Comment vous protéger contre les sites exploitant votre CPU pour miner des crypto-monnaies

Stéphane Moussie |

La dernière tendance chez les sites web peu scrupuleux, c’est exploiter vos ressources processeurs sans vous en avertir pour miner des crypto-monnaies. C’est malin : en « sous-traitant » le minage aux internautes, ces éditeurs s’enrichissent à moindres frais.

Coinhive en action : toutes les ressources du processeur sont pompées. Cliquer pour agrandir

Mais c’est évidemment moins sympathique pour l’internaute qui voit son appareil ralentir et son autonomie fondre comme neige au soleil pour une raison mystérieuse. Le chercheur en sécurité Troy Mursch a répertorié près de 30 000 sites exploitant Coinhive, un script très simple à intégrer pour pomper les ressources des internautes afin de miner la crypto-monnaie Monero.

Parmi eux il y a le bien connu The Pirate Bay, qui a plaidé une simple expérimentation et réduit l’utilisation du CPU de 100 % à 20–30 % quand le pot aux roses a été découvert. La plateforme de torrents a aussi posé cette question à ses utilisateurs : préférez-vous des publicités ou donner un peu de vos ressources processeur quand vous nous visitez ?

Non seulement les sites font ce coup en douce, mais en plus ils pourraient le faire même après avoir été fermés. C’est ce qu’ont découvert des chercheurs de Malwarebytes : en ouvrant un pop-under (une fenêtre qui s’ouvre au-dessous des autres) et en le camouflant dans un coin de l’écran, un site pourrait drainer le CPU même après sa fermeture.

Les navigateurs n’intègrent pas encore de protection contre le « cryptojacking », mais il y a d’ores et déjà des solutions. Il y a l’extension dédiée No Coin pour Chrome, Firefox et Opera, et les principaux bloqueurs de pub (uBlock Origin, Adblock Plus, 1Blocker…) protègent aussi contre cette pratique.

avatar Brice21 | 

Si c’était efficient cela signerait la fin de la publicité en ligne, car franchement qu’à-t-on à faire de nos CPU cycles lorsqu’on browse le web sur un ordinateur de bureau ou un portable raccordé à la prise de courant. Il faut juste améliorer la détection du contexte pour éviter le minage sur les mobiles pour éviter de vider les batteries.

Par contre la pub en ligne dégrade l’expérience, vole nos données, consomme nos forfait data et bouffe aussi du CPU inutile.

Malheureusement le minage du Monero sur une machine équipée du i7 dernier cri ne rapporte que quelques centièmes de cents de l’heure, pas encore assez pour compenser les revenus publicitaire. Mais avec un peu d’optimisation, des plugins natifs, on va y arriver et éradiquer cette plaie tout en offrant des revenus décents pour les créateurs de contenu.

avatar fte | 

@Brice21

"car franchement qu’à-t-on à faire de nos CPU cycles lorsqu’on browse le web sur un ordinateur de bureau"

CPU à vide : 2 W. CPU à pleine charge : 60 à 100 W.

J’en ai à faire. Mon électricité est peut-être 100 renouvelable, mais ce n’est pas le cas de la majorité des gens, et elle n’est pas gratuite.

avatar marc_os | 

@fte :
Ah bon, ton électricité est 100% renouvelable ? C'est ce que t'a vendu ton fournisseur ? Il t'a donc relié à une ligne dédiée et pas au réseau EDF ? Ou bien tu t'alimentes exclusivement à des panneaux solaires ou tu as ton éolienne privée ?

avatar fte | 

@marc_os

Déjà je ne suis pas alimenté par EDF (il y a d’autres pays que la France dans le monde), ensuite ma commune accueille un barrage et une station solaire. Donc oui, mon électricité est 100% renouvelable.

avatar Bigdidou | 

@fte

C'est toi, au milieu ?
https://youtu.be/rowoUqPwPro

avatar Marco787 | 

@ fte

Tout à fait d'accord : l'électricité n'est pas gratuite (renouvelable ou pas d'ailleurs).

avatar sensass | 

@Brice21 :
Le problème c'est de faire les choses en douce. Dans ce cas là pourquoi ils le font sans prévenir ?
Car sinon ils n'auraient pas accès à tant de ressources me dirais-tu? Mais c'est pas une réponse.

