Cryptojacking : votre PC mine de la crypto à votre insu

Patrick travaillait depuis son appartement de Laval un mardi soir de novembre 2024 quand il a remarqué que son laptop Dell de 3 ans venait de faire quelque chose d’inhabituel : le ventilateur s’est mis à tourner à plein régime pendant que l’écran affichait juste un onglet Chrome avec un article de blogue. L’ordinateur était chaud au toucher. Le lendemain matin, après avoir laissé tourner la machine toute la nuit, sa facture Hydro-Québec affichait une consommation anormalement élevée pour le mois.

Deux semaines plus tard, un technicien lui a confirmé : son ordinateur minait de la cryptomonnaie pour quelqu’un d’autre depuis plus de trois mois. Un mineur discret — XMRig configuré pour Monero — s’était installé via une extension Chrome téléchargée depuis un site de productivité qui avait l’air parfaitement légitime.

Qu’est-ce que le cryptojacking exactement ?

Le cryptojacking est l’utilisation non autorisée des ressources informatiques d’une victime pour miner de la cryptomonnaie. L’attaquant ne vole pas vos fichiers, ne chiffre pas vos données, ne vous demande pas de rançon. Il vole quelque chose de plus discret : de l’électricité et de la puissance de calcul.

Le principe fonctionne parce que le minage de cryptomonnaie — particulièrement Monero (XMR), la favorite des cybercriminels — requiert des calculs intensifs. Plus vous avez de machines qui calculent, plus vous avez de chances de valider des transactions et de recevoir des récompenses. En infectant des milliers d’ordinateurs, un attaquant construit un “pool” de puissance de calcul gratuite.

Monero est la crypto de choix pour le cryptojacking pour plusieurs raisons techniques :

• Son algorithme de minage (RandomX) est optimisé pour les CPUs standard, pas les GPUs spécialisés
• Ses transactions sont par défaut privées et traçables — idéal pour des gains illicites
• Il n’y a pas de matériel spécialisé (ASIC) qui domine le réseau, donc un laptop infecté contribue réellement

Selon le rapport Malwarebytes Threat Intelligence 2025, les cryptomineurs représentent environ 12% de toutes les détections de malware, et la tendance augmente depuis que les prix des cryptomonnaies ont remonté en 2024-2025.

Deux types de cryptojacking : discerner lequel vous touche

Le mining en navigateur (in-browser)

Le code JavaScript de mining s’exécute directement dans votre navigateur quand vous visitez un site infecté. Vous n’installez rien. Vous fermez l’onglet, ça s’arrête (en théorie).

Le cas historique le plus connu est CoinHive, un service lancé en 2017 qui permettait aux propriétaires de sites de “monétiser” leurs visiteurs via le minage. Officiellement pour remplacer les publicités, il a rapidement été adopté par des hackers pour infecter des sites légitimes à l’insu de leurs propriétaires. CoinHive a fermé en 2019, mais ses successeurs existent toujours.

Des variantes modernes utilisent des websockets et des techniques d’obfuscation qui les rendent difficiles à détecter par les bloqueurs de contenu classiques. Certaines pages — souvent des sites de streaming illégal, de jeux en ligne ou de téléchargements — affichent du contenu légitime en façade pendant que des scripts mineurs tournent en arrière-plan.

Le signe caractéristique : votre CPU monte en flèche dès que vous ouvrez un onglet spécifique, et redescend quand vous le fermez.

Le malware installé (file-based)

Plus dangereux et plus persistant. Un logiciel s’installe sur votre machine et mine en continu, même quand vous n’utilisez pas votre navigateur. Il peut se déguiser en processus système, se relancer au démarrage, et modifier ses paramètres pour rester sous le radar.

Les vecteurs d’infection principaux selon Malwarebytes (2025) :

• Logiciels piratés (crack Adobe, Microsoft Office, Final Cut Pro)
• Extensions de navigateur malveillantes ou compromises
• Pièces jointes courriel malveillantes (souvent des fichiers .exe déguisés en PDF)
• Exploits via des vulnérabilités non patchées dans des logiciels
• Applications mobiles sur des stores non officiels

Sur Mac, le vecteur le plus courant en 2024-2025 a été les faux installateurs de Final Cut Pro et Logic Pro distribués via des torrents, qui contenaient XMRig ou des variantes similaires.

