Blog

L'attaque de la chaîne d'approvisionnement BrowseAloud : Une étude de cas sur le cryptojacking

Cette attaque a touché plus de 4 000 sites web, y compris des sites gouvernementaux et éducatifs, exposant des milliers d'utilisateurs au cryptojacking à leur insu.

Jun 10, 2024 • 6 min read

Simon Wijckmans Founder & CEO

L'attaque de cryptojacking BrowseAloud — CoinHive injecté via un plugin de confiance

En février 2018, plus de 4 000 sites web, y compris des organismes gouvernementaux de premier plan comme le Bureau du Commissaire à l'information (ICO) du Royaume-Uni, ont été victimes de l'attaque BrowseAloud. Il ne s'agissait pas simplement d'une autre violation de cybersécurité ; c'était un rappel puissant des dangers cachés des scripts tiers dans nos écosystèmes numériques de plus en plus interconnectés.

Que s'est-il passé lors de l'attaque BrowseAloud ?

Un service tiers apparemment inoffensif appelé BrowseAloud, qui aide les sites web à améliorer l'accessibilité en convertissant le texte en parole, a été compromis. Des acteurs malveillants ont injecté le script de minage de cryptomonnaie CoinHive dans le code de BrowseAloud. Ce script a ensuite été exécuté involontairement par les navigateurs de milliers de visiteurs sur divers sites web, utilisant leurs appareils pour miner de la cryptomonnaie sans consentement.

Le minage de cryptomonnaie implique le processus de résolution de problèmes mathématiques complexes pour valider les transactions sur la blockchain, une tâche qui nécessite traditionnellement des ressources informatiques substantielles. Cependant, avec l'avènement de scripts comme CoinHive, ce processus a été introduit dans les navigateurs d'utilisateurs sans méfiance. Voici comment cela fonctionne :

Exécution JavaScript : CoinHive et les scripts similaires sont écrits en JavaScript, qui peut être exécuté dans n'importe quel navigateur web standard. Cela rend leur déploiement à grande échelle incroyablement facile. C'est probablement l'aspect le plus important des attaques de la chaîne d'approvisionnement web et ce que cside sécurise.
Utilisation non consensuelle des ressources : Contrairement au minage typique qui nécessite un consentement explicite et du matériel dédié, le minage basé sur le navigateur utilise les ressources CPU de tout visiteur d'un site infecté. Le script s'exécute tant que la page web est ouverte, le rendant moins perceptible mais potentiellement nuisible aux appareils des utilisateurs en raison d'une consommation d'énergie accrue et de l'usure.
Rentabilité pour les attaquants : Chaque appareil détourné contribue une petite quantité de puissance de minage. Cependant, lorsqu'elle est mise à l'échelle sur des milliers d'appareils, cela peut générer une quantité significative de cryptomonnaie pour les attaquants.

L'impact de cette attaque

Cette attaque a touché plus de 4 000 sites web, y compris des sites gouvernementaux et éducatifs, exposant des milliers d'utilisateurs au cryptojacking à leur insu. Aucune donnée personnelle n'a été volée, mais les implications étaient néanmoins significatives. Les sites web ont dû être mis hors ligne, causant des interruptions de service et des dommages à la réputation. Les attaquants ont exploité une pratique courante mais risquée : l'acceptation automatique des mises à jour de scripts tiers. Cet incident a mis en évidence le besoin d'une surveillance et d'une gestion rigoureuses des composants tiers, que de nombreuses organisations avaient négligées.

C'est ce contre quoi cside protège, à la fois en surveillant le changement et la possibilité de prendre des mesures de manière autonome pour empêcher le code malveillant d'être chargé dans le navigateur de l'utilisateur.

En d'autres termes, cela ne se serait très probablement pas produit si cside avait existé et été déployé à l'époque. Vous pouvez commencer avec cside pour vous protéger contre tout type d'attaque de script tiers gratuitement.

Qu'est-il arrivé à BrowseAloud après ?

Après l'attaque de cryptojacking, la société mère de BrowseAloud, Texthelp, a pris des mesures immédiates en mettant temporairement le service hors ligne pour atténuer le problème et effectuer un examen de sécurité approfondi. L'incident a conduit à une sensibilisation accrue concernant la sécurité des services tiers et la nécessité d'une vigilance continue et d'audits de sécurité réguliers.

