Connexion
Abonnez-vous

Avast reconnaît à son tour une brèche dans son réseau interne

Avast reconnaît à son tour une brèche dans son réseau interne

Le 23 octobre 2019 à 08h59

L’évènement ressemble dans les grandes lignes à celui survenu en 2017, avec la même cible : CCleaner. À l’époque, l’outil appartenait encore à son créateur, Piriform, depuis racheté par Avast. Un malware avait pu être distribué pendant un mois.

Selon l’éditeur, la nouvelle attaque a été rendue possible par le vol d’identifiants VPN d’un employé. Facteur aggravant, le compte en question n’était pas protégé par une double authentification.

L’attention a été attirée par une soudaine élévation des privilèges sur le compte piraté, qui ne possédait pas de droits administrateurs, mais avait réussi à les obtenir.

La brèche a été repérée le 23 septembre, mais les preuves retrouvées remontent jusqu’au 14 mai, soit plus de cinq mois. L’éditeur se montre assez franc, avouant s’être replongé dans ce qu’il avait jugé être « des faux positifs » renvoyés par ATA (Advanced Threat Analytics), service commercialisé par Microsoft. Des éléments qui prenaient alors un sens nouveau.

Selon Avast, la connexion a été laissée volontairement active après coup, afin de suivre l’activité du ou des pirates, et de remonter jusqu’à la source si possible. Elle n’a donc été fermée que le 15 octobre, le temps de vérifier le code de CCleaner, qui semblait tant intéresser l’attaquant.

Ce code avait été mis hors ligne à la découverte de l’incident. Après vérification de son intégrité, le certificat utilisé a été révoqué et un nouveau a été ajouté. Enfin, une mise à jour a été envoyée automatiquement aux installations existantes le 15 octobre. L’entreprise a en outre remis à zéro tous les mots de passe des employés.

Ce type d’attaque n’est pas nouveau. Un outil aussi utilisé que CCleaner représente un vecteur d’infection idéal pour des pirates, à condition qu’ils puissent modifier les binaires depuis l’infrastructure de l’éditeur concerné.

L’incident est rare, mais est potentiellement dévastateur. On se souvient notamment de la contamination du client BitTorrent Transmission pour macOS en 2016.

Le 23 octobre 2019 à 08h59

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est chaud quand même.

Deux attaques en 2 ans, c’est chaud.





Les attaquants ont eu accès au code?

Je vais désinstaller CCleaner je pense. <img data-src=" />

votre avatar

Profites en pour désinstaller Windows aussi ;)

votre avatar

Ok, je le ferai quand GNU/Linux aura des drivers de qualité, que WINE/Proton/DXVK seront plus matures, que le dongle de la manette Xbox One sera supporté et que uPlay, GOG, et Origin soient supportés. <img data-src=" />

votre avatar

Ha bah là, effectivement, c’est pas demain la veille <img data-src=" />

Certains acteurs feront de la résistance jusqu’au bout.

votre avatar

Ma phrase a pas de sens non plus remarque. <img data-src=" />



Un ptit café ça me ferait du bien.

votre avatar

En même temps ça partait de mon troll donc bon.

Vé au café aussi tiens !

votre avatar

Un binaire compromis chez Avast, c’est aussi le même binaire compris chez tous les sites de téléchargement à la 01net, etc. Je me demande comment ces derniers gèrent la sécurité :-p

Je sais bien que chercher des logiciels sur ces plateformes est une très, mais alors très mauvaise idée, mais j’imagine que des gens les utilisent encore.

votre avatar

J’avais viré CCleaner de mes machines après la dernière attaque…c’est pratique mais on s’en passe.



C’est quand même pas reluisant pour Avast - une boîte censée être bourrée d’experts en sécurité, et qui n’arrête pas de se faire hacker…

votre avatar

yeah encore, autant resté sur la protection de base de windows 10 et trouvé un équivalent pour CCleaner









dylem29 a écrit :



Ma phrase a pas de sens non plus remarque. <img data-src=" />



Un ptit café ça me ferait du bien.





Perso linux, bof, support moyen de secureboot et tpm inexistant, j’attend qu’il implémente la sécurité minimale avant d’y repassé (du mal avec ubuntu et fedora me parait super lent dans sa bibliothèque d’application (qui ne touche pas au mirroir (extension codec etc)


votre avatar

C’est raccord avec la qualité de leur antivirus en fait : tu passes un coup de Nod32/Kaspersky/n’importe quel antivirus sérieux sur une machine “protégée” par Avast tu trouves presque systématiquement des montagnes de merdouilles plus ou moins nuisibles qui sont passés dans les trous de la passoire.



Perso j’ai jamais compris comment ils arrivent à figurer relativement bien dans les comparatifs d’antivirus quand je vois le nombre de machines “protégées” par ce truc que j’ai eu à nettoyer car elles ramaient lamentablement/déconnaient à plein tubes car infestées de saletés.

votre avatar







dylem29 a écrit :



Ok, je le ferai quand GNU/Linux aura des drivers de qualité, que WINE/Proton/DXVK seront plus matures, que le dongle de la manette Xbox One sera supporté et que uPlay, GOG, et Origin soient supportés. <img data-src=" />







Je veux pas feed le troll mais… si tu veux que les éditeurs supportent officiellement et correctement GNU/Linux, il faut d’abord que les gens l’utilisent, il faut qu’ils y voient un marché. Bref l’histoire de l’oeuf et la poule.



