Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

L'outil CCleaner a distribué un malware pendant un mois

Cicatrices
Logiciel 5 min
L'outil CCleaner a distribué un malware pendant un mois
Crédits : nevarpp/iStock/Thinkstock

Piriform a été victime d’une attaque aboutissant à une modification de son célèbre outil CCleaner. Pendant quelques jours, l’éditeur a distribué sans le savoir une copie altérée de son logiciel, contenant un ou plusieurs malwares. Il indique désormais que la situation est réglée, mais le cas en rappelle d’autres.

Le concept d’une entreprise attaquée pour que ses logiciels soient modifiés à leur insu n’est pas nouveau. On se souvient en particulier du cas de Transmission, un client BitTorrent très connu sur Mac et disponible également sous Linux, ou encore de HandBrake. Il avaient tous deux été modifiés par des pirates et infectés par des malwares. La présence délétère avait été cependant vite détectée. À l’époque, nous attirions alors l’attention sur les protections mises en place sur les serveurs de production et de téléchargement.

Rebelote avec un autre logiciel, cette fois CCleaner, pour « Crap Cleaner ». Un outil très connu, dans un domaine qui a eu ses très beaux jours sur Windows : la réparation des problèmes. CCleaner a notamment pour mission de détecter les erreurs dans la base de registre, faire le ménage, gérer la liste des éléments qui se lancent au démarrage, etc. Téléchargé plus de deux milliards de fois depuis sa création, sa célébrité a justement posé problème, même si la nouvelle version 5.34 corrige le tir.

Une nouvelle infection de serveurs

Piriform a joué la carte de la transparence. L’éditeur indique avoir constaté le 12 septembre qu’un accès non autorisé avait eu lieu sur ses serveurs environ un mois avant. Bien qu’il ne le précise pas, il a été averti par une équipe de Cisco, qui avait découvert que les serveurs utilisés (en fait ceux d’Avast, la maison-mère) avaient subi une intrusion. Tout indiquait alors que du code avait été modifié, avec les dangers que cela implique.

Piriform confirme cette modification, qui ne touche que la mouture 32 bits de l’outil. Entre le 15 août et le 12 septembre, les versions distribuées de CCleaner étaient infectées par un malware présentant bon nombre de fonctionnalités, dont la principale était le vol d’informations. Ces dernières étaient collectées sur les machines touchées puis émises vers un serveur dont l’adresse IP a rapidement été découverte (codée en dur dans le malware, 216.126.x.x).

Si cette attaque n’a pas déclenché de vagues pendant tout le mois où elle a été active, c’est parce que la version vérolée de CCleaner, estampillée 5.33, était signée par un authentique certificat de Piriform, émis par Symantec et utilisait un DGA (Domain Generation Algorithm). Ce dernier permettait en théorie de générer de nouveaux domaines dans le cas où le serveur utilisé pour récupérer les données dérobées devait disparaître.

Les communications émises par le malware étaient intégralement chiffrées et codées en base64, avec un alphabet personnalisé. Elles contenaient le nom de l’ordinateur, la liste des logiciels installés, les mises à jour installées par Windows, tous les processus en cours d’exécution, les adresses IP et Mac, l’architecture et quelques autres données techniques. En somme, pas des informations très sensibles ; en fait, la catégorie de renseignements qu’un site peut récupérer quand il reçoit l’autorisation de l’utilisateur.

ccleaner
Crédits : Cisco

Encore des inconnues

Au niveau des chiffres, il y a quelques divergences. D’après Cisco, CCleaner se télécharge à un rythme moyen de cinq millions de copies par semaine. Pourtant, si on se fie au parc des copies installées (environ deux milliards), Piriform estime que jusqu’à 3 % ont pu être contaminés, soit 2,3 millions environ. Une différence importante avec les 20 millions théoriques, qui peut s’expliquer au moins en partie par le fait que seule la version 32 bits est touchée.

Par ailleurs, la méthode utilisée par les pirates pour s’introduire dans les serveurs n’est pas encore précisée. Piriform, qui fournit de nombreuses informations techniques dans son billet, indique simplement qu’elle ne souhaite pas « spéculer ». L’entreprise ajoute cependant que les forces de l’ordre ont été averties immédiatement, sous-entendant que d’autres réponses seront sans doute fournies plus tard.

Des mises à jour à installer au plus vite

L’éditeur explique d’emblée qu’une version débarrassée de tout problème est disponible. Les utilisateurs sont encouragés à la récupérer au plus vite. Ici, la version gratuite de CCleaner joue contre Piriform : elle ne dispose pas du processus automatique de mise à jour. Il faut donc aller la récupérer manuellement sur le site officiel puis l’installer. Les versions payantes et l’édition Cloud s’occupent par contre elles-mêmes du processus.

