Les développeurs devraient connaître ce truisme de l’enfance : on frappe toujours avant d’entrer. Mais ce n’est pas ce qu’ils font. Pour les développeurs de cryptomineurs – ces petits programmes conçus pour miner des crypto-monnaies comme l’Ethereum sur vos appareils – la différence entre frapper et rentrer discrètement est énorme.
S’ils ne frappent pas et qu’ils s’introduisent discrètement pour se mettre au travail sur des ordinateurs qui ne se doutent de rien, ils peuvent certainement prospérer pendant quelque temps. Toutefois, il y a de fortes chances pour qu’ils soient identifiés comme malware ou applications potentiellement dangereuses et arrêtés net. S’ils frappent, et attendent votre approbation avant d’exploiter la puissance de calcul de votre appareil pour miner des crypto-monnaies, ils peuvent très bien ne pas recevoir votre feu vert et être arrêtés net.
En voilà un casse-tête.
Un peu d’histoire
C’est précisément le problème que rencontre Coinhive.com. Après que Coinhive ait lancé son premier script de minage, plusieurs sites comme les sites de Torrent ont commencé à l’utiliser comme alternative aux publicités. Au lieu d’afficher des publicités, ils chargeaient ce script de minage et l’exécutaient pendant 30 secondes avant d’autoriser l’utilisateur à accéder au contenu et récoltaient les recettes du minage plutôt que des publicités.
Or, si certains sites spécifiaient clairement qu’ils généraient des recettes de cette façon, d’autres le faisaient discrètement. Pour cette raison, le script a été bloqué par plusieurs bloqueurs de publicités et la plupart des antivirus. C’est pourquoi Coinhive a lancé une nouvelle version sur autorisation de son script de cryptominage.
Lorsqu’il est chargé, il demande à l’utilisateur son consentement avant de commencer le minage :
Cependant, tout le monde n’a pas lu ou compris cette pop-up d’avertissement et nombreux sont ceux qui ont cliqué sur « Autoriser pour cette session » puis ont été surpris de constater que leur ordinateur était plus lent, que leurs appareils chauffaient ou que leur batterie s’épuisait plus vite. Pour ces utilisateurs, ce script était un logiciel potentiellement indésirable.
Pourquoi ne pas fermer la porte à clé
Si vous ne voulez pas attendre qu’un développeur de crypto-monnaie vous demande l’autorisation, d’autres options existent. Pensez à la protection Web Avira, une fonctionnalité d’Avira Pro. Lorsque la Protection Web est activée, elle bloque instantanément tout code JavaScript, comme celui-ci, de manière active – sans attendre une confirmation de l’utilisateur.
Les crypto-mineurs polis frappent, mais nul besoin de répondrePour être sûr d’avoir activé cette fonction, rendez-vous dans les paramètres de l’antivirus Avira et cliquez sur « Protection Web : Automatique », pour une protection sans effort. Mais même lorsque la Protection Web est désactivée, Avira peut toujours détecter et supprimer le JavaScript malveillant en effectuant un scan du système entier. Bien que le minage de crypto-monnaies ne compte pas comme une infection car il n’est que temporaire et se termine dès qu’un utilisateur quitte le site en question, c’est un bon exemple d’une meilleure protection avec la version Pro d’Avira Antivirus.
