Le 11 février 2018, les visiteurs de plusieurs sites gouvernementaux britanniques et américains ont pu générer de la cryptomonnaie Monero sans le savoir. Un plugin, servant à l'origine à améliorer l'accessibilité de ces sites, a été modifié à l'aide d'un code Javascript fourni par Coinhive.

Le minage de cryptomonnaies à l’insu des internautes est une technique de plus en plus présente sur nombre de sites. YouTube a ainsi récemment été concerné par le phénomène, alors que certaines de ses publicités contenaient un code sollicitant le processeur des internautes, afin de générer de la cryptomonnaie.

Et ces derniers mois, plusieurs sites se sont discrètement lancés dans ce business, à l’instar de ShowTime ou The Pirate Bay — certains sites pratiquent d’ailleurs des approches de plus en plus vicieuses.

Un plugin détourné

Des sites gouvernementaux anglais et américains ont été visés par cette pratique : le 11 février 2018, nos confrères de The Register annonçaient que des « milliers de sites » comme ceux du National Health Service (le système de santé publique du Royaume-Uni) et de l’Information Commissioner’s Office (un bureau de régulation financé par le Ministère de la justice britannique) étaient concernés.

Tous ces sites ont un point commun : ils utilisent le plugin BrowseAloud, mis au point par Texhelp Systems, une entreprise nord-irlandaise. Il s’agit d’un logiciel de synthèse vocale, destiné à améliorer l’accessibilité en ligne (en lisant notamment des documents, PDF, Word, des formulaires et des pages web).

Or, ce plugin a vraisemblablement été détourné de son objectif initial par des internautes mal intentionnés. En modifiant le code source de BrowseAloud, ils y ont intégré un code fourni par Coinhive.

Cette bibliothèque Javascript propose en effet aux propriétaires de sites d’intégrer un code afin que chaque nouvelle visite d’un internaute génère des revenus en Monero — le procédé est présenté comme une alternative à d’autres sources de revenus, comme la publicité.

Le code malveillant retiré de BrowseAloud

Ainsi, les visiteurs des sites concernés ont pu se retrouver, pendant plusieurs heures ce dimanche, en train de laisser leur ordinateur exécuter ce code, sans qu’ils en aient connaissance.

La liste complète des sites qui ont intégré ce plugin est consultable ici. Quant au code incriminé, voici à quoi il ressemblait.

Un porte-parole de Texthelp Systems a fait savoir que le code malveillant a depuis été retiré de BrowseAloud, mettant fin au minage involontairement pratiqué par les internautes. « Notre service Browsealoud a été temporairement désactivé pendant que notre équipe d’ingénieurs mène l’enquête », a précisé ce représentant de l’entreprise.

Si le minage de cryptomonnaie par les internautes n’est pas en soi problématique, l’incident rappelle que le problème survient lorsque la manœuvre a lieu à l’insu de l’utilisateur. Ainsi, les ingénieurs de Google Chrome s’interrogeaient récemment sur la nécessaire transparence que doivent afficher les sites qui décident de recourir à cette méthode pour générer des revenus.

Partager sur les réseaux sociaux