Tesla, dernière victime en date du cryptojacking

le mercredi 21 février 2018
Après des incidents similaires chez l'assureur britannique Aviva et le fabricant de puces SIM néerlandais Gemalto, c'est le constructeur automobile Tesla qui est à son tour victime de hackers adeptes du « minage » de cryptomonnaies.

On ignore pendant combien de temps Tesla a été victime de « cryptojacking », en revanche l'activité illicite a pu été stoppée très peu de temps après sa découverte.

Les services cloud, nouvelle cible des « mineurs » de cryptomonnaies


Les grandes entreprises sont très nombreuses à avoir recours à la virtualisation (à savoir, la location de puissance de calcul auprès d'un prestataire externe), et les hackers l'ont bien compris : s'introduire dans ces systèmes et détourner cette ressource à leurs fins peut s'avérer très lucratif.

Car en ce moment, le monde est en train de vivre un boom des cryptomonnaies. Pour créer (ou « miner ») cet argent virtuel, les « mineurs » ont besoin de puissance de calcul (le plus, le mieux). Et ils ne sont pas dupes : au lieu d'en acquérir et de payer les frais associés, il n'y a rien de mieux que d'en voler ! Depuis un an, les attaques de ce type se multiplient : les hackers s'introduisent dans les serveurs que les entreprises louent auprès des géants de la profession : Amazon Web Services (AWS), Microsoft Azure et Google Cloud.

tesla model s


Un « cryptojacking » conçu pour être difficilement détectable


Lors de ce dernier épisode, les chercheurs en sécurité informatique de la société RedLock ont pu trouver sur Internet des identifiants et des mots de passe pour des comptes Amazon Web Services appartenant à Tesla. Et quand on a fait une telle trouvaille, on ne manque pas de s'en servir : c'est ainsi qu'ils sont entrés sur ces serveurs et ont analysé l'activité qui s'y déroulait avec leur outil « maison ». Le constat n'a pas tardé à se révéler : à partir d'un certain moment, une activité suspicieuse a commencé à s'y dérouler, une activité de nature très différente de celle observée auparavant. En plus, les connexions avaient pour origine géographique des pays autres que les pays de connexion habituels.

Les chercheurs ont aussi découvert que les hackers ont configuré leur script de « minage » afin qu'il fasse un usage modéré de la puissance de calcul, sans doute pour ne pas trop attirer l'attention. Par ailleurs, l'adresse IP du serveur d'où provenaient les requêtes pour le « minage » était protégée par CloudFlare. Conclusion : l'arsenal des hackers « mineurs » devient de plus en plus sophistiqué, afin de passer au mieux entre les mailles du filet.

Modifié le 01/06/2018 à 15h36
scroll top