Les signes que votre machine est compromise

Signe #1 : CPU chroniquement élevé sans raison apparente

Ouvrez le Gestionnaire des tâches (Windows : Ctrl + Shift + Esc) ou le Moniteur d’activité (Mac : Cmd + Espace, tapez “Moniteur d’activité”).

Un cryptomineur typique :

• Consomme entre 70% et 100% du CPU
• Fonctionne même quand vous n’avez aucune application ouverte
• Peut être camouflé sous un nom qui ressemble à un processus système : svchost.exe (Windows), kernel_task (Mac), ou un nom aléatoire de 8 caractères

Certains mineurs sophistiqués détectent quand vous ouvrez le Gestionnaire des tâches et réduisent temporairement leur consommation pour ne pas se faire remarquer. Si votre CPU semble normal dans le moniteur mais anormalement chaud et lent dans l’utilisation normale, c’est suspect.

Signe #2 : Chaleur excessive et ventilateur à fond

Un ordinateur portable qui devient chaud au toucher pendant que vous lisez un article ou travaillez sur un document texte n’est pas normal. Les cryptomineurs exploitent le CPU à fond — ça génère de la chaleur.

Sur Mac, installez Stats ou iStatMenus pour voir la température CPU en temps réel. Sur Windows, HWMonitor ou Core Temp font le travail.

Températures normales au repos :

• CPU : 30-50°C
• Sous charge légère (navigation, bureautique) : 50-65°C

Si vous êtes à 80-95°C en regardant une page web statique, quelque chose mine.

Signe #3 : Batterie qui se vide anormalement vite

Sur un laptop, un cryptomineur peut réduire l’autonomie de batterie de 40-60%. Si votre machine qui durait normalement 6 heures n’en fait plus 3, sans changement d’habitudes, ça mérite investigation.

Signe #4 : Facture électrique plus élevée

Pour un laptop, l’impact sur la facture est marginal. Mais pour un desktop, un serveur NAS, ou plusieurs machines infectées dans une entreprise, la différence peut être notable. Des études de cas documentent des entreprises ayant découvert le cryptojacking en cherchant pourquoi leur facture d’électricité avait augmenté de 20-30%.

Signe #5 : Ralentissements généraux et crashes

Les cryptomineurs ne laissent presque plus de ressources pour vos applications légitimes. Le navigateur rame, les applications mettent une éternité à s’ouvrir, les vidéos sautent. Certains mineurs mal configurés peuvent provoquer des crashes ou des redémarrages inattendus.

Comment détecter un mineur : procédure pas à pas

Sur Windows

Étape 1 — Vérifier les processus actifs

Ouvrez le Gestionnaire des tâches (Ctrl + Shift + Esc), onglet “Processus”. Triez par CPU. Identifiez tout ce qui consomme plus de 5-10% en idle.

Commandes PowerShell pour aller plus loin :

# Lister tous les processus avec leur consommation CPU
Get-Process | Sort-Object CPU -Descending | Select-Object -First 20

# Vérifier les connexions réseau actives (un mineur se connecte à un pool)
netstat -ano | findstr ESTABLISHED

Étape 2 — Vérifier les programmes au démarrage

Ctrl + Shift + Esc → onglet “Démarrage”. Tout programme inconnu qui se lance au boot mérite investigation. Recherchez son nom exact sur Google.

Étape 3 — Analyser avec Malwarebytes

Malwarebytes (version gratuite suffit pour un scan) détecte la plupart des cryptomineurs connus. Lancez un scan complet. Si un mineur est trouvé, Malwarebytes propose la mise en quarantaine.

Étape 4 — Vérifier les extensions de navigateur

Chrome : chrome://extensions/ Firefox : about:addons Edge : edge://extensions/

Toute extension non reconnue ou installée sans que vous vous en souveniez est suspecte. Désactivez, puis désinstallez celles que vous n’utilisez pas.

