Pour gérer vos consentements :

L’utilitaire CCleaner compromis par une backdoor

Piriform, l’éditeur de l’utilitaire CCleaner de nettoyage et d’optimisation de Windows, vient de reconnaître qu’il a fait l’objet d’une attaque.

Les versions 5.33.6162 sur poste fixe et 1.07.3191 en mode Cloud de sa solution ont été compromises.

« Une activité suspecte a été identifiée le 12 septembre 2017, où nous avons vu une adresse IP inconnue recevant des données du logiciel trouvé dans CCleaner et CCleaner Cloud sur les systèmes Windows 32 bits », alerte Paul Yung, Vice-Président Produit de Piriform.

Selon l’éditeur, le logiciel a été illégalement modifié avant sa livraison publique. Le pirate a réussi à installer une backdoor à deux niveaux afin d’exécuter du code envoyé à partir d’une adresse IP sur les systèmes affectés.

L’agent malveillant se cachait dans le CRT (Common Runtime), le code d’initialisation de l’application normalement intégré par le compilateur lors de l’opération de compilation en fichier CCleaner.exe.

Envoi de données personnelles

Résultat, l’application stockait certaines informations dans le registre de Windows afin de générer un identifiant unique potentiellement utilisé comme clé de chiffrement de communication, une valeur de synchronisation pour déclencher certaines actions, et une adresse IP pour un deuxième serveur de commande et contrôle (CnC).

Parallèlement, l’application envoyait au pirate un certains nombre de données personnelles comme le nom de l’ordinateur, la liste des logiciels installés, y compris les mises à jour Windows, celles des processus en cours, les adresses MAC des trois premiers adaptateurs réseau, et d’autres informations systèmes.

Piriform, qui déclare avoir alerté les autorités policières dès qu’il a eu connaissance de l’intrusion, ne donne pas de détails sur le mode opératoire des attaquants, ni depuis quand remonte l’attaque et quel volume d’informations a été dérobé.

« L’enquête est toujours en cours », justifie le porte-parole de la société.

Ampleur des dégâts inconnue

Aidé par Avast Threat Labs (sa maison mère depuis juillet dernier), l’éditeur britannique assure que le code étranger a été exclu du logiciel et que l’accès au serveur malveillant est désormais inexploitable par les auteurs de l’attaque.

Tous les utilisateurs des versions affectées devraient en outre voir leur application évoluer vers une nouvelle version « clean ». Ou, à défaut, le faire manuellement depuis cette page.

L’ampleur des dégâts, s’il y en a eu, reste donc inconnue. Ce qui pourrait poser problème aux utilisateurs victimes. Les pirates pourraient en effet exploiter les informations système recueillies pour lancer des attaques plus ciblées sur les postes affectées.

Et, selon Piriform, CCleaner est installé sur environ 130 millions de postes et terminaux mobiles dans le monde. Ceux qui exploitent la version Windows 32 bits de l’utilitaire vont devoir redoubler de vigilance.


Lire également
AVAST et CCleaner débarquent sur Mac OS X
La backdoor ShadowPad infecte les solutions serveurs de NetSarang
Backdoor et Zero Days pour plusieurs milliers de caméras IP

Crédit photo : BeeBright / Shutterstock

Recent Posts

IT souveraine : 6 pépites made in France

Digital workplace, formation logicielle, ITSM, IoT… Coup d’œil sur six entreprises françaises qui ont accroché…

5 heures ago

Gestion du risque IT : le top 10 des fournisseurs

Qui sont les têtes d'affiche de l'ITRM (gestion du risque IT) et comment leurs offres…

7 heures ago

Orange : qui est Christel Heydemann, la nouvelle directrice générale ?

Christel Heydemann devrait être nommée directrice générale du groupe Orange ce 28 janvier. Retour sur…

10 heures ago

ESN : Inetum reprise par Bain Capital

Le fonds qatari Mannai qui possède 99% du capital d'Inetum est entré en négociation exclusive…

11 heures ago

CircleCI étend son offre gratuite face à GitHub Actions

CircleCI a procédé à un élargissement de son offre gratuite. Comment se positionne-t-elle désormais par…

12 heures ago

Log4j : SolarWinds rattrapé par la faille

On a découvert, dans l'un des logiciels de SolarWinds, une faille susceptible de favoriser des…

14 heures ago