Cisco : Backdoor dans CCleaner, un nouveau type de menace

La détection par l’équipe de Threat Intelligence Cisco Talos de la distribution massive d’une backdoor malicieuse via CCleaner démontre une nouvelle fois la nécessité pour les entreprises de redoubler de vigilance.

L’imagination des hackers est sans limite, la sécurisation des systèmes est une préoccupation de tous les instants où nulle position n’est acquise.

Un scénario similaire à celui de l’attaque Nyetya au cours de laquelle les hackers ont démontré leur capacité à exploiter de nouveaux canaux pour diffuser des malwares de manière massive.

Le mode de distribution des menaces est en pleine mutation

Martin Lee, expert Threat Intelligence chez Talos Cisco le confirme, ce n’est pas la première fois que les hackers cherchent à exploiter les mises à jour logicielles.

Déjà en 2012, le malware Flame aurait falsifié le mécanisme de mise à jour de Windows. En 2014, Le trojan Havex a été distribué via des paquets d’installation de logiciels compromis. Et en 2016, une barre d’outils de navigateur célèbre avait été exploitée pour distribuer des malware cachés à l’insu de ses utilisateurs.

L’éducation des utilisateurs a porté ses fruits, des réflexes salutaires se sont créés. Mais ces techniques de protection de base, comme ne pas cliquer dans un e-mail suspect ou éviter les sites réputés malveillants par exemple, ne suffisent plus à les protéger.

Aujourd’hui, n’importe quel utilisateur peut être, à son insu, victime d’une attaque ou une infection, via un logiciel pourtant légitime et réputé sûr.

Ainsi, l’agence Reuters rapportait, le 18 septembre dernier, que 2,27 millions utilisateurs de la version compromise CCleaner v5.33.6162 et 5 000 de la version CCleaner Cloud v1.07.3191. étaient susceptibles d’avoir été atteints par un malware.

Ces chiffres sont impressionnants, les investigations sont en cours pour déterminer l’origine précise de l’attaque et d’en connaître l’objectif final.

En l’état, il existe peu de parades sinon, pour chaque utilisateur, restaurer la configuration d’origine de sa machine telle qu’elle était avant l’installation du logiciel suspect. Maigre consolation qui incite à une vigilance accrue !

Cette récente attaque met en évidence la responsabilité des éditeurs de logiciels légitimes dans la prévention et la protection de leurs utilisateurs.

Ils doivent dorénavant impérativement se préoccuper de la protection renforcée des accès à leur code source.

En cas d’attaque, ils doivent par ailleurs être également irréprochables non seulement en termes de réactivité et mais aussi et surtout de remédiation.

Un « coup en 2 bandes » dont peuvent pâtir les entreprises

Pour revenir à cette faille détectée dans CCleaner, si les particuliers sont les premiers touchés, le logiciel étant gratuit et grand public, on se saurait se contenter ou être rassuré par ce simple constat.

Car les conséquences de ce nouveau mode de distribution de malwares peuvent aussi affecter indirectement les entreprises.

En effet, les politiques BYOD (Bring Your Own Device) qu’elles mettent aujourd’hui en place, encouragent les salariés à utiliser leur propre matériel mobile au sein de leur environnement professionnel.

C’est par ce vecteur que les malwares peuvent désormais atteindre et affecter les réseaux d’entreprise. Et mettre en danger l’ensemble de leurs activités.

La preuve est faite qu’il est indispensable de protéger l’ensemble du périmètre de l’entreprise, du cloud au réseau en passant par les terminaux.

A ce titre, les seules solutions viables sont celles qui permettent d’obtenir une visibilité totale sur les mouvements réseau et de protéger ainsi le périmètre le plus large possible.