Avast reconnaît à son tour une brèche dans son réseau interne
Le 23 octobre 2019 à 08h59
2 min
Internet
L’évènement ressemble dans les grandes lignes à celui survenu en 2017, avec la même cible : CCleaner. À l’époque, l’outil appartenait encore à son créateur, Piriform, depuis racheté par Avast. Un malware avait pu être distribué pendant un mois.
Selon l’éditeur, la nouvelle attaque a été rendue possible par le vol d’identifiants VPN d’un employé. Facteur aggravant, le compte en question n’était pas protégé par une double authentification.
L’attention a été attirée par une soudaine élévation des privilèges sur le compte piraté, qui ne possédait pas de droits administrateurs, mais avait réussi à les obtenir.
La brèche a été repérée le 23 septembre, mais les preuves retrouvées remontent jusqu’au 14 mai, soit plus de cinq mois. L’éditeur se montre assez franc, avouant s’être replongé dans ce qu’il avait jugé être « des faux positifs » renvoyés par ATA (Advanced Threat Analytics), service commercialisé par Microsoft. Des éléments qui prenaient alors un sens nouveau.
Selon Avast, la connexion a été laissée volontairement active après coup, afin de suivre l’activité du ou des pirates, et de remonter jusqu’à la source si possible. Elle n’a donc été fermée que le 15 octobre, le temps de vérifier le code de CCleaner, qui semblait tant intéresser l’attaquant.
Ce code avait été mis hors ligne à la découverte de l’incident. Après vérification de son intégrité, le certificat utilisé a été révoqué et un nouveau a été ajouté. Enfin, une mise à jour a été envoyée automatiquement aux installations existantes le 15 octobre. L’entreprise a en outre remis à zéro tous les mots de passe des employés.
Ce type d’attaque n’est pas nouveau. Un outil aussi utilisé que CCleaner représente un vecteur d’infection idéal pour des pirates, à condition qu’ils puissent modifier les binaires depuis l’infrastructure de l’éditeur concerné.
L’incident est rare, mais est potentiellement dévastateur. On se souvient notamment de la contamination du client BitTorrent Transmission pour macOS en 2016.
Le 23 octobre 2019 à 08h59
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/10/2019 à 08h17
#1
C’est chaud quand même.
Deux attaques en 2 ans, c’est chaud.
Les attaquants ont eu accès au code?
Je vais désinstaller CCleaner je pense. " />
Le 23/10/2019 à 08h44
#2
Profites en pour désinstaller Windows aussi ;)
Le 23/10/2019 à 08h48
#3
Ok, je le ferai quand GNU/Linux aura des drivers de qualité, que WINE/Proton/DXVK seront plus matures, que le dongle de la manette Xbox One sera supporté et que uPlay, GOG, et Origin soient supportés. " />
Le 23/10/2019 à 08h53
#4
Ha bah là, effectivement, c’est pas demain la veille " />
Certains acteurs feront de la résistance jusqu’au bout.
Le 23/10/2019 à 08h55
#5
Ma phrase a pas de sens non plus remarque. " />
Un ptit café ça me ferait du bien.
Le 23/10/2019 à 08h59
#6
En même temps ça partait de mon troll donc bon.
Vé au café aussi tiens !
Le 23/10/2019 à 10h23
#7
Un binaire compromis chez Avast, c’est aussi le même binaire compris chez tous les sites de téléchargement à la 01net, etc. Je me demande comment ces derniers gèrent la sécurité :-p
Je sais bien que chercher des logiciels sur ces plateformes est une très, mais alors très mauvaise idée, mais j’imagine que des gens les utilisent encore.
Le 23/10/2019 à 10h31
#8
J’avais viré CCleaner de mes machines après la dernière attaque…c’est pratique mais on s’en passe.
C’est quand même pas reluisant pour Avast - une boîte censée être bourrée d’experts en sécurité, et qui n’arrête pas de se faire hacker…
Le 23/10/2019 à 11h35
#9
yeah encore, autant resté sur la protection de base de windows 10 et trouvé un équivalent pour CCleaner
Le 23/10/2019 à 16h18
#10
C’est raccord avec la qualité de leur antivirus en fait : tu passes un coup de Nod32/Kaspersky/n’importe quel antivirus sérieux sur une machine “protégée” par Avast tu trouves presque systématiquement des montagnes de merdouilles plus ou moins nuisibles qui sont passés dans les trous de la passoire.
Perso j’ai jamais compris comment ils arrivent à figurer relativement bien dans les comparatifs d’antivirus quand je vois le nombre de machines “protégées” par ce truc que j’ai eu à nettoyer car elles ramaient lamentablement/déconnaient à plein tubes car infestées de saletés.
Le 23/10/2019 à 17h52
#11
Le 23/10/2019 à 17h59
#12
Je sais, j’ai un dualboot avec Ubuntu. ;)
Le 23/10/2019 à 18h08
#13
Ok tu m’as eu…
Le 23/10/2019 à 18h58
#14
Ce type d’attaque n’est pas nouveau. Un outil aussi utilisé que CCleaner représente un vecteur d’infection idéal pour des pirates, à condition qu’ils puissent modifier les binaires depuis l’infrastructure de l’éditeur concerné.
A mois d’uploader une version bloatée directement sur le serveur pour remplacer l’original.
Le 23/10/2019 à 19h45
#15
Ils auraient du se douter de la brèche quand leur Avast a fait ce coup
https://www.youtube.com/watch?v=PMro9K5EM0s
Le 23/10/2019 à 21h44
#16
Le 23/10/2019 à 21h47
#17
Debian marche bien avec Proton, tout ça?
Le 24/10/2019 à 11h18
#18
Le 24/10/2019 à 11h28
#19
Le 24/10/2019 à 11h31
#20
Oui mais Debian Stable je veux dire. " />
Parce qu’il faut installer les derniers drivers Nvidia, tout ça.
Ça implique des backport j’imagine.
Le 24/10/2019 à 11h51
#21
Le 24/10/2019 à 17h47
#22