Trop intrusif tout ça. Et j'ai pas à allouer la puissance de mon processeur comme ça.

avatar Stardustxxx | 

@Brice21
"Malheureusement le minage du Monero sur une machine équipée du i7 dernier cri ne rapporte que quelques centièmes de cents de l’heure"
Monero n'est peut-être pas intéressant, mais il y a d'autre crypto a miner sur CPU et GPU qui sont nettement plus rentables. Miner ZCoin est rentable ;)

avatar Marco787 | 

@ Stardustxxx

"Miner ZCoin est rentable ;)"

Quels sont les chiffres au juste ? Est-ce basé sur des hypothèses optimistes et totalement incertaines ?

avatar Stardustxxx | 

@ Marco787
Oui vraiment.
Hashrate de 700 kh/s sur un i7 6700k avec jayddee cpuminer
D'après Whattomine 1.13$ par jour https://whattomine.com/coins/175-xzc-lyra2z?utf8=%E2%9C%93&hr=700.0&p=150&fee=0.0&cost=0.04&hcost=0.0&commit=Calculate
D'après mon mineur ca me dis un peu plus, mais par expérience c'est un peu pres ca.

avatar Marco787 | 

Donc cela fait environ 30 euros par mois. C'est une somme pour le moins modérée.

avatar Mr Raph_ | 

Le CPU de nos machine est en règle générale très largement sous utilisé. Alors ok, ces scripts peuvent faire baisser l’autonomie d’un poste portable. Et ok encore, il faudrait que les utilisateurs soient prévenus.

Ceci étant dit, ne devrait il pas en être de même pour la pub ? Car jamais je n’ai demandé d’avoir de la pub sur les site que je visite. Cela a aussi un impact sur l’autonomie de mon poste portable et sur ma bande passante, surtout quand ces pubs sont des vidéos. De plus ces pubs nuisent à la vie personnelle des utilisateurs dans une très grande majorité des cas, ce qui n’est pas le cas du minage d d’la crypto-monnaie. Que dire également des techniques mises en place pour avoir plus de clics ? Comme par exemple celle qui vise à afficher une pub en plein écran après ouverture d’un article histoire d’avoir plus de chances que l’utilisateur clique dessus Si ça ça ne nuit pas à l’expérience utilisateur... (J’ai d’ailleurs eu le tour plusieurs fois avec l’appli mobile MacG ça m’a profondément déçu.)

Bilan, je préfère que les sites mettent en place des scripts qui minent des cryptos, à condition que cela soit raisonnable en terme d’impact, plutôt que des sites pleins de pubs ou on ne peu plus rien lire.

avatar C1rc3@0rc | 

Je suis en general un pourfendeur de la pub et du marketing de vente,mais pour le coup je prefere une page WEB farcie de pub a un site qui utilise mon ordinateur ou mon smartphone pour "miner".

Il y a 3 raisons a cela:
- la pub est souvent une manipulation a la limite de la delinquance mentale mais elle est liee a l'economie reelle dans la majorité des cas. Le mining c'est du pur virtuel qui ne fait qu'empirer les choses.

- la pub se voit (oui, meme les cretins d'influenceurs Youtube formatés, meme si on est pas une fleche on comprend vite qu'ils sont des supports publicitaires -c'est la version moderne du bonimenteur de marché-). On sait donc qui est derriere et si on en a marre d'etre pris pour un con, il suffit d'orienter sa consommation pour nuire a l'annonceur (en n'achetant pas ses produits)

- la pub a un impact negatif sur toute la chaine en faisant exploser le poids des pages, et ça gene autant l'utilisateur que le FAI... ça garantie une certaine regulation de bout en bout. Le mining n'a que tres peu d'impact sur le FAI et sur le poids des pages web en general, mais va avoir un poids massif sur l'utilisateur en captant jusqu'a 100% de ses ressources de calcul... la regulation devient donc bien plus difficile...

