L’outil CCleaner a distribué un malware pendant un mois
Cicatrices
Piriform a été victime d’une attaque aboutissant à une modification de son célèbre outil CCleaner. Pendant quelques jours, l’éditeur a distribué sans le savoir une copie altérée de son logiciel, contenant un ou plusieurs malwares. Il indique désormais que la situation est réglée, mais le cas en rappelle d’autres.
Le concept d’une entreprise attaquée pour que ses logiciels soient modifiés à leur insu n’est pas nouveau. On se souvient en particulier du cas de Transmission, un client BitTorrent très connu sur Mac et disponible également sous Linux, ou encore de HandBrake. Il avaient tous deux été modifiés par des pirates et infectés par des malwares. La présence délétère avait été cependant vite détectée. À l’époque, nous attirions alors l’attention sur les protections mises en place sur les serveurs de production et de téléchargement.
Rebelote avec un autre logiciel, cette fois CCleaner, pour « Crap Cleaner ». Un outil très connu, dans un domaine qui a eu ses très beaux jours sur Windows : la réparation des problèmes. CCleaner a notamment pour mission de détecter les erreurs dans la base de registre, faire le ménage, gérer la liste des éléments qui se lancent au démarrage, etc. Téléchargé plus de deux milliards de fois depuis sa création, sa célébrité a justement posé problème, même si la nouvelle version 5.34 corrige le tir.
Une nouvelle infection de serveurs
Piriform a joué la carte de la transparence. L’éditeur indique avoir constaté le 12 septembre qu’un accès non autorisé avait eu lieu sur ses serveurs environ un mois avant. Bien qu’il ne le précise pas, il a été averti par une équipe de Cisco, qui avait découvert que les serveurs utilisés (en fait ceux d’Avast, la maison-mère) avaient subi une intrusion. Tout indiquait alors que du code avait été modifié, avec les dangers que cela implique.
Piriform confirme cette modification, qui ne touche que la mouture 32 bits de l’outil. Entre le 15 août et le 12 septembre, les versions distribuées de CCleaner étaient infectées par un malware présentant bon nombre de fonctionnalités, dont la principale était le vol d’informations. Ces dernières étaient collectées sur les machines touchées puis émises vers un serveur dont l’adresse IP a rapidement été découverte (codée en dur dans le malware, 216.126.x.x).
Si cette attaque n’a pas déclenché de vagues pendant tout le mois où elle a été active, c’est parce que la version vérolée de CCleaner, estampillée 5.33, était signée par un authentique certificat de Piriform, émis par Symantec et utilisait un DGA (Domain Generation Algorithm). Ce dernier permettait en théorie de générer de nouveaux domaines dans le cas où le serveur utilisé pour récupérer les données dérobées devait disparaître.
Les communications émises par le malware étaient intégralement chiffrées et codées en base64, avec un alphabet personnalisé. Elles contenaient le nom de l’ordinateur, la liste des logiciels installés, les mises à jour installées par Windows, tous les processus en cours d’exécution, les adresses IP et Mac, l’architecture et quelques autres données techniques. En somme, pas des informations très sensibles ; en fait, la catégorie de renseignements qu’un site peut récupérer quand il reçoit l’autorisation de l’utilisateur.
Crédits : Cisco
Encore des inconnues
Au niveau des chiffres, il y a quelques divergences. D’après Cisco, CCleaner se télécharge à un rythme moyen de cinq millions de copies par semaine. Pourtant, si on se fie au parc des copies installées (environ deux milliards), Piriform estime que jusqu’à 3 % ont pu être contaminés, soit 2,3 millions environ. Une différence importante avec les 20 millions théoriques, qui peut s’expliquer au moins en partie par le fait que seule la version 32 bits est touchée.
