Comment vous protéger contre les sites exploitant votre CPU pour miner des crypto-monnaies
La dernière tendance chez les sites web peu scrupuleux, c’est exploiter vos ressources processeurs sans vous en avertir pour miner des crypto-monnaies. C’est malin : en « sous-traitant » le minage aux internautes, ces éditeurs s’enrichissent à moindres frais.
Mais c’est évidemment moins sympathique pour l’internaute qui voit son appareil ralentir et son autonomie fondre comme neige au soleil pour une raison mystérieuse. Le chercheur en sécurité Troy Mursch a répertorié près de 30 000 sites exploitant Coinhive, un script très simple à intégrer pour pomper les ressources des internautes afin de miner la crypto-monnaie Monero.
Parmi eux il y a le bien connu The Pirate Bay, qui a plaidé une simple expérimentation et réduit l’utilisation du CPU de 100 % à 20–30 % quand le pot aux roses a été découvert. La plateforme de torrents a aussi posé cette question à ses utilisateurs : préférez-vous des publicités ou donner un peu de vos ressources processeur quand vous nous visitez ?
Non seulement les sites font ce coup en douce, mais en plus ils pourraient le faire même après avoir été fermés. C’est ce qu’ont découvert des chercheurs de Malwarebytes : en ouvrant un pop-under (une fenêtre qui s’ouvre au-dessous des autres) et en le camouflant dans un coin de l’écran, un site pourrait drainer le CPU même après sa fermeture.
Les navigateurs n’intègrent pas encore de protection contre le « cryptojacking », mais il y a d’ores et déjà des solutions. Il y a l’extension dédiée No Coin pour Chrome, Firefox et Opera, et les principaux bloqueurs de pub (uBlock Origin, Adblock Plus, 1Blocker…) protègent aussi contre cette pratique.
Si c’était efficient cela signerait la fin de la publicité en ligne, car franchement qu’à-t-on à faire de nos CPU cycles lorsqu’on browse le web sur un ordinateur de bureau ou un portable raccordé à la prise de courant. Il faut juste améliorer la détection du contexte pour éviter le minage sur les mobiles pour éviter de vider les batteries.
Par contre la pub en ligne dégrade l’expérience, vole nos données, consomme nos forfait data et bouffe aussi du CPU inutile.
Malheureusement le minage du Monero sur une machine équipée du i7 dernier cri ne rapporte que quelques centièmes de cents de l’heure, pas encore assez pour compenser les revenus publicitaire. Mais avec un peu d’optimisation, des plugins natifs, on va y arriver et éradiquer cette plaie tout en offrant des revenus décents pour les créateurs de contenu.
@Brice21
"car franchement qu’à-t-on à faire de nos CPU cycles lorsqu’on browse le web sur un ordinateur de bureau"
CPU à vide : 2 W. CPU à pleine charge : 60 à 100 W.
J’en ai à faire. Mon électricité est peut-être 100 renouvelable, mais ce n’est pas le cas de la majorité des gens, et elle n’est pas gratuite.
@fte :
Ah bon, ton électricité est 100% renouvelable ? C'est ce que t'a vendu ton fournisseur ? Il t'a donc relié à une ligne dédiée et pas au réseau EDF ? Ou bien tu t'alimentes exclusivement à des panneaux solaires ou tu as ton éolienne privée ?
@marc_os
Déjà je ne suis pas alimenté par EDF (il y a d’autres pays que la France dans le monde), ensuite ma commune accueille un barrage et une station solaire. Donc oui, mon électricité est 100% renouvelable.
@fte
C'est toi, au milieu ?
https://youtu.be/rowoUqPwPro
@ fte
Tout à fait d'accord : l'électricité n'est pas gratuite (renouvelable ou pas d'ailleurs).
@Brice21 :
Le problème c'est de faire les choses en douce. Dans ce cas là pourquoi ils le font sans prévenir ?
Car sinon ils n'auraient pas accès à tant de ressources me dirais-tu? Mais c'est pas une réponse.
Trop intrusif tout ça. Et j'ai pas à allouer la puissance de mon processeur comme ça.
@Brice21
"Malheureusement le minage du Monero sur une machine équipée du i7 dernier cri ne rapporte que quelques centièmes de cents de l’heure"
Monero n'est peut-être pas intéressant, mais il y a d'autre crypto a miner sur CPU et GPU qui sont nettement plus rentables. Miner ZCoin est rentable ;)
@ Stardustxxx
"Miner ZCoin est rentable ;)"
Quels sont les chiffres au juste ? Est-ce basé sur des hypothèses optimistes et totalement incertaines ?
@ Marco787
Oui vraiment.
Hashrate de 700 kh/s sur un i7 6700k avec jayddee cpuminer
D'après Whattomine 1.13$ par jour https://whattomine.com/coins/175-xzc-lyra2z?utf8=%E2%9C%93&hr=700.0&p=150&fee=0.0&cost=0.04&hcost=0.0&commit=Calculate
D'après mon mineur ca me dis un peu plus, mais par expérience c'est un peu pres ca.
