Avast reconnaît à son tour une brèche dans son réseau interne
Le 23 octobre 2019 à 08h59
2 min
Internet
Internet
L’évènement ressemble dans les grandes lignes à celui survenu en 2017, avec la même cible : CCleaner. À l’époque, l’outil appartenait encore à son créateur, Piriform, depuis racheté par Avast. Un malware avait pu être distribué pendant un mois.
Selon l’éditeur, la nouvelle attaque a été rendue possible par le vol d’identifiants VPN d’un employé. Facteur aggravant, le compte en question n’était pas protégé par une double authentification.
L’attention a été attirée par une soudaine élévation des privilèges sur le compte piraté, qui ne possédait pas de droits administrateurs, mais avait réussi à les obtenir.
La brèche a été repérée le 23 septembre, mais les preuves retrouvées remontent jusqu’au 14 mai, soit plus de cinq mois. L’éditeur se montre assez franc, avouant s’être replongé dans ce qu’il avait jugé être « des faux positifs » renvoyés par ATA (Advanced Threat Analytics), service commercialisé par Microsoft. Des éléments qui prenaient alors un sens nouveau.
Selon Avast, la connexion a été laissée volontairement active après coup, afin de suivre l’activité du ou des pirates, et de remonter jusqu’à la source si possible. Elle n’a donc été fermée que le 15 octobre, le temps de vérifier le code de CCleaner, qui semblait tant intéresser l’attaquant.
Ce code avait été mis hors ligne à la découverte de l’incident. Après vérification de son intégrité, le certificat utilisé a été révoqué et un nouveau a été ajouté. Enfin, une mise à jour a été envoyée automatiquement aux installations existantes le 15 octobre. L’entreprise a en outre remis à zéro tous les mots de passe des employés.
Ce type d’attaque n’est pas nouveau. Un outil aussi utilisé que CCleaner représente un vecteur d’infection idéal pour des pirates, à condition qu’ils puissent modifier les binaires depuis l’infrastructure de l’éditeur concerné.
L’incident est rare, mais est potentiellement dévastateur. On se souvient notamment de la contamination du client BitTorrent Transmission pour macOS en 2016.
Le 23 octobre 2019 à 08h59
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/10/2019 à 08h17
C’est chaud quand même.
Deux attaques en 2 ans, c’est chaud.
Les attaquants ont eu accès au code?
Je vais désinstaller CCleaner je pense. " />
Le 23/10/2019 à 08h44
Profites en pour désinstaller Windows aussi ;)
Le 23/10/2019 à 08h48
Ok, je le ferai quand GNU/Linux aura des drivers de qualité, que WINE/Proton/DXVK seront plus matures, que le dongle de la manette Xbox One sera supporté et que uPlay, GOG, et Origin soient supportés. " />
Le 23/10/2019 à 08h53
Ha bah là, effectivement, c’est pas demain la veille " />
Certains acteurs feront de la résistance jusqu’au bout.
Le 23/10/2019 à 08h55
Ma phrase a pas de sens non plus remarque. " />
Un ptit café ça me ferait du bien.
Le 23/10/2019 à 08h59
En même temps ça partait de mon troll donc bon.
Vé au café aussi tiens !
Le 23/10/2019 à 10h23
Un binaire compromis chez Avast, c’est aussi le même binaire compris chez tous les sites de téléchargement à la 01net, etc. Je me demande comment ces derniers gèrent la sécurité :-p
Je sais bien que chercher des logiciels sur ces plateformes est une très, mais alors très mauvaise idée, mais j’imagine que des gens les utilisent encore.
Le 23/10/2019 à 10h31
J’avais viré CCleaner de mes machines après la dernière attaque…c’est pratique mais on s’en passe.
C’est quand même pas reluisant pour Avast - une boîte censée être bourrée d’experts en sécurité, et qui n’arrête pas de se faire hacker…
Le 23/10/2019 à 11h35
yeah encore, autant resté sur la protection de base de windows 10 et trouvé un équivalent pour CCleaner
Le 23/10/2019 à 16h18
C’est raccord avec la qualité de leur antivirus en fait : tu passes un coup de Nod32/Kaspersky/n’importe quel antivirus sérieux sur une machine “protégée” par Avast tu trouves presque systématiquement des montagnes de merdouilles plus ou moins nuisibles qui sont passés dans les trous de la passoire.
Perso j’ai jamais compris comment ils arrivent à figurer relativement bien dans les comparatifs d’antivirus quand je vois le nombre de machines “protégées” par ce truc que j’ai eu à nettoyer car elles ramaient lamentablement/déconnaient à plein tubes car infestées de saletés.
Le 23/10/2019 à 17h52
Le 23/10/2019 à 17h59
Je sais, j’ai un dualboot avec Ubuntu. ;)
Le 23/10/2019 à 18h08
Ok tu m’as eu…
Le 23/10/2019 à 18h58
Ce type d’attaque n’est pas nouveau. Un outil aussi utilisé que CCleaner représente un vecteur d’infection idéal pour des pirates, à condition qu’ils puissent modifier les binaires depuis l’infrastructure de l’éditeur concerné.
A mois d’uploader une version bloatée directement sur le serveur pour remplacer l’original.
Le 23/10/2019 à 19h45
Ils auraient du se douter de la brèche quand leur Avast a fait ce coup
YouTube
Le 23/10/2019 à 21h44
Le 23/10/2019 à 21h47
Debian marche bien avec Proton, tout ça?
Le 24/10/2019 à 11h18
Le 24/10/2019 à 11h28
Le 24/10/2019 à 11h31
Oui mais Debian Stable je veux dire. " />
Parce qu’il faut installer les derniers drivers Nvidia, tout ça.
Ça implique des backport j’imagine.
Le 24/10/2019 à 11h51
Le 24/10/2019 à 17h47