui laisse supposer que la sécurité des services de cryptomonnaies n’est toujours pas considérée comme une priorité.

De plus, l’attaque décrite ci-dessus a été menée avec le concours d’un kit d’hameçonnage créé spécialement pour MyEtherWallet, surnommé MEWkit. Preuve en est que les adversaires peuvent se montrer extrêmement créatifs et déterminés, et mobiliser plusieurs vecteurs d’attaques — en l’occurrence, le détournement d’un service cloud et la mise au point d’un kit d’hameçonnage pour un service de crypto-portefeuille donné. Voilà qui montre également qu’une technique aussi traditionnelle que le hameçonnage peut être adaptée pour transférer automatiquement des fonds à partir d’un service de ce type, qui ne possède pas les mêmes garde-fous, en termes de sécurité, qu’un service bancaire classique.

Il est possible que d’autres kits de hameçonnage pour cryptomonnaies émergent à l’avenir, même si, pour l’heure, les "méchants" semblent porter une affection certaine à MyEtherWallet. Victime d’un autre piratage en juillet, le service a exhorté certains de ses utilisateurs à transférer sans délai leurs avoirs sur un nouveau portefeuille après que des acteurs malveillants aient compromis, cinq heures durant, l’extension Chrome de Hola, service VPN gratuit utilisé par une partie de ses usagers.

Les cybercriminels n’ont pas tardé à investir le paysage des cybermonnaies, avec des pages d’hameçonnage capables de simuler des levées de fonds en cryptomonnaies, des plates-formes d’échange et des services de portefeuille, mais aussi des pages publicitaires avec promesses de monnaie virtuelle gratuite à la clé (trompant ainsi des utilisateurs qui négligent un principe de base : il n’y a rien de gratuit en ce bas monde, et Internet ne fait pas exception à la règle).

La monétisation a de beaux jours devant elle

Avec les botnets de minage et les cryptomineurs pirates, les « méchants » s’attachent à monétiser les ressources processeur ; avec les malwares de piratage du Presse-papiers et l’hameçonnage, ils entendent détourner les transferts de fonds.

Bien que la technologie Blockchain soit communément associée aux monnaies virtuelles, elle peut avoir de nombreuses autres applications : le Livre Blanc consacré à Ethereum suggère des applications distribuées pour les systèmes de gestion des identités et de la réputation, le stockage décentralisé des fichiers, les entités autonomes décentralisées, les jeux P2P, etc. Un rapide coup d’œil à la liste des actuelles applications distribuées reposant sur Ethereum prouve que cette adoption est en voie de généralisation… Et que les « méchants » pourraient bientôt avoir bien d’autres scénarios de monétisation ou de détournement à se mettre sous la dent.

Avec un modèle de stockage cloud distribué, par exemple, les participants peuvent louer de la bande passante et de l’espace disque non utilisé à un réseau de stockage cloud décentralisé. Les fichiers sont cryptés avec une clé privée, découpés en blocs et répartis dans un environnement de stockage décentralisé. Dans ce cas de figure, rien ne pourrait empêcher des pirates de monétiser l’espace disque non utilisé par leurs victimes en le louant, et de percevoir une rémunération en conséquence.

D’autres projets visent à exploiter la blockchain afin de créer une place de marché énergétique à partir de l’infrastructure électrique existante : auquel cas, des acteurs malveillants pourraient parfaitement usurper des clés API (ce qui s’est déjà produit pour Binance, plate-forme d’échange de cryptomonnaies) et vendre de l’énergie au nom de leurs victimes.

La pratique du phishing appliquée aux jeux en ligne est, elle aussi, une activité lucrative qui impliquera prochainement la blockchain : attendez-vous alors à consacrer bien des jours (et des jetons) à collectionner vos crypto-chats ou à entraîner votre crypto-joueur Cristiano Ronaldo avant de tout perdre, sitôt votre compte piraté.

Recommandations générales 

Entreprises et particuliers peuvent limiter leur exposition à l’hameçonnage et aux voleurs de cryptomonnaies comme suit en :

·  régissant l’usage du web au moyen d’une plate-forme de protection contre les menaces effective à plusieurs niveaux, telles que Netskope for Web, afin de mettre obstacle au phishing et à l’infection de malwares diffusés via le canal web ;

·  mettant en place un processus de gestion efficace des correctifs, et en s’assurant que l’antivirus d’entreprise est à jour ;

·  vérifiant à deux fois l’adresse du porte-monnaie de destination lors du transfert de cryptomonnaies, en créant des signets pour les liens et en utilisant uniquement les versions mises en signet ;

·  recourant à une ressource tierce comme Etherscamdb pour vérifier la réputation du service de cryptomonnaie en ligne ;

·  vérifiant à deux fois les hyperliens, une excellente habitude pour se prémunir contre l’hameçonnage.