{"id":24087,"date":"2026-07-03T17:25:42","date_gmt":"2026-07-03T15:25:42","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=24087"},"modified":"2026-07-01T17:26:06","modified_gmt":"2026-07-01T15:26:06","slug":"hola-browser-supply-chain-attack-cryptominer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/hola-browser-supply-chain-attack-cryptominer\/24087\/","title":{"rendered":"Des pirates ont d\u00e9tourn\u00e9 le navigateur Hola Browser pour miner secr\u00e8tement des cryptomonnaies"},"content":{"rendered":"<p>D\u00e9but juin, des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert qu\u2019une version compromise du navigateur Hola Browser pour Windows (version\u00a01.251.91.0), d\u00e9velopp\u00e9 en Isra\u00ebl, <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hola-browser-for-windows-compromised-to-deliver-cryptominer\/\" target=\"_blank\" rel=\"noopener nofollow\">t\u00e9l\u00e9chargeait<\/a> secr\u00e8tement un mineur de cryptomonnaie Monero sur les appareils des utilisateurs. Peu apr\u00e8s la d\u00e9couverte, l\u2019entreprise Hola a confirm\u00e9 avoir \u00e9t\u00e9 victime d\u2019une attaque contre la cha\u00eene d\u2019approvisionnement. Dans cet article, nous analysons le d\u00e9roulement de l\u2019attaque, le fonctionnement du mineur de cryptomonnaie et ce que cela implique pour les utilisateurs concern\u00e9s.<\/p>\n<h2>Qu\u2019est-ce que Hola Browser, et comment ce programme malveillant a-t-il \u00e9t\u00e9 d\u00e9couvert\u00a0?<\/h2>\n<p>La soci\u00e9t\u00e9 isra\u00e9lienne Hola est principalement connue pour son service VPN, auquel les utilisateurs ont surtout recours pour contourner les restrictions g\u00e9ographiques et acc\u00e9der \u00e0 des contenus bloqu\u00e9s dans certaines r\u00e9gions. Outre son service VPN, l\u2019entreprise d\u00e9veloppe Hola Browser, un navigateur bas\u00e9 sur Chromium qui int\u00e8gre des fonctions VPN et proxy.<\/p>\n<p>C\u2019est lors d\u2019un contr\u00f4le de conformit\u00e9 de routine dans le cadre du programme <a href=\"https:\/\/appesteem.com\" target=\"_blank\" rel=\"noopener nofollow\">AppEsteem Windows Certified Application<\/a> que les chercheurs ont d\u00e9tect\u00e9 les premiers \u00e9l\u00e9ments suspects. Dans le cadre de ce processus de certification, des cabinets ind\u00e9pendants sp\u00e9cialis\u00e9s dans la cybers\u00e9curit\u00e9 proc\u00e8dent \u00e0 des audits des logiciels afin de s\u2019assurer qu\u2019ils ne contiennent que les composants qu\u2019ils pr\u00e9tendent contenir et qu\u2019ils ne comportent aucune fonctionnalit\u00e9 ind\u00e9sirable ou malveillante. M\u00eame apr\u00e8s l\u2019octroi d\u2019un certificat, les applications font l\u2019objet d\u2019une r\u00e9\u00e9valuation r\u00e9guli\u00e8re afin de s\u2019assurer qu\u2019elles continuent de respecter les directives strictes d\u2019AppEsteem.<\/p>\n<p>C\u2019est lors d\u2019un de ces contr\u00f4les de suivi de routine que des experts ont remarqu\u00e9 qu\u2019un fichier non autoris\u00e9 venait se greffer \u00e0 la version\u00a0<strong><em>1.251.91.0<\/em><\/strong> du navigateur Hola Browser pour Windows. Une fois install\u00e9, le fichier s\u2019enregistrait automatiquement sur le disque dur \u00e0 l\u2019emplacement <strong><em>C:\\Program Files\\Hola\\me{.}exe<\/em><\/strong>. Ce fichier a imm\u00e9diatement \u00e9veill\u00e9 les soup\u00e7ons des chercheurs en raison d\u2019une longue liste de caract\u00e9ristiques suspectes\u00a0: il ne figurait pas sur la liste des fichiers d\u2019application approuv\u00e9s, ne comportait pas d\u2019horodatage et \u00e9tait d\u00e9pourvu de signature num\u00e9rique. De plus, son code \u00e9tait fortement brouill\u00e9, et il \u00e9tait capable de s\u2019injecter directement dans la m\u00e9moire syst\u00e8me.