Veuillez noter que certains liens présents dans ce guide peuvent être des liens d'affiliation, mais que cela n'impacte pas l'objectivité de notre contenu. 
Une vaste campagne de cryptojacking a infecté plus de 3 500 sites Web dans le monde. Ces plateformes, souvent très fréquentées, intègrent discrètement des scripts qui exploitent la puissance de calcul des visiteurs pour miner du Monero (XMR), sans qu’ils ne s’en rendent compte.
Une opération massive, discrète et rentable
Ce phénomène n’est pas nouveau. Mais il connaît un regain d’activité, porté par des méthodes plus avancées. Ce type d’attaque reste invisible pour l’utilisateur. Il permet aux attaquants de générer des revenus en utilisant les ressources informatiques de tiers.
Les pirates ne ciblent pas forcément les sites un par un. Ils exploitent des failles connues, des plugins obsolètes ou des CMS mal sécurisés. Une fois le script en place, il s’exécute dès qu’un visiteur ouvre la page. Le code utilise alors le CPU de l’appareil pour miner du Monero.
Contrairement aux malwares classiques, il n’y a ni vol de données ni rançon. Le script reste actif en arrière-plan. Il consomme une petite part du processeur, puis envoie les gains au portefeuille du pirate. Plus il y a de visiteurs, plus l’opération devient rentable.
Lorsque l’usage reste modéré, il est difficile de remarquer une anomalie. Le choix du Monero n’est pas un hasard. Cette cryptomonnaie garantit la confidentialité des transactions. Elle peut aussi être minée avec un simple processeur.
Des techniques de dissimulation de plus en plus avancées
Les attaquants ne se contentent pas d’intégrer du code basique. Les scripts utilisés sont souvent obfusqués, c’est-à-dire volontairement rendus illisibles, et font appel à des technologies comme WebAssembly et WebSockets pour échapper à la détection. Ces outils permettent de maximiser les performances de minage tout en restant invisibles aux yeux des antivirus classiques.
Dans certains cas, les pirates réutilisent des infrastructures déjà compromises, notamment issues de précédentes campagnes de piratage. Plutôt que de supprimer l’accès, ils l’exploitent à nouveau en y ajoutant un module de minage. C’est un moyen rapide, silencieux et peu risqué d’optimiser une faille déjà existante.
Les sites infectés sont variés : blogs personnels, boutiques en ligne, sites d’actualités ou forums communautaires. La majorité d’entre eux n’ont pas conscience de l’infection. Et même lorsqu’ils sont alertés, il leur est parfois difficile d’identifier l’origine exacte du script injecté.
Des conséquences réelles pour les victimes
Pour les utilisateurs, l’effet le plus immédiat est un ralentissement notable de leur appareil. Le processeur chauffe, les ventilateurs tournent à plein régime, et l’autonomie des ordinateurs portables ou smartphones est réduite. Sur les appareils plus anciens, cela peut provoquer des gels d’écran ou des redémarrages.
Les propriétaires de sites, eux, ne sont pas épargnés. L’activité de minage non autorisée peut entraîner une augmentation significative de la consommation serveur, voire des alertes de la part de leur hébergeur. À cela s’ajoute le risque de voir leur nom de domaine signalé comme malveillant, avec des conséquences sur leur référencement ou leur réputation.
Face à ces attaques, la vigilance est de mise. Les internautes peuvent se protéger en utilisant des extensions de navigateur qui bloquent les scripts malveillants. Attention tout de même à certaines extensions frauduleuses qui peuvent récupérer les seedphrases. Quant aux éditeurs de sites, ils doivent maintenir leurs logiciels à jour, surveiller les modifications de fichiers et mettre en place des outils d’analyse de trafic pour détecter toute activité suspecte.
