Malware dans Ccleaner : 2.27M d’utilisateurs touchés selon Avast

18 Sep 2017

Les utilisateurs du logiciel Ccleaner conçu pour optimiser les performances du système sur les PC Windows et les appareils mobiles Android ont eu une mauvaise surprise ce matin lorsque Piriform, l’entreprise qui fabrique l’outil CCleaner, a révélé dans une publication sur son blog que certaines versions du logiciel avaient été compromises par des pirates informatiques.
Les versions affectées du logiciel sont les suivantes : CCleaner 5.33.6162 et CCleaner Cloud 1.07.3191.
La société incite les utilisateurs à mettre à jour le logiciel vers la version 5.34 immédiatement
Le logiciel malveillant était apparemment capable de récolter divers types de données à partir de machines infectées : le nom de l’ordinateur, l’adresse IP, la liste des logiciels installés, la liste des logiciels actifs et la liste des interfaces réseau en le transmettant à un serveur informatique tiers situé aux États-Unis.

«En travaillant avec les forces de l’ordre des États-Unis, nous avons fermé ce serveur le 15 septembre avant qu’un préjudice connu ne soit fait.»
Un porte-parole du géant de la sécurité Avast a dit: «Nous croyons que les utilisateurs sont en sécurité car nous avons pu désarmer la menace avant qu’elle ne puisse être activée.  »
« Nous estimons que 2,27 millions d’utilisateurs avaient le logiciel installé sur les machines Windows 32 bits ».

Au moment de l’acquisition par Avast, CCleaner a été vendu avec ses 130 millions d’utilisateurs, dont 15M sur Android. Bien sur, de nombreuses inquiétudes ont été soulevées au sujet du très grand nombre potentiel d’appareils affectés.
Aucune personne utilisant l’outil sur les appareils Android n’a été affectée, selon la porte-parole de Avast.
Le vice-président des produits de Piriform s’est intéressé à certains détails techniques concernant le piratage.

«Une modification non autorisée de CCleaner.exe a entraîné l’insertion d’un backdoor en deux étapes capable d’exécuter le code reçu d’une adresse IP distante ».

Une activité suspecte depuis le 12 Septembre

Il note également que la société a d’abord remarqué une activité suspecte le 12 septembre 2017, avant que l’enquête ne soit révélée « La version 5.33.6162 de CCleaner et la version 1.07.3191 de CCleaner Cloud ont été modifiées illégalement avant sa sortie public ».

Cela signifie que certains utilisateurs Windows de CCleaner auraient pu compromettre leurs machines pendant plus d’un mois, étant donné que les versions affectées de l’outil ont été diffusées respectivement le 15 août et le 24 août.

Piriform a ajouté qu’il estime que ces versions « peuvent avoir été utilisées par plus de 3% de utilisateurs » – ce qui pousserait le panel d’utilisateurs affectés jusqu’à 3,9M.

Le CTO d’Avast, Ondrej Vlcek, a refusé de spéculer sur les intentions des pirates informatiques en disant qu’il ne pouvait pas commenter car il y avait une enquête en cours.

Interrogé sur les mesures supplémentaires prises pour se prémunir contre une attaque future, Vlcek nous a dit: «Nous nous assurons que le problème ne se reproduise pas en transférant l’ensemble de l’environnement de construction de produits Piriform sur une autre infrastructure plus sécurisée d’Avast».

Normandie Mkt Contact