Donc cela fait environ 30 euros par mois. C'est une somme pour le moins modérée.
Le CPU de nos machine est en règle générale très largement sous utilisé. Alors ok, ces scripts peuvent faire baisser l’autonomie d’un poste portable. Et ok encore, il faudrait que les utilisateurs soient prévenus.
Ceci étant dit, ne devrait il pas en être de même pour la pub ? Car jamais je n’ai demandé d’avoir de la pub sur les site que je visite. Cela a aussi un impact sur l’autonomie de mon poste portable et sur ma bande passante, surtout quand ces pubs sont des vidéos. De plus ces pubs nuisent à la vie personnelle des utilisateurs dans une très grande majorité des cas, ce qui n’est pas le cas du minage d d’la crypto-monnaie. Que dire également des techniques mises en place pour avoir plus de clics ? Comme par exemple celle qui vise à afficher une pub en plein écran après ouverture d’un article histoire d’avoir plus de chances que l’utilisateur clique dessus Si ça ça ne nuit pas à l’expérience utilisateur... (J’ai d’ailleurs eu le tour plusieurs fois avec l’appli mobile MacG ça m’a profondément déçu.)
Bilan, je préfère que les sites mettent en place des scripts qui minent des cryptos, à condition que cela soit raisonnable en terme d’impact, plutôt que des sites pleins de pubs ou on ne peu plus rien lire.
Je suis en general un pourfendeur de la pub et du marketing de vente,mais pour le coup je prefere une page WEB farcie de pub a un site qui utilise mon ordinateur ou mon smartphone pour "miner".
Il y a 3 raisons a cela:
- la pub est souvent une manipulation a la limite de la delinquance mentale mais elle est liee a l'economie reelle dans la majorité des cas. Le mining c'est du pur virtuel qui ne fait qu'empirer les choses.
- la pub se voit (oui, meme les cretins d'influenceurs Youtube formatés, meme si on est pas une fleche on comprend vite qu'ils sont des supports publicitaires -c'est la version moderne du bonimenteur de marché-). On sait donc qui est derriere et si on en a marre d'etre pris pour un con, il suffit d'orienter sa consommation pour nuire a l'annonceur (en n'achetant pas ses produits)
- la pub a un impact negatif sur toute la chaine en faisant exploser le poids des pages, et ça gene autant l'utilisateur que le FAI... ça garantie une certaine regulation de bout en bout. Le mining n'a que tres peu d'impact sur le FAI et sur le poids des pages web en general, mais va avoir un poids massif sur l'utilisateur en captant jusqu'a 100% de ses ressources de calcul... la regulation devient donc bien plus difficile...
«Bilan, je préfère que les sites mettent en place des scripts qui minent des cryptos, à condition que cela soit raisonnable en terme d’impact, plutôt que des sites pleins de pubs ou on ne peu plus rien lire.»
Il faut comprendre comment fonctionne une cryptomonaie virtuelle pour se rendre compte que par definition le minning de ce genre ne peut pas etre raisonnable.
Si on parle de miner, le terme n'est pas inapproprié, il releve bien du principe de la prospection et exploitation du filon d'or... La ressource est limitée et il faut l'exploiter le plus vite possible avant que ça se tarisse... Donc un site qui vivrait du minning devrait exploiter toujours plus et plus les ressurces de la machine qui se connecte.
@Remy : Plutôt que de participer à une recherche qui n'apporte (à priori) que peu de chose (SETI, sans dec'), vous pouvez plutôt participer à la recherche contre les maladies via le logiciel Boinc (Sida, Zika, Cancer, etc.).
Na ! ?
@Deuxbase
Merci de l'info, j'ignorais et je vais m'empresser d'y participer.
(SETI@Home tourne sur mes Mac depuis 25 ans... pas encore trouvé le moindre streaming de musique ou le plus petit discours d'un gardien de la galaxie en provenance des étoiles ?)
Vous avez dû installer un autre programme alors. SETI@Home n'existe que depuis 18 ans ;-)
@AirForceTwo
;)
D'autant que le support du Mac n'a pas ete un modele de continuité... surtout a l'epoque de MacOS inferieure a 10... ;)
Sinon, le fonctionnement du programme ne permet pas de savoir si des données ont ete identifié sur sa machine, les resultats des calculs fait sur les PC participants doivent etre integré dans la base de données de Berkeley et y subir des traitements pour determiner si un signal existe bien...
Bref...
Je s'appelle Groot !
Je s'appelle Groot !
