L'outil CCleaner a distribué un malware pendant un mois

L’outil CCleaner a distribué un malware pendant un mois

Cicatrices

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

18/09/2017 6 minutes
46

L'outil CCleaner a distribué un malware pendant un mois

Piriform a été victime d’une attaque aboutissant à une modification de son célèbre outil CCleaner. Pendant quelques jours, l’éditeur a distribué sans le savoir une copie altérée de son logiciel, contenant un ou plusieurs malwares. Il indique désormais que la situation est réglée, mais le cas en rappelle d’autres.

Le concept d’une entreprise attaquée pour que ses logiciels soient modifiés à leur insu n’est pas nouveau. On se souvient en particulier du cas de Transmission, un client BitTorrent très connu sur Mac et disponible également sous Linux, ou encore de HandBrake. Il avaient tous deux été modifiés par des pirates et infectés par des malwares. La présence délétère avait été cependant vite détectée. À l’époque, nous attirions alors l’attention sur les protections mises en place sur les serveurs de production et de téléchargement.

Rebelote avec un autre logiciel, cette fois CCleaner, pour « Crap Cleaner ». Un outil très connu, dans un domaine qui a eu ses très beaux jours sur Windows : la réparation des problèmes. CCleaner a notamment pour mission de détecter les erreurs dans la base de registre, faire le ménage, gérer la liste des éléments qui se lancent au démarrage, etc. Téléchargé plus de deux milliards de fois depuis sa création, sa célébrité a justement posé problème, même si la nouvelle version 5.34 corrige le tir.

Une nouvelle infection de serveurs

Piriform a joué la carte de la transparence. L’éditeur indique avoir constaté le 12 septembre qu’un accès non autorisé avait eu lieu sur ses serveurs environ un mois avant. Bien qu’il ne le précise pas, il a été averti par une équipe de Cisco, qui avait découvert que les serveurs utilisés (en fait ceux d’Avast, la maison-mère) avaient subi une intrusion. Tout indiquait alors que du code avait été modifié, avec les dangers que cela implique.

Piriform confirme cette modification, qui ne touche que la mouture 32 bits de l’outil. Entre le 15 août et le 12 septembre, les versions distribuées de CCleaner étaient infectées par un malware présentant bon nombre de fonctionnalités, dont la principale était le vol d’informations. Ces dernières étaient collectées sur les machines touchées puis émises vers un serveur dont l’adresse IP a rapidement été découverte (codée en dur dans le malware, 216.126.x.x).

Si cette attaque n’a pas déclenché de vagues pendant tout le mois où elle a été active, c’est parce que la version vérolée de CCleaner, estampillée 5.33, était signée par un authentique certificat de Piriform, émis par Symantec et utilisait un DGA (Domain Generation Algorithm). Ce dernier permettait en théorie de générer de nouveaux domaines dans le cas où le serveur utilisé pour récupérer les données dérobées devait disparaître.

Les communications émises par le malware étaient intégralement chiffrées et codées en base64, avec un alphabet personnalisé. Elles contenaient le nom de l’ordinateur, la liste des logiciels installés, les mises à jour installées par Windows, tous les processus en cours d’exécution, les adresses IP et Mac, l’architecture et quelques autres données techniques. En somme, pas des informations très sensibles ; en fait, la catégorie de renseignements qu’un site peut récupérer quand il reçoit l’autorisation de l’utilisateur.

ccleaner
Crédits : Cisco

Encore des inconnues

Au niveau des chiffres, il y a quelques divergences. D’après Cisco, CCleaner se télécharge à un rythme moyen de cinq millions de copies par semaine. Pourtant, si on se fie au parc des copies installées (environ deux milliards), Piriform estime que jusqu’à 3 % ont pu être contaminés, soit 2,3 millions environ. Une différence importante avec les 20 millions théoriques, qui peut s’expliquer au moins en partie par le fait que seule la version 32 bits est touchée.

Par ailleurs, la méthode utilisée par les pirates pour s’introduire dans les serveurs n’est pas encore précisée. Piriform, qui fournit de nombreuses informations techniques dans son billet, indique simplement qu’elle ne souhaite pas « spéculer ». L’entreprise ajoute cependant que les forces de l’ordre ont été averties immédiatement, sous-entendant que d’autres réponses seront sans doute fournies plus tard.