<\/p>\n<p>Fait int\u00e9ressant, les chercheurs ont remarqu\u00e9 que ce fichier n\u2019apparaissait pas dans toutes les installations. L\u2019infection n\u2019ayant pas touch\u00e9 l\u2019ensemble des utilisateurs, les experts ont tr\u00e8s t\u00f4t soup\u00e7onn\u00e9 qu\u2019une \u00e9tape pr\u00e9cise du processus de distribution du navigateur Hola Browser avait \u00e9t\u00e9 compromise. L\u2019entreprise Hola a par la suite confirm\u00e9 cette hypoth\u00e8se, reconnaissant avoir \u00e9t\u00e9 victime d\u2019une attaque visant sa cha\u00eene d\u2019approvisionnement.<\/p>\n<p>En ce qui concerne le fichier suspect <strong><em>me{.}exe<\/em><\/strong>, une analyse plus approfondie a r\u00e9v\u00e9l\u00e9 qu\u2019il s\u2019agissait d\u2019un mineur de cryptomonnaie furtif con\u00e7u pour miner du Monero. Passons maintenant aux d\u00e9tails techniques de son fonctionnement.<\/p>\n<h2>Comment les pirates ont-ils utilis\u00e9 le navigateur Hola Browser pour miner du Monero\u00a0?<\/h2>\n<p>Les mineurs de cryptomonnaies sont des programmes qui exploitent la puissance de calcul d\u2019un ordinateur pour miner des cryptomonnaies. Si certains utilisateurs installent ce logiciel volontairement pour g\u00e9n\u00e9rer un petit revenu, les mineurs qui fonctionnent sur un ordinateur \u00e0 l\u2019insu de son propri\u00e9taire sont g\u00e9n\u00e9ralement consid\u00e9r\u00e9s comme ind\u00e9sirables.<\/p>\n<p>L\u2019ex\u00e9cution d\u2019un mineur cach\u00e9 peut ralentir sensiblement l\u2019appareil, faire grimper la facture d\u2019\u00e9lectricit\u00e9 de l\u2019utilisateur et r\u00e9duire la dur\u00e9e de vie du mat\u00e9riel. Cela dit, il convient de noter qu\u2019une infection par un mineur de cryptomonnaie ne volera pas r\u00e9ellement les cryptomonnaies du propri\u00e9taire. Le pr\u00e9judice se limite strictement au fait que les pirates exploitent les ressources mat\u00e9rielles de l\u2019ordinateur pour s\u2019enrichir.<\/p>\n<p>Comme nous l\u2019avons mentionn\u00e9 plus haut, le t\u00e9l\u00e9chargement malveillant associ\u00e9 au navigateur Hola Browser a introduit subtilement un mineur de cryptomonnaie <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Monero\" target=\"_blank\" rel=\"noopener nofollow\">Monero<\/a> sur les appareils des victimes. Lanc\u00e9 en 2014 et bas\u00e9 sur le protocole CryptoNote, Monero se n\u00e9gocie actuellement \u00e0 <a href=\"https:\/\/coinmarketcap.com\/currencies\/monero\/\" target=\"_blank\" rel=\"noopener nofollow\">environ 330\u00a0$\u00a0US la pi\u00e8ce<\/a>.<\/p>\n<p>Compar\u00e9 \u00e0 des g\u00e9ants comme le Bitcoin ou l\u2019Ethereum, le Monero est un peu plus \u00ab\u00a0exotique\u00a0\u00bb et moins connu du grand public. Ce caract\u00e8re niche se refl\u00e8te dans la progression relativement modeste de son cours et dans sa capitalisation boursi\u00e8re plus faible, environ 200 fois inf\u00e9rieure \u00e0 celle du Bitcoin. Cependant, Monero pr\u00e9sente une diff\u00e9rence majeure : la confidentialit\u00e9. Alors que le Bitcoin et l\u2019Ethereum fonctionnent sur des blockchains publiques et enti\u00e8rement transparentes, o\u00f9 tout le monde peut suivre les transactions, Monero est une \u00ab\u00a0cryptomonnaie ax\u00e9e sur la confidentialit\u00e9\u00a0\u00bb. Elle utilise des m\u00e9canismes cryptographiques avanc\u00e9s pour masquer l\u2019identit\u00e9 de l\u2019exp\u00e9diteur et du destinataire, ainsi que les montants des transactions. C\u2019est pr\u00e9cis\u00e9ment cet anonymat extr\u00eame qui explique pourquoi les pirates informatiques <a href=\"https:\/\/www.kaspersky.fr\/blog\/?s=Monero\/\" target=\"_blank\" rel=\"noopener\">appr\u00e9cient tant les mineurs Monero secrets<\/a>\u00a0: cela complique la t\u00e2che des forces de l\u2019ordre et des professionnels de la cybers\u00e9curit\u00e9 lorsqu\u2019il s\u2019agit de remonter la piste de l\u2019argent.