Coinhive : Troy Hunt recycle le nom de domaine du projet de cryptomining
Officiellement, Coinhive est mort : le script de cryptomining a fermé ses portes en 2019, mettant officiellement fin à son service. Coinhive était l’un des premiers à proposer un code JavaScript que les administrateurs de site web pouvaient embarquer sur leurs sites afin de profiter du processeurs de leurs visiteurs pour miner de la cryptomonnaie. Mais la conception de ce module ouvrait également la porte aux abus, en permettant à des cybercriminels d’intégrer le script à l’insu des administrateurs du site et pour leur seul profit.
Si le projet Coinhive a officiellement fermé ses portes, le script reste actif sur de nombreux sites web. Dans un post de blog, Troy Hunt, par ailleurs créateur du service HaveIBeenPwned, a annoncé qu’il avait récupéré le nom de domaine Coinhive.com depuis le mois de mars 2020, ainsi que plusieurs autres noms de domaines associés au projet.
Deux ans après sa fermeture, un certain succès
Troy Hunt ne donne pas beaucoup de détails sur la façon dont il a obtenu le contrôle sur ces noms de domaines, mais indique que ceux ci lui ont été remis gratuitement, et pour en faire un bon usage. Les données de télémétrie du site lui permettent notamment de voir le nombre de site web qui tentent de charger le script de CoinHive en essayant de le télécharger depuis le nom de domaine Coinhive.com. Et pour un projet censé être enterré, le nom de domaine CoinHive génère un trafic tout à fait honorable : Troy Hunt estime que le nom de domaine reçoit environ 3 millions de requêtes par jour, émanant en moyenne de près de 100 000 visiteurs uniques. L’essentiel du trafic provient de Chine et de Russie, les États Unis en troisième position.
Ce trafic n’est pas vraiment lié à un intérêt persistant pour le projet, mais plutôt à la persistance des modules Coinhive sur les sites tiers. Les sites utilisant cette fonctionnalités continuent de contacter l’adresse Coinhive.com pour essayer de charger le script, bien que celui ci a depuis longtemps été mis hors service. Dans certains cas, il s’agit d’une initiative légitime de la part des administrateurs du site, Coinhive ayant été présente à ses débuts comme un moyen de financer l’activité des sites web. Dans de nombreux autres cas néanmoins, il s’agit de tentatives malveillantes : Troy Hunt évoque par exemple une campagne affectant les routeurs Microtik, qui visait à exploiter une vulnérabilité au sein des routeurs pour injecter un module CoinHive dans le trafic web de l’utilisateur, afin de récupérer de la cryptomonnaie à son insu. Mais dans d’autres cas, une simple compromission du site a pu permettre à des tiers d’ajouter un module au site sans que les administrateurs ne s’en rendent compte.
Heureusement, on a Troy Hunt
Mais Troy Hunt est un type bien : le créateur de HaveIBeenPwned a donc modifié la redirection du nom de domaine Coinhive.com afin qu’elle redirige les utilisateurs vers son post de blog. Les requêtes visant à récupérer les modules de cryptomining ont également été modifiées afin que le site émetteur affiche à la place un message indiquant à l’utilisateur que ce site a essayé de charger un module de cryptomining.
L’objectif pour le chercheur est à la fois de prévenir les utilisateurs et les administrateurs du site que celui ci tente de charger un module Coinhive, peut être à leur insu, et de sensibiliser sur les vulnérabilités web liées à l’utilisation de scripts externes : « Et tant que nous y sommes, pensez y: je peux maintenant exécuter n’importe quel script JavaScript que je veux sur un grand nombre de sites Web. Alors, que pourrais-je faire avec JavaScript? Je pourrais changer l’emplacement de publication des formulaires, ajouter un keylogger, modifier le DOM, faire des requêtes externes, rediriger vers un logiciels malveillant et toutes sortes d’autres choses assez désagréables. C’est le pouvoir que vous confiez lorsque vous intégrez le JS de quelqu’un d’autre dans votre propre site » résume le chercheur.
Le post de blog énumère néanmoins les solutions disponibles pour se prémunir de ce type d’attaques : des technologies du type Content Security Policies permettent de whitelister les noms de domaines autorisés à transmettre ce type de script, ainsi que des solutions de monitoring des CSP. Et Troy Hunt en profite au passage pour faire un peu de pub pour celle qu’il a fondée, il aurait tort de s’en priver.
