Piriform a été victime d’une attaque aboutissant à une modification de son célèbre outil CCleaner. Pendant quelques jours, l’éditeur a distribué sans le savoir une copie altérée de son logiciel, contenant un ou plusieurs malwares. Il indique désormais que la situation est réglée, mais le cas en rappelle d’autres.
Le concept d’une entreprise attaquée pour que ses logiciels soient modifiés à leur insu n’est pas nouveau. On se souvient en particulier du cas de Transmission, un client BitTorrent très connu sur Mac et disponible également sous Linux, ou encore de HandBrake. Il avaient tous deux été modifiés par des pirates et infectés par des malwares. La présence délétère avait été cependant vite détectée. À l’époque, nous attirions alors l’attention sur les protections mises en place sur les serveurs de production et de téléchargement.
Rebelote avec un autre logiciel, cette fois CCleaner, pour « Crap Cleaner ». Un outil très connu, dans un domaine qui a eu ses très beaux jours sur Windows : la réparation des problèmes. CCleaner a notamment pour mission de détecter les erreurs dans la base de registre, faire le ménage, gérer la liste des éléments qui se lancent au démarrage, etc. Téléchargé plus de deux milliards de fois depuis sa création, sa célébrité a justement posé problème, même si la nouvelle version 5.34 corrige le tir.
Une nouvelle infection de serveurs
Piriform a joué la carte de la transparence. L’éditeur indique avoir constaté le 12 septembre qu’un accès non autorisé avait eu lieu sur ses serveurs environ un mois avant. Bien qu’il ne le précise pas, il a été averti par une équipe de Cisco, qui avait découvert que les serveurs utilisés (en fait ceux d’Avast, la maison-mère) avaient subi une intrusion. Tout indiquait alors que du code avait été modifié, avec les dangers que cela implique.
Piriform confirme cette modification, qui ne touche que la mouture 32 bits de l’outil. Entre le 15 août et le 12 septembre, les versions distribuées de CCleaner étaient infectées par un malware présentant bon nombre de fonctionnalités, dont la principale était le vol d’informations. Ces dernières étaient collectées sur les machines touchées puis émises vers un serveur dont l’adresse IP a rapidement été découverte (codée en dur dans le malware, 216.126.x.x).
Si cette attaque n’a pas déclenché de vagues pendant tout le mois où elle a été active, c’est parce que la version vérolée de CCleaner, estampillée 5.33, était signée par un authentique certificat de Piriform, émis par Symantec et utilisait un DGA (Domain Generation Algorithm). Ce dernier permettait en théorie de générer de nouveaux domaines dans le cas où le serveur utilisé pour récupérer les données dérobées devait disparaître.
Les communications émises par le malware étaient intégralement chiffrées et codées en base64, avec un alphabet personnalisé. Elles contenaient le nom de l’ordinateur, la liste des logiciels installés, les mises à jour installées par Windows, tous les processus en cours d’exécution, les adresses IP et Mac, l’architecture et quelques autres données techniques. En somme, pas des informations très sensibles ; en fait, la catégorie de renseignements qu’un site peut récupérer quand il reçoit l’autorisation de l’utilisateur.
Crédits : Cisco
Encore des inconnues
Au niveau des chiffres, il y a quelques divergences. D’après Cisco, CCleaner se télécharge à un rythme moyen de cinq millions de copies par semaine. Pourtant, si on se fie au parc des copies installées (environ deux milliards), Piriform estime que jusqu’à 3 % ont pu être contaminés, soit 2,3 millions environ. Une différence importante avec les 20 millions théoriques, qui peut s’expliquer au moins en partie par le fait que seule la version 32 bits est touchée.
Par ailleurs, la méthode utilisée par les pirates pour s’introduire dans les serveurs n’est pas encore précisée. Piriform, qui fournit de nombreuses informations techniques dans son billet, indique simplement qu’elle ne souhaite pas « spéculer ». L’entreprise ajoute cependant que les forces de l’ordre ont été averties immédiatement, sous-entendant que d’autres réponses seront sans doute fournies plus tard.
Des mises à jour à installer au plus vite
L’éditeur explique d’emblée qu’une version débarrassée de tout problème est disponible. Les utilisateurs sont encouragés à la récupérer au plus vite. Ici, la version gratuite de CCleaner joue contre Piriform : elle ne dispose pas du processus automatique de mise à jour. Il faut donc aller la récupérer manuellement sur le site officiel puis l’installer. Les versions payantes et l’édition Cloud s’occupent par contre elles-mêmes du processus.
Mais Piriform aura beau demander pardon à ses utilisateurs, deux problèmes vont rester. D’une part, le fait que la plupart des utilisateurs ne suivent pas le type de presse qui véhicule ces informations. L’absence de mise à jour automatique pour la version gratuite est handicapante. D’autre part, la très mauvaise publicité générée par l’incident sera difficile à effacer pour ceux qui en auront eu connaissance.
Même si les attaques informatiques se multiplient, le piratage reste associé pour beaucoup à l’idée que les protections nécessaires n’ont pas été dument mises en place. Piriform ajoute évidemment que des actions sont en cours pour qu’un cas pareil ne se représente pas, et bien entendu que la sécurité des utilisateurs est primordiale.
Le cas souligne encore une fois le danger très concret de cette méthode. Profiter de la notoriété d’un logiciel pour distribuer un malware est efficace. Même si le risque de détection augmente rapidement, l’opération peut s’avérer des plus fructueuses. Les éditeurs ont donc tout intérêt à vérifier les mesures adoptées pour bloquer ce genre d’attaque. Particulièrement avec des outils système ou dédiés à la sécurité.