Par ailleurs, la méthode utilisée par les pirates pour s’introduire dans les serveurs n’est pas encore précisée. Piriform, qui fournit de nombreuses informations techniques dans son billet, indique simplement qu’elle ne souhaite pas « spéculer ». L’entreprise ajoute cependant que les forces de l’ordre ont été averties immédiatement, sous-entendant que d’autres réponses seront sans doute fournies plus tard.
Des mises à jour à installer au plus vite
L’éditeur explique d’emblée qu’une version débarrassée de tout problème est disponible. Les utilisateurs sont encouragés à la récupérer au plus vite. Ici, la version gratuite de CCleaner joue contre Piriform : elle ne dispose pas du processus automatique de mise à jour. Il faut donc aller la récupérer manuellement sur le site officiel puis l’installer. Les versions payantes et l’édition Cloud s’occupent par contre elles-mêmes du processus.
Mais Piriform aura beau demander pardon à ses utilisateurs, deux problèmes vont rester. D’une part, le fait que la plupart des utilisateurs ne suivent pas le type de presse qui véhicule ces informations. L’absence de mise à jour automatique pour la version gratuite est handicapante. D’autre part, la très mauvaise publicité générée par l’incident sera difficile à effacer pour ceux qui en auront eu connaissance.
Même si les attaques informatiques se multiplient, le piratage reste associé pour beaucoup à l’idée que les protections nécessaires n’ont pas été dument mises en place. Piriform ajoute évidemment que des actions sont en cours pour qu’un cas pareil ne se représente pas, et bien entendu que la sécurité des utilisateurs est primordiale.
Le cas souligne encore une fois le danger très concret de cette méthode. Profiter de la notoriété d’un logiciel pour distribuer un malware est efficace. Même si le risque de détection augmente rapidement, l’opération peut s’avérer des plus fructueuses. Les éditeurs ont donc tout intérêt à vérifier les mesures adoptées pour bloquer ce genre d’attaque. Particulièrement avec des outils système ou dédiés à la sécurité.
Commentaires (46)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/09/2017 à 14h05
Je connais l’histoire des profils mais c’est déjà trop compliqué pour moi.
J’ai fait quelques tentatives avec Play On Linux, que je n’ai jamais réussi à faire fonctionner (un comble pour un truc censé faciliter l’utilisation).
Le 19/09/2017 à 14h36
Par mansuétude ils ne sont pas venu tourner le couteau dans la plaie?
Le 19/09/2017 à 15h36
Le 19/09/2017 à 18h22
Le 19/09/2017 à 20h08
Le 19/09/2017 à 23h13
Le pare-feu de Windows + l’antivirus de Microsoft (Windows Defender) fonctionnent très bien et suffisent amplement. Tous les autres antivirus perturbent et ralentissent le système à un moment donné, voire l’affaiblissent à cause de leurs failles et éventuels trojans qui se glissent dedans…
Le 19/09/2017 à 23h13
Plaît-il ?
Le 21/09/2017 à 08h17
hop.
" />
Concernant cette attaque via supply chain, j’ai vu passer un billet de chez Talos qui explique qu’il y avait un 2e malware qui semble cibler spécifiquement des gros comptes style Samsung, Sony, IBM, Cisco, MS, gouvernements, banques… et visiblement pas codé avec les pieds. En conclusion les mecs expliquent que les concernés seraient bien avisés de replaquer des backups pour être sûrs qu’il n’y a plus rien qui traîne (donc pas juste une MAJ de CCleaner).
évidemment tout le monde se garde bien de tenter une attribution.
Le 22/09/2017 à 13h31
J’utilise aussi Ccleaner depuis des années. Cà m’évite de nettoyer mon Régis manuellement et les déchets systèmes, ce qui prend énormément de temps, suivant ce qui a à faire.
Tout çà se fait à mon insu, enfin presque, pendant que je m’affaire sur autre chose. J’ai la 64 mais on ne sait jamais, je vais télécharger la nouvelle version. Pas le temps de faire le point sur mon système.
