Le 18 septembre, l’éditeur Piriform annonçait que son logiciel populaire CCleaner était infecté par un logiciel malveillant. Cette contamination concernait la version 5.33 du logiciel disponible à partir du 15 août et déployée jusqu’au 12 septembre.
Comble du comble, la société éditrice vient tout juste d’être achetée par le célèbre éditeur de solution antivirus Avast. Plus de 2,7 millions d’utilisateurs du logiciel auraient été susceptibles d’accueillir ce logiciel dans leur ordinateur sans le savoir.
Rappelons que CCleaner est un logiciel de nettoyage en profondeur gratuit et puissant. Il détecte tout ce qui est superflu dans Windows et l’élimine presqu’automatiquement. Le logiciel fait en quelques minutes ce qu’un utilisateur averti prendrait des heures à réaliser. Je conseille depuis fort longtemps de l’utiliser à partir du moment où l’ordinateur commence à peiner.
Une méthode déjà employée pour le rançomware NotPetya
Ce qui est le plus inquiétant dans cette histoire, c’est que sans l’intervention d’une société de sécurité tierce, le malware enfermé dans CCleaner n’aurait jamais été détecté. En effet, ce sont les chercheurs de la firme Cisco Talos qui ont déniché de façon fortuite le nuisible alors qu’ils testaient un nouveau système de détection de malwares.
Ils se sont rendu compte que lorsque l’on installait la nouvelle version de CCleaner, un petit programme en profitait pour s’inviter sur la machine. Le malware était d’autant plus vicieux qu’il ne s’activait que si plusieurs conditions étaient remplies.
D’abord, il attendait 10 minutes avant de démarrer. Ensuite, il vérifiait si l’utilisateur était bien l’administrateur de l’ordinateur, ce qui est le cas sur la plupart des ordinateurs domestiques. Enfin, il récoltait les profils d’utilisateur des machines infectées pour les transmettre via Internet au serveur des cybercriminels. à partir de ce moment, le malware pouvait recevoir de nouvelles instructions et les exécuter.
En plus d’être discret, le malware était donc inerte en premier lieu. Il bénéficiait de surcroît du blason du certificat de sécurité de Piriform, l’éditeur de CCleaner, qui garantissait à Windows l’absence de nuisible dans le logiciel. Un détail qui montre que les pirates sont parvenus à infiltrer le logiciel directement chez les programmeurs qui développaient la nouvelle version de CCleaner. Autrement dit, Piriform a été piraté à distance par des cybercriminels qui ont ajouté leur petite graine au nez et à la barbe des développeurs…
Globalement, la méthode ressemble beaucoup à l’un des vecteurs de contamination du fameux rançongiciel NotPetya qui a paralysé de très nombreux ordinateurs de l’industrie française, dont Saint-Gobain. Dans ce cas précis, il s’agissait d’une fausse mise à jour de Windows.
Avast, le nouveau propriétaire, se veut rassurant
Si Cisco Talos a annoncé le chiffre de 2,7 utilisateurs concernés, ce nombre de victimes est difficile à confirmer, étant donné que le malware a été diffusé en ligne durant presqu’un mois. Moi-même j’ai sans doute hébergé cet intrus sans le savoir sur mon ordinateur pourtant bardé de systèmes de protection…
Quant à Avast, le nouveau propriétaire de CCleaner, il a dû se fendre d’un long communiqué pour expliquer en toute transparence les détails de cette contamination. Ils ont donc révélé que les pirates ne se sont pas servis de leur amorce, mais elle était bien présente. Avast précise également que des mises à jour ont permis de régler le problème est que, selon la société, le nombre d’utilisateurs infectés serait désormais de 700 000.
Avast a aussi précisé que, de toute façon, le serveur auquel se connectait à distance le malware a été neutralisé. Cela signifie que même sur les machines infectées, les pirates ne peuvent plus, en théorie, prendre le contrôle.
Dans ce communiqué, on apprend enfin qu’un tiers des utilisateurs de CCleaner emploient Avast comme suite de sécurité. C’est à partir des données récoltées par ces suites antivirus que l’éditeur a la conviction que le malware est désormais totalement inopérant. à l’issue de ce communiqué, Avast le promet, cette situation ne se reproduira plus.
Comment vérifier si CCleaner est « clean » ?
Si vous souhaitez vérifier que votre version de CCleaner n’est pas cette fameuse 5.33.6162 vérolée, il suffit de jeter un coup d’œil en haut à gauche de la fenêtre. La version en cours est 5.35.6210 et elle ne comporte plus le malware.
Si, toutefois, c’est cette fameuse version contaminée qui est affichée, le logiciel va de lui-même rapatrier la mise à jour corrective. Si vous avez un doute, cliquez en bas à droite sur Check For Updates ou Vérifier les mises à jour (selon les versions).
Pour les plus radicaux, il y a aussi la solution qui consiste à supprimer purement le logiciel. Radical certes, mais compte tenu de cette méthode d’infection sournoise, tous les logiciels présents sur le PC peuvent, un jour ou l’autre, se retrouver porteurs d’un malware de la même façon.
Autrement dit, dans l’immédiat, et malgré la présence de suite de sécurité ou encore d’une « hygiène » informatique irréprochable, il n’y a pas vraiment de solution face à ces nouvelles menaces. Il faut donc penser à dupliquer vos données pour les mettre à l’abri en cas de coup dur.
Que les propriétaires de Mac ne se réjouissent pas trop des déboires des adeptes du PC. Ils pourraient très bien rencontrer le même genre de nuisible à l’avenir, puisque les pirates attaquent l’éditeur à la source.
[Protégez-vous des nouveaux pirates du net grâce à votre kit anti-virus créé spécialement pour vous par notre spécialiste. N’attendez pas et installez-le en moins de 2 minutes ! Toutes les informations ici…]
2 commentaires
Pourquoi utiliser un compte à haut privilège sur un ordinateur lorsque que le compte standard type user suffit
Ni petya n’aurai Pas opéré
L’erreur est autorisé chez soit mais pas dans une entreprise avec un SI responsable
La plupart font ça laisse leucpc avec les privilège admin evmêne sans password. Le monde veulent que ça soit rapide dans password en rentrer etc. Je vois ç à souvent lorsque je prépare des ordi à domicile