Des mises à jour à installer au plus vite

L’éditeur explique d’emblée qu’une version débarrassée de tout problème est disponible. Les utilisateurs sont encouragés à la récupérer au plus vite. Ici, la version gratuite de CCleaner joue contre Piriform : elle ne dispose pas du processus automatique de mise à jour. Il faut donc aller la récupérer manuellement sur le site officiel puis l’installer. Les versions payantes et l’édition Cloud s’occupent par contre elles-mêmes du processus.

Mais Piriform aura beau demander pardon à ses utilisateurs, deux problèmes vont rester. D’une part, le fait que la plupart des utilisateurs ne suivent pas le type de presse qui véhicule ces informations. L’absence de mise à jour automatique pour la version gratuite est handicapante. D’autre part, la très mauvaise publicité générée par l’incident sera difficile à effacer pour ceux qui en auront eu connaissance.

Même si les attaques informatiques se multiplient, le piratage reste associé pour beaucoup à l’idée que les protections nécessaires n’ont pas été dument mises en place. Piriform ajoute évidemment que des actions sont en cours pour qu’un cas pareil ne se représente pas, et bien entendu que la sécurité des utilisateurs est primordiale.

Le cas souligne encore une fois le danger très concret de cette méthode. Profiter de la notoriété d’un logiciel pour distribuer un malware est efficace. Même si le risque de détection augmente rapidement, l’opération peut s’avérer des plus fructueuses. Les éditeurs ont donc tout intérêt à vérifier les mesures adoptées pour bloquer ce genre d’attaque. Particulièrement avec des outils système ou dédiés à la sécurité.

46

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une nouvelle infection de serveurs

Encore des inconnues

Des mises à jour à installer au plus vite

Commentaires (46)


<img data-src=" />

C’est quand même étrange que le malware ne fasse “que” récupérer ces infos… Vu les fonctionnalités du logiciel, un virus faisant des choses beaucoup plus moches serait passé inaperçu !


Avast rachète Piriform, et paf ! Distribution de malware !!



Complot ou incompétence, nous laissons le lecteur seul juge. <img data-src=" />


bouh c’est moche

sinon, à part quand on débute (tout kevin 1.0 qui se respecte),&nbsp; je ne vois pas l’intérêt d’un tel logiciel


Ouf !

Téléchargé automatiquement via File Hippo Update checker sur les serveurs de FileHippo. Donc pas concerné.








Jossy a écrit :



<img data-src=" />

C’est quand même étrange que le malware ne fasse “que” récupérer ces infos… Vu les fonctionnalités du logiciel, un virus faisant des choses beaucoup plus moches serait passé inaperçu !





C’est bien justement parce que le malware se contentait de récupérer si peu d’infos que c’est passé inaperçu.

J’imagine que si ça détruisait les fichiers il n’aurait pas passé si inaperçu et que ça aurait été repéré assez vite.



S’il relevait la liste des mises à jour installées… peut-être que l’auteur de la version “vérolée” comptait pousser les mises à jour de sécurité manquantes ? ^^’

Après tout, j’ai (vaguement) souvenir qu’on a déjà vu un “virus” pour les objets connectés qui corrigeait des problèmes de sécurité sur ceux-ci <img data-src=" />

(Quoi je suis naïf ? ^^’ )








Ethancarter233 a écrit :



Ouf !

Téléchargé automatiquement via File Hippo Update checker sur les serveurs de FileHippo. Donc pas concerné.





Si, concerné d’autant plus, car tu n’as pas échappé à l’installation de la version piratée. Aussi, le pirate a a priori réussi à obtenir des informations concernant ta machine.



Ca ne vaut pas un bon download sur eMule ou Kazaa ! Comme c’est du P2P, il y a factuellement moins de risque d’être infecté, puisque les autres utilisateurs ne partagent pas les versions moisies <img data-src=" />








Jarodd a écrit :



Ca ne vaut pas un bon download sur eMule ou Kazaa ! Comme c’est du P2P, il y a factuellement moins de risque d’être infecté, puisque les autres utilisateurs ne partagent pas les versions moisies <img data-src=" />





Tout doux, on est que lundi <img data-src=" />









Sans intérêt a écrit :



Si, concerné d’autant plus, car tu n’as pas échappé à l’installation de la version piratée. Aussi, le pirate a a priori réussi à obtenir des informations concernant ta machine.