<\/p>\n<p>De plus, l\u2019algorithme sous-jacent de Monero est explicitement con\u00e7u pour permettre un minage efficace \u00e0 l\u2019aide de processeurs informatiques standard (CPU). Cela contraste fortement avec de nombreuses autres cryptomonnaies populaires, qui n\u00e9cessitent du mat\u00e9riel ASIC sp\u00e9cialis\u00e9 ou des cartes graphiques haut de gamme (GPU) pour \u00eatre rentables.<\/p>\n<p>Mais voyons de plus pr\u00e8s comment les choses se sont d\u00e9roul\u00e9es avec le navigateur Hola Browser. Lorsque les chercheurs ont analys\u00e9 le code malveillant <strong><em>me{.}exe<\/em><\/strong>, ils ont d\u00e9couvert qu\u2019il ajoutait automatiquement ses propres fichiers \u00e0 la liste d\u2019exclusion de Microsoft Defender. En s\u2019ajoutant lui-m\u00eame \u00e0 cette liste, le programme malveillant a r\u00e9ussi \u00e0 contourner l\u2019antivirus int\u00e9gr\u00e9 \u00e0 Windows, permettant ainsi au mineur de cryptomonnaie de fonctionner en arri\u00e8re-plan sans entrave.<\/p>\n<p>Une fois install\u00e9, le programme cr\u00e9ait une copie de lui-m\u00eame sous le nom <strong><em>HolaMonitorService{.}exe<\/em><\/strong>, puis mettait en place un service Windows persistant s\u2019ex\u00e9cutant en arri\u00e8re-plan, appel\u00e9 <strong><em>hola_monitor_svc<\/em><\/strong>. Cette man\u0153uvre a permis au programme malveillant de s\u2019ancrer dans le syst\u00e8me, et de s\u2019ex\u00e9cuter automatiquement \u00e0 chaque red\u00e9marrage de l\u2019ordinateur. Afin d\u2019\u00e9viter de susciter des soup\u00e7ons en raison de baisses soudaines et importantes des performances, le mineur a \u00e9t\u00e9 programm\u00e9 de mani\u00e8re \u00e0 rester en veille et \u00e0 ne se mettre en marche que lorsque l\u2019ordinateur est inactif.<\/p>\n<h2>Comment prot\u00e9ger votre appareil contre les mineurs de cryptomonnaies et les programmes malveillants<\/h2>\n<p>Il faut reconna\u00eetre que l\u2019\u00e9quipe de d\u00e9veloppement d\u2019Hola a r\u00e9agi rapidement aux premiers signalements concernant ce fichier suspect. L\u2019entreprise a confirm\u00e9 la violation de sa cha\u00eene d\u2019approvisionnement, mais a pr\u00e9cis\u00e9 que cet incident n\u2019avait touch\u00e9 que 0,1\u00a0% de sa base d\u2019utilisateurs. Depuis, l\u2019entreprise a renforc\u00e9 la s\u00e9curit\u00e9 de son processus de distribution des mises \u00e0 jour afin de garantir que, dor\u00e9navant, les utilisateurs ne re\u00e7oivent plus que des composants logiciels approuv\u00e9s, certifi\u00e9s et sign\u00e9s num\u00e9riquement.<\/p>\n<p>Compte tenu de cet incident, nous recommandons vivement \u00e0 tous les utilisateurs du navigateur Hola Browser de passer imm\u00e9diatement \u00e0 la derni\u00e8re version, en particulier \u00e0 ceux qui utilisent l\u2019application sous Windows.<\/p>\n<p>Plus g\u00e9n\u00e9ralement, cette situation illustre parfaitement pourquoi il est si important de maintenir tous vos logiciels \u00e0 jour et d\u2019utiliser une <a href=\"https:\/\/www.kaspersky.fr\/home-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">solution de cybers\u00e9curit\u00e9 performante<\/a>\u00a0sur tous vos appareils. Par exemple, <a href=\"https:\/\/www.kaspersky.fr\/premium?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0envoie des alertes en temps r\u00e9el concernant les comportements suspects des logiciels et bloque instantan\u00e9ment les menaces. Pour couronner le tout, l\u2019abonnement <a href=\"https:\/\/www.kaspersky.fr\/premium?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a> comprend un <a href=\"https:\/\/www.kaspersky.fr\/vpn-secure-connection?icid=gl_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____vpn___\" target=\"_blank\" rel=\"noopener\">VPN s\u00e9curis\u00e9 et fiable<\/a>.