Mais Piriform aura beau demander pardon à ses utilisateurs, deux problèmes vont rester. D’une part, le fait que la plupart des utilisateurs ne suivent pas le type de presse qui véhicule ces informations. L’absence de mise à jour automatique pour la version gratuite est handicapante. D’autre part, la très mauvaise publicité générée par l’incident sera difficile à effacer pour ceux qui en auront eu connaissance.

Même si les attaques informatiques se multiplient, le piratage reste associé pour beaucoup à l’idée que les protections nécessaires n’ont pas été dument mises en place. Piriform ajoute évidemment que des actions sont en cours pour qu’un cas pareil ne se représente pas, et bien entendu que la sécurité des utilisateurs est primordiale.

Le cas souligne encore une fois le danger très concret de cette méthode. Profiter de la notoriété d’un logiciel pour distribuer un malware est efficace. Même si le risque de détection augmente rapidement, l’opération peut s’avérer des plus fructueuses. Les éditeurs ont donc tout intérêt à vérifier les mesures adoptées pour bloquer ce genre d’attaque. Particulièrement avec des outils système ou dédiés à la sécurité.

46 commentaires
Avatar de Jossy Abonné
Avatar de JossyJossy- 18/09/17 à 16:13:46

:eeek2:
C'est quand même étrange que le malware ne fasse "que" récupérer ces infos... Vu les fonctionnalités du logiciel, un virus faisant des choses beaucoup plus moches serait passé inaperçu !

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 18/09/17 à 16:16:12

Avast rachète Piriform, et paf ! Distribution de malware !!

Complot ou incompétence, nous laissons le lecteur seul juge. :D

Avatar de Xanatos Abonné
Avatar de XanatosXanatos- 18/09/17 à 16:16:31

bouh c'est moche
sinon, à part quand on débute (tout kevin 1.0 qui se respecte),  je ne vois pas l’intérêt d'un tel logiciel

Avatar de Ethancarter233 Abonné
Avatar de Ethancarter233Ethancarter233- 18/09/17 à 16:31:12

Ouf !
Téléchargé automatiquement via File Hippo Update checker sur les serveurs de FileHippo. Donc pas concerné.

Avatar de MilesTEG1 Abonné
Avatar de MilesTEG1MilesTEG1- 18/09/17 à 16:32:16

Jossy a écrit :

:eeek2:
C'est quand même étrange que le malware ne fasse "que" récupérer ces infos... Vu les fonctionnalités du logiciel, un virus faisant des choses beaucoup plus moches serait passé inaperçu !

C’est bien justement parce que le malware se contentait de récupérer si peu d’infos que c’est passé inaperçu.
J’imagine que si ça détruisait les fichiers il n’aurait pas passé si inaperçu et que ça aurait été repéré assez vite.

Avatar de Constance INpactien
Avatar de ConstanceConstance- 18/09/17 à 16:46:12

S'il relevait la liste des mises à jour installées… peut-être que l'auteur de la version "vérolée" comptait pousser les mises à jour de sécurité manquantes ? ^^'
Après tout, j'ai (vaguement) souvenir qu'on a déjà vu un "virus" pour les objets connectés qui corrigeait des problèmes de sécurité sur ceux-ci :D
(Quoi je suis naïf ? ^^' )

Avatar de Sans intérêt Abonné
Avatar de Sans intérêtSans intérêt- 18/09/17 à 16:48:50

Ethancarter233 a écrit :

Ouf !
Téléchargé automatiquement via File Hippo Update checker sur les serveurs de FileHippo. Donc pas concerné.

Si, concerné d'autant plus, car tu n'as pas échappé à l'installation de la version piratée. Aussi, le pirate a a priori réussi à obtenir des informations concernant ta machine.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 18/09/17 à 16:50:09

Ca ne vaut pas un bon download sur eMule ou Kazaa ! Comme c'est du P2P, il y a factuellement moins de risque d'être infecté, puisque les autres utilisateurs ne partagent pas les versions moisies :8

Avatar de ndjpoye Abonné
Avatar de ndjpoyendjpoye- 18/09/17 à 17:02:45

Jarodd a écrit :

Ca ne vaut pas un bon download sur eMule ou Kazaa ! Comme c'est du P2P, il y a factuellement moins de risque d'être infecté, puisque les autres utilisateurs ne partagent pas les versions moisies :8

Tout doux, on est que lundi :transpi:

Avatar de Ethancarter233 Abonné
Avatar de Ethancarter233Ethancarter233- 18/09/17 à 17:04:43

Sans intérêt a écrit :

Si, concerné d'autant plus, car tu n'as pas échappé à l'installation de la version piratée. Aussi, le pirate a a priori réussi à obtenir des informations concernant ta machine.

La version de FileHippo n'était peut-être pas hackée... En tout cas l'anti-virus ne détecte rien.... 

Il n'est plus possible de commenter cette actualité.
Page 1 / 5