«Bilan, je préfère que les sites mettent en place des scripts qui minent des cryptos, à condition que cela soit raisonnable en terme d’impact, plutôt que des sites pleins de pubs ou on ne peu plus rien lire.»

Il faut comprendre comment fonctionne une cryptomonaie virtuelle pour se rendre compte que par definition le minning de ce genre ne peut pas etre raisonnable.
Si on parle de miner, le terme n'est pas inapproprié, il releve bien du principe de la prospection et exploitation du filon d'or... La ressource est limitée et il faut l'exploiter le plus vite possible avant que ça se tarisse... Donc un site qui vivrait du minning devrait exploiter toujours plus et plus les ressurces de la machine qui se connecte.

avatar Deuxbase | 

@Remy : Plutôt que de participer à une recherche qui n'apporte (à priori) que peu de chose (SETI, sans dec'), vous pouvez plutôt participer à la recherche contre les maladies via le logiciel Boinc (Sida, Zika, Cancer, etc.).
Na ! ?

avatar r e m y | 

@Deuxbase

Merci de l'info, j'ignorais et je vais m'empresser d'y participer.
(SETI@Home tourne sur mes Mac depuis 25 ans... pas encore trouvé le moindre streaming de musique ou le plus petit discours d'un gardien de la galaxie en provenance des étoiles ?)

avatar AirForceTwo | 

Vous avez dû installer un autre programme alors. SETI@Home n'existe que depuis 18 ans ;-)

avatar C1rc3@0rc | 

@AirForceTwo
;)

D'autant que le support du Mac n'a pas ete un modele de continuité... surtout a l'epoque de MacOS inferieure a 10... ;)
Sinon, le fonctionnement du programme ne permet pas de savoir si des données ont ete identifié sur sa machine, les resultats des calculs fait sur les PC participants doivent etre integré dans la base de données de Berkeley et y subir des traitements pour determiner si un signal existe bien...
Bref...

avatar RolandJDXI | 

Je s'appelle Groot !
Je s'appelle Groot !

avatar AirForceTwo | 

Hors de question d'installer ce genre de programme sur un iMac, ça fait tourner les ventilos à fond, et ça m'étonnerait que cette machine soit prévue pour tourner à fond 24/7

avatar jbmg | 

il suffit de régler dans les Préférences de Boinc pour que ton Mac n'ait pas le ou les ventilateurs à fond comme
— utiliser XX% du processeur ou moins,
— utiliser XX% du temps processeur
— Suspendre le calcul quand l'ordinateur est sur batterie
et enfin
Suspendre le calcul lorsque l'utilisation du processeur dépasse XX%

Tu peux utiliser Macs Fan Control pour t'aider à régler Boinc. :)

avatar C1rc3@0rc | 

@AirForceTwo

Bah faut attendre l'hypothetique iMac Pro et ses turbines pour VTOL pour le refroidir... tu verras bien qu'alors l'iMac est tout a fait adapté a tout, meme a ça, mouahhhaaaa

avatar Nansdu07 (non vérifié) | 

CacaoWeb n’en ferait pas parti par hasard ?

avatar 421 | 

Aperçu est aussi un logiciel de crypto-monnaie virtuelle utilisé par Apple pour blanchir son argent : il fait tourner mon CPU à 120% !!!
Ah... on me signale dans l’oreillette que c’est juste un logiciel de m.rde... tout va bien ;-)

avatar adrienj | 

Je trouve que c'est une alternative intéressante à la pub envahissante. Ça ne me dérangerais pas que MacG utilise mon CPU pour miner le temps de ma visite au lieu d'avoir à subir des pubs.

avatar spece92 | 

Et les sites web qui nous disent : désactivez votre bloqueur de pub…

avatar Paulux13 | 

LittleSnitch bloque CoinHive

avatar storminmind | 

@Paulux13

Bien! Je me posais la question.

avatar Moonwalker | 

Si tu lui demandes.

avatar Mitchoss | 

Salut,

Tu fais comment ?

avatar Moonwalker | 

Tu repères le domaine dans le moniteur et tu bloques.

avatar Mitchoss | 

Ouais tu peux pas faire de rules à l'avance quoi ?

avatar Paulux13 | 

Littlesnitch bloque et te demande si tu accepte ou non coinhive

avatar Mitchoss | 

ok, merci.

avatar misterbrown | 

Malin

avatar misterbrown | 

Ils devraient mettre ça sur les sites de streaming pirates. Ça leur ferait les pieds les fans de GOT ou Walking Dead ;)

avatar fte | 

@misterbrown

Ça a été tenté.