BrowseAloud est revenu en ligne avec des mesures de sécurité renforcées et un engagement à prévenir de tels incidents à l'avenir. L'attaque a également déclenché une discussion plus large parmi les fournisseurs de services web sur l'importance de sécuriser et de surveiller rigoureusement les scripts tiers.

Le destin de CoinHive

CoinHive, en revanche, a connu une trajectoire différente. Initialement lancé comme un outil légitime pour monétiser le contenu des sites web sans publicités en utilisant la puissance CPU des visiteurs pour miner de la cryptomonnaie, CoinHive est rapidement devenu associé au cryptojacking non autorisé. La connotation négative et l'utilisation abusive du script dans diverses attaques malveillantes ont conduit à un examen minutieux important.

La viabilité du service a été davantage remise en question par la baisse de la valeur du Monero et la difficulté croissante à le miner de manière rentable. Par conséquent, CoinHive a annoncé sa fermeture en mars 2019, citant l'inviabilité économique comme raison principale de sa fermeture.

Le domaine CoinHive.com appartient maintenant à l'expert du secteur Troy Hunt. Il est sûr et héberge son point de vue sur la protection contre des attaques similaires et le cryptojacking en général.

Article éducatif hébergé par Troy Hunt sur l'ancien domaine Coinhive.com

Similaire à la façon dont nous possédons maintenant le domaine Baways.com et l'avons transformé en un site web éducatif.

Page éducative actuelle de baways.com gérée par cside

L'utilisation d'anciens domaines précédemment utilisés comme ceux-ci peut causer d'autres problèmes, comme Troy Hunt l'a récemment expérimenté.

Email amusant / stupide / idiot du jour :

@copytrack

gère un service pour suivre les instances d'images protégées par le droit d'auteur utilisées sans licence. En mars, ils m'ont envoyé plusieurs emails exigeant de l'argent pour violation du droit d'auteur. Aujourd'hui, j'en ai reçu un autre demandant plusieurs centaines d'euros :

pic.twitter.com/4IUUlvslZ8

— Troy Hunt (@troyhunt)

15 juin 2024

Maintenant, revenons à ses recommandations sur le sujet, son approche implique l'utilisation de CSP pour faire en sorte que les navigateurs ignorent toute commande provenant de tout domaine qui n'est pas explicitement autorisé. Dans son cas, après avoir sécurisé le domaine CoinHive, il a mis en œuvre une CSP qui garantit que même si des scripts malveillants sont injectés, ils ne seraient pas exécutés car ils ne proviendraient pas d'une liste de domaines autorisés.

À notre avis, cette approche est bonne, mais pas suffisante. En bref, les CSP ne devraient pas être la seule mesure de sécurité contre les attaques JavaScript tierces. Notre page de comparaison donne un excellent aperçu des fonctionnalités que nous avons mises en œuvre en plus des CSP pour fournir la meilleure sécurité possible concernant les violations de scripts tiers.

Nous pensons que la clé réside dans l'analyse de l'intégralité du script avant qu'il n'atteigne le navigateur de l'utilisateur. Naturellement, cela présente quelques défis, pour lesquels nous avons conçu des solutions. Vous pouvez en savoir plus sur ce point de vue et sur la façon dont nous sécurisons les scripts tiers ici.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

En 2018, le script d'accessibilité Browsealoud a été compromis et a commencé à charger Coinhive sur chaque site qui l'embarquait — y compris des pages de gouvernements britannique et américain. Les visiteurs minaient du Monero pour l'attaquant jusqu'à la désactivation du script.

Tout script tiers embarqué peut être remplacé silencieusement. Subresource Integrity aide pour des actifs statiques mais ne détecte pas les changements de payload à l'exécution. La surveillance continue côté client repère le remplacement lorsqu'il se produit.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.

Comment Bloquer la Création de Faux Comptes Alimentée par l'IA

Les agents IA créent de faux comptes avec un comportement humain qui déjoue les CAPTCHA. Découvrez les signaux navigateur qui révèlent les inscriptions automatisées.

Comment Bloquer CCBot (le Robot d'Indexation IA de Common Crawl)

CCBot alimente les jeux de données Common Crawl utilisés pour entraîner GPT-3, BLOOM, LLaMA et bien d'autres modèles d'IA. Découvrez comment le bloquer et ce que le blocage fait réellement.