Sur Mac

Étape 1 — Moniteur d’activité

Applications → Utilitaires → Moniteur d’activité. Onglet CPU, triez par ”% CPU”. Tout processus inconnu à plus de 50% en idle.

Terminal pour aller plus loin :

# Top des processus par CPU
top -o cpu

# Connexions réseau actives
lsof -i -n -P | grep ESTABLISHED

# Vérifier les launch agents (persistance)
ls -la ~/Library/LaunchAgents/
ls -la /Library/LaunchAgents/

Étape 2 — Vérifier les Launch Agents

Les malwares Mac utilisent les Launch Agents pour persister après redémarrage. Un fichier .plist inconnu dans ~/Library/LaunchAgents/ est un signal d’alarme.

Étape 3 — Malwarebytes pour Mac

Même recommandation que Windows. Malwarebytes Mac détecte XMRig et ses variantes.

Dans le navigateur

Pour détecter le mining en navigateur, installez minerBlock sur Chrome ou NoMiner sur Firefox. Ces extensions bloquent les scripts de mining connus et vous alertent quand un site tente d’en exécuter.

Alternativement, uBlock Origin bloque la plupart des domaines de mining connus via ses listes de filtres.

Comment protéger votre machine durablement

Protection de base

Gardez tout à jour. La majorité des infections passent par des vulnérabilités dans des logiciels non patchés. Mises à jour OS, navigateur, plugins — systématiquement. L’article sur pourquoi les mises à jour sont essentielles couvre ce point en détail.

N’installez jamais de logiciels piratés. C’est le premier vecteur d’infection. Si quelqu’un partage un “crack” de Final Cut Pro ou d’Adobe qui “fonctionne parfaitement” — il y a fort à parier qu’il fait tourner quelque chose d’autre en arrière-plan aussi.

Vérifiez vos extensions de navigateur. Désinstallez celles que vous n’utilisez pas. Méfiez-vous des extensions demandant des permissions excessives (accès à “tous les sites web”, accès aux données de navigation).

Protection navigateur

1. uBlock Origin — bloque les domaines de mining connus par défaut
2. minerBlock ou NoMiner — couche supplémentaire spécifique au mining
3. Désactiver JavaScript sur les sites non fiables — via les paramètres Chrome/Firefox, ou avec l’extension uMatrix pour les utilisateurs avancés

Antivirus et EDR

Un antivirus à jour détecte les mineurs les plus courants. Les options recommandées :

• Malwarebytes Premium (Windows et Mac) : bonne détection des cryptomineurs
• Bitdefender : parmi les meilleurs taux de détection selon les tests indépendants AV-TEST
• Windows Defender (intégré à Windows 10/11) : s’est significativement amélioré, détecte maintenant la majorité des mineurs courants

Pour les entreprises, un EDR (Endpoint Detection and Response) comme Crowdstrike, SentinelOne ou Microsoft Defender for Endpoint offre une détection comportementale — il repère le comportement suspect (CPU anormal, connexions à des pools de mining) même si le malware est inconnu.

Configuration réseau

Les mineurs se connectent à des serveurs de pools de mining via des connexions TCP sortantes vers des domaines spécifiques. Un firewall configuré pour bloquer les domaines de mining connus (ou mieux, un DNS filtering comme Pi-hole ou NextDNS) peut bloquer la communication même si un mineur est présent sur la machine.

NextDNS propose des listes de blocage spécifiques aux domaines de cryptomining dans ses paramètres. Gratuit pour un usage personnel modéré.

Si vous êtes infecté : procédure de nettoyage

Étape 1 — Isolation

Si c’est une machine d’entreprise, déconnectez-la du réseau immédiatement. Pas de redémarrage avant d’avoir fait un snapshot des processus actifs et des connexions réseau — ça aide l’investigation.

Étape 2 — Identifier le processus

Notez le nom exact du processus responsable et ses connexions réseau actives. Ces informations aident à comprendre le vecteur d’infection.

Étape 3 — Scanner et nettoyer

Lancez Malwarebytes en mode sans échec si possible (Windows : redémarrez en maintenant F8). Le mode sans échec empêche le malware de se relancer pendant le scan.

