Des serveurs légitimes de téléchargement et de mise à jour de l’utilitaire CCleaner d’Avast ont été piratés pour distribuer des logiciels malveillants.
C’est Talos, la filiale de cybersécurité de Cisco, qui l’a récemment découvert et informé Avast immédiatement.
Il est fortement recommandé d’effacer les fichiers d’installation de CCleaner, de le télécharger à nouveau et de le réinstaller ou le mettre à jour.
Avast est une entreprise connue pour son antivirus éponyme, et des utilitaires comme CCleaner.
CCleaner est un utilitaire système pour nettoyer le PC et éviter qu’il ralentisse avec le temps.
Il aurait été téléchargé plus de 2 milliards de fois, et serait toujours téléchargé plus de 5 millions de fois par semaine.
C’est en conduisant, mercredi 13 septembre 2017, un test de la derrière bêta de leur solution de détection d’applications malveillantes, qu’ils ont découvert chez un client un fichier exécutable actionnant la protection contre les logiciels malveillants.
Il s’agissait de l’installateur de CCleaner 5.33, pourtant téléchargé à partir d’un serveur légitime d’Avast, et pourtant signé avec le certificat valide de Piriform Ltd, le développeur de CCleaner racheté par Avast en juillet 2017.
CCleaner 5.33 est sortie le 15 août 2017, et CC Cleaner 5.34 le 12 septembre. Entre ces deux dates, toutes les personnes qui ont installé l’utilitaire risquent d’avoir installé le logiciel malveillant. Depuis, Talos a découvert que CCleaner Cloud 1.07.3191 est aussi affectée.
On peut en déduire que l’environnement de développement d’Avast a été compromis.
Le logiciel malveillant utilise des méthodes assez sophistiquées pour éviter d’être détecté par les systèmes de sécurité.
S’il tourne avec des droits administrateurs, il active les autorisations de débogage pour rassembler de nombreuses informations sur le système compromis. Ces informations sont envoyées à un serveur de commande et contrôle.
Le logiciel malveillant pourrait dans un second temps télécharger des logiciels malveillants additionnels.
Pour la filiale de Cisco, cet épisode illustre la popularité croissante de cette nouvelle méthode d’infection : exploiter la relation de confiance d’un utilisateur pour des logiciels qui sont téléchargés à partir des serveurs légitimes d’un éditeur de logiciels en qui il a confiance.
Il montre que les pirates sont prêts à investir beaucoup de temps et de ressources pour distribuer leurs logiciels malveillants, et qu’ils sont prêts à attendre longtemps avant d’activer un logiciel malveillant déjà installé.
Pour Le Diligent, il confirme, une fois de plus, que moins on installe de logiciels utilitaires, antivirus ou autres solutions de sécurité, plus le système est sécurisé. La plupart de ces logiciels ne devraient être utilisés que ponctuellement, et désinstallés ensuite.
Un unique logiciel antivirus est suffisant et souhaitable, qu’il s’agisse de Windows Defender, livré en standard avec Windows, d’une alternative choisie par le consommateur, ou d’une solution imposée par une entreprise à ses employés.