Accueil Cybersécurité Le logiciel CCleaner utilisé par 130 millions de personnes infecté par des...

Le logiciel CCleaner utilisé par 130 millions de personnes infecté par des codes malveillants

CCcleaner Free v5.33 - le logiciel gratuit est virusé

Certaines versions du logiciel de nettoyage CCleaner ont été compromises. Des millions d’utilisateurs ont potentiellement été touchés.

L’éditeur Piriform indiquait lundi 19 septembre que les 2,7 millions d’utilisateurs de la version CCleaner v5.33.6162 et les 5 000 de CCleaner Cloud v1.07.3191 (mises à jour en août) étaient susceptibles d’avoir été atteints par un malware. Le programme gratuit, qui fait le ménage en supprimant les logiciels indésirables et les cookies publicitaires, dirige les ordinateurs vers un serveur localisé aux Etats-Unis contrôlé par des pirates. Depuis, le serveur a été fermé et des versions saines ont été lancées le 12 septembre pour la première (5.34) et le 15 septembre pour la mouture Cloud – la seule pouvant être updatée automatiquement pour retirer le code malveillant. Pour la première, il faudra donc la supprimer avant d’installer la nouvelle.

CCleaner 5.33
CCleaner version 5.33

 

Un logiciel « légitime » infecté

Piriform a été informé de la faille par les chercheurs en sécurité de Cisco. Selon Cisco, dans une version de CCleaner téléchargé en août et en septembre, des outils d’administration à distance ont essayé de se connecter à plusieurs pages Web non enregistrées, probablement pour télécharger des programmes non autorisés supplémentaires.  « Ce n’est pas la première fois que les hackers cherchent à exploiter les mises à jour logiciel. En 2012, le malware Flame  avait compromis la mise à jour Windows. En 2014, Le trojan Havex a été distribué via des paquets d’installation de logiciels compromis. En 2016, une barre d’outils d’un navigateur célèbre avait été exploitée pour distribuer des malwares cachés à l’insu de ses utilisateurs », rappelle Martin Lee de chez Cisco Talos. L’attaque Petya de cet été relève de la même technique d’attaque, s’appuyant sur la mise à jour d’un logiciel de gestion. Une infiltration dans les serveurs de Piriform a permis d’infecter directement le logiciel à la source, cela de façon incognito, puisque l’exécutable principal possédait une signature digitale qui confirmait son authenticité.
Les investigations en cours ne  permettent pas pour le moment d’indiquer l’origine ni le but précis de l’attaque.

5 millions de téléchargements hebdomadaires

CCleaner est le principal produit de la société londonienne Piriform, achetée en juillet dernier par Avast, l’un des plus grands fournisseurs de sécurité informatique au monde. Au moment de l’acquisition, la société déclarait que 130 millions de personnes utilisaient ce logiciel de nettoyage. Chaque semaine, ce sont 5 millions d’utilisateurs qui le téléchargent.  Les particuliers sont les premiers touchés car CCleaner est un logiciel gratuit grand public. Néanmoins, l’entreprise et ses réseaux peuvent l’être en raison des politiques BYOD (Bring Your Own Device) pratiquées…
Pour Cisco, cette attaque met en évidence la responsabilité des éditeurs de logiciel légitime qui doivent protéger de manière extrêmement sérieuse l’accès à leur code source. En cas d’attaque, ils doivent être également irréprochables en terme de réaction et de remédiation.

 

 

 

.