Si Malwarebytes ne détecte rien mais que les symptômes persistent, essayez en combinaison :

• HitmanPro (Windows) — second avis
• Emsisoft Emergency Kit (Windows) — scan sans installation

Étape 4 — Vérifier la persistance

Après le nettoyage, vérifiez manuellement les points de persistance :

Windows :

• Registre : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• Dossier Startup : %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
• Tâches planifiées : Gestionnaire des tâches → onglet Démarrage + taskschd.msc

Mac :

• ~/Library/LaunchAgents/ et /Library/LaunchAgents/
• Éléments de connexion : Préférences Système → Général → Éléments de connexion

Tout ce qui ne vous est pas familier mérite investigation.

Étape 5 — Changer les mots de passe

Si un malware était présent sur votre machine, considérez que des keyloggers peuvent aussi avoir été actifs. Changez vos mots de passe importants (banque, courriel, services critiques) depuis un autre appareil propre avant de faire le nettoyage, ou après avoir confirmé que la machine est propre.

Étape 6 — Audit post-infection

Comment le mineur est-il entré ? Identifiez le vecteur pour éviter une réinfection. Si c’était une extension Chrome malveillante, revoyez toutes vos extensions. Si c’était un logiciel piraté, la conversation s’impose.

Le cas des serveurs et de l’infrastructure cloud

Le cryptojacking ne touche pas seulement les ordinateurs personnels. Les serveurs cloud sont des cibles de choix car ils ont souvent plus de CPU disponible et tournent 24/7.

Des attaques documentées ont ciblé des instances AWS, Azure et GCP mal sécurisées — des clés API exposées dans des dépôts GitHub publics, des ports SSH ouverts avec des mots de passe faibles, des panneaux d’administration exposés. L’attaquant accède au serveur et déploie un mineur.

Si vous gérez un VPS ou des instances cloud :

• Désactivez l’authentification SSH par mot de passe (clé SSH uniquement)
• N’exposez pas les ports d’administration inutilement
• Utilisez les alertes de monitoring CPU de votre hébergeur (AWS CloudWatch, etc.)
• Faites des audits réguliers des processus actifs sur vos serveurs

Les services web comme les sites WordPress peuvent aussi être compromis via des plugins vulnérables — un script de mining peut être injecté dans les fichiers PHP du site, minant pour les visiteurs sans que le propriétaire le sache.

L’aspect légal au Canada

Le cryptojacking est une infraction criminelle au Canada. La Loi sur la cybercriminalité (Code criminel, partie XII.1) et plusieurs dispositions du Code criminel s’appliquent :

• Utilisation non autorisée d’ordinateur (art. 342.1) : accéder à un ordinateur sans consentement
• Méfait relatif aux données informatiques (art. 430(1.1)) : modifier ou utiliser des données sans autorisation
• Fraude (art. 380) : dans les cas où il y a gain financier au détriment de la victime

Les peines peuvent aller jusqu’à 10 ans d’emprisonnement pour les cas graves. En pratique, les attaquants basés à l’étranger sont difficiles à poursuivre, mais les cas domestiques font l’objet de poursuites.

Si vous découvrez que votre infrastructure d’entreprise a été compromise pour du mining, signalez l’incident au Centre canadien pour la cybersécurité (cyber.gc.ca) et à votre corps policier local.

---

Le cryptojacking est le type de malware le moins dramatique en apparence — rien ne disparaît, rien ne s’affiche à l’écran. Mais il coûte réellement : en électricité, en usure matérielle, en performances dégradées, et potentiellement en accès futur à vos données si le malware est accompagné d’autres composants.

Un ordinateur qui chauffe sans raison, un ventilateur qui tourne à fond au repos, un CPU chroniquement élevé : ce ne sont pas des signes de vieillissement normal. Ce sont des diagnostics à poser.

Si vous pensez que votre machine ou votre infrastructure est compromise et que vous avez besoin d’aide pour l’investigation, l’équipe Sequr peut analyser la situation. ou passez par sequr.ca/contact.