La version de FileHippo n’était peut-être pas hackée… En tout cas l’anti-virus ne détecte rien….&nbsp;



Et tu penses qu’ils la trouvent où leur version ?? Si ils veulent se tenir à jour (c’est tout le même le but du service), ils ne retransmettent que la version de l’éditeur je pense. En tout cas j’ai fait la MAJ par File Hippo et j’étais en 5.33…&nbsp;<img data-src=" />


En effet, tu as peut-être raison. J’ai installé la dernière version, c’est plus sûr…



On sait si les anti-virus détectent ce malware ? Sous quel nom ?


En tout cas mon Avira n’y avait vu que du feu…&nbsp;<img data-src=" />








Ethancarter233 a écrit :



La version de FileHippo n’était peut-être pas hackée… En tout cas l’anti-virus ne détecte rien….







Le malware n’était que sur la version 32-bit de CCleaner.



Sauf a être encore sur un OS 32-bit, y a pas de raison de télécharger cette version



C’est comme les pets, c’est toujours les plus discrets qui sont les plus violents. <img data-src=" /><img data-src=" /><img data-src=" />



Il peut s’agir d’attaques en plusieurs phases et la collecte de données peut en faire partie.


C’est assez gênant comme histoire.



On a tendance à faire confiance au site de l’éditeur, ce qui semble normal.

On passe parfois à pas grand chose d’un gros soucis.



Ils comptent prévenir les utilisateurs à un moment donné ?

Non parce que c’est pas rien cette fuite de donnée.








Ethancarter233 a écrit :



On sait si les anti-virus détectent ce malware ? Sous quel nom ?





Les anti-virus fonctionnent à base de “signatures”. L’annonce venant d’être faite, ils vont intégrer une “signature” des logiciels Piriform compromis à leurs bases de données et les distribuer sous peu, si ce n’est pas déjà fait.



L’annonce officielle de Piriform indique que le serveur auquel se connectait la version piratée est hors service. A priori, la version piratée n’installait pas de logiciels. Aussi, il n’y a plus de danger.



Cela vaut toutefois le coup de scanner l’ordinateur avec un anti-virus à jour, dès maintenant, et tout au long des prochaines semaines en particulier. Personnellement, en cas de doute, j’utilise AdwCleaner, MalwareBytes Junkware Removal Tool, Kaspersky Virus Removal Tool, Kaspersky TDSSKiller, F-Secure Online Scanner, en plus de Windows Defender.



Moi il y a un truc qui m’étonne, comment ça se fait que ce soit Cisco qui prévienne de l’intrusion.


peut être que le comportement suspect du logiciel à été découvert par des admins réseau bossant sur du cisco qui ont transmis les logs au support cisco pour analyse.


Je viens de lancer CCleaner après avoir vu cela, il m’a proposé de faire la mise à jour en précisant que c’était important et l’a téléchargé puis installé après avoir cliqué sur ok. Pourtant je n’ai pas la version premium o_O.


Je me demande si la version portable, que j’utilise de temps à autre, était infectée aussi.


Bien vu ! Donc j’étais safe ! :)


C’est aussi les plus discrets qui font mal en sortant. <img data-src=" />




Les communications émises par le malware étaient intégralement chiffrées et codées en base64, avec un alphabet personnalisé. Elles contenaient le nom de l’ordinateur, la liste des logiciels installés, les mises à jour installées par Windows, tous les processus en cours d’exécution, les adresses IP et Mac, l’architecture et quelques autres données techniques.





Vous avez du confondre, ça c’est la télémétrie Windows 10 <img data-src=" />


mouais perso j’ai un setup dans un coin si besoin, je m’amuse pas à faire la màj de ce soft tout le temps <img data-src=" />



d’ailleurs resté à la v4, la v5 avec le look win8/10 m’avait donné envie de :vomi:


En même temps il y a 2 mois quand on a appris qu’Avast rachetait CCleaner, on a dit qu’il fallait commencer à chercher un remplaçant…



Je pensais pas qu’on aurait raison aussi vite <img data-src=" />

Bon je n’utilise que la version portable, a priori non concernée et déjà remplacée par la plus récente il y a quelques jours…








Sans intérêt a écrit :



Cela vaut toutefois le coup de scanner l’ordinateur avec un anti-virus à jour, dès maintenant, et tout au long des prochaines semaines en particulier. Personnellement, en cas de doute, j’utilise AdwCleaner, MalwareBytes Junkware Removal Tool, Kaspersky Virus Removal Tool, Kaspersky TDSSKiller, F-Secure Online Scanner, en plus de Windows Defender.



