CCleaner est l’un des outils les plus utilisés par ceux qui veulent laisser Windows stable en éliminant les entrées non valides dans le registre du système, les fichiers temporaires et autres données inutiles ou dangereuses. Mais récemment, le logiciel lui-même est devenu un danger : deux versions de CCleaner distribuées depuis le mois d’août ont été piratées pour saisir des informations sur les utilisateurs.
On ne sait pas exactement combien d’ordinateurs ont été touchés, mais les premières estimations montrent que CCleaner 5.33.6162 (32 bits) a été téléchargé 2,27 millions de fois. C’est la version modifiée par les envahisseurs. La version 1.07.3191 de CCleaner Cloud a également été modifiée de façon inappropriée, mais cette version n’a eu qu’environ 5 000 téléchargements.
Le plus ironique dans cette histoire est que Piriform, la société responsable du CCleaner, a été achetée par Avast en juillet. Aucune des parties ne s’est rendu compte que le logiciel avait été compromis. CCleaner 5.33.6162 et CCleaner Cloud 1.07.3191 ont commencé à être distribués le 15 août à partir des serveurs officiels.
Le logiciel a été modifié de manière assez discrète. Aucune fonctionnalité n’a été affectée, de sorte que les utilisateurs n’ont pas constaté de problèmes. Les modifications permettent essentiellement de télécharger des logiciels malveillants et de les exécuter en arrière-plan.
Les versions concernées ont été distribuées avant le 11 septembre. Le 12, des mises à jour (propres) ont été mises à disposition. Le problème est que seule la version Cloud est mise à jour automatiquement. La version conventionnelle doit être mise à jour à l’initiative de l’utilisateur. Ce facteur est le plus préoccupant.
Néanmoins, Ondrej Vlcek, le CTO d’Avast, estime qu’il n’y a pas de raison de paniquer. Selon l’exécutif, l’incident est grave, mais l’action des envahisseurs a été découverte et arrêtée avant que la deuxième étape de l’attaque, qui pourrait conduire à la compromission des données des utilisateurs, ne soit réalisée.
Les analyses des sociétés de sécurité, dont Cisco Talos (le groupe qui a découvert et signalé le problème), indiquent que le code mal saisi dans CCleaner a été développé pour collecter des données telles que le nom de l’ordinateur, la liste des logiciels installés, les processus en cours et les adresses MAC.
Ces informations pourraient être utilisées pour organiser une attaque de plus grande envergure, mais Avast affirme que la communication avec les envahisseurs a été perturbée, de sorte que les risques de problèmes plus graves sont minimes.
Tout le monde n’est pas aussi optimiste. Martijn Grooten, rédacteur en chef du Virus Bulletin, dit qu’il a “le sentiment qu’ils [Avast] le minimisent. En cas de doute, il est recommandé à ceux qui ont installé une des versions contaminées de CCleaner de faire, en plus de la mise à jour, un contrôle de sécurité informatique complet.
Comment l’attaque a-t-elle été menée ? On ne le sait pas encore. Mais la possibilité d’une implication des propres employés de Piriform n’est pas exclue.
Mise à jour le 19/09/2017 à 15h30 : dans une note envoyée à PerlmOl, Avast déclare avoir pris connaissance du problème le 12 septembre, avant la notification de Cisco Talos, faite deux jours plus tard. La société déclare également qu’elle a immédiatement lancé une procédure d’enquête et que, conformément aux lois des États-Unis, elle n’a rendu l’événement public qu’après avoir atténué l’action des envahisseurs.