Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Avast reconnaît à son tour une brèche dans son réseau interne

L’évènement ressemble dans les grandes lignes à celui survenu en 2017, avec la même cible : CCleaner. À l’époque, l’outil appartenait encore à son créateur, Piriform, depuis racheté par Avast. Un malware avait pu être distribué pendant un mois.

Selon l’éditeur, la nouvelle attaque a été rendue possible par le vol d’identifiants VPN d’un employé. Facteur aggravant, le compte en question n’était pas protégé par une double authentification.

L’attention a été attirée par une soudaine élévation des privilèges sur le compte piraté, qui ne possédait pas de droits administrateurs, mais avait réussi à les obtenir.

La brèche a été repérée le 23 septembre, mais les preuves retrouvées remontent jusqu’au 14 mai, soit plus de cinq mois. L’éditeur se montre assez franc, avouant s’être replongé dans ce qu’il avait jugé être « des faux positifs » renvoyés par ATA (Advanced Threat Analytics), service commercialisé par Microsoft. Des éléments qui prenaient alors un sens nouveau.

Selon Avast, la connexion a été laissée volontairement active après coup, afin de suivre l’activité du ou des pirates, et de remonter jusqu’à la source si possible. Elle n’a donc été fermée que le 15 octobre, le temps de vérifier le code de CCleaner, qui semblait tant intéresser l’attaquant.

Ce code avait été mis hors ligne à la découverte de l’incident. Après vérification de son intégrité, le certificat utilisé a été révoqué et un nouveau a été ajouté. Enfin, une mise à jour a été envoyée automatiquement aux installations existantes le 15 octobre. L’entreprise a en outre remis à zéro tous les mots de passe des employés.

Ce type d’attaque n’est pas nouveau. Un outil aussi utilisé que CCleaner représente un vecteur d’infection idéal pour des pirates, à condition qu’ils puissent modifier les binaires depuis l’infrastructure de l’éditeur concerné.

L’incident est rare, mais est potentiellement dévastateur. On se souvient notamment de la contamination du client BitTorrent Transmission pour macOS en 2016.

22 commentaires
Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 23/10/19 à 08:17:18

C'est chaud quand même.
Deux attaques en 2 ans, c'est chaud.

Les attaquants ont eu accès au code?
Je vais désinstaller CCleaner je pense. :D

Avatar de gg40 INpactien
Avatar de gg40gg40- 23/10/19 à 08:44:32

Profites en pour désinstaller Windows aussi ;)

Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 23/10/19 à 08:48:27

Ok, je le ferai quand GNU/Linux aura des drivers de qualité, que WINE/Proton/DXVK seront plus matures, que le dongle de la manette Xbox One sera supporté et que uPlay, GOG, et Origin soient supportés. :D

Avatar de gg40 INpactien
Avatar de gg40gg40- 23/10/19 à 08:53:04

Ha bah là, effectivement, c'est pas demain la veille :fumer:
Certains acteurs feront de la résistance jusqu'au bout.

Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 23/10/19 à 08:55:27

Ma phrase a pas de sens non plus remarque. :fumer:

Un ptit café ça me ferait du bien.

Avatar de gg40 INpactien
Avatar de gg40gg40- 23/10/19 à 08:59:08

En même temps ça partait de mon troll donc bon.
Vé au café aussi tiens !

Édité par gg40 le 23/10/2019 à 08:59
Avatar de grsbdl INpactien
Avatar de grsbdlgrsbdl- 23/10/19 à 10:23:44

Un binaire compromis chez Avast, c'est aussi le même binaire compris chez tous les sites de téléchargement à la 01net, etc. Je me demande comment ces derniers gèrent la sécurité :-p
Je sais bien que chercher des logiciels sur ces plateformes est une très, mais alors très mauvaise idée, mais j'imagine que des gens les utilisent encore.

Avatar de Groupetto Abonné
Avatar de GroupettoGroupetto- 23/10/19 à 10:31:52

J'avais viré CCleaner de mes machines après la dernière attaque...c'est pratique mais on s'en passe.

C'est quand même pas reluisant pour Avast - une boîte censée être bourrée d'experts en sécurité, et qui n'arrête pas de se faire hacker...

Avatar de Macarie Abonné
Avatar de MacarieMacarie- 23/10/19 à 11:35:38

yeah encore, autant resté sur la protection de base de windows 10 et trouvé un équivalent pour CCleaner

dylem29 a écrit :

Ma phrase a pas de sens non plus remarque. :fumer:

Un ptit café ça me ferait du bien.

Perso linux, bof, support moyen de secureboot et tpm inexistant, j'attend qu'il implémente la sécurité minimale avant d'y repassé (du mal avec ubuntu et fedora me parait super lent dans sa bibliothèque d'application (qui ne touche pas au mirroir (extension codec etc)

Avatar de Guinnness INpactien
Avatar de GuinnnessGuinnness- 23/10/19 à 16:18:36

C'est raccord avec la qualité de leur antivirus en fait : tu passes un coup de Nod32/Kaspersky/n'importe quel antivirus sérieux sur une machine "protégée" par Avast tu trouves presque systématiquement des montagnes de merdouilles plus ou moins nuisibles qui sont passés dans les trous de la passoire.

Perso j'ai jamais compris comment ils arrivent à figurer relativement bien dans les comparatifs d'antivirus quand je vois le nombre de machines "protégées" par ce truc que j'ai eu à nettoyer car elles ramaient lamentablement/déconnaient à plein tubes car infestées de saletés.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3