Entre temps, tu arrives encore à utiliser ton ordi?



Et tu n’as pas peur en utilisant tous ces logiciels de te retrouver avec un autre spyware?



En tout cas, je n’utilise pas CCleaner. L’outil miracle qui toutes les semaines&nbsp;te dit qu’il te libère 600Mo… tu peux attendre 2 mois, il te libère toujours 600Mo, &nbsp;c’est un “fond&nbsp;de roulement” de fichiers temporaires, ils réapparaissent au bout du 1er jour.

Jamais eu l’impression qu’il réussisse à corriger quoique ce soit (en tout cas depuis XP, avant j’avais un nettoyeur de base de registre, mais c’était nécessaire: quand ta base de registre fait 20Mo mais que tu as 8Mo de mémoire, il faut faire quelque chose…)



Bref, je doute de l’intérêt du soft. Sans compter que ceux qui me le montrent ont parfois de fausses versions. C’est comme le débat sur la défragmentation. Les gens utilisent des softs par habitude plus que par besoin.



Ensuite, c’est vrai que j’essaie d’avoir une vie clean: je ne suis pas admin de mon poste, pas de piratage, pas de téléchargement depuis “filehippo”??? ou autre truc bien louche bourré de pubs, j’utilise essentiellement des outils dispos sous forme de fichier zip (pas d’installation qui nécessite des droits admins).

&nbsp;

Quand j’ai besoin d’un outil dispo uniquement sur des serveurs “tiers”, j’ai un ordi martyr qui me sert à tout ce qui est louche (comme rooter une tablette ou la nettoyer des virus). Connecté sur un autre Wifi, pas de lien avec le réseau de la maison (merci FreeWifi).



Ouah ! Pour afficher autant de mépris gratuitement tu dois forcément être excellent dans tous les domaines qui peuvent exister. Je t’admire !

&nbsp;

Bon en dehors de la blague, ça sert à pas mal de gens que je connais qui ne font qu’utiliser l’informatique de manière simple. Oui on peut faire autrement, tout le monde la ramène à chaque actu sur l’outil, mais non certains préfèrent le tout en un du logiciel. J’ai même réussi à leur faire vérifier ce qu’il y a au démarrage du PC depuis qu’ils ont intégré ça à l’outil.

Bisous ! <img data-src=" />


Surtout quand on débute ! Ce logiciel, si mal utilisé, peut s’avérer très dangereux pour la santé de ton OS.


File Hippo == distributeur de malwares, trojans et autres joyeusetés.



You’re fucked.


Pfff continuez à installer des trucs inutiles, machin cleaner, pc optimizer, ram booster etc c’est de la merde en boîte et Windows fonctionne très bien sans. Chaque fois que je vois un truc comme ça, désinstallation directe !


T’aurais pu attend dredi pour sortir de ta grotte…


Est-ce que la version portable est touchée également ?


Et quand c’est l’antivirus lui même qui te le propose, comme les dernières versions de BitDefender ou Kaspersky par exemple, tu fais quoi ?

Tu vires la suite de sécurité ?



Ceci ditn j’anticipe ta réponse, mais oui, je vois pas trop pourquoi les éditeurs d’antivirus rajoutent ce genre d’outils dans leur suite… Je veux juste un antivirus et un parefeu fonctionnel sur la machine. Et encore, même ça, par moment, c’est compliqué suivant les suites.



Par contre, y’a un truc qui me perturbe… J’ai pas vu un seul appel à migrer sous Linux. C’est vraiment étrange <img data-src=" />


Ca me conforte dans l’idée de ne pas utiliser ces logiciels “miracles” souvent peu efficaces.


Suis-je bloqué d’une manière ou d’une autre ? J’arrive pas à citer Jaskier.



