Les logiciels malveillants qui ont été distribués avec CCleaner pendant près d’un mois ont été interdits, mais ce n’est que maintenant que l’on commence à répondre à certaines questions. Il n’était pas clair, par exemple, quelles étaient les cibles de l’attaque. Mais une analyse récente indique qu’au moins 20 entreprises ont été visées par les agresseurs. Le problème était plus grave qu’il n’y paraît.
La version 5.33.6162 de CCleaner pour Windows et la version 1.07.3191 de CCleaner Cloud ont été distribuées entre le 15 août et le 11 septembre. Les deux versions ont été contaminées par un code malveillant caché programmé pour agir sans que l’utilisateur ne s’en aperçoive.
On estime que le CCleaner contaminé a été installé sur 2,27 millions d’ordinateurs, bien que les analyses de Cisco Talos (un des groupes qui ont signalé l’attaque) indiquent que “seulement” 700 000 machines ont communiqué avec le serveur qui exécutait le malware.
Les analystes ont trouvé des preuves que les auteurs de logiciels malveillants ont essayé de trouver des ordinateurs au sein des réseaux d’une vingtaine de sociétés technologiques, dont Akamai, D-Link, Intel, Google, Microsoft et Samsung, ainsi que Cisco elle-même, parmi les machines contaminées.
Apparemment, ce n’était pas une tâche difficile à accomplir. Les premières analyses ont déjà indiqué que les logiciels malveillants étaient capables de collecter des données telles que le nom de l’ordinateur, la liste des logiciels installés, les processus en cours et les adresses MAC. Ces informations peuvent être utilisées pour identifier les cibles.
Ce filtrage a, en quelque sorte, permis d’identifier des machines dans au moins la moitié des entreprises visées. C’est là que réside le danger : à partir de la fissure ouverte par le logiciel malveillant inséré dans CCleaner, ces ordinateurs peuvent avoir exécuté un code malveillant conçu pour capturer des données sensibles, par exemple.
Face à cette possibilité, la recommandation des analystes de Cisco de restaurer le système d’exploitation des ordinateurs touchés – et pas seulement de supprimer la version contaminée de CCleaner – devient plus valable, au moins sur les PC d’entreprise.
Dans une note envoyée à PerlmOl le 19, Avast (propriétaire de Piriform, la société responsable de CCleaner) a déclaré que la recommandation de Cisco Talos est incorrecte car la version 5.34 et la version actuelle 5.35 suppriment les logiciels malveillants ; en outre, la société affirme que le serveur des attaquants a été mis hors service.
Cependant, en raison de récentes découvertes, Cisco insiste sur le fait que la simple suppression ou mise à jour du CCleaner n’est pas suffisante, contrairement à ce que suggère Avast.
Tout indique que ce feuilleton est loin d’être terminé. Nous devons encore découvrir, par exemple, comment le code malveillant a été inséré dans le CCleaner sans que personne ne s’en aperçoive. La possibilité qu’un développeur de Piriform y ait contribué n’a pas été exclue. Avast affirme que les enquêtes se poursuivent.
