Maksim Kabakou - Fotolia
Une version compromise de CCleaner brièvement distribuée par son éditeur
Des pirates sont parvenus à modifier une version de l’installateur cet utilitaire populaire et à le faire distribuer par les serveurs de son éditeur, signé par certificat numérique, pendant près d’un mois.
L’affaire rappelle, au moins par certains aspects, l’épisode NotPetya : à nouveau, il s’agit d’une attaque basée sur la chaîne logistique du logiciel. Cette fois-ci, c’est l’éditeur Piriform, racheté à l’été dernier par Avast, qui a été visé, au travers de son utilitaire de gestion du stockage CCleaner.
Dans un billet de blog, les équipes de Talos, la division renseignement sur les menaces de Cisco, expliquent avoir découvert l’incident lors d’un test de leur « nouvelle technologie de détection d’exploit », le 13 septembre : l’installateur de CCleaner 5.33 était livré à des postes de travail « par les serveurs de téléchargement légitimes » de son éditeur. Mais il « déclenchait les systèmes de protection contre les logiciels malveillants avancés ». Signé avec le certificat numérique de Piriform, l’installateur ne se contentait en fait pas d’installer CCleaner : il déployait également une charge malicieuse embarquant des fonctions de communication avec des serveurs de commande et de contrôle.
CCleaner 5.33 est disponible depuis le 15 août. La version suivante est distribuée depuis le 12 septembre. Selon Cisco, « la version contenant la charge malicieuse a été distribuée entre ces dates ». Mais un autre échantillon a également été observé, signé un quart d’heure environ après le premier. Pour les équipes de l’équipementier, « la présence d’une signature numérique valide sur le binaire CCleaner malicieux pourrait indiquer un problème plus vaste dont le résultat serait la compromission de portions du processus de développement ou de signature » chez PiriformEt de suggérer la révocation du certificat en question.
Chez Piriform, Paul Yung, vice-président en charge des produits, estime que la menace est aujourd’hui contenue dans la mesure où le serveur de commande et de contrôle est fermé, « et les autres serveurs potentiels sont hors de contrôle de l’attaquant ». L’éditeur pousse en outre une nouvelle version de son utilitaire. CCleaner Cloud, également affecté, a aussi été mis à jour ; cette dernière est adressée automatiquement aux utilisateurs.
S’il rentre dans les détails techniques de la charge malveillante, Paul Yung ne dit toutefois rien sur la compromission éventuelle des processus de Piriform suspectée par les équipes de Talos. Ni non plus sur la question du certificat : « l’enquête est toujours en cours ». L'incident concernerait plus de deux millions d'utilisateurs.