<\/p>\n<blockquote><p>N\u2019oubliez pas que les mineurs de cryptomonnaies malveillants ne ciblent pas uniquement les ordinateurs, mais s\u2019attaquent \u00e9galement aux smartphones, en se faisant souvent passer pour des jeux mobiles populaires ou des applications officielles de services publics. Pour en savoir plus, consultez nos articles pr\u00e9c\u00e9dents\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.fr\/blog\/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso\/23716\/\" target=\"_blank\" rel=\"noopener\"><strong>Un cheval de Troie Android se fait passer pour des services gouvernementaux et des applications Starlink<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.fr\/blog\/what-happens-if-you-download-cracked-program\/22697\/\" target=\"_blank\" rel=\"noopener\"><strong>Que se passe-t-il si vous t\u00e9l\u00e9chargez un programme pirat\u00e9 ?<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/miner-disguised-as-circumvention-tools\/53118\/\" target=\"_blank\" rel=\"noopener nofollow\"><strong>Le revers du minage\u00a0: comment des cybercriminels contraignent des youtubeurs \u00e0 promouvoir des programmes malveillants<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.fr\/blog\/mario-forever-malware-too\/20782\/\" target=\"_blank\" rel=\"noopener\"><strong>Mario Forever, \u00e9galement une application malveillante : un jeu gratuit avec un mineur et un cheval de Troie<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-geek\">\n","protected":false},"excerpt":{"rendered":"<p>En raison d&rsquo;une attaque contre la cha\u00eene d&rsquo;approvisionnement, certains utilisateurs de Windows ont t\u00e9l\u00e9charg\u00e9, \u00e0 leur insu, un mineur de cryptomonnaie Monero lors de l&rsquo;installation du navigateur Hola Browser. <\/p>\n","protected":false},"author":2726,"featured_media":24089,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[4595,3197,522,3241,4122,2841,4338,2703,315,23],"class_list":{"0":"post-24087","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-attaque-contre-la-chaine-dapprovisionnement","9":"tag-chaine-dapprovisionnement","10":"tag-chevaux-de-troie","11":"tag-cryptomonnaie","12":"tag-cryptomonnaies","13":"tag-mineurs","14":"tag-monero","15":"tag-navigateurs","16":"tag-vpn","17":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hola-browser-supply-chain-attack-cryptominer\/24087\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hola-browser-supply-chain-attack-cryptominer\/30837\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hola-browser-supply-chain-attack-cryptominer\/25877\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hola-browser-supply-chain-attack-cryptominer\/30679\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hola-browser-supply-chain-attack-cryptominer\/32281\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hola-browser-supply-chain-attack-cryptominer\/42102\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hola-browser-supply-chain-attack-cryptominer\/14666\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hola-browser-supply-chain-attack-cryptominer\/55999\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hola-browser-supply-chain-attack-cryptominer\/33670\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hola-browser-supply-chain-attack-cryptominer\/30787\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hola-browser-supply-chain-attack-cryptominer\/36347\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hola-browser-supply-chain-attack-cryptominer\/36237\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/cryptomonnaie\/","name":"cryptomonnaie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/24087","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=24087"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/24087\/revisions"}],"predecessor-version":[{"id":24090,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/24087\/revisions\/24090"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/24089"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=24087"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=24087"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=24087"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}