CCleaner : Avast fait le point sur le piratage

CCleanerCCleaner a fait les gros titres hier suite à une publication des chercheurs en sécurité de Cisco, qui annonçaient avoir repéré une version compromise de l’utilitaire de nettoyage de disque comportant un malware. Cette version du logiciel était signée d’un certificat valide et proposée en téléchargement sur le site de l’éditeur pendant environ un mois, ce qui laissait penser que Piriform avait été victime d’une attaque sophistiquée ayant permis aux cybercriminels de prendre le contrôle de certaines parties de la chaîne de développement du logiciel.

Le post de Cisco donnait de nombreux détails sur le fonctionnement du malware, dont l’impact semblait néanmoins limité. Les cybercriminels avaient la possibilité d’exécuter du code sur les machines infectées par le malware, mais ne s’en sont apparemment pas servi. Plus de peur que de mal, mais cette mise à jour vérolée avait quand même été installée par un peu plus de 2,7 millions d’utilisateurs, comme le précisait un post de blog de Piriform dans la journée d’hier. Pas étonnant donc que la maison mère de Piriform, Avast, se fende d’un post de blog aujourd’hui pour revenir en détail sur l’attaque et dissiper les malentendus.

Avast explique que tout est sous contrôle

Signé par Vince Steckler, CEO d’Avast et Ondrej Vicek, le CTO de la société, ce post de blog entend tout d’abord tordre le cou aux approximations et exagérations sur le nombre de victimes. Selon Avast, 2,7 millions d’utilisateurs ont téléchargé la version malveillante de CCleaner, mais que grâce aux mises à jour poussées par la société, le nombre d’utilisateurs utilisant une version compromise de CCleaner sur leur machine est tombé à 700.000

Ce qui reste un chiffre conséquent, mais Avast se veut rassurant : non seulement les mises à jour ont été poussées vers les utilisateurs afin de les débarrasser du code malveillant, mais le serveur utilisé pour opérer le malware a été mis hors de fonctionnement. Cisco s’était déjà chargé d’enregistrer les noms de domaines générés automatiquement par le malware pour contacter son serveur de command&control, mais Avast explique qu’en lien avec les autorités, ils sont parvenus à identifier et à désactiver la machine utilisée pour opérer le malware. De fait, l’attaquant n’a donc théoriquement plus de contrôle sur les machines infectées et ne peut plus leur envoyer de code malveillant.

Avast est confiant à cet égard : « Environ 30% des utilisateurs de CCleaner utilisent également l’antivirus Avast, ce qui nous permet d’analyser les données liées à leur trafic réseau ainsi que le comportement de leur système. En nous basant sur les données de télémétrie provenant de ces utilisateurs, nous pouvons affirmer que la deuxième phase de la charge utile du malware n’a jamais été activée » précise la société.

Le communiqué est également l’occasion d’en apprendre un peu plus sur l’origine de l’attaque. En s’appuyant sur la date d’émission du certificat, Avast estime ainsi que la version compromise de l’installateur a été mise en place sur le serveur au début du mois de juillet, avant que celui-ci ne soit rendu accessible au public au milieu du mois d’août. Avast précise au passage que l’attaque s’est probablement produite avant que la société ne finalise l’acquisition de Piriform.

Continuez votre lecture sur ZDnet.fr