Le 18/09/2017 à 16h13
C’est quand même étrange que le malware ne fasse “que” récupérer ces infos… Vu les fonctionnalités du logiciel, un virus faisant des choses beaucoup plus moches serait passé inaperçu !
Le 18/09/2017 à 16h16
Avast rachète Piriform, et paf ! Distribution de malware !!
" />
Complot ou incompétence, nous laissons le lecteur seul juge.
Le 18/09/2017 à 16h16
bouh c’est moche
sinon, à part quand on débute (tout kevin 1.0 qui se respecte), je ne vois pas l’intérêt d’un tel logiciel
Le 18/09/2017 à 16h31
Ouf !
Téléchargé automatiquement via File Hippo Update checker sur les serveurs de FileHippo. Donc pas concerné.
Le 18/09/2017 à 16h32
Le 18/09/2017 à 16h46
S’il relevait la liste des mises à jour installées… peut-être que l’auteur de la version “vérolée” comptait pousser les mises à jour de sécurité manquantes ? ^^’
" />
Après tout, j’ai (vaguement) souvenir qu’on a déjà vu un “virus” pour les objets connectés qui corrigeait des problèmes de sécurité sur ceux-ci
(Quoi je suis naïf ? ^^’ )
Le 18/09/2017 à 16h48
Le 18/09/2017 à 16h50
Ca ne vaut pas un bon download sur eMule ou Kazaa ! Comme c’est du P2P, il y a factuellement moins de risque d’être infecté, puisque les autres utilisateurs ne partagent pas les versions moisies
" />
Le 18/09/2017 à 17h02
Le 18/09/2017 à 17h04
Le 18/09/2017 à 17h13
Et tu penses qu’ils la trouvent où leur version ?? Si ils veulent se tenir à jour (c’est tout le même le but du service), ils ne retransmettent que la version de l’éditeur je pense. En tout cas j’ai fait la MAJ par File Hippo et j’étais en 5.33… 
" />
Le 18/09/2017 à 17h43
En effet, tu as peut-être raison. J’ai installé la dernière version, c’est plus sûr…
On sait si les anti-virus détectent ce malware ? Sous quel nom ?
Le 18/09/2017 à 17h58
En tout cas mon Avira n’y avait vu que du feu… 
" />
Le 18/09/2017 à 17h59
Le 18/09/2017 à 18h02
C’est comme les pets, c’est toujours les plus discrets qui sont les plus violents.
" />
" />
" />
Il peut s’agir d’attaques en plusieurs phases et la collecte de données peut en faire partie.
Le 18/09/2017 à 18h04
C’est assez gênant comme histoire.
On a tendance à faire confiance au site de l’éditeur, ce qui semble normal.
On passe parfois à pas grand chose d’un gros soucis.
Ils comptent prévenir les utilisateurs à un moment donné ?
Non parce que c’est pas rien cette fuite de donnée.
Le 18/09/2017 à 18h14
Le 18/09/2017 à 18h14
Moi il y a un truc qui m’étonne, comment ça se fait que ce soit Cisco qui prévienne de l’intrusion.
Le 18/09/2017 à 18h30
peut être que le comportement suspect du logiciel à été découvert par des admins réseau bossant sur du cisco qui ont transmis les logs au support cisco pour analyse.
Le 18/09/2017 à 18h53
Je viens de lancer CCleaner après avoir vu cela, il m’a proposé de faire la mise à jour en précisant que c’était important et l’a téléchargé puis installé après avoir cliqué sur ok. Pourtant je n’ai pas la version premium o_O.
Le 18/09/2017 à 19h01
Je me demande si la version portable, que j’utilise de temps à autre, était infectée aussi.
Le 18/09/2017 à 19h05
Bien vu ! Donc j’étais safe ! :)
Le 18/09/2017 à 19h24
C’est aussi les plus discrets qui font mal en sortant.