Ça n’a pas plut.

avatar ecosmeri | 

@misterbrown

Tu m'expliquera comment regarder ces deux series en france lors de nouveau épisodes sans passer par le téléchargement illégal.

Car a part OCS je crois qu'il n'y a rien d'autre donc si tu mets en concurrences les deux solutions. Ya pas photo

avatar scanmb (non vérifié) | 

@ecosmeri

Donc OCS est légal
;)

avatar ecosmeri | 

@scanmb

Oui ocs est legal. Mais ocs pour regarder 20 episodes /an desolé mais je m'abonne pas et je regarde meme pas la serie

avatar lmouillart | 

Malin, on demande à son client de trouver des ressources, puis une fois trouvé on lui subtilise. Quelle différence avec le vol ?

A quand le même type de pratiques dans les logiciels/jeux propriétaires ?

avatar zags | 

Est-ce que ça prend + de ressource que les bannières publicitaires et autres trackers ?
Parce qu'après tout, une bannière publicitaires ça enrichi de la même manière, et comme il y en a de partout on ne dit pas que c'est «peu scrupuleux» pourtant ...

Je crois que je préfèrerai un site internet totalement épuré en apparence et qui fasse du minage de cryptomonnaie sur le temps libre de mon CPU (à condition que le site m'en avertisse) plutôt que de me foutre bannières et vidéo publicitaires à tout va.

Dans l'idéal il faudrait que les sites proposent à leurs internautes les DEUX versions. Après tout, ce qu'on demande ce n'est ni plus ni moins d'avoir le choix.

avatar ecosmeri | 

@zags

Moi je préférais aucun des deux.
Mais a choisir les pub avec un bloqueur de pub ca me va bien ?

avatar Marco787 | 

Aucun des deux ? Mais comment financer tout ce que vous consommer alors ?

avatar r e m y | 

@ceux qui trouve l'idée bonne...

Pourquoi ne faites-vous pas du minage pour votre propre compte pour utiliser les resources inutilisées de votre processeur?

http://macminer.fabulouspanda.com/macminer/

avatar zags | 

@r e m y : parce que j'aurai l'inconvénient des deux : la pub sur les sites et mon cpu utilisé pour le minage ;-)

Quant au fait d'avoir ni l'un ni l'autre, en effet ça ne me déplairait pas, mais je doute que tous ces sites internet qui ont XX salariés se mettent à les payer avec des grains de maïs.

avatar r e m y | 

@zags

Pour l'instant sur ces sites, tu as la pub ET le détournement à leur profit de ta puissance de calcul (au détriment de ta facture d'électricité, entre autre)

avatar youpla77 | 

Il y a quelques années, miner tout seul pouvait encore être rentable, de nos jours ce n'est plus du tout le cas avec son ordinateur personnel.

avatar r e m y | 

@youpla77

C'est pour ça qu'il y a des communautés de mineurs qui mutualisent leur puissance de calcul et répartissent les gains au prorata du temps CPU mis à disposition.

avatar Stardustxxx | 

@ youpla77
"Il y a quelques années, miner tout seul pouvait encore être rentable, de nos jours ce n'est plus du tout le cas avec son ordinateur personnel."
C'est toujours rentable.
Tu n'as pas essayé d'acheter une carte graphique récemment ?

Par contre sur MacOS, c'est galère pour miner, il faut utiliser Windows ou Linux pour avoir des mineurs solides.

avatar iG | 

Utilisez Brave !!! brave.com

Pages

CONNEXION UTILISATEUR