Si vous utilisez constamment votre navigateur internet (et plus particulièrement Chrome), vous aurez sans doute remarqué que plus vous ouvrez d’onglets, plus cela ralentit votre machine. Chaque onglet ouvert consomme en effet des ressources de votre processeur.
Il existe des solutions pour mettre en veille les onglets inutilisés, comme The Great Suspender, mais il s’agit d’extensions qui peuvent elles-mêmes causer d’autres soucis, y compris sur le plan de la sécurité.
Ceci étant, le ralentissement que nous souhaitons évoquer dans cet article est d’un autre ordre, bien plus insidieux. Sans même devoir installer de logiciel malveillant sur votre machine, les hackers peuvent aujourd’hui exécuter un script via une simple bannière publicitaire pour profiter de la puissance de calcul simultanée de centaines de milliers voire de millions d’ordinateurs. Cela leur permet par exemple de générer des unités de cryptomonnaie (on appelle ça le cryptojacking) ou de lancer une attaque DDoS en créant un super-ordinateur dématérialisé à partir de la capacité volée à travers tous les navigateurs piratés.
Cet article détaillé explique comment un hacker a réussi à pirater des dizaines de milliers de machines via une simple bannière achetée sur un réseau russe de type “pop under” (ces bannières invisibles diffusées à l’arrière des pages des éditeurs), en insérant un petit bout de code javascript qui lui a permis de démultiplier la puissance de son ordinateur pour une série d’expériences à l’efficacité déroutante.
Comme le souligne ce hacker, l’utilisation de WebAssembly permettrait d’être encore plus efficace, encore plus destructeur car encore plus rapide en termes d’exécution. Les hackers pourraient ne pas se limiter au détournement de bannières publicitaires. Les plugins WordPress ou d’autres éléments constitutifs de l’architecture d’un site web pourraient eux aussi permettre l’exécution de scripts malicieux.
Ce genre d’intrusion passe totalement sous le radar des anti-virus classiques. La meilleure manière de s’en prémunir est de choisir un navigateur (comme URbrowser) dont vous maîtrisez les paramètres de sécurité, notamment via la fonction d’adblocking.
Un surfeur averti en vaut deux !