Le dongle xbox n’est pas supporté car c’est un dongle bluetooth fermé avec un protocole propriétaire. Avec un vrai dongle bluetooth ça fonctionne sur Linux !



Et les drivers sont de qualité quand les specs du hardware sont publiques <img data-src=" />



Concernant Wine, ça fonctionne très bien, et la liste des jeux supportés est de plus en plus grande. Ils ont recodé tout Directx9-10 ahah. Pour donner un exemple de gros jeux supportés : Sekiro, Monster Hunter World. Il n’y a vraiment que les derniers gros jeux AAA blindé de DRM qui ne fonctionnent pas (encore), à la fois à cause des dernières API propriétaires utilisées, même si ça se fait rare, et des DRM.


votre avatar

Je sais, j’ai un dualboot avec Ubuntu. ;)

votre avatar

Ok tu m’as eu… :oui2:

votre avatar



Ce type d’attaque n’est pas nouveau. Un outil aussi utilisé que CCleaner représente un vecteur d’infection idéal pour des pirates, à condition qu’ils puissent modifier les binaires depuis l’infrastructure de l’éditeur concerné.





A mois d’uploader une version bloatée directement sur le serveur pour remplacer l’original.

votre avatar

Ils auraient du se douter de la brèche quand leur Avast a fait ce coup



https://www.youtube.com/watch?v=PMro9K5EM0s

votre avatar







Guinnness a écrit :



C’est raccord avec la qualité de leur antivirus en fait : tu passes un coup de Nod32/Kaspersky/n’importe quel antivirus sérieux sur une machine “protégée” par Avast tu trouves presque systématiquement des montagnes de merdouilles plus ou moins nuisibles qui sont passés dans les trous de la passoire.



Perso j’ai jamais compris comment ils arrivent à figurer relativement bien dans les comparatifs d’antivirus quand je vois le nombre de machines “protégées” par ce truc que j’ai eu à nettoyer car elles ramaient lamentablement/déconnaient à plein tubes car infestées de saletés.







Quel(s) antimalware(s) gratuit(s) préconises-tu ?


votre avatar

Debian marche bien avec Proton, tout ça?

votre avatar







Guinnness a écrit :



C’est raccord avec la qualité de leur antivirus en fait : tu passes un coup de Nod32/Kaspersky/n’importe quel antivirus sérieux sur une machine “protégée” par Avast tu trouves presque systématiquement des montagnes de merdouilles plus ou moins nuisibles qui sont passés dans les trous de la passoire.



Perso j’ai jamais compris comment ils arrivent à figurer relativement bien dans les comparatifs d’antivirus quand je vois le nombre de machines “protégées” par ce truc que j’ai eu à nettoyer car elles ramaient lamentablement/déconnaient à plein tubes car infestées de saletés.





+10000! <img data-src=" />





Avast est un antivirus de “kitouch”. Ce logiciel est une grosse m… qui fait ramer les PC, fait suer pour des trucs sans importance (voir des faux positifs) pour montrer qu’il est “efficace”, et est une véritable passoire.



En gratuit, rien de mieux que Kaspersky Free. <img data-src=" /> <img data-src=" />


votre avatar







dylem29 a écrit :



Debian marche bien avec Proton, tout ça?





Ubuntu c’est debian avec une custom de quelques packages, donc oui


votre avatar

Oui mais Debian Stable je veux dire. <img data-src=" />





Parce qu’il faut installer les derniers drivers Nvidia, tout ça.

Ça implique des backport j’imagine.

votre avatar







dylem29 a écrit :



Oui mais Debian Stable je veux dire. <img data-src=" />





Parce qu’il faut installer les derniers drivers Nvidia, tout ça.

Ça implique des backport j’imagine.





C’est possible, mais il vaut mieux partir sur debian testing (ce qu’est ubuntu) pour pas se faire chier avec les configs. Je suis sur debian sid pour ça justement, pas me faire chier avec les backports. Avec debian sid tout fonctionne out of the box. Debian stable c’est pour les serveurs ou les pc bureautiques avec des besoins minimum


votre avatar







Paul Muad’Dib a écrit :



Quel(s) antimalware(s) gratuit(s) préconises-tu ?





Après avoir utilisé longtemps Eset Internet Security j’en ai eu mare de payer une licence (et se “protéger” avec un antivirus/antimalware cracké de mon point de vue c’est un peu … <img data-src=" />) du coup j’ai tenté Comodo Internet Security et pour l’instant RAS



Il y a probablement d’autres gratuits valables mais beaucoup sont complètement flingués par les rappels incessants à acheter les versions commerciales du même éditeur, perso ça m’incite surtout à dégager le truc … <img data-src=" />









GTO a écrit :



En gratuit, rien de mieux que Kaspersky Free. <img data-src=" /> <img data-src=" />





J’avais testé il y a des années mais en gratuit il n’y avait que le scanner à la demande et pas de solution de nettoyage, autant dire qu’à par confirmer des doutes sur une machine boiteuse ça servait pas à grand chose.

Je viens de regarder et effectivement c’est devenu nettement plus complet aujourd’hui, faudra que je reteste ça un de ces jours.


Avast reconnaît à son tour une brèche dans son réseau interne

Fermer