" />
Le 18/09/2017 à 19h45
Les communications émises par le malware étaient intégralement chiffrées et codées en base64, avec un alphabet personnalisé. Elles contenaient le nom de l’ordinateur, la liste des logiciels installés, les mises à jour installées par Windows, tous les processus en cours d’exécution, les adresses IP et Mac, l’architecture et quelques autres données techniques.
Vous avez du confondre, ça c’est la télémétrie Windows 10
Le 18/09/2017 à 19h52
mouais perso j’ai un setup dans un coin si besoin, je m’amuse pas à faire la màj de ce soft tout le temps
" />
d’ailleurs resté à la v4, la v5 avec le look win8/10 m’avait donné envie de :vomi:
Le 19/09/2017 à 05h22
En même temps il y a 2 mois quand on a appris qu’Avast rachetait CCleaner, on a dit qu’il fallait commencer à chercher un remplaçant…
" />
Je pensais pas qu’on aurait raison aussi vite
Bon je n’utilise que la version portable, a priori non concernée et déjà remplacée par la plus récente il y a quelques jours…
Le 19/09/2017 à 06h50
Le 19/09/2017 à 07h30
Ouah ! Pour afficher autant de mépris gratuitement tu dois forcément être excellent dans tous les domaines qui peuvent exister. Je t’admire !
" />
Bon en dehors de la blague, ça sert à pas mal de gens que je connais qui ne font qu’utiliser l’informatique de manière simple. Oui on peut faire autrement, tout le monde la ramène à chaque actu sur l’outil, mais non certains préfèrent le tout en un du logiciel. J’ai même réussi à leur faire vérifier ce qu’il y a au démarrage du PC depuis qu’ils ont intégré ça à l’outil.
Bisous !
Le 19/09/2017 à 08h26
Surtout quand on débute ! Ce logiciel, si mal utilisé, peut s’avérer très dangereux pour la santé de ton OS.
Le 19/09/2017 à 08h27
File Hippo == distributeur de malwares, trojans et autres joyeusetés.
You’re fucked.
Le 19/09/2017 à 08h48
Pfff continuez à installer des trucs inutiles, machin cleaner, pc optimizer, ram booster etc c’est de la merde en boîte et Windows fonctionne très bien sans. Chaque fois que je vois un truc comme ça, désinstallation directe !
Le 19/09/2017 à 09h10
T’aurais pu attend dredi pour sortir de ta grotte…
Le 19/09/2017 à 11h01
Est-ce que la version portable est touchée également ?
Le 19/09/2017 à 11h14
Et quand c’est l’antivirus lui même qui te le propose, comme les dernières versions de BitDefender ou Kaspersky par exemple, tu fais quoi ?
" />
Tu vires la suite de sécurité ?
Ceci ditn j’anticipe ta réponse, mais oui, je vois pas trop pourquoi les éditeurs d’antivirus rajoutent ce genre d’outils dans leur suite… Je veux juste un antivirus et un parefeu fonctionnel sur la machine. Et encore, même ça, par moment, c’est compliqué suivant les suites.
Par contre, y’a un truc qui me perturbe… J’ai pas vu un seul appel à migrer sous Linux. C’est vraiment étrange
Le 19/09/2017 à 12h32
Ca me conforte dans l’idée de ne pas utiliser ces logiciels “miracles” souvent peu efficaces.
Le 19/09/2017 à 12h38
Suis-je bloqué d’une manière ou d’une autre ? J’arrive pas à citer Jaskier.
“Par contre, y’a un truc qui me perturbe… J’ai pas vu un seul appel à migrer sous Linux. C’est vraiment étrange”
J’utilise CCleaner à travers Wine pour nettoyer les restes de logiciels qui ne savent aujourd’hui toujours pas se désinstaller proprement.
Le 19/09/2017 à 14h01
Vraiment ? C’est inutile sur Wine
" />
Vire le profil et réinstalle le
Ou alors fais un profil par logiciel, c’est encore plus simple.