CCleaner : Avast fait le point sur le piratage

CCleaner a fait les gros titres hier suite à une publication des chercheurs en sécurité de Cisco, qui annonçaient avoir repéré une version compromise de l’utilitaire de nettoyage de disque comportant un malware. Cette version du logiciel était signée d’un certificat valide et proposée en téléchargement sur le site de l’éditeur pendant environ un mois, ce qui laissait penser que Piriform avait été victime d’une attaque sophistiquée ayant permis aux cybercriminels de prendre le contrôle de certaines parties de la chaîne de développement du logiciel.


Le post de Cisco donnait de nombreux détails sur le fonctionnement du malware, dont l’impact semblait néanmoins limité. Les cybercriminels avaient la possibilité d’exécuter du code sur les machines infectées par le malware, mais ne s’en sont apparemment pas servi. Plus de peur que de mal, mais cette mise à jour vérolée avait quand même été installée par un peu plus de 2,7 millions d’utilisateurs, comme le précisait un post de blog de Piriform dans la journée d’hier. Pas étonnant donc que la maison mère de Piriform, Avast, se fende d’un post de blog aujourd’hui pour revenir en détail sur l’attaque et dissiper les malentendus.

Avast explique que tout est sous contrôle


Signé par Vince Steckler, CEO d’Avast et Ondrej Vicek, le CTO de la société, ce post de blog entend tout d’abord tordre le cou aux approximations et exagérations sur le nombre de victimes. Selon Avast, 2,7 millions d’utilisateurs ont téléchargé la version malveillante de CCleaner, mais que grâce aux mises à jour poussées par la société, le nombre d’utilisateurs utilisant une version compromise de CCleaner sur leur machine est tombé à 700.000.

 

Ce qui reste un chiffre conséquent, mais Avast se veut rassurant : non seulement les mises à jour ont été poussées vers les utilisateurs afin de les débarrasser du code malveillant, mais le serveur utilisé pour opérer le malware a été mis hors de fonctionnement. Cisco s’était déjà chargé d’enregistrer les noms de domaines générés automatiquement par le malware pour contacter son serveur de command&control, mais Avast explique qu’en lien avec les autorités, ils sont parvenus à identifier et à désactiver la machine utilisée pour opérer le malware. De fait, l’attaquant n’a donc théoriquement plus de contrôle sur les machines infectées et ne peut plus leur envoyer de code malveillant.

Avast est confiant à cet égard : « Environ 30% des utilisateurs de CCleaner utilisent également l’antivirus Avast, ce qui nous permet d’analyser les données liées à leur trafic réseau ainsi que le comportement de leur système. En nous basant sur les données de télémétrie provenant de ces utilisateurs, nous pouvons affirmer que la deuxième phase de la charge utile du malware n’a jamais été activée » précise la société.


Le communiqué est également l’occasion d’en apprendre un peu plus sur l’origine de l’attaque. En s’appuyant sur la date d’émission du certificat, Avast estime ainsi que la version compromise de l’installateur a été mise en place sur le serveur au début du mois de juillet, avant que celui-ci ne soit rendu accessible au public au milieu du mois d’août. Avast précise au passage que l’attaque s’est probablement produite avant que la société ne finalise l’acquisition de Piriform.

Les joies de la concurrence? 

Quant à la découverte de l’attaque, Avast remercie ici la société israélienne Morphisec, qui a été la première à le prévenir de l’infection le 12 septembre. Avast explique ainsi que Morphisec avait été la première à avertir Avast, avant même que les équipes de Cisco ne fassent de même. « Nous pensons que Morphisec a également prévenu les équipes de Cisco », ajoute au passage Avast. Une supposition innocente, mais qui ressemble à un croche-patte entre concurrents : à aucun moment les équipes de Talos, la branche sécurité de Cisco, n’ont mentionné la start-up israélienne dans leur post à ce sujet. On imagine assez mal deux sociétés de sécurité complètement indépendantes découvrir la même attaque au même moment, donc l’origine exacte de la découverte reste à éclaircir.


Mais Avast promet que la crise est maintenant résolue. La société a pris des mesures afin de s’assurer que ce genre de problème ne se reproduira plus et annonce que l’infrastructure de Piriform est en cours de migration vers celle d’Avast, afin de disposer d’un meilleur contrôle sur la chaîne de développement des logiciels.

Pour les utilisateurs affectés, la suite des opérations simple : patcher sur une version plus récente que la 5.33.6162 ou se débarrasser purement et simplement de CCleaner, ce qui n’est pas forcement une mauvaise idée de l’avis de plusieurs experts en sécurité.

ZDNet