Hors de question d'installer ce genre de programme sur un iMac, ça fait tourner les ventilos à fond, et ça m'étonnerait que cette machine soit prévue pour tourner à fond 24/7
il suffit de régler dans les Préférences de Boinc pour que ton Mac n'ait pas le ou les ventilateurs à fond comme
— utiliser XX% du processeur ou moins,
— utiliser XX% du temps processeur
— Suspendre le calcul quand l'ordinateur est sur batterie
et enfin
Suspendre le calcul lorsque l'utilisation du processeur dépasse XX%
Tu peux utiliser Macs Fan Control pour t'aider à régler Boinc. :)
@AirForceTwo
Bah faut attendre l'hypothetique iMac Pro et ses turbines pour VTOL pour le refroidir... tu verras bien qu'alors l'iMac est tout a fait adapté a tout, meme a ça, mouahhhaaaa
CacaoWeb n’en ferait pas parti par hasard ?
Aperçu est aussi un logiciel de crypto-monnaie virtuelle utilisé par Apple pour blanchir son argent : il fait tourner mon CPU à 120% !!!
Ah... on me signale dans l’oreillette que c’est juste un logiciel de m.rde... tout va bien ;-)
Je trouve que c'est une alternative intéressante à la pub envahissante. Ça ne me dérangerais pas que MacG utilise mon CPU pour miner le temps de ma visite au lieu d'avoir à subir des pubs.
Et les sites web qui nous disent : désactivez votre bloqueur de pub…
LittleSnitch bloque CoinHive
@Paulux13
Bien! Je me posais la question.
Si tu lui demandes.
Salut,
Tu fais comment ?
Tu repères le domaine dans le moniteur et tu bloques.
Ouais tu peux pas faire de rules à l'avance quoi ?
Littlesnitch bloque et te demande si tu accepte ou non coinhive
ok, merci.
Malin
Ils devraient mettre ça sur les sites de streaming pirates. Ça leur ferait les pieds les fans de GOT ou Walking Dead ;)
@misterbrown
Ça a été tenté.
Ça n’a pas plut.
@misterbrown
Tu m'expliquera comment regarder ces deux series en france lors de nouveau épisodes sans passer par le téléchargement illégal.
Car a part OCS je crois qu'il n'y a rien d'autre donc si tu mets en concurrences les deux solutions. Ya pas photo
@ecosmeri
Donc OCS est légal
;)
@scanmb
Oui ocs est legal. Mais ocs pour regarder 20 episodes /an desolé mais je m'abonne pas et je regarde meme pas la serie
Malin, on demande à son client de trouver des ressources, puis une fois trouvé on lui subtilise. Quelle différence avec le vol ?
A quand le même type de pratiques dans les logiciels/jeux propriétaires ?
Est-ce que ça prend + de ressource que les bannières publicitaires et autres trackers ?
Parce qu'après tout, une bannière publicitaires ça enrichi de la même manière, et comme il y en a de partout on ne dit pas que c'est «peu scrupuleux» pourtant ...
Je crois que je préfèrerai un site internet totalement épuré en apparence et qui fasse du minage de cryptomonnaie sur le temps libre de mon CPU (à condition que le site m'en avertisse) plutôt que de me foutre bannières et vidéo publicitaires à tout va.
Dans l'idéal il faudrait que les sites proposent à leurs internautes les DEUX versions. Après tout, ce qu'on demande ce n'est ni plus ni moins d'avoir le choix.
@zags
Moi je préférais aucun des deux.
Mais a choisir les pub avec un bloqueur de pub ca me va bien ?
Aucun des deux ? Mais comment financer tout ce que vous consommer alors ?
@ceux qui trouve l'idée bonne...
Pourquoi ne faites-vous pas du minage pour votre propre compte pour utiliser les resources inutilisées de votre processeur?
http://macminer.fabulouspanda.com/macminer/
@r e m y : parce que j'aurai l'inconvénient des deux : la pub sur les sites et mon cpu utilisé pour le minage ;-)
Quant au fait d'avoir ni l'un ni l'autre, en effet ça ne me déplairait pas, mais je doute que tous ces sites internet qui ont XX salariés se mettent à les payer avec des grains de maïs.
@zags
Pour l'instant sur ces sites, tu as la pub ET le détournement à leur profit de ta puissance de calcul (au détriment de ta facture d'électricité, entre autre)
Il y a quelques années, miner tout seul pouvait encore être rentable, de nos jours ce n'est plus du tout le cas avec son ordinateur personnel.
@youpla77
C'est pour ça qu'il y a des communautés de mineurs qui mutualisent leur puissance de calcul et répartissent les gains au prorata du temps CPU mis à disposition.
@ youpla77
"Il y a quelques années, miner tout seul pouvait encore être rentable, de nos jours ce n'est plus du tout le cas avec son ordinateur personnel."
C'est toujours rentable.
Tu n'as pas essayé d'acheter une carte graphique récemment ?
Par contre sur MacOS, c'est galère pour miner, il faut utiliser Windows ou Linux pour avoir des mineurs solides.
Utilisez Brave !!! brave.com
Pages