“Par contre, y’a un truc qui me perturbe… J’ai pas vu un seul appel à migrer sous Linux. C’est vraiment étrange”



J’utilise CCleaner à travers Wine pour nettoyer les restes de logiciels qui ne savent aujourd’hui toujours pas se désinstaller proprement.


Vraiment ? C’est inutile sur Wine <img data-src=" />

Vire le profil et réinstalle le

Ou alors fais un profil par logiciel, c’est encore plus simple.


Je connais l’histoire des profils mais c’est déjà trop compliqué pour moi.

J’ai fait quelques tentatives avec Play On Linux, que je n’ai jamais réussi à faire fonctionner (un comble pour un truc censé faciliter l’utilisation).


Par mansuétude ils ne sont pas venu tourner le couteau dans la plaie?








Jaskier a écrit :



Par contre, y’a un truc qui me perturbe… J’ai pas vu un seul appel à migrer sous Linux. C’est vraiment étrange <img data-src=" />







Pas besoin de passer à Linux, tout le monde sait bien que les Macs sont infaillibles sur le plan sécurité (“un antivirus ? Pas besoin, j’ai un Mac <img data-src=" /> ” blablabla)

<img data-src=" />









brice.wernet a écrit :



Entre temps, tu arrives encore à utiliser ton ordi?



Et tu n’as pas peur en utilisant tous ces logiciels de te retrouver avec un autre spyware?





Les logiciels cités n’ont pas besoin d’installation et proviennent d’éditeurs de confiance (Malwarebytes, Kaspersky, F-Secure). Cela limite les dégâts.



En matière de sécurité informatique, 2017 nous a appris que si Windows a vu grandement sa sécurité s’améliorer, il existe encore des failles, y compris des 0-days, impliquant qu’un ordinateur à jour, n’installant aucun logiciel suspect, peut aussi être vulnérable.









Sans intérêt a écrit :



En matière de sécurité informatique, 2017 nous a appris que si Windows a vu grandement sa sécurité s’améliorer, il existe encore des failles, y compris des 0-days, impliquant qu’un ordinateur à jour, n’installant aucun logiciel suspect, peut aussi être vulnérable.



Tout à fait d’accord.

Mais je n’offre pas plus ma confiance dans les éditeurs “de confiance” qu’en Microsoft. Ayant vécu par exemple le virus qui utilise l’antivirus (qui lui est admin) pour détecter et infecter tous les exe (ok, ça fait au moins 17ans).

D’ailleurs, je me suis toujours méfié de Steam qui ne tourne pas sous mon login normal - et visiblement j’ai eu raison.



D’ailleurs, je suis revenu sur mon ancien système de sauvegarde, l’historique de fichiers Windows tournant sous le login de l’utilisateur et étant potentiellement modifiable par un virus “userspace”.



Maintenant, qui a raison entre la sécurité “passive” et la sécurité “active” … Ca dépend de la menace.



Le pare-feu de Windows + l’antivirus de Microsoft (Windows Defender) fonctionnent très bien et suffisent amplement. Tous les autres antivirus perturbent et ralentissent le système à un moment donné, voire l’affaiblissent à cause de leurs failles et éventuels trojans qui se glissent dedans…


hop.

Concernant cette attaque via supply chain, j’ai vu passer un billet de chez Talos qui explique qu’il y avait un 2e malware qui semble cibler spécifiquement des gros comptes style Samsung, Sony, IBM, Cisco, MS, gouvernements, banques… et visiblement pas codé avec les pieds. En conclusion les mecs expliquent que les concernés seraient bien avisés de replaquer des backups pour être sûrs qu’il n’y a plus rien qui traîne (donc pas juste une MAJ de CCleaner).

évidemment tout le monde se garde bien de tenter une attribution. <img data-src=" />


J’utilise aussi Ccleaner depuis des années. Cà m’évite de nettoyer mon Régis manuellement et les déchets systèmes, ce qui prend énormément de temps, suivant ce qui a à faire.

Tout çà se fait à mon insu, enfin presque, pendant que je m’affaire sur autre chose. J’ai la 64 mais on ne sait jamais, je vais télécharger la nouvelle version. Pas le temps de faire le point sur mon système.